그룹 관리
이 문서에서는 관리자가 Azure Databricks 그룹을 만들고 관리하는 방법을 설명합니다. Azure Databricks ID 모델에 대한 개요는 Azure Databricks ID를 참조하세요.
그룹의 액세스를 관리하려면 인증 및 액세스 제어를 참조하세요.
그룹 관리 개요
그룹을 사용하면 작업 영역, 데이터 및 기타 보안 개체에 대한 액세스 권한을 더 쉽게 할당할 수 있으므로 ID 관리가 간편해집니다. 모든 Databricks ID는 그룹의 멤버로 할당할 수 있습니다.
Azure Databricks의 그룹 유형
Azure Databricks에는 원본에 따라 분류되는 4가지 유형의 그룹이 있습니다.
계정 그룹에는 Unity 카탈로그 메타스토어의 데이터에 대한 액세스 권한, 서비스 주체 및 그룹에 대한 역할, ID가 페더레이션된 작업 영역에 대한 사용 권한이 부여될 수 있습니다.
작업 영역-로컬 그룹 만든 작업 영역의 컨텍스트에서만 사용할 수 있는 레거시 그룹입니다. 이러한 그룹은 추가 작업 영역에 할당되거나, Unity 카탈로그 메타스토어의 데이터에 대한 액세스 권한이 부여되거나, 계정 수준 역할이 부여될 수 없습니다. Databricks는 기존 작업 영역-로컬 그룹을 계정 그룹으로 전환하는 것이 좋습니다. workspace-local 그룹에 대한 자세한 내용은 workspace-local 그룹(레거시) 관리를 참조하세요.
외부 그룹 Microsoft Entra ID에서 Azure Databricks에서 만든 그룹입니다. 이러한 그룹은 SCIM 프로비저닝 커넥터를 사용하여 만들어지고 Microsoft Entra ID와 동기화 상태를 유지합니다. 기본적으로 외부 그룹 멤버 자격은 Azure Databricks 계정 콘솔 또는 작업 영역 관리자 설정 페이지에서 업데이트할 수 없습니다. 외부 그룹은 계정 그룹입니다.
참고 항목
Azure Databricks UI에서 외부 그룹 멤버 자격을 업데이트하기 위해 계정 관리자는 계정 콘솔 미리 보기 페이지에서 변경할 수 없는 외부 그룹 미리 보기 사용하지 않도록 설정할 수 있습니다.
시스템 그룹 Azure Databricks에서 만들고 유지 관리합니다. 각 계정에는 모든 사용자를 포함하는
account users
이라는 계정 시스템 그룹이 있습니다. 각 작업 영역에는users
및admins
두 개의 작업 영역 수준 시스템 그룹이 있습니다. 작업 영역의 모든 구성원은users
그룹에 속하며 작업 영역 관리자는admins
그룹의 구성원이기도 합니다. 시스템 그룹을 삭제할 수 없습니다.
Azure에서 기본 제공 기여자 또는 소유자 역할이 있는 사용자는 작업 영역 admins
그룹에 자동으로 할당됩니다. 자세한 내용은 구독 관리를 참조하세요.
계정 그룹을 관리할 수 있는 사람은 누구인가요?
Azure Databricks에서 계정 그룹을 만들려면 계정 관리자 또는 작업 영역 관리자여야 합니다. 계정 그룹을 만들려면 작업 영역 관리자가 ID 페더레이션 작업 영역에 있어야 합니다.
Azure Databricks에서 계정 그룹을 관리하려면 그룹에 그룹 관리자 역할(공개 미리 보기)이 있어야 합니다. 그룹 관리자는 그룹 구성원 자격을 관리하고 그룹을 삭제할 수 있습니다. 다른 사용자에게 그룹 관리자 역할을 할당할 수도 있습니다. 계정 관리자는 계정 콘솔을 사용하여 그룹 역할을 관리할 수 있으며, 작업 영역 관리자는 작업 영역 관리자 설정 페이지를 사용하여 그룹 역할을 관리할 수 있습니다. 작업 영역 관리자가 아닌 그룹 관리자는 계정 액세스 제어 API를 사용하여 그룹 역할을 관리할 수 있습니다.
