Partner Connect で接続を管理する
パートナー ソリューションとの Azure Databricks ワークスペース接続を使用して、次のような管理タスクを実行できます。
- パートナー アカウントのユーザーの管理。
- 接続で使用する Azure Databricks サービス プリンシパルと関連する Azure Databricks 個人用アクセス トークンの管理。
- パートナーからのワークスペースの切断。
Partner Connect を管理するには、ワークスペースに ワークスペース管理者としてサインインする必要があります。詳細については、ユーザーの管理を参照してください。
パートナー アカウント ユーザーを管理する
ユーザーが Partner Connect を使用してパートナーのアカウントまたは Web サイト (Fivetran や Rivery など) にサインインすることを当該パートナーが許可している場合、組織の人員がいずれかの Azure Databricks ワークスペースからパートナーに初めて接続したときに、その人員は組織のすべてのワークスペースでそのパートナーの "パートナー アカウント管理者" になります。 組織内の他のユーザーがパートナーにサインインできるようにするには、パートナー アカウント管理者が最初にそれらのユーザーを組織のパートナー アカウントに追加する必要があります。 一部のパートナーは、パートナー アカウント管理者がこのアクセス許可も委任できるようにします。 詳細については、パートナーの Web サイトのドキュメントを参照してください。
組織のパートナー アカウントにユーザーを追加できるひとがいない場合は (たとえば、パートナー アカウント管理者がいなくなった場合)、パートナーに相談してください。 サポート リンクについては、「Azure Databricks Partner Connect パートナー」の一覧を参照してください。
Unity Catalog によって管理されているデータをパートナー ソリューションに接続する
ワークスペースが Unity Catalog 対応の場合は、選択したパートナー ソリューションを Unity Catalog によって管理されるデータに接続できます。 Partner Connect を使用して接続を作成する場合、パートナーがレガシ Hive メタストア (hive_metastore
) を使用するか、所有している別のカタログを使用するかを選択できます。 メタストア管理者は、ワークスペースに割り当てられているメタストア内の任意のカタログを選択できます。
注意
パートナー ソリューションが Partner Connect を使用した Unity Catalog をサポートしていない場合は、ワークスペースの既定のカタログのみを使用できます。 既定のカタログが hive_metastore
ではなく、既定のカタログを所有していない場合は、エラーが発生します。
Partner Connect で Unity Catalog をサポートするパートナーの一覧については、「Azure Databricks Partner Connect パートナー」の一覧を参照してください。
接続のトラブルシューティングの詳細については、 パートナー接続のトラブルシューティングを参照してください。
サービス プリンシパルと個人用アクセス トークンを管理する
Azure Databricks サービス プリンシパルを必要とするパートナーの場合、Azure Databricks ワークスペース内の誰かが特定のパートナーに初めて接続すると、パートナー Connect がワークスペースに Azure Databricks サービス プリンシパルを、そのパートナーで使用するために作成します。 パートナー Connect は、形式 <PARTNER-NAME>_USER
を使用してサービス プリンシパルの表示名を生成します。 たとえば、パートナー Fivetran の場合、サービス プリンシパルの表示名は FIVETRAN_USER
です。
パートナー Connect は Azure Databricks 個人用アクセス トークンも作成して、それをその Azure Databricks サービス プリンシパルに関連付けます。 パートナー Connect はこのトークンの値を背後のパートナーに提供して、そのパートナーとの接続を完了します。 このトークンの値を表示や取得することはできません。 このトークンは、あなたや他の誰かが削除するまで期限切れになりません。 「パートナーからの切断」も参照してください。
パートナー Connect は次のアクセス許可をワークスペース内の Azure Databricks サービス プリンシパルに対して付与します。
パートナー | アクセス許可 |
---|---|
Fivetran、Matillion、Power BI、Tableau、erwin Data Modeler、Precisely Data Integrity Suite | これらのソリューションは Azure Databricks サービス プリンシパルを必要としません。 |
dbt Cloud、Hevo Data、Rivery、Rudderstack、Snowplow | - CAN USE トークン権限は、個人用アクセス トークンの作成に使用します。 - SQL ウェアハウスの作成権限。 - ワークスペースにアクセスする。 - Databricks SQL にアクセスする。 - (Unity カタログ) 選択したカタログに対する USE CATALOG 権限。- (Unity カタログ) 選択したカタログに対する CREATE SCHEMA 権限。- (レガシ Hive メタストア) hive_metastore カタログに対する USAGE 権限。- (レガシ Hive メタストア) hive_metastore カタログに対する CREATE 権限により、Partner Connect がユーザーに代わってレガシ Hive メタストア内に、オブジェクトを作成できます。- 作成したテーブルの所有権。 サービス プリンシパルは、それが作成しないテーブルに対してクエリを行うことができません。 |
