이 페이지에서는 Azure Databricks 계정 및 작업 영역에 대한 그룹을 관리하는 방법을 설명합니다.
그룹에 대한 개요는 그룹을 참조하세요.
Note
이 페이지에서는 작업 영역에 ID 페더레이션이 사용하도록 설정되어 있다고 가정합니다. 이는 대부분의 작업 영역에 대한 기본값입니다. ID 페더레이션이 없는 레거시 작업 영역에 대한 자세한 내용은 ID 페더레이션 이 없는 레거시 작업 영역을 참조하세요.
Microsoft Entra ID 테넌트에서 Azure Databricks 계정에 그룹 동기화
Microsoft Entra ID 테넌트에서 Azure Databricks 계정으로 그룹을 자동으로 동기화하거나 SCIM 프로비저닝 커넥터를 사용할 수 있습니다.
자동 ID 관리를 사용하면 Microsoft Entra ID에서 애플리케이션을 구성하지 않고도 Microsoft Entra ID의 사용자, 서비스 주체 및 그룹을 Azure Databricks에 추가할 수 있습니다. Databricks는 Microsoft Entra ID를 레코드의 원본으로 사용하므로 사용자 또는 그룹 멤버 자격에 대한 변경 내용은 Azure Databricks에서 적용됩니다. 자동 ID 관리는 중첩된 그룹을 지원합니다. 자동 ID 관리는 2025년 8월 1일 이후에 만든 계정에 대해 기본적으로 사용하도록 설정됩니다. 자세한 내용은 Microsoft Entra ID에서 자동으로 사용자 및 그룹 동기화를 참조하세요.
SCIM 프로비저닝 을 사용하면 Microsoft Entra ID에서 엔터프라이즈 애플리케이션을 구성하여 사용자 및 그룹을 Microsoft Entra ID와 동기화할 수 있습니다. SCIM 프로비전은 중첩된 그룹을 지원하지 않습니다. 자세한 내용은 SCIM을 사용하여 Microsoft Entra ID에서 사용자 및 그룹 동기화를 참조하세요.
계정에 그룹 추가
계정 관리자 및 작업 영역 관리자는 계정 콘솔 또는 작업 영역 관리자 설정 페이지를 사용하여 Azure Databricks 계정에 그룹을 추가할 수 있습니다.
계정 콘솔
- 계정 관리자 권한으로 계정 콘솔에 로그인합니다.
- 사이드바에서 사용자 관리를 클릭합니다.
- 그룹 탭에서 그룹 추가를 클릭합니다.
- 그룹의 이름을 입력합니다.
- 확인을 클릭합니다.
- 메시지가 표시되면 그룹에 사용자, 서비스 주체 및 그룹을 추가합니다.
작업 영역 관리자 설정
- 작업 영역 관리자로 Azure Databricks 작업 영역에 로그인합니다.
- Azure Databricks 작업 영역의 상단 표시줄에서 사용자 이름을 클릭하고 설정을 선택합니다.
- ID 및 액세스 탭을 클릭합니다.
- 그룹 옆에 있는 관리를 클릭합니다.
- 그룹 추가를 클릭합니다.
- 새로 추가를 클릭합니다.
- 그룹의 이름을 입력합니다.
- 추가를 클릭합니다.
그룹에 구성원 추가
계정 관리자 및 작업 영역 관리자는 계정 콘솔 또는 작업 영역 관리자 설정 페이지를 사용하여 Azure Databricks 계정에 그룹을 추가할 수 있습니다. 작업 영역 관리자가 아닌 그룹 관리자는 계정 그룹 API를 사용하여 그룹 멤버 자격을 관리해야 합니다.
Note
외부 그룹을 Microsoft Entra ID와 동기화하려면 기본적으로 계정 콘솔에서 외부 그룹의 멤버 자격을 관리할 수 없습니다. Azure Databricks UI에서 외부 그룹 멤버 자격을 업데이트하기 위해 계정 관리자는 계정 콘솔 미리 보기 페이지에서 변경할 수 없는 외부 그룹 미리 보기 사용하지 않도록 설정할 수 있습니다. 변경할 수 없는 외부 그룹 미리 보기를 사용하지 않도록 설정한 경우에도 자동 ID 관리를 사용하여 관리되는 외부 그룹은 Azure Databricks에서 업데이트할 수 없습니다.
