다음을 통해 공유

서비스 주체 관리

이 페이지에서는 Azure Databricks 계정 및 작업 영역에 대한 서비스 주체를 관리하는 방법을 설명합니다.

서비스 주체에 대한 개요는 서비스 주체를 참조하세요.

Microsoft Entra ID 테넌트에서 Azure Databricks 계정에 서비스 주체 동기화

자동 ID 관리(공개 미리 보기)를 사용하여 Microsoft Entra ID 테넌트에서 Azure Databricks 계정으로 Microsoft Entra ID 서비스 주체를 자동으로 동기화할 수 있습니다. Databricks는 Microsoft Entra ID를 원본으로 사용하므로 사용자 또는 그룹 멤버 자격에 대한 변경 내용은 Azure Databricks에서 적용됩니다. 자동 ID 관리를 사용하도록 설정하려면 Microsoft Entra ID에서 자동으로 사용자 및 그룹 동기화를 참조하세요.

SCIM 프로비저닝은 서비스 주체 동기화를 지원하지 않습니다.

계정에 서비스 주체 추가

계정 관리자 및 작업 영역 관리자는 계정 콘솔 또는 작업 영역 관리자 설정 페이지를 사용하여 Azure Databricks 계정에 서비스 주체를 추가할 수 있습니다.

서비스 주체는 Azure Databricks에서 만들거나 기존 Microsoft Entra ID 서비스 주체에서 연결할 수 있습니다. Databricks 및 Microsoft Entra ID 서비스 주체를 참조하세요. 자동 ID 관리를 사용하도록 설정하면 Microsoft Entra ID에서 직접 서비스 주체를 검색하고 추가할 수 있습니다.

계정 관리자 및 작업 영역 관리자는 계정 콘솔 또는 작업 영역 관리자 설정 페이지를 사용하여 Azure Databricks 계정에 서비스 주체를 추가할 수 있습니다.

계정 콘솔

  1. 계정 관리자로서 계정 콘솔에 로그인합니다.
  2. 사이드바에서 사용자 관리를 클릭합니다.
  3. 서비스 주체 탭에서 서비스 주체 추가를 클릭합니다.
  4. 관리에서 Databricks 관리형 또는 Microsoft Entra ID 관리형을 선택합니다.
  5. Microsoft Entra ID 관리형을 선택한 경우 Microsoft Entra 애플리케이션 ID 아래에 서비스 주체의 애플리케이션(클라이언트) ID를 붙여넣습니다.
  6. 서비스 주체의 이름을 입력합니다.
  7. 추가를 클릭합니다.

작업 영역 관리자 설정

  1. 작업 영역 관리자로 Azure Databricks 작업 영역에 로그인합니다.

  2. Azure Databricks 작업 영역의 위쪽 표시줄에서 사용자 이름을 클릭하고 설정을 선택합니다.

  3. ID 및 액세스 탭을 클릭합니다.

  4. 서비스 주체 옆에 있는관리를 클릭합니다.

  5. 서비스 주체 추가를 클릭합니다.

  6. 새로 추가를 클릭합니다.

  7. Databricks 관리형 또는 Microsoft Entra ID 관리형을 선택합니다. 관리되는 Microsoft Entra ID를 선택하는 경우 서비스 주체에 대한 애플리케이션(클라이언트) ID를 붙여넣습니다.

  8. 서비스 주체의 이름을 입력합니다.

  9. 추가를 클릭합니다.

서비스 주체에 계정 수준 관리자 역할 할당

비고

서비스 주체 세부 정보 페이지에는 서비스 주체에 직접 할당된 역할만 표시됩니다. 그룹 멤버 자격을 통해 상속된 역할은 활성 상태이지만 해당 토글은 UI에서 활성화된 것으로 표시되지 않습니다.

  1. 계정 관리자로서 계정 콘솔에 로그인합니다.
  2. 사이드바에서 사용자 관리를 클릭합니다.
  3. 서비스 주체 탭에서 사용자 이름을 찾아 클릭합니다.
  4. 역할 탭에서 하나 이상의 역할을 선택합니다.

작업 영역에 서비스 주체 할당

계정 관리자 및 작업 영역 관리자는 계정 콘솔 또는 작업 영역 관리자 설정 페이지를 사용하여 Azure Databricks 작업 영역에 서비스 주체를 할당할 수 있습니다.