Prophecy | - CAN USE トークン権限は、個人用アクセス トークンの作成に使用します。 - 自分のワークスペースにアクセスする。 - クラスター作成の権限。 サービス プリンシパルは、それが作成しないクラスターにアクセスできません。 - ジョブ作成の権限。 サービス プリンシパルは、それが作成しないジョブにアクセスできません。 |
John Snow Labs、Labelbox | - CAN USE トークン権限は、個人用アクセス トークンの作成に使用します。 - ワークスペースにアクセスする。 |
Anomalo、AtScale、Census、Hex、Hightouch、Lightup、Monte Carlo、Preset、Privacera、Qlik Sense、Sigma、Stardog | - CAN USE トークン権限は、個人用アクセス トークンの作成に使用します。 - 選択した Databricks SQL ウェアハウスに対する CAN USE 権限。 - 選択したスキーマに対する SELECT 権限。- (Unity カタログ) 選択したカタログに対する USE CATALOG 権限。- (Unity カタログ) 選択したスキーマに対する USE SCHEMA 権限。- (レガシ Hive メタストア) 選択したスキーマに対する USAGE 権限。- (レガシ Hive メタストア) 選択したスキーマに対する READ METADATA 権限。 |
Dataiku | - CAN USE トークン権限は、個人用アクセス トークンの作成に使用します。 - SQL ウェアハウスの作成権限。 - (Unity カタログ) 選択したカタログに対する USE CATALOG 権限。- (Unity カタログ) 選択したスキーマに対する USE SCHEMA 権限。- (Unity カタログ) 選択したカタログに対する CREATE SCHEMA 権限。- (レガシ Hive メタストア) hive_metastore カタログと選択したスキーマに対する USAGE 権限。- (レガシ Hive メタストア) hive_metastore カタログに対する CREATE 権限により、Partner Connect がユーザーに代わってレガシ Hive メタストア内に、オブジェクトを作成できます。- (レガシ Hive メタストア) 選択したスキーマに対する SELECT 権限。 |
SuperAnnotate | - CAN USE トークン権限は、個人用アクセス トークンの作成に使用します。 - 選択した Databricks SQL ウェアハウスに対する CAN USE 権限。 - 選択したスキーマに対する SELECT 権限。- (Unity カタログ) 選択したカタログに対する USE CATALOG 権限。- (Unity カタログ) 選択したスキーマに対する USE SCHEMA 権限。- (レガシ Hive メタストア) hive_metastore カタログと選択したスキーマに対する USAGE 権限。- (レガシ Hive メタストア) 選択したスキーマに対する SELECT 権限。 |
Informatica Cloud Data Integration | - CAN USE トークン権限は、個人用アクセス トークンの作成に使用します。 - 選択した Databricks SQL ウェアハウスに対する CAN MANAGE 権限。 - データ オブジェクトに対する CREATE および USAGE の権限。- (Unity カタログ) 選択したカタログに対する USE CATALOG 権限。- (Unity カタログ) 選択したスキーマに対する USE SCHEMA 権限。- (レガシ Hive メタストア) hive_metastore カタログと選択したスキーマに対する USAGE および CREATE の権限。- (レガシ Hive メタストア) 選択したスキーマに対する SELECT 権限。 |
パートナーからの切断
パートナーのタイルにチェック マーク アイコンがある場合は、Azure Databricks ワークスペース内の誰かが既にそのパートナーへの接続を作成していることを意味します。 そのパートナーから切断するには、そのパートナーのタイルをパートナー Connect でリセットします。 パートナーのタイルをリセットすると、以下が行われます。
- パートナーのタイルからチェック マーク アイコンがクリアされます。
- 関連する SQL ウェアハウスまたはクラスターが削除されます (パートナーがそれを必要とする場合)。
- 関連する Azure Databricks サービス プリンシパルが削除されます (パートナーがそれを必要とする場合)。 サービス プリンシパルを削除すると、そのサービス プリンシパルの関連する Azure Databricks 個人用アクセス トークンも削除されます。 このトークンの値は、何がワークスペースとパートナーの間の接続を完了するかです。 詳細については、「サービス プリンシパルと個人用アクセス トークンを管理する」を参照してください。
警告