계정 관리자는 계정 수준에서 그룹 관리자 역할이 있으므로 계정의 모든 그룹에 그룹 관리자 역할이 있습니다. 작업 영역 관리자는 자신이 만든 계정 그룹에 대해 그룹 관리자 역할을 보유합니다.
또한 작업 영역 관리자는 workspace-local 그룹을 만들고 관리할 수 있습니다.
Microsoft Entra ID 테넌트에서 Azure Databricks 계정에 그룹 동기화
Microsoft Entra ID 테넌트에서 Azure Databricks 계정으로 그룹을 자동으로 동기화하거나 SCIM 프로비저닝 커넥터를 사용할 수 있습니다.
자동 ID 관리(공개 미리 보기) Microsoft Entra ID에서 애플리케이션을 구성하지 않고도 Microsoft Entra ID의 사용자, 서비스 주체 및 그룹을 Azure Databricks에 추가할 수 있습니다. Databricks는 Microsoft Entra ID를 레코드의 원본으로 사용하므로 사용자 또는 그룹 멤버 자격에 대한 변경 내용은 Azure Databricks에서 적용됩니다. 이 미리 보기는 중첩된 그룹을 지원합니다. 자세한 내용은 Microsoft Entra ID에서 사용자와 그룹을 자동으로 동기화하는 방법을 참조하세요.
.. 참고:: 자동 ID 관리 공개 미리 보기 중에는 중첩된 그룹이 Azure Databricks UI에 나열되지 않습니다. 공개 미리 보기 동안자동 ID 관리 UI 제한 사항을 참조하세요.
SCIM 프로비저닝 사용하면 Microsoft Entra ID와 동기화된 사용자 및 그룹을 유지하도록 Microsoft Entra ID에서 엔터프라이즈 애플리케이션을 구성할 수 있습니다. SCIM 프로비전은 중첩된 그룹을 지원하지 않습니다. 사용자 및 그룹을 Microsoft Entra ID에서 SCIM 을 사용하여 동기화하는 지침은을 참조하세요.
계정 콘솔을 사용하여 계정 그룹 관리
계정 관리자는 계정 콘솔을 사용하여 Azure Databricks 계정에 그룹을 추가하고 관리할 수 있습니다. 작업 영역 관리자 및 그룹 관리자는 작업 영역 설정 페이지 및 Databricks API를 사용하여 그룹을 관리할 수 있습니다. 작업 영역 관리자 설정 페이지를 사용하여 계정 그룹 관리, API를 사용하여 계정 그룹 관리를 참조하세요.
계정 콘솔을 사용하여 계정에 그룹 추가
계정 콘솔을 사용하여 계정에 그룹을 추가하려면 다음을 수행합니다.
- 계정 관리자 권한으로 계정 콘솔에 로그인합니다.
- 사이드바에서 사용자 관리를 클릭합니다.
- 그룹 탭에서 그룹 추가를 클릭합니다.
- 그룹의 이름을 입력합니다.
- 확인을 클릭합니다.
- 메시지가 표시되면 그룹에 사용자, 서비스 주체 및 그룹을 추가합니다.
계정 콘솔을 사용하여 그룹에 구성원 추가
외부 그룹을 Microsoft Entra ID와 동기화하려면 기본적으로 계정 콘솔에서 외부 그룹의 멤버 자격을 관리할 수 없습니다. 계정 콘솔을 사용하여 그룹에 사용자, 서비스 주체, 그룹을 추가하려면 다음을 수행합니다.
- 계정 관리자 권한으로 계정 콘솔에 로그인합니다.
- 사이드바에서 사용자 관리를 클릭합니다.
- 그룹 탭에서 업데이트할 그룹을 선택합니다.
- 구성원 추가를 클릭합니다.
- 추가하려는 사용자, 그룹 또는 서비스 주체를 검색하여 선택합니다.
- 추가를 클릭합니다.
