Manage groups | Databricks on AWS [2021/6/30時点]の翻訳です。
本書は抄訳であり内容の正確性を保証するものではありません。正確な内容に関しては原文を参照ください。
グループを用いることで複数のユーザーに対して同じ資格情報やインスタンスプロファイルを割り当てることができます。管理者は管理コンソール、Groups API 2.0、SCIM API 2.0、OktaやAzure Active DirectoryのようなSCIM-enabled identity providerを用いてグループを管理することができます。本書ではDatabricks管理コンソールを用いたグループ管理を説明します。
管理コンソールを用いて以下のことを行うことができます。
- グループの追加
- グループへのユーザー、サービスプリンシパルの追加及び削除
- 別のグループへのグループの追加及び削除
- (ワークスペースでクラスターアクセスコントロールが有効化されている場合)グループの全メンバーに対するクラスター作成権限の許可及び剥奪
- グループの全メンバーに対するインスタンスプロファイルの追加、削除
-
adminsグループにユーザーを追加、削除することによる管理者権限の管理。ユーザー管理のインタフェースからもユーザーをadminsグループに割り当てることもできます。
グループの追加
-
管理コンソールに移動し、Groupタブをクリックします。
-
+ Create Groupをクリックします。
-
グループ名を入力しConfirmをクリックします。
グループ名はユニークである必要があります。グループ名を変更することはできません。グループ名を変更したい場合には、グループを削除して新たな名前で再作成しなくてはなりません。
グループへのユーザーの追加、グループへの子グループの追加
注意
adminsグループに子グループを追加することはできません。
- 管理コンソールに移動し、Groupタブをクリックします。
- 更新したいグループを選択します。
- Membersタブで、+ Add users or groupsをクリックします。
- Add users or groupsダイアログで、ユーザー、グループ一覧を表示するために下向きの矢印をクリックし、追加したいものを選択します。
- ドロップダウンリストを非表示にするために下向きの矢印をクリックし、Confirmをクリックします。
グループの資格情報の管理
資格情報はユーザー、サービスプリンシパル、グループがDatabricksと特定の方法でやり取りすることを許可するプロパティです。以下の表では、それぞれの資格情報のUIとAPI名を示しています。
| 資格情報名(UI) | 資格情報名(API) | デフォルト | 説明 |
|---|---|---|---|
| Workspace access | workspace_access |
デフォルトで許可 | ユーザー、サービスプリンシパルに許可されると、Data Science & Engineering workspaceとDatabricks Machine Learningにアクセスできるようになります。ワークスペース管理者から剥奪することはできません。 |
| Databricks SQL access | databricks_sql_access |
デフォルトで許可 | ユーザー、サービスプリンシパルに許可されると、Databricks SQLにアクセスできるようになります。 |
| Allow unrestricted cluster creation | allow_cluster_create |
デフォルトではユーザーとサービスプリンシパルには許可されません | ユーザー、サービスプリンシパルに許可されると、クラスターを作成できるようになります。クラスターレベルのアクセス権を用いることで既存のクラスターへのアクセスを制限することができます。ワークスペース管理者から剥奪することはできません。 |
| allow-instance-pool-create | allow_instance_pool_create |
個々のユーザー、サービスプリンシパルに許可することはできません | グループが許可されると、メンバーはインスタンスプールを作成できるようになります。ワークスペース管理者から剥奪することはできません。 |
グループへの資格情報の追加、削除
- 管理コンソールに移動し、Groupタブをクリックします。
- アップデートしたいグループを選択します。
-
Entitlementsでグループの全ユーザーに許可したい資格情報を選択します。
- Allow cluster creation: グループメンバーは新規クラスターを作成、起動することができます。クラスターレベルのアクセス権を用いることで既存のクラスターへのアクセスを制限することができます。
- allow-instance-pool-create: グループメンバーは新規インスタンスプールを作成することができます。
- Databricks SQL access: グループメンバーはDatabricks SQLにアクセスすることができます。
- グループから資格情報を削除するには、選択状態を解除します。
- 確認ダイアログでConfirmをクリックします。
グループへのインスタンスプロファイルの追加
Databricksクラスターからユーザーがアクセスする必要があるS3へのアクセスを許可するインスタンスプロファイルをセットアップし、グループを用いて割り当てることができます。
- 管理コンソールに移動し、Groupタブをクリックします。
- アップデートしたいグループを選択します。
- Instance Profilesタブで、+ Add Instance Profiles to groupをクリックします。
- Add Instance Profilesダイアログで、インスタンスプロファイルの一覧を表示するために下向きの矢印をクリックし、追加したいインスタンスプロファイルを選択します。
- ドロップダウンリストを非表示にするために下向きの矢印をクリックし、Addをクリックします。
親グループの参照
- 管理コンソールに移動し、Groupタブをクリックします。
- アップデートしたいグループを選択します。
- Parentsタブで、お使いのグループの親グループを参照します。
ユーザー、子グループの削除
- 管理コンソールに移動し、Groupタブをクリックします。
- アップデートしたいグループを選択します。
- Membersタブで、削除したいユーザー、グループを特定し、ActionsカラムのXをクリックします。
- 確認してRemove Memberをクリックします。
ユーザー、子グループは、このグループに属していることで許可されていたグループのメンバーシップ、資格情報、インスタンスプロファイルの全てを失います。しかし、別のグループに属していること、あるいは、ユーザーレベルの許可で得られる資格情報はそのままとなります。
資格情報の削除
- 管理コンソールに移動し、Groupタブをクリックします。
- アップデートしたいグループを選択します。
- Entitlementsタブで、グループの全ユーザーから剥奪したい資格情報のチェックボックスをクリアします。
- 確認ダイアログでRomoveをクリックします。
ユーザー個別に許可されているか、他のグループメンバーシップによって許可されていない限り、グループのメンバーは資格情報を失います。
インスタンスプロファイルの削除
グループからインスタンスプロファイルを削除するには、
- 管理コンソールに移動し、Groupタブをクリックします。
- アップデートしたいグループを選択します。
- Instance Profilesタブで、削除したいインスタンスプロファイルを特定し、ActionsカラムのXをクリックします。
- 確認ダイアログでDeleteをクリックします。
ユーザー個別に許可されているか、他のグループメンバーシップによって許可されていない限り、グループのメンバーはインスタンスプロファイルを失います。
親グループからのグループの削除
- 管理コンソールに移動し、Groupタブをクリックします。
- アップデートしたいグループを選択します。
- Parentsタブで、切り離したい親グループを特定し、ActionsカラムのXをクリックします。
- 確認ダイアログでRemove parentをクリックします。
親グループに割り当てられているすべての資格情報とインスタンスプロファイルは、グループのメンバーから削除されます。かし、別のグループに属していること、あるいは、ユーザーレベルの許可で得られる資格情報、インスタンスプロファイルはそのままとなります。