認証とアクセス制御
この記事では、Databricks の認証とアクセス制御について紹介します。 データへのアクセスを保護する方法については、 「Unity Catalogを使用したデータガバナンス」を参照してください。
Databricks にサインインする
Databricks では、セキュリティを強化し、使いやすさを向上させるために、シングル サインオン (SSO) と統合ログインを構成することをお勧めします。 SSO を使用すると、ユーザーは組織の ID プロバイダーを使用して Databricks にサインインできます。 統合ログインを使用すると、Databricks アカウントとワークスペースの 1 つの SSO 構成を管理できます。 2023年6月21日以降にアカウントが作成された場合、統合ログインは、新規および既存のすべてのワークスペースに対してデフォルトによってアカウントで有効になっており、無効にすることはできません。 SSOを構成したら、IDプロバイダーを介して、多要素認証などのきめ細かなアクセス制御を有効にできます。 「Databricks で SSO を構成する」を参照してください。
シングル サインオンを構成しない場合、ユーザーは Google などの選択した外部アカウントまたはワンタイム パスコードを使用して Databricks にログインできます。 「Eメールまたは外部アカウントでサインイン」を参照してください。
ロックアウトを防ぐために、アカウント管理者は最大 20 人のユーザーに対して緊急アクセスを設定できます。 これらのユーザーは、パスワードと多要素認証 (MFA) を使用して Databricks にサインインできます。 ロックアウトを防ぐための緊急アクセスを参照してください。
ID プロバイダーからユーザーとグループを同期する
SCIM を使用して、ID プロバイダーから Databricks アカウントにユーザーとグループを自動的に同期できます。 SCIM は、ユーザー プロビジョニングを自動化できるオープン スタンダードです。 SCIM は、一貫したオンボーディングとオフボーディングのプロセスを可能にします。 ID プロバイダーを使用して、Databricks でユーザーとグループを作成し、適切なレベルのアクセス権を付与します。 ユーザーが組織を離れた場合、または Databricks にアクセスする必要がなくなった場合、管理者は ID プロバイダーからユーザーを削除でき、そのユーザーは Databricks で非アクティブ化されます。 これにより、権限のないユーザーが機密データにアクセスするのを防ぎます。 詳細については、「 ID プロバイダーからユーザーとグループを同期する」を参照してください。
Databricksでユーザーとグループを最適に構成する方法の詳細については、「ID のベスト プラクティス」を参照してください。
OAuth による安全な API 認証
Databricks OAuth は、Databricks ワークスペース レベルでのリソースと操作の安全な資格情報とアクセスをサポートし、承認のためのきめ細かなアクセス許可をサポートします。
注:
Databricks のユーザー名とパスワードを使用した基本認証は、2024 年 7 月 10 日にサポートが終了しました。 Databricks 管理パスワードのサポート終了を参照してください。
Databricks では個人用アクセストークン (PAT) もサポートしていますが、代わりに OAuth を使用することをお勧めします。 PAT を監視および管理するには、「 個人用アクセストークンの監視と取り消し 」および 「個人用アクセストークンのアクセス許可の管理」を参照してください。
Databricks 自動化全体に対する認証の詳細については、「Databricks リソースへのアクセスを認証する」を参照してください。
アクセス制御の概要
Databricks では、セキュリティ保護可能なオブジェクトごとに異なるアクセス制御システムが存在します。 次の表は、どのアクセス制御システムがどの種類のセキュリティ保護可能なオブジェクトを管理するかを示しています。
セキュリティ保護可能なオブジェクト |
アクセス制御システム |
---|---|
ワークスペースレベルのセキュリティ保護可能なオブジェクト |
アクセス制御リスト |
アカウントレベルのセキュリティ保護可能なオブジェクト |
アカウント役割ベースのアクセス制御 |
データのセキュリティ保護可能なオブジェクト |
Unity Catalog |
Databricks 、ユーザー、サービス プリンシパル、およびグループに直接割り当てられる管理者ロールと権限も提供します。
データのセキュリティ保護に関する情報については、 Unity Catalogのデータガバナンス」を参照してください。
アクセス制御リスト
Databricksでは、アクセス制御リスト (ACL) を使用して、ワークスペース オブジェクト (データベースやSQLウェアハウスなど) にアクセスするための権限を構成できます。 すべてのワークスペース管理者ユーザーは、アクセス制御リストを管理できます。また、アクセス制御リストを管理する委任権限を付与されたユーザーも、アクセス制御リストを管理できます。 アクセス制御リストの詳細については、 「アクセス制御リスト」を参照してください。
アカウント役割ベースのアクセス制御
アカウント 役割ベースのアクセス制御を使用すると、サービス プリンシパルやグループなどのアカウント レベルのオブジェクトを使用する権限を構成できます。 アカウント ロールは、アカウント内で一度定義され、すべてのワークスペースに適用されます。 すべてのアカウント管理者ユーザーは、アカウント ロールを管理できます。また、グループ マネージャーやサービス プリンシパル マネージャーなど、アカウント ロールを管理する権限が委任されているユーザーもアカウント ロールを管理できます。
特定のアカウント レベルのオブジェクトに対するアカウント ロールの詳細については、次の記事を参照してください。
管理者ロールとワークスペースのエンタイトルメント
Databricks プラットフォームで利用できる管理者権限には、主に 2 つのレベルがあります。
アカウント admins: ワークスペースの作成、ユーザー管理、クラウド リソース、アカウント usage モニタリングなど、 Databricks アカウントを管理します。
ワークスペース管理者: アカウント内の個々のワークスペースのワークスペース ID、アクセス制御、設定、および機能を管理します。
また、権限のセットが狭い機能固有の管理者ロールもあります。 使用可能なロールについては、「 Databricks 管理の概要」を参照してください。
エンタイトルメントは、ユーザー、サービス プリンシパル、またはグループが指定された方法でDatabricksと対話できるようにするプロパティです。 ワークスペース管理者は、ワークスペース レベルでユーザー、サービス プリンシパル、およびグループに権限を割り当てます。 詳細については、 「権限の管理」を参照してください。