계정 콘솔
- 계정 관리자 권한으로 계정 콘솔에 로그인합니다.
- 사이드바에서 사용자 관리를 클릭합니다.
- 그룹 탭에서 업데이트할 그룹을 선택합니다.
- 구성원 추가를 클릭합니다.
- 추가하려는 사용자, 그룹 또는 서비스 주체를 검색하여 선택합니다.
- 추가를 클릭합니다.
그룹 업데이트와 그룹 멤버 자격이 모든 시스템에 완전히 전파되는 사이에 몇 분 정도 지연됩니다.
작업 영역 관리자 설정
Note
admins 그룹에는 자식 그룹을 추가할 수 없습니다. workspace-local 그룹 또는 시스템 그룹을 계정 그룹의 구성원으로 추가할 수 없습니다.
- 작업 영역 관리자로 Azure Databricks 작업 영역에 로그인합니다.
- Azure Databricks 작업 영역의 상단 표시줄에서 사용자 이름을 클릭하고 설정을 선택합니다.
- ID 및 액세스 탭을 클릭합니다.
- 그룹 옆에 있는 관리를 클릭합니다.
- 업데이트할 그룹을 선택합니다. 업데이트하려면 그룹에 대한 그룹 관리자 역할이 있어야 합니다.
- 구성원 탭에서 구성원 추가를 클릭합니다.
- 대화 상자에서 추가하려는 사용자, 서비스 주체 및 그룹을 찾아보거나 검색하여 선택합니다.
- 확인을 클릭합니다.
그룹의 이름 변경
계정 관리자는 계정 콘솔을 사용하여 그룹의 이름을 업데이트할 수 있으며 그룹 관리자는 계정 그룹 API를 사용하여 그룹의 이름을 업데이트할 수 있습니다. 외부 그룹을 Microsoft Entra ID와 동기화하려면 기본적으로 계정 콘솔에서 외부 그룹의 이름을 업데이트할 수 없습니다.
계정 콘솔
- 계정 관리자 권한으로 계정 콘솔에 로그인합니다.
- 사이드바에서 사용자 관리를 클릭합니다.
- 그룹 탭에서 업데이트할 그룹을 선택합니다.
- 그룹 정보를 클릭합니다.
- 이름 아래에서 이름을 업데이트합니다.
- 저장을 클릭합니다.
계정 그룹 API
curl --netrc -X PATCH \
https://${DATABRICKS_HOST}/api/2.1/accounts/{account_id}/scim/v2/Groups/{id} \
--header 'Content-type: application/scim+json' \
--data @update-group.json \
| jq .
update-group.json:
{
"schemas": [ "urn:ietf:params:scim:api:messages:2.0:PatchOp" ],
"Operations": [
{
{
"op": "replace",
"path": "displayName",
"value": "<updated-name>"
}
}
]
}
계정 그룹 API에 인증하는 방법에 대한 자세한 내용은 Azure Databricks 리소스에 대한 액세스 권한 부여를 참조하세요.
작업 영역에 그룹 할당
계정 관리자 및 작업 영역 관리자는 계정 콘솔 또는 작업 영역 관리자 설정 페이지를 사용하여 Azure Databricks 작업 영역에 그룹을 할당할 수 있습니다.
계정 콘솔
작업 영역-로컬 그룹은 계정 콘솔을 사용하여 작업 영역에 할당할 수 없습니다.
- 계정 관리자 권한으로 계정 콘솔에 로그인합니다.
- 사이드바에서 작업 영역을 클릭합니다.
- 작업 영역 이름을 클릭합니다.
- 사용 권한 탭에서 사용 권한 추가를 클릭합니다.
- 그룹을 검색하여 선택하고, 권한 수준(작업 영역 사용자 또는 관리자)을 할당하고, 저장을 클릭합니다.
작업 영역 관리자 설정
- 작업 영역 관리자로 Azure Databricks 작업 영역에 로그인합니다.
- Azure Databricks 작업 영역의 상단 표시줄에서 사용자 이름을 클릭하고 설정을 선택합니다.
- ID 및 액세스 탭을 클릭합니다.
- 그룹 옆에 있는 관리를 클릭합니다.
- 그룹 추가를 클릭합니다.
