ワークスペースのクラスター アクセス制御を有効にするEnable cluster access control for your workspace

注意

アクセス制御は、 Azure Databricks Premium プランでのみ使用できます。Access control is available only in the Azure Databricks Premium Plan.

既定では、管理者がクラスターのアクセス制御を有効にしない限り、すべてのユーザーが クラスター を作成および変更できます。By default, all users can create and modify clusters unless an administrator enables cluster access control. クラスターアクセス制御を使用すると、アクセス許可によってユーザーの能力が決まります。With cluster access control, permissions determine a user’s abilities. この記事では、クラスターのアクセス制御を有効にする方法、クラスターの作成アクセス許可を構成する方法、およびユーザーがアクセスできないクラスターを表示できないようにする方法について説明します。This article describes how to enable cluster access control, configure cluster creation permission, and prevent users from seeing clusters they don’t have access to.

アクセス許可の割り当てとクラスターアクセス制御の構成の詳細については、「 クラスターアクセス制御」を参照してください。For information about assigning permissions and configuring cluster access control, see Cluster access control.

クラスターアクセス制御を有効にする Enable cluster access control

  1. [管理コンソール]に移動します。Go to the Admin Console.

  2. [ Access Control ] タブを選択します。Select the Access Control tab.

    [アクセス制御] タブAccess control tab

  3. [クラスターとジョブ Access Control] の横にある [有効に する] ボタンをクリックします。Click the Enable button next to Cluster and Jobs Access Control.

  4. [Confirm](確認) をクリックします。Click Confirm.

アクセス権のないクラスターがユーザーに表示されないようにする Prevent users from seeing clusters they do not have access to

注意

Azure Databricks プラットフォームバージョン 3.34 (2020 年12月にリリースされました) のリリース後に作成されたワークスペースでは、クラスター表示制御が既定で有効になっています。Cluster visibility control is enabled by default for workspaces created after the release of Azure Databricks platform version 3.34 (released in December 2020). ワークスペースが既に作成されている場合は、管理者がこの機能を有効にする必要があります。If your workspace was created earlier, an admin must enable the feature.

クラスターアクセス制御自体では、ユーザーがこれらのクラスターに対するアクセス許可を持っていない場合でも、ユーザーが Azure Databricks UI にクラスターを表示するのを防ぐことはできません。Cluster access control by itself does not prevent users from seeing clusters displayed in the Azure Databricks UI even when the users have no permissions on those clusters. これらのクラスターがユーザーに表示されないようにするには、次の手順を実行します。To prevent these clusters from being visible to a user:

  1. [管理コンソール]に移動します。Go to the Admin Console.
  2. [ Access Control ] タブを選択します。Select the Access Control tab.
  3. [クラスターの可視性の制御] の横にある [有効に する] ボタンをクリックします。Click the Enable button next to Cluster Visibility Control.
  4. [Confirm](確認) をクリックします。Click Confirm.

クラスターの可視性の制御を無効にするには、3番目の手順で [ 無効 ] をクリックするのと同じ手順を使用します。To disable cluster visibility control, use the same procedure, clicking Disable in the third step.

クラスター作成のアクセス許可の構成 Configure cluster creation permission

[ クラスター作成を許可 する] アクセス許可は、個々のユーザーまたはグループに割り当てることができます。You can assign the Allow cluster creation permission to individual users or to groups.

個々のユーザーに割り当てるには、次のようにします。To assign to an individual user:

  1. [管理コンソール]に移動します。Go to the Admin Console.

  2. [Users](ユーザー) タブに移動します。Go to the Users tab.

  3. ユーザーの行の [ クラスターの作成を許可する ] チェックボックスをオンにします。Select the Allow cluster creation checkbox in the user’s row.

    ユーザー行User row

  4. [ 確認 ] をクリックして変更を確定します。Click Confirm to confirm the change.

グループに割り当てるには、次のようにします。To assign to a group:

  1. [管理コンソール]に移動します。Go to the Admin Console.
  2. [ グループ ] タブにアクセスします。Go to the Groups tab.
  3. 更新するグループを選択します。Select the group you want to update.
  4. [ 権利 ] タブで、[ クラスターの作成を許可する] を選択します。On the Entitlements tab, select Allow cluster creation.

例: クラスターレベルのアクセス許可を使用してクラスター構成を適用する Example: using cluster-level permissions to enforce cluster configurations

クラスターアクセス制御の利点の1つは、ユーザーが変更できないようにクラスター構成を強制する機能です。One benefit of cluster access control is the ability to enforce cluster configurations so that users cannot change them.

たとえば、管理者が適用する構成には、次のようなものがあります。For example, configurations that admins might want to enforce include:

  • コストをチャージバックするためのタグTags to charge back costs
  • データへのアクセスを制御するための Azure Data Lake Storage への資格情報のパススルー Azure ADAzure AD credential passthrough to Azure Data Lake Storage to control access to data
  • 標準ライブラリStandard libraries

Azure Databricks は、クラスター構成をロックダウンする必要がある組織に対して次のワークフローを推奨します。Azure Databricks recommends the following workflow for organizations that need to lock down cluster configurations:

  1. すべてのユーザーに対して クラスターの作成を許可 します。Disable Allow cluster creation for all users.

    クラスターの作成チェックボックスCluster creation checkbox

  2. ユーザーが使用するすべてのクラスター構成を作成したら、特定のクラスターへのアクセスを必要とするユーザーに対して、再起動を許可する ことができ ます。After you create all of the cluster configurations that you want your users to use, give the users who need access to a given cluster Can Restart permission. これにより、ユーザーは、すべての構成を手動で設定しなくても、クラスターを自由に開始および停止することができます。This allows a user to freely start and stop the cluster without having to set up all of the configurations manually.

    再起動可能Can restart