目次
1. はじめに
皆さんこんにちは。
前回は「ユーザー作成」「グループへの追加」「ユーザー削除」についてご説明しました。
その続きとして、今回はAzure Databricksの「グループ作成」「グループに対するワークスペースの割り当て」「グループに対する権限割り当て」について説明していきます。
第1回:「ユーザー作成」「グループへの追加」「ユーザー削除」をしてみる
第2回:「グループ作成」「グループに対するワークスペースの割り当て」「グループに対する権限割り当て」をしてみる(今回)
この手順の前提条件
当手順を実施する際の前提条件は以下の通りです。
- 作業用Azure AD(Databricks)アカウントに下記権限が付与されていること
- Databricksロール「Account Admin」
2.Azure Databricks で「グループ作成」「グループに対するワークスペースの割り当て」「グループに対する権限割り当て」を行う
2-1.グループ作成
マネージドアカウントにアクセスします。
サイドバーから ユーザアイコン をクリックし、展開された画面から Groups > Add Group をクリックします。
Group name にグループ名を入力 > Save をクリックします。
作成したグループの詳細に画面が切り替わります。
Add members をクリックします。
任意のユーザを選択 > Add をクリックします。
以上で、グループ作成が完了です。
2-2.グループに対するワークスペースの割り当て
マネージドアカウントにアクセスします。
サイドバーから ワークスペースアイコン をクリックし、展開された画面から割り当てる ワークスペース名 を選択します。
Permissions をクリックし、展開された画面で Add permissions をクリックします。
ワークスペースに追加するグループを選択します。Permissionは、グループの用途に応じてAdmin又はUserを指定します。
※Adminはユーザ、グループ、ワークスペースを構成できる権限、Userはワークスペースにアクセスができる権限になります。
以上で、グループに対するワークスペースの割り当ては完了です。
2-3.グループに対する権限割り当て
■カタログへの権限割り当て
以下、この手順で付与できる権限です。
カタログで付与した権限はスキーマにも継承されます。
権限 | 説明 |
USE CATALOG | カタログを扱ううえで必須になる権限 |
USE SCHEMA | スキーマを扱ううえで必須になる権限 |
SELECT | テーブル、またはビューをクエリする ユーザー定義関数、または匿名関数を呼び出す |
MODIFY | テーブルへのコピー、更新、削除、挿入、テーブルの融合を行う |
EXECUTE | ユーザ定義関数を呼び出す |
CREATE SHEMA | カタログにスキーマを作成する |
CREATE TABLE | スキーマに関数を作成するテーブルを作成する |
APPLY TAG | オブジェクトにタグを適用する機能を提供 |
CREATE FUNCTION | スキーマに関数を作成する |
READ VOLUME |
ボリュームからの読み取り権限を付与
|
REFRESH |
マテリアライズドビューを更新する権限を付与
|
WRITE VOLUME |
ボリュームへの書き込み権限を付与
|
CREATE MATERIALIZED VIEW |
マテリアライズドビューを作成する権限を付与
|
CREATE MODEL |
新しい機械学習モデルを作成できるようになります
|
CREATE VOLUME |
ボリュームの作成権限を付与
|
ALL PRIVILEGES | 適用可能なすべての権限が付与される |
(ここから実際の手順です)
まず、ワークスペースにアクセスします。
サイドバーから カタログイコン をクリックし、展開された画面で Catalog > Permissions > Grant をクリックします。
権限を割り当てたいグループを選択し、割り当てる権限 をクリック > Grant をクリックします。
以上で、カタログへの権限割り当ては完了です。
■外部ロケーションの権限割り当て
以下、この手順で付与できる権限です。
権限 | 説明 |
CREATE EXTERNAL TABLE | 外部ロケーションを使用してテーブル作成権限 |
CREATE EXTERNAL VOLUME | 外部ロケーションを使用してボリューム作成権限 |
CREATE MANAGED STORAGE | 外部ロケーションを使用してテーブル作成権限を付与 |
READ FILES | ファイルの読み取り権限 |
WRITE FILES | ファイルの書き込み権限 |
ALL PRIVILEGES | 適用可能なすべての権限が付与される |
(ここから実際の手順です)
まず、ワークスペースにアクセスします。
サイドバーからカタログアイコン をクリックし、展開された画面で External Locationsをクリックし、権限を割り当てたい外部ロケーションを選択します。
展開された画面で「Grant」をクリックします。
権限を割り当てたいグループを選択し、割り当てる権限 をクリック >「Grant」をクリックします。
以上で、外部ロケーションの権限割り当ては完了です。
■汎用クラスターへの権限割り当て
この手順で付与できる権限は以下の通りです
権限 | 説明 |
