Azure Databricks 管理の概要
この記事では、Azure Databricks 管理者の特権と責務の概要について説明します。
必要な Azure 管理者アクセス許可
Azure Databricks サービスを管理するには、次のいずれかの Azure 管理者アクセス許可が必要です。
- サブスクリプション レベルで Azure 共同作成者 または Owner ロールを持つユーザー。
- 次のアクセス許可の一覧を持つカスタム ロール定義を持つユーザー。
Microsoft.Databricks/workspaces/*
Microsoft.Databricks/accessConnectors/*
Microsoft.Compute/register/action
Microsoft.ManagedIdentity/register/action
Microsoft.Storage/register/action
Microsoft.Network/register/action
Note
これらのプロバイダーがサブスクリプションに既に登録されている場合、 Microsoft.Compute/register/action
、 Microsoft.ManagedIdentity/register/action
、 Microsoft.Storage/register/action
、 Microsoft.Network/registe/actionr
のアクセス許可は必要ありません。 リソース プロバイダーの登録を参照してください。
Databricks 管理者の種類
Azure Databricks プラットフォームで使用できる管理者特権には、主に 2 つのレベルがあります。
アカウント管理者: Unity Catalog の有効化、ユーザー プロビジョニング、アカウント レベルの ID 管理など、Azure Databricks アカウントを管理します。
ワークスペース管理者: アカウント内の個々のワークスペースのワークスペース ID、アクセス制御、設定、機能を管理します。
さらに、ユーザーには、より狭い権限セットを持つ次の機能固有の管理者ロールを割り当てることができます。
Marketplace 管理者: Marketplace リストの作成と管理を含む、アカウントの Databricks Marketplace プロバイダー プロファイルを管理します。
メタストア管理者: Unity Catalog メタストア内のすべてのセキュリティ保護可能なオブジェクトの権限と所有権 (カタログの作成やテーブルのクエリを実行できる人など) を管理します。
課金管理者: 予算を表示し、アカウント全体の予算ポリシーを管理します。
アカウント管理者とは
アカウント管理者には、Azure Databricks アカウント全体に対する特権があります。 アカウント管理者は、アカウント設定の管理、ユーザー プロビジョニングの設定、Unity Catalog 有効化用のメタストアの作成、アカウント内のすべてのワークスペースの ID の管理を行うことができます。
アカウント管理者は、アカウント管理者ロールとワークスペース管理者ロールを他のユーザーに委任することもできます。
最初のアカウント管理者を設置する
Note
アカウント コンソールは、Azure Government リージョンでは使用できません。
アカウント コンソールを有効にして、最初のアカウント管理者を設けるには、Microsoft Entra ID のグローバル管理者ロールを持つユーザーと協力する必要があります。 セキュリティ上の目的により、最初のアカウント管理者ロールを割り当てるアクセス許可が付与されているのは、Microsoft Entra ID の全体管理者ロールを持つユーザーのみです。 一連の手順を完了したら、Azure Databricks アカウントから全体管理者を削除できます。
全体管理者は、次の手順を使用する必要があります。
- 全体管理者の資格情報を使用して Azure Portal にサインインします。
- accounts.azuredatabricks.net に移動し、Microsoft Entra ID でサインインします。 Azure Databricks によって、アカウント管理者ロールが自動的に作成されます。
- [ユーザー管理] をクリックします。
- アカウント管理者ロールを委任するユーザーのユーザー名を見つけて、クリックします。
- [ロール] タブで、[アカウント管理者] をオンにします。
別のユーザーにアカウント管理者ロールが委任されたら、Microsoft Entra ID の全体管理者は関与する必要がなくなります。 新しいアカウント管理者は、Azure Databricks アカウントから全体管理者を削除し、他のユーザーにアカウント管理者ロールを割り当てることができます。
アカウント コンソールにアクセスする
アカウント コンソールでは、アカウント管理者が Azure Databricks アカウントを管理します。
アカウント管理者は、https://accounts.azuredatabricks.net に移動するか、ワークスペース UI の上部にあるワークスペース セレクターをクリックして [アカウントの管理] を選択することで、アカウント コンソールにアクセスできます。
アカウント管理者ではないアカウント ユーザーは、https://accounts.azuredatabricks.net からのアカウントへのみアクセスできます。 ログインすると、アカウント コンソールが開き、ワークスペースの一覧が表示されます。
Note
複数の Microsoft Entra ID テナントに存在する場合、アカウント コンソールの URL によって、既定のテナントの Azure Databricks アカウント コンソールに移動します。 別のテナントのアカウント コンソールにアクセスするには、優先テナントのワークスペース内からアカウント コンソールにアクセスします。
アカウント管理者の責務
アカウント管理者の責務は次のとおりです。
