보안 주체가 시스템 그룹에서 자동으로 users 권한을 상속하는 대신 작업 영역 권한 제어를 마이그레이션하여 추가 시 각 보안 주체의 자격을 선택합니다. 이렇게 하면 작업 영역 액세스를 정확하게 제어할 수 있으며 작성 권한을 부여하지 않고도 소비자 전용 사용자를 추가할 수 있습니다. 이는 모든 작업 영역에 대한 기본 동작이 됩니다. 미리 마이그레이션하여 고유한 일정에 따라 테스트할 수 있습니다.
마이그레이션은 users 및 admins 시스템 그룹의 작동 방식을 변경하고, 주체가 현재 액세스를 유지할 수 있도록 기존 권한을 새 그룹으로 이동합니다. 이 페이지에서는 새 동작, 마이그레이션 단계 및 필수 마이그레이션 전 작업에 대해 설명합니다.
Overview
모든 작업 영역에는 두 개의 시스템 그룹이 users있습니다. 여기에는 작업 영역에 대한 액세스 권한이 부여된 모든 보안 주체와 admins작업 영역 관리자가 포함됩니다. 현재 작업 영역에 추가된 모든 보안 주체는 users에 부여된 권한을 상속받습니다. 기본적으로 이러한 자격은 다음과 같습니다.
- 워크스페이스 액세스: 노트북, 작업, 파이프라인, 앱 등을 만들고 사용합니다.
- Databricks SQL 액세스: 대시보드, 지니 공간, 경고 등을 만들고 사용합니다.
변경 후:
각 보안 주체를 추가할 때 해당 권한을 선택합니다. 자동으로 작성 권한을 상속하지 않고 소비자 전용 사용자를 포함하여 모든 액세스 수준에서 보안 주체를 추가할 수 있습니다.
users그룹에는 권한이 없고,admins그룹에는 워크스페이스의 모든 권한이 있습니다. 둘 다 변경할 수 없습니다.users그룹과admins그룹을 다른 그룹의 구성원으로 중첩할 수 없습니다.
기존 보안 주체는 현재 수준의 액세스 권한을 유지합니다. Azure Databricks는 이전에 users에 부여된 권한을 기본 이름이 users-clone-<TIMESTAMP>인 새 작업 영역 로컬 복제 그룹으로 자동으로 마이그레이션합니다. 여기서 <TIMESTAMP>는 마이그레이션 시간입니다. 마이그레이션 중에 그룹의 이름을 바꾸고 다른 작업 영역-로컬 그룹처럼 관리할 수 있습니다.
admins 그룹은 모든 작업 영역 자격이 자동으로 부여되므로 마이그레이션이 필요하지 않습니다.
타임라인
이는 모든 작업 영역에 대한 기본 동작이 됩니다. 변경은 다음 세 단계로 수행됩니다.
- 2026년 6월 15일 – 옵트인 사용 가능. 작업 영역을 일찍 마이그레이션하여 새 동작을 테스트합니다.
- 2026년 7월 27 일 – 옵트인 또는 아웃하지 않은 작업 영역에 대해 자동 사용. 적용될 때까지 일시적으로 옵트아웃할 수 있습니다.
- 2026년 9월 14 일 – 모든 작업 영역에 적용됩니다. 옵트아웃은 더 이상 사용할 수 없습니다.
자세한 내용은 예정된 동작 변경: 작업 영역에 보안 주체를 추가할 때 권한 선택을 참조하세요.
시작하기 전 주의 사항:
작업 영역을 마이그레이션하고 새 동작을 관리하려면 작업 영역 관리자여야 합니다.
Note
이 변경 내용은 Azure Government 작업 영역에는 적용되지 않습니다. 이러한 작업 영역은 마이그레이션되지 않습니다.
작업 영역에서 새 동작을 사용하도록 설정하기 전에 다음 작업을 수행합니다.
- 자동화: Terraform, 작업 영역 SCIM API 또는 사용자 지정 스크립트를 통해 시스템 그룹 자격을 관리하는 경우 시스템 그룹이 아닌 대상 계정 그룹으로 워크플로를 업데이트합니다. Azure Databricks 새 동작을 사용하도록 설정하면 시스템 그룹 자격 수정 시도가 실패합니다.
-
중첩된 시스템 그룹:
users또는admins이(가) 다른 그룹의 구성원으로 중첩된 경우, 중첩을 해제합니다. 새로운 동작은 중첩을 허용하지 않습니다. -
SCIM 동기화: SCIM 동기화가 인식할 수 없는 작업 영역 그룹을 삭제하는 경우 마이그레이션 복제 그룹(
users-clone-<TIMESTAMP>)을 유지하도록 구성을 업데이트합니다. 동기화 과정에서 복제 그룹이 제거되면, 해당 그룹으로 마이그레이션된 보안 주체는 권한을 잃게 됩니다.
작업 영역 마이그레이션
작업 영역 설정에서 작업 영역에 보안 주체를 추가할 때 권한 선택 설정을 통해 새 동작을 관리합니다.
작업 영역을 새 동작으로 마이그레이션하려면 다음을 수행합니다.