- 작업 영역에 할당할 기존 그룹을 선택합니다.
- 추가를 클릭합니다.
작업 영역에서 그룹 제거
작업 영역에서 계정 그룹이 제거되면 그룹 구성원은 더 이상 작업 영역에 액세스할 수 없지만 그룹에 대한 사용 권한은 유지됩니다. 나중에 그룹이 작업 영역에 다시 추가되면 그룹은 이전 사용 권한을 다시 얻습니다.
계정 관리자 및 작업 영역 관리자는 계정 콘솔 또는 작업 영역 관리자 설정 페이지를 사용하여 Azure Databricks 작업 영역에서 그룹을 제거할 수 있습니다.
계정 콘솔
계정 콘솔을 사용하여 작업 영역에서 작업 영역-로컬 그룹을 제거할 수 없습니다.
- 계정 관리자 권한으로 계정 콘솔에 로그인합니다.
- 사이드바에서 작업 영역을 클릭합니다.
- 작업 영역 이름을 클릭합니다.
- 권한 탭에서 그룹을 찾습니다.
-
을 클릭합니다. 그룹 행의 맨 오른쪽에 있는 kebab 메뉴에서 제거를 선택합니다. - 확인 대화 상자에서 제거를 클릭합니다.
작업 영역 관리자 설정
Note
다른 그룹의 멤버 자격을 통해 작업 영역에 간접적으로 할당된 그룹은 제거할 수 없습니다. 이러한 그룹을 제거하려면 부모 그룹에서 그룹을 제거하거나 계정 수준에서 제거해야 합니다.
- 작업 영역 관리자로 Azure Databricks 작업 영역에 로그인합니다.
- Azure Databricks 작업 영역의 상단 표시줄에서 사용자 이름을 클릭하고 설정을 선택합니다.
- ID 및 액세스 탭을 클릭합니다.
- 그룹 옆에 있는 관리를 클릭합니다.
- 그룹을 선택하고 x 삭제를 클릭합니다.
- 삭제를 클릭하여 확인합니다.
그룹의 역할 관리
Important
이 기능은 공개 미리보기 단계에 있습니다.
계정 관리자는 계정 콘솔의 그룹에 역할을 부여할 수 있으며 작업 영역 관리자는 작업 영역 관리자 설정 페이지를 사용하여 그룹 역할을 관리할 수 있습니다. 작업 영역 관리자가 아닌 그룹 관리자는 계정 액세스 제어 API를 사용하여 그룹 역할을 관리할 수 있습니다.
계정 콘솔
- 계정 관리자 권한으로 계정 콘솔에 로그인합니다.
- 사이드바에서 사용자 관리를 클릭합니다.
- 그룹 탭에서 그룹 이름을 찾아 클릭합니다.
- 권한 탭을 클릭합니다.
- 액세스 권한 부여를 클릭합니다.
- 사용자, 서비스 주체 또는 그룹을 검색하여 선택하고 그룹: 관리자 역할을 선택합니다.
- 저장을 클릭합니다.
작업 영역 관리자 설정
계정 그룹에 workspace-local 그룹 또는 시스템 그룹 역할을 할당할 수 없습니다.
- 작업 영역 관리자로 Azure Databricks 작업 영역에 로그인합니다.
- Azure Databricks 작업 영역의 상단 표시줄에서 사용자 이름을 클릭하고 설정을 선택합니다.
- ID 및 액세스 탭을 클릭합니다.
- 그룹 옆에 있는 관리를 클릭합니다.
- 업데이트할 그룹을 선택합니다. 업데이트하려면 그룹에 대한 그룹 관리자 역할이 있어야 합니다.
- 권한 탭을 클릭합니다.
- 액세스 권한 부여를 클릭합니다.
- 사용자, 서비스 주체 또는 그룹을 검색하여 선택하고 그룹: 관리자 역할을 선택합니다.
- 저장을 클릭합니다.