Unity Catalog を有効にする
Note
お使いの Azure Databricks アカウントが 2023 年 11 月 9 日以降に作成されたものである場合、ワークスペースで Unity Catalog が既定で有効になっている可能性があります。 詳細については、「Unity Catalog の自動有効化」を参照してください。
アカウントで Unity Catalog を有効にするには、アカウント管理者が必要です。 このプロセスには、アカウント管理者のみが実行できる Unity Catalog メタストアの作成が含まれます。
Unity Catalog を有効にする手順については、「Unity Catalog の使用の開始」を参照してください。
ID を管理する
アカウント管理者は、該当する場合、ID プロバイダーを Azure Databricks と同期する必要があります。 「Microsoft Entra ID からユーザーとグループを同期する」を参照してください。
アカウント内の少なくとも 1 つのワークスペースで Unity Catalog を有効にしている場合は、アカウント コンソールで ID (ユーザー、グループ、サービス プリンシパル) を管理する必要があります。 アカウント管理者は、これらの ID にアクセス許可を付与し、ワークスペースを割り当てることができます。
詳細については、「ユーザーとグループの管理」を参照してください。
システム テーブルを使用してアカウントを監視する
システム テーブルは、system
カタログで見つかるアカウントの運用データの、Azure Databricks がホストする分析ストアです。 アカウント管理者は、システム テーブルから監査ログ、課金対象の使用状況ログ、系列データなどへのアクセスを有効にすることができます。 システム テーブルを使用した Monitor アカウント アクティビティを参照してください。
アカウント設定を管理する
アカウント管理者は、アカウント コンソールの [設定] セクションを使用して、Azure Databricks アカウントの各種設定を管理できます。 これには、アカウント全体で新機能を有効にし、IP アクセス リストを構成する作業も含まれます。
プレビューの管理
ワークスペースまたは組織のワークスペースで Azure Databricks プレビューを管理します。 プレビューでは、一般提供 (GA) でリリースされる前の機能に早期アクセスできます。 「Azure Databricks プレビューを管理する」を参照してください。
ワークスペース管理者とは
ワークスペース管理者は、1 つのワークスペース内の管理者特権を持ちます。 ワークスペース レベルの ID の管理、コンピューティングの使用の規制、ロールベースのアクセスの制御の有効化と委任を行うことができます (Premium プランのみ)。
管理者設定にアクセスする
ワークスペース管理者は、ワークスペースの管理者設定ページにアクセスできる唯一のユーザーです。 ワークスペース管理者が管理者設定にアクセスするには、Azure Databricks ワークスペースの上部バーにあるユーザー名をクリックし、[設定] を選択します。
ワークスペース管理者の責務
ワークスペース管理者の責務は次のとおりです。
ワークスペースで ID を管理する
ワークスペースで Unity Catalog が有効になっている場合は、ID をアカウント レベルで追加する必要があります。 その後、ワークスペース管理者は、ユーザー、グループ、サービス プリンシパルをワークスペースに割り当てることができます。 ワークスペースでの ID の追加と削除の詳細については、「ユーザー、サービス プリンシパル、グループを管理する」を参照してください。
注意
Databricks Academy には、ID 管理に関する無料コースがあります。 コースにアクセスする前に、Databricks Academy に登録する必要があります (未登録の場合)。
コンピューティング リソースを作成して管理する
ワークスペース管理者は、ワークスペース ユーザー用に SQL ウェアハウス (Databricks SQL 内のデータ オブジェクトに対して SQL コマンドを実行できるコンピューティング リソース) とクラスターを作成できます。 SQL ウェアハウスの作成手順については、「SQL ウェアハウスを作成する」を参照してください。
また、ワークスペースでのコンピューティング リソースの使用方法を規制することも、ワークスペース管理者の仕事です。 ワークスペース管理者には、次のツールがあります。
- クラスター ポリシーを使用して、ワークスペース ユーザーのクラスター作成オプションを制限します。
- Databricks では、クラスター スコープの init スクリプトとして、すべての init スクリプトを管理することが推奨されています。 グローバル init スクリプトを使用する代わりに、クラスター ポリシーを使用して init スクリプトを管理します。
- Unity Catalog にアクセスできるコンピューティング リソースを確認します。
注意
Databricks Academy には、コンピューティング リソースの管理に関する無料コースがあります。
ワークスペースの機能と設定を管理する
ワークスペース管理者には、ワークスペースの一部の動作と設定を管理する責任があります。 その他の使用可能なワークスペース設定については、ワークスペース設定の管理に関するページを参照してください。
注意
Databricks Academy には、Databricks ワークスペースの管理とセキュリティに関する無料コースがあります。
その他の技術情報
Databricks Academy には、プラットフォーム管理者向けのマイペースで進められる無料ラーニング パスがあります。 コースにアクセスする前に、Databricks Academy に登録する必要があります (未登録の場合)。
また、ライブのプラットフォーム管理トレーニングへの参加にサインアップすることもできます。