次の方法で共有

Partner Connect で接続を管理する

パートナー ソリューションとの Azure Databricks ワークスペース接続を使用して、次のような管理タスクを実行できます。

  • パートナー アカウントのユーザーの管理。
  • 接続で使用する Azure Databricks サービス プリンシパルと関連する Azure Databricks 個人用アクセス トークンの管理。
  • パートナーからワークスペースを切断する。

Partner Connect を管理するには、ワークスペースに ワークスペース管理者としてサインインする必要があります。詳細については、ユーザーの管理を参照してください。

パートナー アカウント ユーザーを管理する

ユーザーがパートナー Connect を使用してそのパートナーのアカウントまたは Web サイト (Fivetran や Rivery など) にサインインできるようにするパートナーの場合、組織内のユーザーが Azure Databricks ワークスペースの 1 つからパートナーに初めて接続すると、そのユーザーは組織のすべてのワークスペースでそのパートナーの パートナー アカウント管理者 になります。 組織内の他のユーザーがそのパートナーにサインインできるようにするには、パートナー アカウント管理者が最初にそれらのユーザーを組織のパートナー アカウントに追加する必要があります。 一部のパートナーは、パートナー アカウント管理者がこのアクセス許可も委任できるようにします。 詳細については、パートナーの Web サイトのドキュメントを参照してください。

組織のパートナー アカウントにユーザーを追加できない場合 (パートナー アカウント管理者が利用できなくなった場合など)、パートナーに問い合わせてください。 サポート リンクについては、「Azure Databricks Partner Connect パートナー」の一覧を参照してください。

Unity Catalog によって管理されているデータをパートナー ソリューションに接続する

ワークスペースが Unity Catalog 対応の場合は、選択したパートナー ソリューションを Unity Catalog によって管理されるデータに接続できます。 Partner Connect を使用して接続を作成する場合、パートナーがレガシ Hive メタストア (hive_metastore) を使用するか、所有している別のカタログを使用するかを選択できます。 メタストア管理者は、ワークスペースに割り当てられているメタストア内の任意のカタログを選択できます。

注意

パートナー ソリューションがパートナー Connect で Unity カタログをサポートしていない場合は、ワークスペースの既定のカタログのみを使用できます。 既定のカタログが hive_metastore されておらず、既定のカタログを所有していない場合は、エラーが発生します。

Partner Connect で Unity Catalog をサポートするパートナーの一覧については、「Azure Databricks Partner Connect パートナー」の一覧を参照してください。

接続のトラブルシューティングの詳細については、 パートナー接続のトラブルシューティングを参照してください。

サービス プリンシパルと個人用アクセス トークンを管理する

Azure Databricks サービス プリンシパルを必要とするパートナーの場合、Azure Databricks ワークスペース内の誰かが特定のパートナーに初めて接続すると、パートナー Connect がワークスペースに Azure Databricks サービス プリンシパルを、そのパートナーで使用するために作成します。 パートナー Connect は、形式 <PARTNER-NAME>_USER を使用してサービス プリンシパルの表示名を生成します。 たとえば、パートナー Fivetran の場合、サービス プリンシパルの表示名は FIVETRAN_USER

パートナー Connect は Azure Databricks 個人用アクセス トークンも作成して、それをその Azure Databricks サービス プリンシパルに関連付けます。 パートナー Connect は、このトークンの値をバックグラウンドでパートナーに提供し、そのパートナーへの接続を完了します。 このトークンの値を表示または取得することはできません。 このトークンは、あなたや他の誰かが削除するまで期限切れになりません。 「パートナーからの切断」も参照してください。

