인증 및 액세스 제어
이 문서에서는 Azure Databricks의 인증 및 액세스 제어를 소개합니다. 데이터에 대한 액세스를 보호하는 방법에 대한 자세한 내용은 Unity 카탈로그를 사용하여 데이터 거버넌스를 참조하세요.
Azure Databricks에서 사용자 및 그룹을 가장 잘 구성하는 방법에 대한 자세한 내용은 ID 모범 사례를 참조 하세요.
Single Sign-On
Microsoft Entra ID(이전의 Azure Active Directory) 지원 로그인 형식의 Single Sign-On은 기본적으로 Azure Databricks 계정 및 작업 영역에서 사용할 수 있습니다. 계정 콘솔과 작업 영역 모두에 Microsoft Entra ID Single Sign-On을 사용합니다. Microsoft Entra ID를 통해 다단계 인증을 사용하도록 설정할 수 있습니다.
또한 Azure Databricks는 Microsoft Entra ID 조건부 액세스를 지원하므로 관리자는 사용자가 Azure Databricks에 로그인할 수 있는 위치와 시기를 제어할 수 있습니다. 조건부 액세스를 참조하세요.
SCIM 프로비저닝을 사용하여 Microsoft Entra ID에서 사용자 및 그룹 동기화
사용자 프로비저닝을 자동화할 수 있는 개방형 표준인 CROSS-do기본 Identity Management용 SCIM 또는 System을 사용하여 Microsoft Entra ID에서 Azure Databricks 계정으로 사용자 및 그룹을 자동으로 동기화할 수 있습니다. SCIM은 Microsoft Entra ID를 사용하여 새 직원 또는 팀의 온보딩을 간소화하여 Azure Databricks에서 사용자 및 그룹을 만들고 적절한 액세스 수준을 제공합니다. 사용자가 조직을 떠나거나 더 이상 Azure Databricks에 액세스할 필요가 없는 경우 관리자는 Microsoft Entra ID로 사용자를 종료할 수 있으며 해당 사용자의 계정도 Azure Databricks에서 제거됩니다. 이는 일관된 오프보딩 프로세스를 보장하고 권한이 없는 사용자가 중요한 데이터에 액세스하는 것을 방지합니다. 자세한 내용은 Microsoft Entra ID에서 사용자 및 그룹 동기화를 참조하세요.
보안 API 인증
Azure Databricks 개인용 액세스 토큰은 Azure Databricks 작업 영역 수준의 리소스 및 작업에 대해 가장 잘 지원되는 자격 증명 형식 중 하나입니다. API 인증을 보호하기 위해 작업 영역 관리자는 Azure Databricks 개인용 액세스 토큰을 만들고 사용할 수 있는 사용자, 서비스 주체 및 그룹을 제어할 수 있습니다.
자세한 내용은 Azure Databricks 자동화에 대한 액세스 관리를 참조 하세요.
작업 영역 관리자는 Azure Databricks 개인용 액세스 토큰을 검토하고, 토큰을 삭제하고, 작업 영역에 대한 새 토큰의 최대 수명을 설정할 수도 있습니다. 개인용 액세스 토큰 모니터링 및 관리를 참조 하세요.
Azure Databricks 자동화 인증에 대한 자세한 내용은 Azure Databricks 자동화에 대한 인증 - 개요를 참조하세요.
액세스 제어 개요
Azure Databricks에는 서로 다른 보안 개체에 대한 다른 액세스 제어 시스템이 있습니다. 아래 표에서는 보안 개체의 유형을 제어하는 액세스 제어 시스템을 보여 줍니다.
보안 개체 | 액세스 제어 시스템 |
---|---|
작업 영역 수준 보안 개체 | 액세스 제어 목록 |
계정 수준 보안 개체 | 계정 역할 기반 액세스 제어 |
데이터 보안 개체 | Unity 카탈로그 |
Azure Databricks는 사용자, 서비스 주체 및 그룹에 직접 할당되는 관리자 역할 및 자격도 제공합니다.
데이터 보안에 대한 자세한 내용은 Unity 카탈로그를 사용한 데이터 거버넌스를 참조 하세요.
액세스 제어 목록
Azure Databricks에서 ACL(액세스 제어 목록)을 사용하여 Notebook 및 SQL Warehouse와 같은 작업 영역 개체에 액세스할 수 있는 권한을 구성할 수 있습니다. 모든 작업 영역 관리자 사용자는 액세스 제어 목록을 관리할 수 있는 권한을 위임받은 사용자와 마찬가지로 액세스 제어 목록을 관리할 수 있습니다. 액세스 제어 목록에 대한 자세한 내용은 액세스 제어 목록을 참조 하세요.
계정 역할 기반 액세스 제어
계정 역할 기반 액세스 제어를 사용하여 서비스 주체 및 그룹과 같은 계정 수준 개체를 사용할 수 있는 권한을 구성할 수 있습니다. 계정 역할은 계정에서 한 번 정의되며 모든 작업 영역에 적용됩니다. 모든 계정 관리자 사용자는 그룹 관리자 및 서비스 주체 관리자와 같이 관리 권한을 위임받은 사용자처럼 계정 역할을 관리할 수 있습니다.
특정 계정 수준 개체의 계정 역할에 대한 자세한 내용은 다음 문서를 참조하세요.
Databricks 관리자 역할
보안 개체에 대한 액세스 제어 외에도 Azure Databricks 플랫폼에 기본 제공 역할이 있습니다. 사용자, 서비스 주체 및 그룹에 역할을 할당할 수 있습니다.
Azure Databricks 플랫폼에서 사용할 수 있는 두 가지 기본 수준의 관리자 권한이 있습니다.
계정 관리자: Unity 카탈로그 사용, 사용자 프로비저닝 및 계정 수준 ID 관리를 포함하여 Azure Databricks 계정을 관리합니다.
작업 영역 관리자: 계정의 개별 작업 영역에 대한 작업 영역 ID, 액세스 제어, 설정 및 기능을 관리합니다.
또한 사용자에게 더 좁은 권한 집합이 있는 이러한 기능별 관리자 역할을 할당할 수 있습니다.
- Marketplace 관리자: Marketplace 목록 만들기 및 관리를 포함하여 계정의 Databricks Marketplace 공급자 프로필을 관리합니다.
- Metastore 관리자: 카탈로그를 만들거나 테이블을 쿼리할 수 있는 사용자와 같이 Unity 카탈로그 메타스토어 내의 모든 보안 개체에 대한 권한 및 소유권을 관리합니다.
사용자를 작업 영역 사용자로 할당할 수도 있습니다. 작업 영역 사용자는 작업 영역에 로그인할 수 있으며 작업 영역 수준 권한을 부여할 수 있습니다.
자세한 내용은 SSO(Single Sign-On) 설정을 참조하세요.
작업 영역 권한
권한은 사용자, 서비스 사용자 또는 그룹이 지정된 방식으로 Azure Databricks와 상호 작용할 수 있도록 하는 속성입니다. 작업 영역 관리자는 작업 영역 수준의 사용자, 서비스 주체 및 그룹에 권한을 할당합니다. 자세한 내용은 권한 관리를 참조 하세요.
피드백
https://aka.ms/ContentUserFeedback
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요.다음에 대한 사용자 의견 제출 및 보기