계정에서 그룹을 업데이트하는 것과 작업 영역에서 그룹이 업데이트되는 사이에 몇 분 정도 지연됩니다.
계정 콘솔을 사용하여 그룹 역할 관리
Important
이 기능은 공개 미리 보기 상태입니다.
계정 관리자는 계정 콘솔의 계정 그룹에 역할을 부여할 수 있습니다.
- 계정 관리자 권한으로 계정 콘솔에 로그인합니다.
- 사이드바에서 사용자 관리를 클릭합니다.
- 그룹 탭에서 그룹 이름을 찾아 클릭합니다.
- 권한 탭을 클릭합니다.
- 액세스 권한 부여를 클릭합니다.
- 사용자, 서비스 주체 또는 그룹을 검색하여 선택하고 그룹: 관리자 역할을 선택합니다.
- 저장을 클릭합니다.
그룹의 이름 변경
외부 그룹을 Microsoft Entra ID와 동기화하려면 기본적으로 계정 콘솔에서 외부 그룹의 이름을 업데이트할 수 없습니다. 계정 관리자는 계정 콘솔을 사용하여 계정 그룹의 이름을 업데이트할 수 있습니다.
- 계정 관리자 권한으로 계정 콘솔에 로그인합니다.
- 사이드바에서 사용자 관리를 클릭합니다.
- 그룹 탭에서 업데이트할 그룹을 선택합니다.
- 그룹 정보를 클릭합니다.
- 이름아래에서 이름을 업데이트합니다.
- 저장을 클릭합니다.
그룹 관리자는 계정 콘솔을 사용하여 그룹의 이름을 변경할 수 없습니다. 대신 계정 그룹 API를 사용합니다. 예시:
curl --netrc -X PATCH \
https://${DATABRICKS_HOST}/api/2.1/accounts/{account_id}/scim/v2/Groups/{id} \
--header 'Content-type: application/scim+json' \
--data @update-group.json \
| jq .
:
{
"schemas": [ "urn:ietf:params:scim:api:messages:2.0:PatchOp" ],
"Operations": [
{
{
"op": "replace",
"path": "displayName",
"value": "<updated-name>"
}
}
]
}
계정 그룹 API에 인증하는 방법에 대한 자세한 내용은 Azure Databricks 리소스에 대한 액세스 권한 부여참조하세요.
계정 콘솔을 사용하여 작업 영역에 그룹 할당
계정 콘솔을 사용하여 작업 영역에 그룹을 추가하려면 ID 페더레이션에 작업 영역을 사용하도록 설정해야 합니다. 작업 영역에는 계정 그룹만 할당할 수 있습니다.
- 계정 관리자 권한으로 계정 콘솔에 로그인합니다.
- 사이드바에서 작업 영역을 클릭합니다.
- 작업 영역 이름을 클릭합니다.
- 사용 권한 탭에서 사용 권한 추가를 클릭합니다.
- 그룹을 검색하여 선택하고, 권한 수준(작업 영역 사용자 또는 관리자)을 할당하고, 저장을 클릭합니다.
계정 콘솔을 사용하여 작업 영역에서 그룹 제거
계정 콘솔을 사용하여 작업 영역에서 그룹을 제거하려면 ID 페더레이션에 작업 영역을 사용하도록 설정해야 합니다. 계정 그룹만 계정 콘솔을 사용하여 작업 영역에서 제거할 수 있습니다.
작업 영역에서 계정 그룹이 제거되면 그룹 구성원은 더 이상 작업 영역에 액세스할 수 없지만 그룹에 대한 사용 권한은 유지됩니다. 나중에 그룹이 작업 영역에 다시 추가되면 그룹은 이전 사용 권한을 다시 얻습니다.
- 계정 관리자 권한으로 계정 콘솔에 로그인합니다.
- 사이드바에서 작업 영역을 클릭합니다.
- 작업 영역 이름을 클릭합니다.
- 권한 탭에서 그룹을 찾습니다.
- 그룹 행의 맨 오른쪽에서
케밥 메뉴 케밥 메뉴를 클릭하고 제거를 선택합니다.
- 확인 대화 상자에서 제거를 클릭합니다.