パートナー Connect は次のアクセス許可をワークスペース内の Azure Databricks サービス プリンシパルに対して付与します。

パートナー 権限
Fivetran、Matillion、Power BI、Tableau、erwin Data Modeler、Precisely Data Integrity Suite これらのソリューションは Azure Databricks サービス プリンシパルを必要としません。
dbt Cloud、Hevo Data、Rivery、Rudderstack、Snowplow
  • 個人用アクセス トークンを作成するための CAN USE トークンアクセス許可。
  • SQL ウェアハウスの作成権限。
  • ワークスペースへのアクセス。
  • Databricks SQL へのアクセス。
  • (Unity カタログ)選択したカタログに対する USE CATALOG 権限。
  • (Unity カタログ)選択したカタログに対する CREATE SCHEMA 権限。
  • (レガシ Hive メタストア) USAGE カタログに対する hive_metastore 権限。
  • (レガシ Hive メタストア) レガシ Hive メタストア内に、Partner Connect が自動的にオブジェクトを作成できるようにする、CREATE カタログに対する hive_metastore 権限。
  • 作成するテーブルの所有権。 サービス プリンシパルは、それが作成しないテーブルに対してクエリを行うことができません。
予言
  • 個人用アクセス トークンを作成するための CAN USE トークンアクセス許可。
  • ワークスペースにアクセスします。
  • クラスター作成権限 サービス プリンシパルは、それが作成しないクラスターにアクセスできません。
  • ジョブ作成の権限。 サービス プリンシパルは、それが作成しないジョブにアクセスできません。
John Snow Labs、Labelbox
  • 個人用アクセス トークンを作成するための CAN USE トークンアクセス許可。
  • ワークスペースへのアクセス。
Anomalo、AtScale、Census、Hex、Hightouch、Lightup、Monte Carlo、Preset、Privacera、Qlik Sense、Sigma、Stardog
  • 個人用アクセス トークンを作成するための CAN USE トークンアクセス許可。
  • 選択した Databricks SQL ウェアハウスに対する CAN USE 特権。
  • 選択したスキーマに対する SELECT 特権。
  • (Unity カタログ)選択したカタログに対する USE CATALOG 権限。
  • (Unity カタログ)選択したスキーマに対する USE SCHEMA 特権。
  • (レガシ Hive メタストア) 選択したスキーマに対する USAGE 権限。
  • (レガシ Hive メタストア) 選択したスキーマに対する READ METADATA 権限。
Dataiku
  • 個人用アクセス トークンを作成するための CAN USE トークンアクセス許可。
  • SQL ウェアハウスの作成権限。
  • (Unity カタログ)選択したカタログに対する USE CATALOG 権限。
  • (Unity カタログ)選択したスキーマに対する USE SCHEMA 権限。
  • (Unity カタログ)選択したカタログに対する CREATE SCHEMA 権限。
  • (レガシ Hive メタストア) USAGE カタログと選択したスキーマに対する hive_metastore 権限。
  • (レガシ Hive メタストア) レガシ Hive メタストア内に、Partner Connect が自動的にオブジェクトを作成できるようにする、CREATE カタログに対する hive_metastore 権限。
  • (レガシ Hive メタストア) 選択したスキーマに対する SELECT 権限。
SuperAnnotate
  • 個人用アクセス トークンを作成するための CAN USE トークンアクセス許可。
  • 選択した Databricks SQL ウェアハウスに対する CAN USE 特権。
  • 選択したスキーマに対する SELECT 権限。
  • (Unity カタログ)選択したカタログに対するUSE CATALOG 特権。
  • (Unity カタログ)選択したスキーマに対する USE SCHEMA 権限。
  • (レガシ Hive メタストア) USAGE カタログと選択したスキーマに対する hive_metastore 権限。
  • (レガシ Hive メタストア) 選択したスキーマに対する SELECT 権限。
Informatica Cloud Data Integration
  • 個人用アクセス トークンを作成するための CAN USE トークンアクセス許可。
  • 選択した Databricks SQL ウェアハウスに対する「管理可能」特権。
  • データ オブジェクトに対する CREATE および USAGE 権限。
  • (Unity カタログ)選択したカタログに対するUSE CATALOG 特権。
  • (Unity カタログ)選択したスキーマに対する USE SCHEMA 権限。
  • (レガシ Hive メタストア) USAGE カタログと選択したスキーマに対する CREATE および hive_metastore 権限。
  • (レガシ Hive メタストア) 選択したスキーマに対する SELECT 権限。

パートナーからの切断

パートナーのタイルにチェック マーク アイコンがある場合は、Azure Databricks ワークスペース内の誰かが既にそのパートナーへの接続を作成していることを意味します。 そのパートナーから切断するには、パートナー接続でそのパートナーのタイルをリセットします。 パートナーのタイルをリセットすると、次の処理が行われます。

  • パートナーのタイルからチェック マーク アイコンをクリアします。
  • 関連する SQL ウェアハウスまたはクラスターが削除されます (パートナーがそれを必要とする場合)。
  • 関連する Azure Databricks サービス プリンシパルが削除されます (パートナーがそれを必要とする場合)。 サービス プリンシパルを削除すると、そのサービス プリンシパルの関連する Azure Databricks 個人用アクセス トークンも削除されます。 このトークンの値は、ワークスペースとパートナーの間の接続を完了する値です。 詳細については、「サービス プリンシパルと個人用アクセス トークンを管理する」を参照してください。