작업 영역 관리자로 Azure Databricks 작업 영역에 로그인합니다.
위쪽 표시줄에서 사용자 이름을 클릭하고 설정을 선택합니다.
고급 탭을 클릭합니다.
액세스 제어에서 새 동작: 작업 영역에 보안 주체를 추가할 때 권한 선택을 찾으세요. 상태는 레거시 동작으로 표시됩니다(조치가 필요할 수 있음).
관리를 클릭합니다.
대화 상자에서
users및admins그룹에 대한 현재 권한 부여를 검토합니다. 이 작업 영역에 대한 동작에서 새 동작 사용을 선택합니다.Clone group name 필드에
users에 부여된 권한을 받는 그룹의 이름을 입력하거나 기본값을 그대로 사용합니다. 이 그룹은 기존 보안 주체의 권한을 유지합니다.
저장을 클릭합니다.
Azure Databricks는
users의 자격을 복제 그룹으로 마이그레이션합니다. 작업 영역에 직접 할당된 보안 주체는 액세스 권한을 유지할 수 있도록 복제된 그룹에 추가됩니다. 이러한 보안 주체에는 직접 추가된 사용자 및 서비스 주체와 작업 영역에 할당된 모든 계정 그룹이 포함됩니다.
마이그레이션이 완료된 후 설정은 작업 영역이 새 동작에 있음을 보여 줍니다.
변경 내용 확인
마이그레이션을 완료한 후 변경 내용이 올바르게 적용되었는지 확인합니다.
- 작업 영역 관리자는 Azure Databricks 작업 영역에 로그인합니다.
- 위쪽 표시줄에서 사용자 이름을 클릭하고 설정을 선택합니다.
- ID 및 액세스 탭을 클릭합니다.
- 그룹 옆에 있는 관리를 클릭합니다.
- 다음을 확인합니다.
- 복제 그룹이 존재하며 마이그레이션 전에
users그룹이 가지고 있던 권한을 가지고 있습니다. - 복제 그룹에는
users을 통해 작업 영역에 직접 추가된 보안 주체(직접 추가된 사용자, 서비스 주체, 그리고 작업 영역에 할당된 모든 계정 그룹)가 포함됩니다. -
users그룹에는 권한이 없고,admins그룹에는 워크스페이스의 모든 권한이 있습니다.
- 복제 그룹이 존재하며 마이그레이션 전에
Note
복제 그룹에는 직접 멤버만 포함되므로 계정 그룹 멤버 자격을 통해 추가된 모든 사람을 포함하는 그룹보다 더 적은 수의 users 멤버가 표시될 수 있습니다. 그렇다고 해서 액세스 권한이 손실된 사람이 있는 것은 아닙니다. 계정 그룹을 통해 작업 영역에 추가된 보안 주체는 해당 계정 그룹이 복제 그룹에 추가되어 있으므로 계속 적용 대상에 포함됩니다. 작업 영역-로컬 그룹은 작업 영역 멤버 자격을 부여하지 않으므로 복사되지 않습니다.
고려 사항 및 모범 사례
작업 영역을 마이그레이션할 때 다음을 고려합니다.
- 마이그레이션 후 보안 주체 추가: 새 동작을 사용하도록 설정한 후 작업 영역에 추가할 때 각 보안 주체의 자격을 선택합니다. 작성 권한을 부여하려면 작업 영역 액세스 또는 Databricks SQL 액세스를 선택합니다. 보기 전용 소비자를 추가하려면 소비자 액세스 권한만 부여합니다. 자세한 내용은 소비자 액세스란? 및 Genie One을 사용하세요.
-
복제 그룹 관리: 그룹은
users-clone-<TIMESTAMP>표준 작업 영역-로컬 그룹입니다. 다른 그룹과 마찬가지로 구성원 자격 및 권한을 관리합니다. 그룹 관리를 참조하세요. -
옵트아웃: 마이그레이션 후 옵트아웃하는
users-clone-<TIMESTAMP>경우 그룹은 그대로 유지합니다. 유지 및 관리하거나 수동으로 삭제할 수 있습니다. - ID 공급자와의 조정: SCIM 프로비저닝을 사용하여 사용자 및 그룹을 동기화하는 경우 복제 그룹이 유지되도록 ID 관리 프로세스와 이 변경 내용을 조정합니다. SCIM을 사용하여 Microsoft Entra ID에서 사용자 및 그룹 동기화를 참조하세요.
다음에는 무엇이 있을까요?
작업 영역을 마이그레이션한 후 다음을 수행할 수 있습니다.
- 클론 그룹에 추가하여 주체에게 작성 권한을 부여하도록 그룹 멤버 자격을 관리합니다. 그룹 관리를 참조하세요.
- 개별 보안 주체나 그룹의 권한을 검토하고 조정합니다. 권한 관리를 참조하세요.
- 소비자 액세스 환경에 대해 자세히 알아봅니다. 소비자 액세스란?을 참조하고 Genie One을 사용합니다.
- 소비자 사용자에 대한 데이터 거버넌스 컨트롤을 구성합니다. 행 필터 및 열 마스크를 참조하세요.