次の方法で共有

コンピューティング リソースをグループに割り当てる

  • [アーティクル]

重要

この機能は、パブリック プレビューにあります。

この記事では、専用 アクセス モードを使用して、グループに割り当てられたコンピューティング リソースを作成する方法について説明します。

専用グループ アクセス モードを使用すると、ユーザーは標準アクセス モード クラスターの運用効率を得ることができます。一方、Databricks Runtime for ML、Spark Machine Learning Library (MLlib)、RDD API、R など、標準アクセス モードではサポートされていない言語とワークロードも安全にサポートできます。

専用グループ クラスターのパブリック プレビューを有効にすると、ワークスペースは新しい簡略化されたコンピューティング UI にもアクセスできるようになります。 この新しい UI は、アクセス モードの名前を更新し、コンピューティング設定を簡略化します。 「単純なフォームを使用してコンピューティングを管理する」を参照してください。

必要条件

専用グループ アクセス モードを使用するには:

  • ワークスペース管理者は、プレビュー UI を使用して コンピューティング: 専用グループ クラスター プレビューを有効にする必要があります。 「Azure Databricks Previewsを管理する」を参照してください。
  • ワークスペースは Unity カタログに対して有効にする必要があります。
  • Databricks Runtime 15.4 以降を使用する必要があります。
  • 割り当てられたグループには、ノートブック、ML 実験、グループ クラスターで使用されるその他のワークスペース成果物を保持できるワークスペース フォルダーに対する CAN MANAGE アクセス許可が必要です。

専用アクセス モードとは

専用アクセス モードは、シングル ユーザー アクセス モードの最新バージョンです。 専用アクセスを使用すると、コンピューティング リソースを 1 人のユーザーまたはグループに割り当てることができ、割り当てられたユーザーのみがコンピューティング リソースを使用できるようになります。

ユーザーがグループ専用のコンピューティング リソース (グループ クラスター) に接続されている場合、ユーザーのアクセス許可はグループのアクセス許可のスコープを自動的に下げて、ユーザーがグループの他のメンバーとリソースを安全に共有できるようにします。

グループ専用のコンピューティング リソースを作成する

  1. Azure Databricks ワークスペースで、コンピュートの に移動し、[コンピュートの作成] をクリックします。
  2. [詳細設定] セクションを展開します。
  3. [アクセス モードの] で、[手動] をクリックし、ドロップダウン メニューから [専用 (旧称: シングル ユーザー)] を選択します。
  4. [単一ユーザーまたはグループ] フィールドで、このリソースに割り当てるグループを選択します。
  5. その他の目的のコンピューティング設定を構成し、[の作成] をクリックします。

グループ クラスターを管理するためのベスト プラクティス

グループ クラスターを使用する場合、ユーザーのアクセス許可はグループに絞り込まれるため、Databricks では、グループ クラスターで使用する予定のグループごとに /Workspace/Groups/<groupName> フォルダーを作成することをお勧めします。 次に、フォルダー CAN MANAGE アクセス許可をグループに割り当てます。 これにより、グループはアクセス許可エラーを回避できます。 グループのすべてのノートブックとワークスペース資産は、グループ フォルダーで管理する必要があります。

また、次のワークロードを変更して、グループ クラスターで実行する必要もあります。

  • MLflow: グループ フォルダーからノートブックを実行するか、mlflow.set_tracking_uri("/Workspace/Groups/<groupName>")実行してください。
  • AutoML: あなたのAutoML実行用に、省略可能な experiment_dir パラメーターを “/Workspace/Groups/<groupName>” に設定します。
  • dbutils.notebook.run: 実行中のノートブックに対する READ アクセス許可がグループにあることを確認します。

グループのアクセス許可の例

グループ クラスターを使用してデータ オブジェクトを作成すると、そのグループがオブジェクトの所有者として割り当てられます。

たとえば、ノートブックがグループ クラスターにアタッチされている場合は、次のコマンドを実行します。

use catalog main;
create schema group_cluster_group_schema;

次に、このクエリを実行してスキーマの所有者を確認します。

describe schema group_cluster_group_schema;

グループ スキーマの の説明例

監査グループ専用のコンピューティングアクティビティ

グループ クラスターがワークロードを実行する際には、次の 2 つの主要な ID が関係します。

  1. グループ クラスターでワークロードを実行しているユーザー
  2. 実際のワークロード アクションの実行に使用されるアクセス許可を持つグループ

監査ログ システム テーブル は、これらの ID を次のパラメーターで記録します。

  • identity_metadata.run_by: アクションを実行する認証ユーザー
  • identity_metadata.run_as: アクションにアクセス許可が使用される承認グループ。

次のクエリ例では、グループ クラスターで実行されたアクションの ID メタデータを取得します。

select action_name, event_time, user_identity.email, identity_metadata
from system.access.audit
where user_identity.email = "uc-group-cluster-group" AND service_name = "unityCatalog"
order by event_time desc limit 100;

詳細なクエリ例については、監査ログ システム テーブルのリファレンスを参照してください。 監査ログ システム テーブルリファレンスを参照してください。

制限

専用グループ アクセス モードのパブリック プレビューには、次の既知の制限があります。

  • 系列システム テーブルでは、グループ クラスターで実行されているワークロードの identity_metadata.run_as (承認グループ) または identity_metadata.run_by (認証ユーザー) ID は記録されません。
  • お客様のストレージに配信される監査ログには、グループ クラスターで実行されているワークロードの identity_metadata.run_as (承認グループ) または identity_metadata.run_by (認証ユーザー) ID は記録されません。 ID メタデータを表示するには、system.access.audit テーブルを使用する必要があります。
  • グループ クラスターにアタッチされている場合、カタログ エクスプローラーは、そのグループのみがアクセスできる資産でフィルター処理を行いません。
  • グループ メンバーではないグループ マネージャーは、グループ クラスターを作成、編集、または削除できません。 これを行うことができるのは、ワークスペース管理者とグループ メンバーだけです。
  • グループの名前が変更された場合は、グループ名を参照するコンピューティング ポリシーを手動で更新する必要があります。
  • ワークスペース ACL が無効になっている場合、セキュリティとデータ アクセス制御が本質的に不足しているため、ACL が無効になっているワークスペース (isWorkspaceAclsEnabled == false) では、グループ クラスターはサポートされません。
  • %run コマンドは現在、グループ クラスターで実行されるときに、グループのアクセス許可ではなくユーザーのアクセス許可を使用します。 グループのアクセス許可を正しく使用する代替手段として、dbutils.notebook.run() などがあります。