警告

SQL ウェアハウス、クラスター、Azure Databricks サービス プリンシパル、または Azure Databricks サービス プリンシパルの個人用アクセス トークンの削除は永続的であり、元に戻すことはできません。

パートナーのタイルをリセットしても、組織の関連パートナー アカウントが削除されたり、パートナーとの関連する接続設定が変更されたりすることはありません。 ただし、パートナーのタイルをリセットすると、ワークスペースと関連するパートナー アカウント間の接続が切断されます。 再接続するには、ワークスペースからパートナーへの新しい接続を作成し、関連するパートナー アカウントの元の接続設定を、新しい接続設定に合わせて手動で編集する必要があります。

パートナーのタイルをリセットするには、タイルをクリックし、[ 接続の削除] をクリックし、画面の指示に従います。

あるいは、Azure Databricks ワークスペースをパートナーから手動で切断することもできます。その場合は関連する Azure Databricks サービス プリンシパルを、そのパートナーに関連付けられているワークスペースで削除します。 これをしたほうがよいのは、ワークスペースをパートナーから切断した後も、他の関連リソースを保持し、タイルにチェック マーク アイコンを表示し続けたいような場合です。 サービス プリンシパルを削除すると、そのサービス プリンシパルの関連する個人用アクセス トークンも削除されます。 このトークンの値は、ワークスペースとパートナーの間の接続を完了する値です。 詳細については、「サービス プリンシパルと個人用アクセス トークンを管理する」を参照してください。

Azure Databricks サービス プリンシパルを削除するには、Databricks REST API を次のように使用します。

  1. ワークスペースのワークスペース サービス プリンシパル API で GET /preview/scim/v2/ServicePrincipals 操作を呼び出して、Azure Databricks サービス プリンシパルの アプリケーション ID を取得します。 応答でサービス プリンシパルの applicationId をメモしておきます。
  2. サービス プリンシパルのapplicationIdを使用して、DELETE /preview/scim/v2/ServicePrincipals操作を呼び出します。

たとえば、ワークスペースの利用可能なサービス プリンシパルの表示名とアプリケーション ID の一覧を取得するには、curl を次のように呼び出します。

curl --netrc --request GET \
https://<databricks-instance>/api/2.0/preview/scim/v2/ServicePrincipals \
| jq '[ .Resources[] | { displayName: .displayName, applicationId: .applicationId } ]'

<databricks-instance> を Azure Databricks ワークスペース単位のURL で、たとえばワークスペースの場合は adb-1234567890123456.7.azuredatabricks.net に置き換えます。

サービス プリンシパルの表示名は、出力の displayName フィールドにあります。 パートナー Connect は、形式 <PARTNER-NAME>_USER を使用してサービス プリンシパルの表示名を生成します。 たとえば、パートナー Fivetran の場合、サービス プリンシパルの表示名は FIVETRAN_USER

サービス プリンシパルのアプリケーション ID 値は、出力の applicationId フィールド (たとえば、 123456a7-8901-2b3c-45de-f678a901b2c) にあります。

サービス プリンシパルを削除するには、curl を次のように呼び出します。

curl --netrc --request DELETE \
https://<databricks-instance>/api/2.0/preview/scim/v2/ServicePrincipals/<application-id>

次のように置き換えます。

  • <databricks-instance>ワークスペース単位のURL で。たとえばワークスペースの場合は adb-1234567890123456.7.azuredatabricks.net で。
  • <application-id> サービス プリンシパルのアプリケーション ID 値を使用します。

前の例では、.netrc ファイルと jq を使用しています。 この場合、.netrc ファイルでは、サービス プリンシパルのもの "ではなく"、"自分の" 個人用アクセス トークン値が使用されることに注意してください。

ワークスペースをパートナーから切断した後、パートナーがワークスペースに作成する関連リソースをクリーンアップしたくなるかもしれません。 これには、SQL ウェアハウスまたはクラスター、関連するデータ ストレージの場所が含まれます。 詳細については、「SQL ウェアハウスを接続する」または「コンピューティングを削除する」に関するページを参照してください。

パートナーに接続されている他のワークスペースが組織全体に存在しない場合は、そのパートナーと共に組織のアカウントを削除することもできます。 これを行うには、パートナーに相談してください。 サポート リンクについては、適切なパートナー接続ガイドを参照してください。

  • Last updated on