그룹에 계정 관리자 역할 할당
계정 콘솔을 사용하여 그룹에 계정 관리자 역할을 할당할 수는 없지만 계정 그룹 API를 사용하여 그룹에 할당할 수 있습니다. 다음은 그 예입니다.
curl --netrc -X PATCH \
https://${DATABRICKS_HOST}/api/2.1/accounts/{account_id}/scim/v2/Groups/{id} \
--header 'Content-type: application/scim+json' \
--data @update-group.json \
| jq .
update-group.json:
{
"schemas": ["urn:ietf:params:scim:api:messages:2.0:PatchOp"],
"Operations": [
{
"op": "add",
"path": "roles",
"value": [
{
"value": "account_admin"
}
]
}
]
}
계정 그룹 API에 인증하는 방법에 대한 자세한 내용은 Azure Databricks 리소스에 대한 액세스 권한 부여를 참조하세요.
부모 그룹 보기
- 작업 영역 관리자로 Azure Databricks 작업 영역에 로그인합니다.
- Azure Databricks 작업 영역의 상단 표시줄에서 사용자 이름을 클릭하고 설정을 선택합니다.
- ID 및 액세스 탭을 클릭합니다.
- 그룹 옆에 있는 관리를 클릭합니다.
- 보려는 그룹을 선택합니다.
- 부모 그룹 탭에서 그룹의 부모 그룹을 봅니다.
Azure Databricks 계정에서 그룹 제거
계정 관리자는 Azure Databricks 계정에서 그룹을 제거할 수 있습니다. 그룹 관리자는 계정 그룹 API를 사용하여 계정에서 그룹을 제거할 수도 있습니다. API를 사용하여 그룹 관리를 참조하세요. 계정 콘솔을 사용하여 그룹을 제거하는 경우 계정에 대해 설정된 SCIM 프로비저닝 커넥터 또는 SCIM API 애플리케이션을 사용하여 그룹을 또 다시 제거해야 합니다. 그렇지 않은 경우 SCIM 프로비저닝은 다음에 동기화할 때 그룹과 해당 멤버를 다시 추가하기만 합니다. SCIM을 사용하여 Microsoft Entra ID에서 사용자 및 그룹 동기화를 참조하세요.
Important
그룹을 제거하면 해당 그룹의 사용자가 다른 그룹의 구성원이거나 계정 또는 작업 영역에 대한 액세스 권한이 직접 부여되지 않은 한, 해당 그룹의 모든 사용자가 계정에서 삭제되고 작업 영역에 대한 기존 액세스 권한이 사라집니다. Databricks에서 계정 수준 그룹이 계정의 모든 작업 영역에 대한 액세스 권한을 잃지 않게 하려면 삭제하지 않는 것이 좋습니다. 사용자를 삭제하면 다음과 같은 결과가 발생할 수 있습니다.
- 사용자가 생성한 토큰을 사용하는 애플리케이션 또는 스크립트는 더 이상 Databricks API에 액세스할 수 없습니다.
- 사용자가 소유한 작업이 실패합니다.
- 사용자가 소유한 클러스터가 중지됩니다.
- 해당 사용자가 설치한 라이브러리는 유효하지 않으며 다시 설치해야 합니다.
- 공유가 실패하지 않도록 하려면 사용자가 만들고 소유자 자격 증명으로 실행으로 공유한 쿼리 또는 대시보드를 새 소유자에게 할당해야 합니다.
계정 콘솔을 사용하여 그룹을 제거하려면 다음을 수행합니다.
- 계정 관리자 권한으로 계정 콘솔에 로그인합니다.
- 사이드바에서 사용자 관리를 클릭합니다.
- 그룹 탭에서 제거할 그룹을 찾습니다.
-
을 클릭합니다. 사용자 행의 맨 오른쪽에 있는 kebab 메뉴에서 삭제를 선택합니다.
- 확인 대화 상자에서 삭제 확인을 클릭합니다.
Note
자동 ID 관리를 사용하도록 설정하면 Microsoft Entra ID에 있는 그룹이 계정 콘솔에 표시됩니다. 그룹은 비활성 으로 표시됩니다. 작업 영역에 추가되지 않은 경우 사용하지 않습니다. 이러한 그룹은 그룹 목록에서 제거할 수 없습니다. 그들은 그룹 제한에 포함되지 않습니다.
API를 사용하여 그룹 관리
계정 관리자, 작업 영역 관리자, 그룹 관리자는 계정 그룹 API를 사용하여 Azure Databricks 계정에서 그룹을 추가, 삭제, 관리할 수 있습니다. 계정 관리자, 작업 영역 관리자, 그룹 관리자는 다른 엔드포인트 URL을 사용하여 API를 호출해야 합니다.