계정 콘솔

계정 콘솔을 사용하여 작업 영역에 사용자를 추가하려면 ID 페더레이션에 대해 작업 영역을 사용하도록 설정해야 합니다.

  1. 계정 관리자로서 계정 콘솔에 로그인합니다.
  2. 사이드바에서 작업 영역을 클릭합니다.
  3. 작업 영역 이름을 클릭합니다.
  4. 사용 권한 탭에서 사용 권한 추가를 클릭합니다.
  5. 서비스 주체를 검색하여 선택하고 사용 권한 수준(작업 영역 사용자 또는 관리자)을 할당한 다음 저장을 클릭합니다.

작업 영역 관리자 설정

  1. 작업 영역 관리자로 Azure Databricks 작업 영역에 로그인합니다.
  2. Azure Databricks 작업 영역의 위쪽 표시줄에서 사용자 이름을 클릭하고 설정을 선택합니다.
  3. ID 및 액세스 탭을 클릭합니다.
  4. 서비스 주체 옆에 있는관리를 클릭합니다.
  5. 서비스 주체 추가를 클릭합니다.
  6. 기존 서비스 주체를 선택합니다.
  7. 추가를 클릭합니다.

작업 영역에서 서비스 주체 제거

계정 관리자 및 작업 영역 관리자는 계정 콘솔 또는 작업 영역 관리자 설정 페이지를 사용하여 Azure Databricks 작업 영역에서 서비스 주체를 제거할 수 있습니다.

서비스 주체가 작업 영역에서 제거되면 서비스 주체는 더 이상 작업 영역에 액세스할 수 없지만 서비스 주체에 대한 사용 권한은 유지됩니다. 나중에 서비스 주체가 작업 영역에 다시 추가되면 이전 사용 권한을 다시 복구합니다.

계정 콘솔

계정 콘솔을 사용하여 작업 영역에서 서비스 주체를 제거하려면 작업 영역이 ID 페더레이션에 대해 활성화되어 있어야 합니다.

  1. 계정 관리자로서 계정 콘솔에 로그인합니다.
  2. 사이드바에서 작업 영역을 클릭합니다.
  3. 작업 영역 이름을 클릭합니다.
  4. 사용 권한 탭에서 서비스 주체를 찾습니다.
  5. Kebab 메뉴 아이콘 을 클릭합니다. 서비스 주체 행의 맨 오른쪽에 있는 kebab 메뉴에서 제거를 선택합니다.
  6. 확인 대화 상자에서 제거를 클릭합니다.

작업 영역 관리자 설정

서비스 주체가 작업 영역에서 제거되면 서비스 주체는 더 이상 작업 영역에 액세스할 수 없지만 서비스 주체에 대한 사용 권한은 유지됩니다. 나중에 서비스 주체가 작업 영역에 다시 추가되면 이전의 사용 권한을 회복합니다.

  1. 작업 영역 관리자로 Azure Databricks 작업 영역에 로그인합니다.
  2. Azure Databricks 작업 영역의 위쪽 표시줄에서 사용자 이름을 클릭하고 설정을 선택합니다.
  3. ID 및 액세스 탭을 클릭합니다.
  4. 서비스 주체 옆에 있는관리를 클릭합니다.
  5. 서비스 주체를 선택합니다.
  6. 오른쪽 위 모서리에서 삭제를 클릭합니다.
  7. 삭제를 클릭하여 확인합니다.

서비스 주체에 작업 영역 관리자 역할 할당

  1. 작업 영역 관리자로 Azure Databricks 작업 영역에 로그인합니다.
  2. Azure Databricks 작업 영역의 위쪽 표시줄에서 사용자 이름을 클릭하고 설정을 선택합니다.
  3. ID 및 액세스 탭을 클릭합니다.
  4. 그룹 옆에 있는 관리를 클릭합니다.
  5. admins 시스템 그룹을 선택합니다.
  6. 구성원 추가를 클릭합니다.
  7. 서비스 주체를 선택하고 확인을 클릭합니다.

서비스 주체에서 작업 영역 관리자 역할을 제거하려면 관리 그룹에서 서비스 주체를 제거합니다.

