認証とアクセス制御
この記事では、Azure Databricks での認証とアクセス制御について説明します。 データへのアクセスのセキュリティ保護の詳細については、「Unity Catalog を使用したデータ ガバナンス」を参照してください。
Microsoft Entra ID を使用したシングル サインオン
Microsoft Entra ID を利用したログイン形式であるシングル サインオンは、既定で Azure Databricks アカウントおよびワークスペースで利用できます。 アカウント コンソールおよびワークスペースの両方で Microsoft Entra ID シングル サインオンを使用します。 Microsoft Entra ID を使用して多要素認証を有効にすることができます。
Azure Databricks では、Microsoft Entra ID 条件付きアクセスもサポートされています。これにより、ユーザーが Azure Databricks へのサインインを許可される場所やタイミングを管理者が制御することができます。 「条件付きアクセス」を参照してください。
Microsoft Entra ID からユーザーとグループを同期する
SCIM を使用して、Microsoft Entra ID から Azure Databricks アカウントにユーザーとグループを自動的に同期できます。 SCIM は、ユーザー プロビジョニングを自動化できるオープン標準です。 SCIM を使用すると、一貫したオンボードとオフボードプロセスが可能になります。 Microsoft Entra ID を使用して、Azure Databricks でユーザーとグループを作成し、適切なレベルのアクセス権を付与します。 ユーザーが組織を離れた場合、または Azure Databricks へのアクセスが不要になった場合、管理者は Microsoft Entra ID でそのユーザーを終了とすることができます。そのユーザーのアカウントは Azure Databricks からも削除されます。 これにより、承認されていないユーザーが機密データにアクセスできなくなります。 詳細については、「Microsoft Entra ID からユーザーとグループを同期する」を参照してください。
Azure Databricks でユーザーとグループを最適に構成する方法の詳細については、「 Identity のベスト プラクティスを参照してください。
OAuth を使用した Security API 認証
Azure Databricks OAuth は、Azure Databricks ワークスペースレベルでのリソースおよび操作に対する安全な認証情報とアクセスをサポートし、認証のための詳細に設定されたアクセス許可をサポートします。
Databricks では個人用アクセス トークン (AT) もサポートされていますが、代わりに OAuth の使用をお勧めします。 AT を監視および管理するには、「Monitor」を参照し、個人用アクセス トークンの取り消しおよび個人用アクセス トークンのアクセス許可の管理。
Azure Databricks への認証全般に関する詳細は、「Azure Databricks リソースへのアクセスの認証」を参照してください。
アクセス制御の概要
Azure Databricks では、セキュリティ保護可能なオブジェクトが異なると、使われるアクセス制御システムも異なります。 次の表は、セキュリティ保護可能なオブジェクトの種類ごとに、それを管理するアクセス制御システムを示したものです。
| セキュリティ保護可能なオブジェクト | アクセス制御システム |
|---|---|
| ワークスペース レベルのセキュリティ保護可能なオブジェクト | アクセス制御リスト |
| アカウント レベルのセキュリティ保護可能なオブジェクト | アカウントのロールベースのアクセス制御 |
| データのセキュリティ保護可能なオブジェクト | Unity Catalog |
Azure Databricks には、ユーザー、サービス プリンシパル、グループに直接割り当てられる管理者ロールとエンタイトルメントも用意されています。
データのセキュリティ保護の詳細については、「Unity Catalog を使用したデータ ガバナンス」を参照してください。
アクセス制御リスト
Azure Databricks では、アクセス制御リスト (ACL) を使用して、ノートブックや SQL Warehouse などのワークスペースのオブジェクトにアクセスするためのアクセス許可を構成できます。 アクセス制御リストを管理できるのは、すべてのワークスペース管理者ユーザーと、アクセス制御リストを管理する権限を委任されたユーザーです。 アクセス制御リストの詳細については、「アクセス制御リスト」を参照してください。
アカウントのロールベースのアクセス制御
アカウントのロールベースのアクセス制御を使用して、サービス プリンシパルやグループなどのアカウント レベルのオブジェクトを使うためのアクセス許可を構成できます。 アカウントのロールはアカウント内で 1 回定義され、すべてのワークスペースに適用されます。 すべてのアカウント管理者ユーザーは、グループ マネージャーやサービス プリンシパル マネージャーなど、アカウントのロールを管理するための委任されたアクセス許可を付与されたユーザーと同様に、アカウントのロールを管理できます。
特定のアカウント レベルのオブジェクトに対するアカウントのロールについて詳しくは、以下の記事をご覧ください。
管理者ロールとワークスペースの権利
Azure Databricks プラットフォームで使用できる管理者特権には、主に 2 つのレベルがあります。
アカウント管理者: Unity カタログの有効化やユーザー管理など、Azure Databricks アカウントを管理します。
ワークスペース管理者: アカウント内の個々のワークスペースのワークスペース ID、アクセス制御、設定、機能を管理します。
また、より狭い権限セットを持つ機能固有の管理者ロールもあります。 使用可能なロールの詳細については、「 Azure Databricks 管理の概要を参照してください。
エンタイトルメントとは、ユーザー、サービス プリンシパル、またはグループが、指定した方法で Azure Databricks と対話できるようにするプロパティです。 ワークスペース管理者は、ワークスペース レベルでユーザー、サービス プリンシパル、グループにエンタイトルメントを割り当てます。 詳細については、「エンタイトルメントを管理する」を参照してください。