그룹에 계정 관리자 역할 할당
계정 콘솔을 사용하면 그룹에 계정 관리자 역할 또는 마켓플레이스 관리자 역할을 할당할 수 없지만 계정 그룹 API를 사용하면 그룹에 할당할 수 있습니다. 예시:
curl --netrc -X PATCH \
https://${DATABRICKS_HOST}/api/2.1/accounts/{account_id}/scim/v2/Groups/{id} \
--header 'Content-type: application/scim+json' \
--data @update-group.json \
| jq .
:
{
"schemas": [ "urn:ietf:params:scim:api:messages:2.0:PatchOp" ],
"Operations": [
{
"op": "add",
"path": "roles",
"value": [
{
"value": "account_admin"
}
]
}
]
}
계정 그룹 API에 인증하는 방법에 대한 자세한 내용은 Azure Databricks 리소스에 대한 액세스 권한 부여참조하세요.
Azure Databricks 계정에서 그룹 제거
계정 관리자는 Azure Databricks 계정에서 그룹을 제거할 수 있습니다. 그룹 관리자는 계정 그룹 API를 사용하여 계정에서 그룹을 제거할 수도 있습니다. API를 사용하여 계정 그룹 관리를 참조하세요.
Important
그룹을 제거하면 해당 그룹의 사용자가 다른 그룹의 구성원이거나 계정 또는 작업 영역에 대한 액세스 권한이 직접 부여되지 않은 한, 해당 그룹의 모든 사용자가 계정에서 삭제되고 작업 영역에 대한 기존 액세스 권한이 사라집니다. Databricks에서 계정 수준 그룹이 계정의 모든 작업 영역에 대한 액세스 권한을 잃지 않게 하려면 삭제하지 않는 것이 좋습니다. 사용자를 삭제하면 다음과 같은 결과가 발생할 수 있습니다.
- 사용자가 생성한 토큰을 사용하는 애플리케이션 또는 스크립트는 더 이상 Databricks API에 액세스할 수 없습니다.
- 사용자가 소유한 작업이 실패합니다.
- 사용자가 소유한 클러스터가 중지됩니다.
- 공유 실패를 방지하기 위해 사용자가 만들고 소유자로 실행 자격 증명을 사용하여 공유한 쿼리 또는 대시보드를 새 소유자에게 할당해야 합니다.
계정 콘솔을 사용하여 그룹을 제거하려면 다음을 수행합니다.
- 계정 관리자 권한으로 계정 콘솔에 로그인합니다.
- 사이드바에서 사용자 관리를 클릭합니다.
- 그룹 탭에서 제거할 그룹을 찾습니다.
- 사용자 행의 맨 오른쪽에서
케밥 메뉴 케밥 메뉴를 클릭하고 삭제를 선택합니다.
- 확인 대화 상자에서 삭제 확인을 클릭합니다.
계정 콘솔을 사용하여 그룹을 제거하는 경우 계정에 대해 설정된 SCIM 프로비저닝 커넥터 또는 SCIM API 애플리케이션을 사용하여 그룹을 또 다시 제거해야 합니다. 그렇지 않으면 SCIM 프로비저닝은 다음에 동기화할 때 그룹 및 그룹의 구성원을 다시 추가합니다. Microsoft Entra ID에서 SCIM 을 사용하여 사용자 및 그룹을 동기화하는 방법에 대한 정보를에서 참조하십시오.
API를 사용하여 Azure Databricks 계정에서 그룹을 제거하려면 Azure Databricks 계정에 사용자 및 그룹 동기화 및 계정 그룹 API를 참조하세요.
작업 영역 관리자 설정 페이지를 사용하여 계정 그룹 관리
작업 영역 관리자는 작업 영역 관리자 설정 페이지를 사용하여 ID 페더레이션 작업 영역에서 계정 그룹을 만들고 관리할 수 있습니다.
참고 항목
작업 영역에서 계정 그룹을 업데이트하는 것과 계정에서 그룹이 업데이트되는 사이에 몇 분 정도 지연됩니다.
