メインコンテンツまでスキップ

ID 管理と権限

このページでは、SAP Databricks ID 管理モデルを紹介し、SAP Databricksでユーザー、グループ、サービスプリンシパルを管理する方法の概要を説明します。

SAP Databricks アカウントのプロビジョニングが完了したら、SAP Cloud Identity サービス、Identity プロビジョニングを使用して、ユーザーを SAP Databricks にプロビジョニングできます。 Databricks では、SAP Cloud Identity サービスを、SAP Databricks アカウント全体のすべてのユーザーにとっての唯一の真実のソースとして引き続き使用することをお勧めします。 さらに、アカウント管理者は、SCIM を介して同期されなかったユーザーを直接追加できます。

Databricks では、ユーザーをアカウント レベルのグループに整理し、ワークスペースとアクセス制御ポリシーを個々のユーザーではなくグループに割り当てることをお勧めします。SCIM 同期グループをアカウント グループに追加することもできます。

SAP Databricks の ID

SAP Databricks ID には、次の 3 つのタイプがあります。

  • ユーザー : SAP Databricks によって認識され、Eメール アドレスで表されるユーザー ID。
  • グループ :ワークスペース、データ、その他のセキュリティ保護可能なオブジェクトへのグループアクセスを管理するために管理者が使用するIDをまとめたもの。すべてのDatabricks アイデンティティをグループのメンバーとして割り当てることができます。
  • サービス プリンシパル : ジョブ、自動化ツール、およびスクリプト、アプリ、CI/CD プラットフォームなどのシステムで使用する ID。

SAP Databricks アカウントには、ユーザーとサービスプリンシパルを合わせて最大 10,000 人、グループを最大 5,000 人まで含めることができます。

SAP Databricks で ID を管理できるのは誰ですか?

SAP Databricksで ID を管理するには、アカウント admin ロール、ワークスペース admin ロール、またはサービスプリンシパルまたはグループの manager ロールのいずれかが必要です。

  • アカウント 管理者は 、ユーザー、サービスプリンシパル、およびグループをアカウントに追加し、管理者ロールを割り当てることができます。 アカウント 管理者は、アカウント内のユーザー、サービスプリンシパル、およびグループを更新および削除できます。 また、ユーザーにワークスペースへのアクセス権を付与することもできます。
  • ワークスペース 管理者は、ユーザー、グループ、サービスプリンシパルを SAP Databricks アカウントに追加できます。 ワークスペース管理者は、ユーザー、サービスプリンシパル、およびグループにワークスペースへのアクセス権を付与できます。 アカウントからユーザーとサービスプリンシパルを削除することはできません。
  • グループ マネージャーは 、グループのメンバーシップを管理し、グループを削除できます。 また、他のユーザーにグループマネージャーロールを割り当てることもできます。 アカウント管理者は、アカウント内のすべてのグループに対してグループ マネージャー ロールを持っています。 ワークスペース管理者は、作成したアカウントグループに対しグループマネージャーのロールを持ちます。
  • サービスプリンシパル マネージャーは 、サービスプリンシパルでロールを管理できます。 アカウント管理者は、アカウント内のすべてのサービスプリンシパルに対してサービスプリンシパル 管理者ロールを持っています。 ワークスペース 管理者には、作成したサービスプリンシパルに対するサービスプリンシパル マネージャー ロールがあります。

管理者ロールの割り当て

アカウント管理者は、他のユーザーをアカウント管理者として割り当てることができます。

アカウント管理者とワークスペース管理者の両方が、他のユーザーをワークスペース管理者として割り当てることができます。ワークスペース admin ロールは、SAP のデフォルト グループであり、削除できないワークスペース admins Databricks グループのメンバーシップによって決定されます。

ワークスペース オブジェクトのアクセス制御

Databricks では、アクセス制御リスト (ACL) を使用して、ノートブックやクエリなどのワークスペース レベルのオブジェクトにアクセスするためのアクセス許可を構成できます。ワークスペース管理者は、ワークスペース内のすべてのオブジェクトに対する CAN MANAGE 権限を持っているため、ワークスペース内のすべてのオブジェクトに対する権限を管理できます。 ユーザーは、作成したオブジェクトに対する CAN MANAGE 権限を自動的に持ちます。

Databricksの ACL に関する情報については、「アクセス制御リスト」を参照してください。

データアクセス制御

Databricksでは、データへのアクセスは Unity Catalogによって管理され、Databricksワークスペース全体で一元的なアクセス制御、監査、リネージ、およびデータディスカバリー機能を提供します。

Unity Catalog 内の各セキュリティ保護可能なオブジェクトには、管理者と共にオブジェクトのアクセス許可を管理できる所有者がいます。詳細については、SAP Databricksのデータベースオブジェクトを参照してください。

最終更新