서비스 주체 비활성화

계정 또는 작업 영역 수준에서 서비스 주체를 비활성화할 수 있습니다. 비활성화를 사용하면 서비스 주체가 Databricks API를 인증하고 액세스할 수 없지만 해당 권한이나 개체는 제거되지 않습니다. 이는 파괴적인 동작인 제거보다 좋습니다.

비활성화의 효과:

  • 서비스 주체는 Databricks API를 인증하거나 액세스할 수 없습니다.
  • 서비스 주체가 생성한 토큰을 사용하는 애플리케이션 또는 스크립트는 더 이상 Databricks API에 액세스할 수 없습니다. 토큰은 유지되지만 서비스 주체가 비활성화된 동안에는 인증에 사용할 수 없습니다.
  • 서비스 주체가 소유한 컴퓨팅 리소스는 계속 실행됩니다.
  • 서비스 주체가 만든 예약된 작업은 새 소유자에게 할당되지 않는 한 실패합니다.

다시 활성화되면 서비스 주체는 동일한 권한으로 액세스 권한을 다시 얻습니다.

계정 수준 비활성화

계정 관리자는 Azure Databricks 계정에서 서비스 주체를 비활성화할 수 있습니다. 서비스 주체가 계정 수준에서 비활성화되면 Azure Databricks 계정 또는 계정의 작업 영역에 인증할 수 없습니다.

계정 콘솔을 사용하여 서비스 주체를 비활성화할 수 없습니다. 대신 계정 서비스 주체 API를 사용합니다.

다음은 그 예입니다.

curl --netrc -X PATCH \
https://${DATABRICKS_HOST}/api/2.1/accounts/{account_id}/scim/v2/ServicePrincipals/{id} \
--header 'Content-type: application/scim+json' \
--data @update-sp.json \
| jq .

update-sp.json:

{
  "schemas": ["urn:ietf:params:scim:api:messages:2.0:PatchOp"],
  "Operations": [
    {
      "op": "replace",
      "path": "active",
      "value": [
        {
          "value": "false"
        }
      ]
    }
  ]
}

작업 영역 수준 비활성화

서비스 주체가 작업 영역 수준에서 비활성화되면 해당 특정 작업 영역에 대해 인증할 수 없지만 계정 및 계정의 다른 작업 영역에 인증할 수는 있습니다.

  1. 작업 영역 관리자로 Azure Databricks 작업 영역에 로그인합니다.
  2. Azure Databricks 작업 영역의 위쪽 표시줄에서 사용자 이름을 클릭하고 설정을 선택합니다.
  3. ID 및 액세스 탭을 클릭합니다.
  4. 서비스 주체 옆에 있는관리를 클릭합니다.
  5. 비활성화하려는 서비스 주체를 선택합니다.
  6. 상태 아래에서 활성을 선택 취소합니다.

서비스 주체를 활성으로 설정하려면 동일한 단계를 수행하지만 대신 확인란을 선택합니다.

Azure Databricks 계정에서 서비스 주체 제거

계정 관리자는 Azure Databricks 계정에서 서비스 주체를 삭제할 수 있습니다. 작업 영역 관리자는 삭제할 수 없습니다. 계정에서 서비스 프린시펄을 삭제하면 작업 영역에서도 삭제됩니다.

중요합니다

계정에서 서비스 주체를 제거하면 ID 페더레이션이 활성화되었는지 여부에 관계없이 해당 서비스 주체도 작업 영역에서 제거됩니다. 계정 수준 서비스 주체가 계정의 모든 작업 영역에 대한 액세스 권한을 잃지 않게 하려면 삭제하지 않는 것이 좋습니다. 서비스 주체를 삭제하면 다음과 같은 결과가 발생할 수 있습니다.

  • 서비스 주체가 생성한 토큰을 사용하는 애플리케이션 또는 스크립트는 더 이상 Databricks API에 액세스할 수 없습니다.
  • 서비스 주체가 소유한 작업이 실패합니다.
  • 서비스 주체가 소유한 컴퓨팅 장치 중지
  • 공유 실패를 방지하기 위해 서비스 주체가 만들고 소유자로 실행 자격 증명을 사용하여 공유한 쿼리 또는 대시보드를 새 소유자에게 할당해야 합니다.

