エンタイトルメントを管理する
この記事では、ユーザー、サービス プリンシパル、およびグループのエンタイトルメントを管理する方法について説明します。
Note
エンタイトルメントは、Premium プランでのみ使用できます。
エンタイトルメントの概要
エンタイトルメントとは、ユーザー、サービス プリンシパル、またはグループが、指定した方法で Azure Databricks と対話できるようにするプロパティです。 エンタイトルメントは、ワークスペース レベルでユーザーに割り当てられます。 次の表に、エンタイトルメントと、その各々を管理するために使用するワークスペース UI および API プロパティ名をリストします。 ワークスペースの管理者設定ページとワークスペース ユーザー、サービス プリンシパル、およびグループ API を使用して、エンタイトルメントを管理できます。
| エンタイトルメントの名前 | エンタイトルメントの API 名 | 既定値 | 説明 |
|---|---|---|---|
| ワークスペース アクセス | workspace-access |
既定で付与されます。 | これを許可されたユーザーまたはサービス プリンシパルは、Data Science & Engineering および Databricks Machine Learning のペルソナベースの環境にアクセスすることができます。 ワークスペース管理者から削除することはできません。 |
| Databricks SQL アクセス | databricks-sql-access |
既定で付与されます。 | 付与されたユーザーまたはサービス プリンシパルは、Databricks SQL にアクセスできます。 |
| 無制限のクラスターの作成を許可する | allow-cluster-create |
既定では、ユーザーまたはサービス プリンシパルには付与されません。 | 付与されたユーザーまたはサービス プリンシパルは、無制限のクラスターを作成できます。 クラスターレベルのアクセス許可を使用して、既存のクラスターへのアクセスを制限することができます。 ワークスペース管理者から削除することはできません。 |
| プールの作成を許可する (UI では不可) | allow-instance-pool-create |
個々のユーザーまたはサービス プリンシパルに付与することはできません。 | グループに付与されると、そのメンバーはインスタンス プールを作成できます。 ワークスペース管理者から削除することはできません。 |
users グループには 、既定でワークスペース アクセスと Databricks SQL アクセス エンタイトルメントが付与されます。 すべてのワークスペース ユーザーとサービス プリンシパルは、users グループのメンバーです。 これらのエンタイトルメントをユーザーごとに割り当てるには、ワークスペース管理者が users グループからこのエンタイトルメントを削除し、ユーザー、サービスプリンシパル、グループに個別に割り当てる必要があります。
Azure Databricks ワークスペースにログインしてアクセスするには、ユーザーが Databricks SQL アクセスまたはワークスペース アクセスのエンタイトルメントを持っている必要があります。
管理者設定ページを使用して allow-instance-pool-create のエンタイトルメントを付与することはできません。 代わりに、ワークスペース ユーザー、サービス プリンシパル、または Groups API を使用します。
ユーザーのエンタイトルメントを管理する
ワークスペース管理者は、管理者設定ページからユーザーのエンタイトルメントを追加または削除できます。 また、ワークスペース ユーザー API を使用して追加または削除することもできます。
- ワークスペース管理者として、Azure Databricks ワークスペースにログインします。
- Azure Databricks ワークスペースの上部バーでユーザー名をクリックし、[設定] を選択します。
- [ID およびアクセス管理] タブをクリックします。
- [ユーザー] の横にある [管理] をクリックします。
- ユーザー を選択します。
- [エンタイトルメント] タブをクリックします。
- エンタイトルメントを追加するには、対応する列の切り替えをオンにします。
エンタイトルメントを削除するには、同じ手順を実行しますが、代わりに切り替えをオフにします。
エンタイトルメントがグループから継承された場合、エンタイトルメントの切り替えは選択されますが、グレー表示されます。継承されたエンタイトルメントを削除するには、エンタイトルメントを持つグループからユーザーを削除するか、グループからエンタイトルメントを削除します。
サービス プリンシパルのエンタイトルメントを管理する
ワークスペース管理者は、ワークスペース管理者設定ページからサービス プリンシパルのエンタイトルメントを追加または削除できます。 また、ワークスペース サービス プリンシパル API を使用して追加または削除することもできます。
- ワークスペース管理者として、Azure Databricks ワークスペースにログインします。
- Azure Databricks ワークスペースの上部バーでユーザー名をクリックし、[設定] を選択します。
- [ID およびアクセス管理] タブをクリックします。
- [サービス プリンシパル] の横にある [管理] をクリックします。
- 更新するサービス プリンシパルを選択します。
- エンタイトルメントを追加するには、[エンタイトルメント] で、対応するチェックボックスをオンにします。
エンタイトルメントを削除するには、同じ手順を実行しますが、代わりにチェックボックスをオフにします。
エンタイトルメントがグループから継承された場合、エンタイトルメントの切り替えは選択されますが、グレー表示されます。継承されたエンタイトルメントを削除するには、エンタイトルメントを持つグループからサービス プリンシパルを削除するか、グループからエンタイトルメントを削除します。
グループのエンタイトルメントを管理する
ワークスペース管理者は、グループがアカウントで作成されたか、ワークスペース ローカルであるかに関係なく、ワークスペース レベルでグループ エンタイトルメントを管理できます。
- ワークスペース管理者として、Azure Databricks ワークスペースにログインします。
- Azure Databricks ワークスペースの上部バーでユーザー名をクリックし、[設定] を選択します。
- [ID およびアクセス管理] タブをクリックします。
- [グループ] の横にある [管理] をクリックします。
- 更新するグループを選択します。 更新するには、グループに対するグループ マネージャー ロールが必要です。
- [資格] タブで、グループ内のすべてのユーザーに付与するエンタイトルメントを選択します。
エンタイトルメントを削除するには、同じ手順を実行しますが、代わりに切り替えをオフにします。 グループ メンバーは、個々のユーザーまたは別のグループ メンバーシップを通じてアクセス許可が付与されていない限り、エンタイトルメントを失います。