작업 영역에서 workspace-local 그룹을 만드는 방법에 대한 자세한 내용은 workspace-local 그룹(레거시) 관리를 참조하세요.
작업 영역 관리자 설정 페이지를 사용하여 작업 영역에 그룹을 만들거나 할당
작업 영역 관리자 설정 페이지를 사용하여 작업 영역에서 계정 그룹을 할당하거나 만들려면 다음을 수행합니다.
작업 영역 관리자로 Azure Databricks 작업 영역에 로그인합니다.
Azure Databricks 작업 영역의 위쪽 표시줄에서 사용자 이름을 클릭하고 설정선택합니다.
ID 및 액세스 탭을 클릭합니다.
그룹 옆에 있는 관리를 클릭합니다.
그룹 추가를 클릭합니다.
작업 영역에 할당할 기존 그룹을 선택하거나 새로 추가를 클릭하여 새 계정 그룹을 만듭니다.
참고 항목
ID 페더레이션에 작업 영역을 사용하도록 설정하지 않으면 작업 영역에서 기존 계정 그룹을 할당하거나 계정 그룹을 추가할 수 없습니다. 대신 workspace-local 그룹을 사용해야 합니다. workspace-local 그룹(레거시) 관리를 참조하세요.
작업 영역 관리자 설정 페이지를 사용하여 그룹에 구성원 추가
작업 영역 관리자 설정 페이지를 사용하여 계정 그룹에 사용자, 서비스 주체, 그룹을 추가하려면 작업 영역 관리자여야 합니다. 그룹 관리자 역할이 있는 그룹의 구성원만 관리할 수 있습니다. 외부 그룹을 Microsoft Entra ID와 동기화하려면 기본적으로 작업 영역 관리자 설정 페이지에서 외부 그룹의 멤버 자격을 관리할 수 없습니다.
참고 항목
admins
그룹에는 자식 그룹을 추가할 수 없습니다. workspace-local 그룹 또는 시스템 그룹을 계정 그룹의 구성원으로 추가할 수 없습니다.
작업 영역 관리자가 아닌 그룹 관리자는 계정 그룹 API를 사용하여 그룹 구성원 자격을 관리해야 합니다.
- 작업 영역 관리자로 Azure Databricks 작업 영역에 로그인합니다.
- Azure Databricks 작업 영역의 위쪽 표시줄에서 사용자 이름을 클릭하고 설정선택합니다.
- ID 및 액세스 탭을 클릭합니다.
- 그룹 옆에 있는 관리를 클릭합니다.
- 업데이트할 그룹을 선택합니다. 업데이트하려면 그룹에 대한 그룹 관리자 역할이 있어야 합니다.
- 구성원 탭에서 구성원 추가를 클릭합니다.
- 대화 상자에서 추가하려는 사용자, 서비스 주체 및 그룹을 찾아보거나 검색하여 선택합니다.
- 확인을 클릭합니다.
작업 영역 관리자 설정 페이지를 사용하여 계정 그룹의 역할 관리
Important
이 기능은 공개 미리 보기 상태입니다.
그룹 관리자 역할을 사용자, 계정 그룹, 서비스 주체에 할당할 수 있습니다. 그룹 관리자는 그룹의 구성원을 관리할 수 있습니다. 그룹 관리자 역할을 다른 사용자에게 할당할 수도 있습니다.
작업 영역 관리자 설정 페이지를 사용하여 그룹 역할을 관리하려면 작업 영역 관리자여야 합니다. 작업 영역 관리자가 아닌 그룹 관리자는 계정 액세스 제어 API를 사용하여 그룹 역할을 관리할 수 있습니다.
작업 영역 관리자로 Azure Databricks 작업 영역에 로그인합니다.
Azure Databricks 작업 영역의 위쪽 표시줄에서 사용자 이름을 클릭하고 설정선택합니다.
ID 및 액세스 탭을 클릭합니다.
그룹 옆에 있는 관리를 클릭합니다.
업데이트할 그룹을 선택합니다. 업데이트하려면 그룹에 대한 그룹 관리자 역할이 있어야 합니다.
