次の方法で共有

Databricks 管理の概要

この記事では、Azure Databricks の管理者特権と責任の概要について説明します。

必要な Azure 管理者のアクセス許可

Azure Databricks ワークスペースを作成するか、ワークスペース管理者として Azure Databricks ワークスペースにログインするには、次のいずれかが必要です。

  • サブスクリプション レベルで Azure 共同作成者 または 所有者 ロールを持つユーザー。
  • 次のアクセス許可の一覧を持つカスタム ロール定義を持つユーザー。
    • Microsoft.Databricks/workspaces/*
    • Microsoft.Resources/subscriptions/resourceGroups/read
    • Microsoft.Resources/subscriptions/resourceGroups/write
    • Microsoft.Databricks/accessConnectors/*
    • Microsoft.Compute/register/action
    • Microsoft.ManagedIdentity/register/action
    • Microsoft.Storage/register/action
    • Microsoft.Network/register/action
    • Microsoft.Resources/deployments/validate/action
    • Microsoft.Resources/deployments/write
    • Microsoft.Resources/deployments/read

Azure Databricks でワークスペース管理者ロールが付与されると、上記の Azure ロールは不要になります。 ワークスペース管理者アクセス権は、それらの Azure ロールが削除された場合でも保持されます。 ワークスペース管理者は、そのユーザーの Azure ロールに関係なく、Azure Databricks のワークスペース管理者ロールを追加のユーザーに付与することもできます。

これらのプロバイダーがサブスクリプションに既に登録されている場合、 Microsoft.Compute/register/actionMicrosoft.ManagedIdentity/register/actionMicrosoft.Storage/register/action Microsoft.Network/register/action のアクセス許可は必要ありません。 「リソース プロバイダーの登録」を参照してください。

Databricks 管理者の種類

Azure Databricks プラットフォームで使用できる管理者特権には、主に 2 つのレベルがあります。

  • アカウント管理者: Unity カタログの有効化、ユーザー プロビジョニング、アカウント レベルの ID 管理など、Azure Databricks アカウントを管理します。
  • ワークスペース管理者: アカウント内の個々のワークスペースのワークスペース ID、アクセス制御、設定、および機能を管理します。

さらに、ユーザーには、次の機能固有の管理者ロールを割り当てることができます。これらの管理者ロールには、より狭い権限セットがあります。

  • Marketplace 管理者: Marketplace 登録情報の作成と管理など、アカウントの Databricks Marketplace プロバイダー プロファイルを管理します。
  • メタストア管理者: カタログの作成やテーブルのクエリを実行できるユーザーなど、Unity カタログ メタストア内のすべてのセキュリティ保護可能なオブジェクトの権限と所有権を管理します。
  • 課金管理者: 予算を表示し、アカウント全体のサーバーレス予算ポリシーを管理します。

アカウント管理者とは

アカウント管理者には、Azure Databricks アカウント全体に対する特権があります。 アカウント管理者は、アカウント設定の管理、ユーザー プロビジョニングの設定、Unity カタログ有効化のメタストアの作成、アカウント内のすべてのワークスペースの ID の管理を行うことができます。

アカウント管理者は、アカウント管理者とワークスペース管理者ロールを他のユーザーに委任することもできます。

最初のアカウント管理者を確立する

アカウント コンソールは、Azure Government リージョンでは使用できません。

セキュリティと組織の整合性のために、Databricks では、Microsoft Entra ID グローバル管理者がアカウントの最初のアカウント管理者ロールを確立する必要があります。 これにより、高い特権を持つ管理者からの監視なしで、高い特権を持つサービス固有の管理者ロールが作成されなくなります。

これらの手順を完了したら、Azure Databricks アカウントからグローバル管理者を削除できます。

全体管理者は、次の手順を使用する必要があります。

  1. グローバル管理者の資格情報を使用して Azure Portal にサインインします。
  2. accounts.azuredatabricks.net に移動し、Microsoft Entra ID でサインインします。 Azure Databricks によってアカウント管理者ロールが自動的に作成されます。
  3. [ ユーザー管理] をクリックします。
  4. アカウント管理者ロールを委任するユーザーのユーザー名を見つけてクリックします。
  5. [ ロール ] タブで、[ アカウント管理者] をオンにします。

別のユーザーがアカウント管理者ロールを持ったら、Microsoft Entra ID グローバル管理者が関与する必要がなくなりました。 新しいアカウント管理者は、Azure Databricks アカウントからグローバル管理者を削除し、他のユーザーにアカウント管理者ロールを割り当てることができます。

アカウント コンソールにアクセスする

アカウント コンソールは、アカウント管理者が自分の Azure Databricks アカウントを管理する場所です。

既定のアカウント コンソール ビュー

アカウント管理者は、 https://accounts.azuredatabricks.net またはワークスペース UI の上部にあるワークスペース セレクターをクリックし、[アカウントの管理] を選択することで 、アカウント コンソールにアクセスできます。

アカウント管理者ではないアカウント ユーザーは、 https://accounts.azuredatabricks.netからのみアカウントにアクセスできます。 ログインすると、アカウント コンソールが開き、ワークスペースの一覧が表示されます。