Can Manage(管理可能) | ・ノートブックのアタッチ ・Sparkジョブの表示 ・メトリックの表示 ・ドライバーログの表示 ・クラスターの開始、終了、再起動 ・クラスターの編集 ・アクセス許可の編集 |
Can Restart(再起動可能) | ・ノートブックのアタッチ ・Sparkジョブの表示 ・メトリックの表示 ・ドライバーログの表示 ・クラスターの開始、終了、再起動 |
Can Atacch to(アタッチ可能) | ・ノートブックのアタッチ ・Sparkジョブの表示 ・メトリックの表示 ・ドライバーログの表示 |
No Permittions(アクセス許可なし) | なし |
参考URL:クラスターへのアクセス制御 – Azure Databricks | Microsoft Learn
Azure Databricksでは、「汎用クラスター」と「jobクラスター」の二種類のクラスタが存在します。
- 汎用クラスター
ノートブックを用いて複数ユーザーとコラボレーションしながらデータ分析を使う用途です。
※今回の手順ではこの汎用クラスターに権限設定をしていきます - jobクラスター
ジョブ実行の度に作成され、実行が完了すると停止するクラスタです。
※汎用クラスターをジョブに指定する事も可能ですが、ジョブ実行時に毎回新規作成・停止するjobクラスターを指定する事が推奨されています
(ここから実際の手順です)
まず、こちらの手順でワークスペースにアクセスします。
Azure Databricksポータル画面で、サイドバーを展開します。
Computeをクリックし、表示された画面で、権限を割り当てるクラスタを選択します。
表示された画面から More -> Permissionsをクリックします。
「Add users, groups, and service principals:」の下の空白枠をクリックし、権限を割り当てたいユーザ、グループ、またはサービスプリンシパルを選択します。
選んだユーザ、グループ、またはサービスプリンシパルの右の権限枠をクリックし、「Can Attach to」「Can Restart」「Can Manage」から割り当てる権限を選択します。
設定した内容がリストに入ったことが確認出来たら下部のSaveをクリックします。
以上で、クラスタへの権限付与が完了です。
■SQL Warehouseに対する権限割り当て
この手順で付与できる権限は以下の通りです
尚、SQL Warehouse の所有者は、SQL Warehouse を作成した際から管理者の権限を持ちます。
権限 | 説明 |
Can Manage | Warehouseのすべてのクエリを表示する |
Warehouseの詳細を表示する | |
Warehouseの監視タブの表示をする | |
Warehouseの開始、停止 | |
Warehouseの削除、編集 | |
Warehouseのアクセス許可の変更 | |
Can Use | Warehouseの詳細を表示する |
Warehouseの開始 |
参考URL:SQL warehouse access control – Azure Databricks | Microsoft Learn
(ここから実際の手順です)
まず、こちらの手順でワークスペースにアクセスします。
Azure Databricksポータル画面で、サイドバーを展開します。
サイドバーから SQL Warehouses をクリックします。
権限を割り当てるSQL Warehouse名の右にある、3点リーダー > Permissions をクリックします。
一覧に出ているユーザーの権限を変えるときは赤枠部分から Can use , Can manage または Remove のいずれかを選択します。
一覧に出ていないユーザーに権限を付ける場合は、赤枠をクリックし、任意のユーザーを選択します。
ユーザーの権限を付与し Add をクリックします。
以上で、SQL Warehouseへの権限付与が完了です。
4. まとめ
本記事ではAzure Databricksで「グループ作成」「グループに対するワークスペースの割り当て」「グループに対する権限割り当て」について説明しました。
これらの手順を組み合わせる事で、細かな権限管理が可能となります。
本連載では、
第1回:「ユーザー作成」「グループへの追加」「ユーザー削除」をしてみる
第2回:「グループ作成」「グループに対するワークスペースの割り当て」「グループに対する権限割り当て」をしてみる(今回)
についてご説明しました。
今回の記事が少しでもDatabricksを知るきっかけや、業務のご参考になれば幸いです。
日商エレクトロニクスでは、Azure Databricksの環境構築パッケージを用意しています。
Azure DatabricksやAzure活用、マイクロソフト製品の活用についてご相談事がありましたらぜひお問い合わせください!
Azure Databricks連載記事のまとめはこちら
お問い合わせはこちら
この記事を読んだ方へのオススメコンテンツはこちら
この記事を書いた人
- 尾島健介
この投稿者の最新の記事
- 2023年4月18日ブログ【Azure Databricks】ジョブ監視をしてみる(番外編)
- 2023年4月17日ブログ【Azure Databricks】ジョブ監視をしてみる(後編)
- 2023年4月13日ブログ【Azure Databricks】ジョブ監視をしてみる(前編)
- 2023年3月30日ブログ【Azure Databricks クラスタ管理】「SQL Warehouse作成」をしてみる