- 계정 관리자는
{account-domain}/api/2.1/accounts/{account_id}/scim/v2/를 사용합니다. - 작업 영역 관리자와 그룹 관리자는
{workspace-domain}/api/2.0/account/scim/v2/를 사용합니다.
자세한 내용은 계정 그룹 API를 참조하세요.
계정 및 작업 영역 관리자는 작업 영역 할당 API를 사용하여 작업 영역에 그룹을 할당할 수 있습니다. 작업 영역 할당 API는 Azure Databricks 계정 및 작업 영역을 통해 지원됩니다.
- 계정 관리자는
{account-domain}/api/2.0/accounts/{account_id}/workspaces/{workspace_id}/permissionassignments를 사용합니다. - 작업 영역 관리자는
{workspace-domain}/api/2.0/preview/permissionassignments/principals/{group_id}를 사용합니다.
작업 영역 할당 API를 참조하세요.
API를 사용하여 그룹의 역할 관리
Important
이 기능은 공개 미리보기 단계에 있습니다.
그룹 관리자는 계정 액세스 제어 API를 사용하여 그룹 역할을 관리할 수 있습니다. 계정 관리자, 작업 영역 관리자, 그룹 관리자는 다른 엔드포인트 URL을 사용하여 API를 호출해야 합니다.
- 계정 관리자는
{account-domain}/api/2.0/preview/accounts/{account_id}/access-control/assignable-roles를 사용합니다. - 작업 영역 관리자와 그룹 관리자는
{workspace-domain}/api/2.0/preview/accounts/access-control/assignable-roles를 사용합니다.
계정 액세스 제어 API 및 계정 액세스 제어 작업 영역 프록시 API를 참조하세요.
그룹을 관리하기 위한 API 예제
다음 예제에서는 작업 영역 관리자가 계정 그룹 API 및 작업 영역 할당 API 를 사용하여 그룹을 관리하는 방법을 보여 줍니다. 작업 영역 관리자는 API 토큰을 사용하여 작업 영역에 인증합니다.
계정 그룹 만들기
curl --request POST \
--location '{workspace-domain}/api/2.0/account/scim/v2/Groups' \
--header 'Authorization: Bearer $OAUTH_TOKEN' \
--header 'Content-Type: application/json' \
--data '{
"displayName": "<group-name>"
}'
새 계정 그룹의 그룹 ID를 반환합니다. 다음 API 예제에서 참조용으로 저장합니다.
작업 영역에 그룹 추가
다음 예제에서는 작업 영역 사용자 권한이 있는 그룹을 작업 영역에 추가합니다. ["ADMIN"]으로 설정 permissions 하여 그룹에 작업 영역 관리자 역할을 부여할 수도 있습니다.
curl --location --request PUT '{workspace-domain}/api/2.0/preview/permissionassignments/principals/{group-id}' \
--header 'Authorization: Bearer $OAUTH_TOKEN' \
--header 'Content-Type: application/json' \
--data '{
"permissions": ["USER"]
}'
작업 영역에서 그룹 제거
다음 예제에서는 작업 영역에서 그룹을 제거합니다. 작업 영역에서 그룹을 제거해도 계정에서 그룹이 삭제되지는 않습니다.
Note
다른 그룹의 멤버 자격을 통해 작업 영역에 간접적으로 할당된 그룹은 제거할 수 없습니다. 이러한 그룹을 제거하려면 부모 그룹에서 그룹을 제거하거나 계정 수준에서 제거해야 합니다.
curl --location --request PUT '{workspace-domain}/api/2.0/preview/permissionassignments/principals/{group-id}' \
--header 'Authorization: Bearer $OAUTH_TOKEN' \
--header 'Content-Type: application/json' \
--data '{
"permissions": []
}'
그룹에 멤버 추가
curl --location --request PATCH '{workspace-domain}/api/2.0/account/scim/v2/Groups/{group-id}' \
--header 'Authorization: Bearer $OAUTH_TOKEN' \
--header 'Content-Type: application/json' \
--data '{
"schemas": [
"urn:ietf:params:scim:api:messages:2.0:PatchOp"
],
"Operations": [
{
"op": "add",
"value": {
"members": [
{
"value": "{user-id}"
}
]
}
}
]
}'