Microsoft Entra ID テナントが複数ある場合、アカウント コンソールの URL によって、既定のテナントの Azure Databricks アカウント コンソールに移動します。 別のテナントのアカウント コンソールにアクセスするには、優先テナントのワークスペース内からアカウント コンソールにアクセスします。

アカウント管理者の責任

アカウント管理者の責任は次のとおりです。

Unity カタログを有効にする

Azure Databricks アカウントが 2023 年 11 月 9 日以降に作成された場合、ワークスペースで Unity カタログが既定で有効になっている可能性があります。 詳細については、「 Unity カタログの自動有効化」を参照してください。

アカウントで Unity カタログを有効にするには、アカウント管理者が必要です。 このプロセスには、アカウント管理者のみが実行できる Unity カタログ メタストアの作成が含まれます。

Unity カタログを有効にする手順については、「Unity カタログの 使用を開始する」を参照してください。

ID の管理

アカウント管理者は、該当する場合、ID プロバイダーを Azure Databricks と同期する必要があります。 SCIM を使用して Microsoft Entra ID からユーザーとグループを同期するを参照してください。

アカウント内の少なくとも 1 つのワークスペースに対して Unity カタログを有効にしている場合は、アカウント コンソールで ID (ユーザー、グループ、サービス プリンシパル) を管理する必要があります。 アカウント管理者は、アクセス許可を付与し、これらの ID にワークスペースを割り当てることができます。

詳細については、「 ユーザーとグループの管理」を参照してください。

システム テーブルを使用してアカウントを監視する

システム テーブルは、 system カタログにあるアカウントの運用データの Azure Databricks ホスト型分析ストアです。 アカウント管理者は、システム テーブルから監査ログ、課金対象の使用状況ログ、系列データなどへのアクセスを有効にすることができます。 「システム テーブルを使用してアカウント アクティビティを監視する」を参照してください。

アカウント設定の管理

アカウント管理者は、[ 設定] セクションを使用して、アカウント コンソールから Azure Databricks アカウントの側面を管理できます。 これには、アカウント全体の新機能の有効化と IP アクセス リストの構成が含まれます。

プレビューの管理

ワークスペースまたは組織のワークスペースで Azure Databricks プレビューを管理します。 プレビューでは、一般公開 (GA) のためにリリースされる前に、機能に早期にアクセスできます。 「Azure Databricks のプレビューを管理する」を参照してください。

ワークスペース管理者とは

ワークスペース管理者は、1 つのワークスペース内で管理者特権を持っています。 ワークスペース レベルの ID の管理、コンピューティングの使用の調整、ロールベースのアクセス制御の有効化と委任を行うことができます (Premium プラン のみ)。

管理者設定にアクセスする

ワークスペース管理者は、ワークスペースの管理者設定ページにアクセスできる唯一のユーザーです。 ワークスペース管理者は、Azure Databricks ワークスペースの上部バーにあるユーザー名をクリックし、[ 設定] を選択することで、管理者設定にアクセスできます。

既定の管理者設定ビュー

ワークスペース管理者の責任

ワークスペース管理者の責任は次のとおりです。

ワークスペースで ID を管理する

ワークスペースで Unity カタログが有効になっている場合は、アカウント レベルで ID を追加する必要があります。 ワークスペース管理者は、ユーザー、グループ、サービス プリンシパルを自分のワークスペースに割り当てることができます。 ワークスペースでの ID の追加と削除の詳細については、「 ユーザー、サービス プリンシパル、およびグループの管理」を参照してください。

Databricks Academy には、 ID 管理に関する無料コースがあります。 コースにアクセスする前に、 Databricks Academy にまだ登録 していない場合は、まず登録する必要があります。

コンピューティング リソースの作成と管理

ワークスペース管理者は、ワークスペース ユーザーの SQL ウェアハウス (Databricks SQL 内のデータ オブジェクトに対して SQL コマンドを実行できるコンピューティング リソース) とクラスターを作成できます。 SQL ウェアハウスの作成手順については、SQL ウェアハウスの 作成を参照してください。

また、ワークスペースでコンピューティング リソースを使用する方法を規制することも、ワークスペース管理者の仕事です。 ワークスペース管理者には、次のツールがあります。

  • クラスター ポリシーを使用して、ワークスペース ユーザーのクラスター作成オプション を制限します
    • Databricks では、すべての init スクリプトをクラスター スコープの init スクリプトとして管理することをお勧めします。 グローバル init スクリプトを使用する代わりに、クラスター ポリシーを使用して init scipts を管理します。
  • Unity カタログにアクセスできるコンピューティング リソースについて説明します。

Databricks Academy には、 コンピューティング リソース管理に関する無料コースがあります

ワークスペースの機能と設定を管理する

ワークスペース管理者は、選択したワークスペースの動作と設定を管理する必要があります。 その他の使用可能なワークスペース設定については、「 ワークスペース設定の管理」を参照してください。

Databricks Academy には、 Databricks ワークスペースの管理とセキュリティに関する無料コースがあります

その他のリソース

Databricks Academy には、 プラットフォーム管理者向けの無料のペースで学習できるラーニング パスがあります。 コースにアクセスする前に、 Databricks Academy にまだ登録 していない場合は、まず登録する必要があります。

ライブ プラットフォーム管理トレーニングに参加するためにサインアップすることもできます。

Databricks コミュニティでは、多くの質問に対する回答を取得することもできます。