인증 및 액세스 제어
이 문서에서는 Azure Databricks의 인증 및 액세스 제어를 소개합니다. 데이터 액세스 보안에 대한 자세한 내용은 Unity 카탈로그를 사용한 데이터 거버넌스를 참조하세요.
Azure Databricks에서 사용자 및 그룹을 가장 잘 구성하는 방법에 대한 자세한 내용은 ID 모범 사례를 참조하세요.
SSO(Single sign-on)
Microsoft Entra ID가 지원하는 로그인 형식의 Single Sign-On은 기본적으로 Azure Databricks 계정 및 작업 영역에서 사용할 수 있습니다. 계정 콘솔과 작업 영역 모두에 Microsoft Entra ID Single Sign-On을 사용합니다. Microsoft Entra ID를 통해 다단계 인증을 사용하도록 설정할 수 있습니다.
Azure Databricks는 또한 사용자가 Azure Databricks에 로그인할 수 있는 위치와 시기를 관리자가 제어할 수 있도록 Microsoft Entra ID 조건부 액세스도 지원합니다. 조건부 액세스를 참조하세요.
SCIM 프로비저닝을 사용하여 Microsoft Entra ID에서 사용자 및 그룹 동기화
사용자 프로비저닝을 자동화할 수 있는 개방형 표준인 SCIM(System for Cross-domain Identity Management)을 사용하여 Microsoft Entra ID에서 Azure Databricks 계정으로 사용자 및 그룹을 자동으로 동기화할 수 있습니다. SCIM은 Microsoft Entra ID를 사용하여 Azure Databricks에서 사용자 및 그룹을 만들고 적절한 수준의 액세스 권한을 부여하여 새 직원 또는 팀의 온보딩을 간소화합니다. 사용자가 조직을 떠나거나 더 이상 Azure Databricks에 액세스할 필요가 없는 경우 관리자는 Microsoft Entra ID에서 사용자를 종료할 수 있으며 해당 사용자의 계정도 Azure Databricks에서 제거됩니다. 이는 일관된 오프보딩 프로세스를 보장하고 권한이 없는 사용자가 중요한 데이터에 액세스하는 것을 방지합니다. 자세한 내용은 Microsoft Entra ID에서 사용자 및 그룹 동기화를 참조하세요.
OAuth를 사용하여 보안 API 인증
Azure Databricks OAuth는 Azure Databricks 작업 영역 수준에서 리소스 및 작업에 대한 보안 자격 증명 및 액세스를 지원하고 권한 부여에 대한 세분화된 사용 권한을 지원합니다.
자세한 내용은 개인용 액세스 토큰 권한 관리를 참조하세요.
전체적인 Azure Databricks 자동화에 대한 인증 관련 자세한 내용은 Azure Databricks 리소스에 대한 액세스 인증을 참조하세요.
Databricks는 PAT(개인용 액세스 토큰)도 지원하지만 대신 OAuth를 사용하는 것을 권장합니다. PAT 사용에 대한 자세한 내용은 개인용 액세스 토큰에 대한 액세스 모니터링 및 관리를 참조하세요.
액세스 제어 개요
Azure Databricks에는 서로 다른 보안 개체에 대한 여러 액세스 제어 시스템이 있습니다. 아래 표에서는 어느 액세스 제어 시스템이 어떤 보안 개체 유형을 관리하는지 보여줍니다.
| 보안 개체 | 액세스 제어 시스템 |
|---|---|
| 작업 영역 수준 보안 개체 | 액세스 제어 목록 |
| 계정 수준 보안 개체 | 계정 역할 기반 액세스 제어 |
| 데이터 보안 개체 | Unity 카탈로그 |
Azure Databricks는 사용자, 서비스 주체, 그룹에 직접 할당되는 관리자 역할 및 자격도 제공합니다.
데이터 보안에 대한 자세한 내용은 Unity 카탈로그를 사용한 데이터 거버넌스를 참조하세요.
액세스 제어 목록
Azure Databricks에서 ACL(액세스 제어 목록)을 사용하여 Notebooks, SQL 웨어하우스와 같은 작업 영역 개체에 액세스할 수 있는 권한을 구성할 수 있습니다. 액세스 제어 목록을 관리할 수 있는 권한을 위임받은 사용자가 할 수 있듯이 모든 작업 영역 관리 사용자는 액세스 제어 목록을 관리할 수 있습니다. 액세스 제어 목록에 대한 자세한 내용은 액세스 제어 목록를 참조하세요.
계정 역할 기반 액세스 제어
계정 역할 기반 액세스 제어를 사용하여 서비스 주체 및 그룹과 같은 계정 수준 개체 사용에 대한 권한을 구성할 수 있습니다. 계정 역할은 계정에서 한 번 정의되며 모든 작업 영역에 적용됩니다. 모든 계정 관리 사용자는 그룹 관리자 및 서비스 주체 관리자와 같이 관리 위임된 권한을 받은 사용자와 마찬가지로 계정 역할을 관리할 수 있습니다.
특정 계정 수준 개체의 계정 역할에 대한 자세한 내용은 다음 문서를 참조하세요.
Databricks 관리자 역할
보안 개체에 대한 액세스 제어 외에도 Azure Databricks 플랫폼에는 기본 제공 역할이 있습니다. 사용자, 서비스 주체, 그룹은 역할을 할당받을 수 있습니다.
Azure Databricks 플랫폼에서 사용할 수 있는 두 가지 기본 수준의 관리자 권한이 있습니다.
계정 관리자: Unity 카탈로그, 사용자 프로비저닝 및 계정 수준 ID 관리 사용을 포함하여 Azure Databricks 계정을 관리합니다.
작업 영역 관리자: 계정의 개별 작업 영역에 대한 작업 영역 ID, 액세스 제어, 설정 및 기능을 관리합니다.
또한 사용자에게 더 좁은 범위의 권한을 갖는 다음과 같은 기능별 관리자 역할을 할당할 수 있습니다.
- 마켓플레이스 관리자: 마켓플레이스 목록 만들기 및 관리를 포함하여 계정의 Databricks 마켓플레스 공급자 프로필을 관리합니다.
- 메타스토어 관리자: 카탈로그를 만들거나 테이블을 쿼리할 수 있는 사람과 같이 Unity 카탈로그 메타스토어 내의 모든 보안 개체에 대한 권한을 관리합니다.
사용자를 작업 영역 사용자로 할당할 수도 있습니다. 작업 영역 사용자는 작업 영역에 로그인할 수 있으며 작업 영역에서 작업 영역 수준 권한을 부여 받을 수 있습니다.
자세한 내용은 SSO(Single Sign-On) 설정을 참조하세요.
작업 영역 권한
권한은 사용자, 서비스 사용자 또는 그룹이 지정된 방식으로 Azure Databricks와 상호 작용할 수 있도록 하는 속성입니다. 작업 영역 관리자는 작업 영역 수준에서 사용자, 서비스 주체 및 그룹에게 권한을 할당합니다. 자세한 내용은 권한 관리를 참조하세요.