권한 탭을 클릭합니다.
액세스 권한 부여를 클릭합니다.
사용자, 서비스 주체 또는 그룹을 검색하여 선택하고 그룹: 관리자 역할을 선택합니다.
참고 항목
계정 그룹에 workspace-local 그룹 또는 시스템 그룹 역할을 할당할 수 없습니다.
저장을 클릭합니다.
부모 그룹 보기
- 작업 영역 관리자로 Azure Databricks 작업 영역에 로그인합니다.
- Azure Databricks 작업 영역의 위쪽 표시줄에서 사용자 이름을 클릭하고 설정선택합니다.
- ID 및 액세스 탭을 클릭합니다.
- 그룹 옆에 있는 관리를 클릭합니다.
- 보려는 그룹을 선택합니다.
- 부모 그룹 탭에서 그룹의 부모 그룹을 봅니다.
작업 영역 관리자 설정 페이지를 사용하여 작업 영역에서 그룹 제거
작업 영역에서 그룹을 제거해도 계정에서 그룹이 삭제되지 않습니다. 작업 영역에서 그룹이 제거되면 그룹 구성원은 더 이상 작업 영역에 액세스할 수 없지만 그룹에 대한 사용 권한은 유지됩니다. 나중에 그룹이 작업 영역에 다시 추가되면 그룹은 이전 사용 권한을 다시 얻습니다.
- 작업 영역 관리자로 Azure Databricks 작업 영역에 로그인합니다.
- Azure Databricks 작업 영역의 위쪽 표시줄에서 사용자 이름을 클릭하고 설정선택합니다.
- ID 및 액세스 탭을 클릭합니다.
- 그룹 옆에 있는 관리를 클릭합니다.
- 그룹을 선택하고 x 삭제를 클릭합니다.
- 삭제를 클릭하여 확인합니다.
API를 사용하여 계정 그룹 관리
계정 관리자, 작업 영역 관리자, 그룹 관리자는 계정 그룹 API를 사용하여 Azure Databricks 계정에서 그룹을 추가, 삭제, 관리할 수 있습니다. 계정 관리자, 작업 영역 관리자, 그룹 관리자는 다른 엔드포인트 URL을 사용하여 API를 호출해야 합니다.
- 계정 관리자는
{account-domain}/api/2.1/accounts/{account_id}/scim/v2/
를 사용합니다. - 작업 영역 관리자와 그룹 관리자는
{workspace-domain}/api/2.0/account/scim/v2/
를 사용합니다.
자세한 내용은 계정 그룹 API를 참조하세요.
API를 사용하여 작업 영역에 그룹 할당
계정 및 작업 영역 관리자는 작업 영역 할당 API를 사용하여 그룹을 ID 페더레이션에 사용하도록 설정된 작업 영역에 할당할 수 있습니다. 작업 영역 할당 API는 Azure Databricks 계정 및 작업 영역을 통해 지원됩니다.
- 계정 관리자는
{account-domain}/api/2.1/accounts/{account_id}/workspaces/{workspace_id}/permissionassignments
를 사용합니다. - 작업 영역 관리자는
{workspace-domain}/api/2.0/preview/permissionassignments/principals/{group_id}
를 사용합니다.
작업 영역 할당 API를 참조하세요.
API를 사용하여 그룹의 역할 관리
Important
이 기능은 공개 미리 보기 상태입니다.
그룹 관리자는 계정 액세스 제어 API를 사용하여 그룹 역할을 관리할 수 있습니다. 계정 관리자, 작업 영역 관리자, 그룹 관리자는 다른 엔드포인트 URL을 사용하여 API를 호출해야 합니다.
- 계정 관리자는
{account-domain}/api/2.0/preview/accounts/{account_id}/access-control/assignable-roles
를 사용합니다. - 작업 영역 관리자와 그룹 관리자는
{workspace-domain}/api/2.0/preview/accounts/access-control/assignable-roles
를 사용합니다.
계정 액세스 제어 API 및 계정 액세스 제어 작업 영역 프록시 API를 참조하세요.