Microsoft Entra ID 서비스 주체가 계정에서 제거되면 서비스 주체는 더 이상 계정 또는 해당 작업 영역에 액세스할 수 없지만 서비스 주체에 대한 사용 권한은 유지됩니다. 서비스 주체가 나중에 계정에 다시 추가되면 이전 사용 권한을 다시 얻습니다.

계정 콘솔을 사용하여 서비스 주체를 제거하려면 다음을 수행합니다.

  1. 계정 관리자 권한으로 계정 콘솔에 로그인합니다.
  2. 사이드바에서 사용자 관리를 클릭합니다.
  3. 서비스 주체 탭에서 사용자 이름을 찾아 클릭합니다.
  4. 주요 정보 탭에서 케밥 메뉴 아이콘을 클릭한 후 오른쪽 위 모서리에 있는 케밥 메뉴에서 삭제를 선택합니다.
  5. 확인 대화 상자에서 삭제 확인을 클릭합니다.

비고

자동 ID 관리를 사용하도록 설정하면 Microsoft Entra ID에 있는 서비스 주체가 계정 콘솔에 표시됩니다. 해당 상태는 비활성 상태로 표시됩니다. 사용량이 없 으므로 서비스 주체 목록에서 제거할 수 없습니다. 계정에서 활성화되지 않으며 제한에 포함되지 않습니다.

API를 사용하여 서비스 주체 관리

계정 관리자 및 작업 영역 관리자는 Databricks API를 사용하여 Azure Databricks 계정 및 작업 영역에서 서비스 주체를 관리할 수 있습니다. API를 사용하여 서비스 주체에서 역할을 관리하려면 Databricks CLI를 사용하여 서비스 주체 역할 관리를 참조하세요.

API를 사용하여 계정에서 서비스 주체 관리

관리자는 Azure Databricks 계정에서 계정 서비스 주체 API를 사용하여 서비스 주체를 추가하고 관리할 수 있습니다. 계정 관리자 및 작업 영역 관리자는 다른 엔드포인트 URL을 사용하여 API를 호출합니다.

  • 계정 관리자는 {account-___domain}/api/2.1/accounts/{account_id}/scim/v2/를 사용합니다.
  • 작업 영역 관리자는 {workspace-___domain}/api/2.0/account/scim/v2/를 사용합니다.

자세한 내용은 계정 서비스 주체 API를 참조하세요.

API를 사용하여 작업 영역에서 서비스 주체 관리

계정 및 작업 영역 관리자는 작업 영역 할당 API를 사용하여 서비스 주체를 ID 페더레이션에 사용하도록 설정된 작업 영역에 할당할 수 있습니다. 작업 영역 할당 API는 Azure Databricks 계정 및 작업 영역을 통해 지원됩니다.

  • 계정 관리자는 {account-___domain}/api/2.0/accounts/{account_id}/workspaces/{workspace_id}/permissionassignments를 사용합니다.
  • 작업 영역 관리자는 {workspace-___domain}/api/2.0/preview/permissionassignments/principals/{principal_id}를 사용합니다.

작업 영역 할당 API를 참조하세요.

작업 영역을 ID 페더레이션에 사용하지 않는 경우 작업 영역 관리자는 작업 영역 수준 API를 사용하여 작업 영역에 서비스 주체를 할당할 수 있습니다. 작업 영역 서비스 주체 API를 참조하세요.

서비스 주체에 대한 토큰 관리

서비스 주체는 각각 서로 다른 범위 및 보안 고려 사항이 있는 OAuth 토큰 또는 개인용 액세스 토큰(PAT)을 사용하여 Databricks API에 인증할 수 있습니다.

중요합니다

Databricks는 보안 및 수명 주기 관리를 개선하기 위해 가능한 한 서비스 주체 인증에 OAuth 토큰을 사용하는 것이 좋습니다. 사용 사례에 OAuth를 사용할 수 없는 경우에만 PAT를 사용합니다.

MICROSOFT MSI(관리 서비스 ID) 또는 Microsoft Entra ID 액세스 토큰 작업에 대한 자세한 내용은 각각 Azure 관리 ID 인증MS Entra 서비스 주체 인증 을 참조하세요.