SQL ウェアハウス、クラスター、Azure Databricks サービス プリンシパル、または Azure Databricks サービス プリンシパルの個人用アクセス トークンを削除すると完全に削除され、元に戻すことができません。
パートナーのタイルをリセットしても、組織の関連するパートナー アカウントは削除されず、パートナーとの関連する接続設定は変更されません。 ただし、パートナーのタイルをリセットすると、ワークスペースと関連するパートナー アカウントの間の接続が切断します。 再接続するには、ワークスペースからパートナーへの新しい接続を作成し、関連するパートナー アカウントの元の接続設定を、新しい接続設定に合わせて手動で編集する必要があります。
パートナーのタイルをリセットするには、タイルをクリックし、[接続の削除] をクリックして、画面の指示に従います。
あるいは、Azure Databricks ワークスペースをパートナーから手動で切断することもできます。その場合は関連する Azure Databricks サービス プリンシパルを、そのパートナーに関連付けられているワークスペースで削除します。 これをしたほうがよいのは、ワークスペースをパートナーから切断した後も、他の関連リソースを保持し、タイルにチェック マーク アイコンを表示し続けたいような場合です。 サービス プリンシパルを削除すると、そのサービス プリンシパルの関連する個人用アクセス トークンも削除されます。 このトークンの値は、何がワークスペースとパートナーの間の接続を完了するかです。 詳細については、「サービス プリンシパルと個人用アクセス トークンを管理する」を参照してください。
Azure Databricks サービス プリンシパルを削除するには、Databricks REST API を次のように使用します。
- ワークスペースの Workspace Service Principals API で
GET /preview/scim/v2/ServicePrincipals
操作を呼び出して、Azure Databricks サービス プリンシパルのアプリケーション ID を取得します。 応答のサービス プリンシパルのapplicationId
をメモします。 - サービス プリンシパルの
applicationId
を使用して、ワークスペースの Workspace Service Principals API でDELETE /preview/scim/v2/ServicePrincipals
操作を呼び出します。
たとえば、ワークスペースの利用可能なサービス プリンシパルの表示名とアプリケーション ID の一覧を取得するには、curl
を次のように呼び出します。
curl --netrc --request GET \
https://<databricks-instance>/api/2.0/preview/scim/v2/ServicePrincipals \
| jq '[ .Resources[] | { displayName: .displayName, applicationId: .applicationId } ]'
<databricks-instance>
を Azure Databricks ワークスペース単位のURL で、たとえばワークスペースの場合は adb-1234567890123456.7.azuredatabricks.net
に置き換えます。
サービス プリンシパルの表示名は、出力の displayName
フィールドにあります。 パートナー Connect は、形式 <PARTNER-NAME>_USER
を使用してサービス プリンシパルの表示名を生成します。 たとえば、パートナー Fivetran の場合、サービス プリンシパルの表示名は FIVETRAN_USER
です。
サービス プリンシパルのアプリケーション ID 値は、出力の applicationId
フィールド (例: 123456a7-8901-2b3c-45de-f678a901b2c
) にあります。
サービス プリンシパルを削除するには、curl
を次のように呼び出します。
curl --netrc --request DELETE \
https://<databricks-instance>/api/2.0/preview/scim/v2/ServicePrincipals/<application-id>
置換前のコード:
<databricks-instance>
を ワークスペース単位のURL で。たとえばワークスペースの場合はadb-1234567890123456.7.azuredatabricks.net
で。<application-id>
をサービス プリンシパルのアプリケーション ID 値で。
前の例では、.netrc ファイルと jq を使用しています。 この場合、.netrc
ファイルでは、サービス プリンシパルのもの "ではなく"、"自分の" 個人用アクセス トークン値が使用されることに注意してください。
ワークスペースをパートナーから切断した後、パートナーがワークスペースに作成する関連リソースをクリーンアップしたくなるかもしれません。 これには、SQL ウェアハウスまたはクラスター、関連するデータ ストレージの場所が含まれます。 詳細については、「SQL ウェアハウスを接続する」または「コンピューティングを削除する」に関するページを参照してください。
パートナーに接続している他のワークスペースが組織の中にないことがはっきりしている場合は、そのパートナーに関する組織のアカウントを削除することもできます。 これを行うには、パートナーに相談してください。 サポート リンクについては、適切なパートナー接続ガイドを参照してください。