アクセスリクエストを管理する
プレビュー
この機能は パブリック プレビュー段階です。
アクセス要求機能を使用すると、ユーザーはUnity Catalog内のセキュリティ保護可能なオブジェクトに対する権限を要求できます。 このページでは、管理者としてアクセス要求の宛先を構成する方法について説明します。これらの宛先は、ユーザーがデータ オブジェクトへのアクセスを要求したときにアクセス要求が送信される場所を決定します。
アクセス要求の宛先とは
ユーザーが Unity Catalog 内のオブジェクト (テーブルやビューなど) へのアクセスを要求すると、要求は 1 つ以上の構成された宛先に送信されます。宛先は、次のいずれかになります。
-
メールアドレス
-
Slack チャンネル
-
Microsoft Teams チャンネル
-
Webhook エンドポイント
-
リダイレクト URL (組織の外部アクセス要求システムへ)
オブジェクトごとに設定できるリダイレクト URL は 1 つだけです。URL が設定されている場合、他のリンク先を設定できず、ユーザーは製品内リクエスト フォームを表示する代わりに、その URL にリダイレクトされます。
アクセス要求の宛先のしくみ
アクセス要求の宛先は、メタストア、カタログ、スキーマ、テーブル、ボリューム、ビュー、ストレージ資格情報、サービス資格情報、外部ロケーション、接続など、 Unity Catalog内の任意のオブジェクトで構成できます。 オブジェクトにアクセス要求の宛先が設定されている場合、ユーザーはBROWSE権限またはオブジェクトへの直接 URL を持っている場合にアクセスを要求できます。
リクエストを送信する際、ユーザーは 1 つ以上のプリンシパルのアクセスをリクエストできます。これには、自分自身、サービスプリンシパル、他のユーザー、またはグループが含まれます。 リクエストは構成された宛先にルーティングされます。
複数の宛先が設定されている場合、リクエストはそれらすべてに送信されます。宛先が設定されていない場合、ユーザーはオブジェクトへのアクセスを要求できません。デフォルトでは、オブジェクトには構成された宛先がありません。ただし、メタストア管理者およびワークスペース管理者は、宛先が明示的に構成されていない場合でも、任意の電子メール宛先を有効にして、適切な所有者にアクセス要求を配信できます。
リダイレクト URL が設定されている場合、ユーザーは URL に移動し、アクセス要求フォームは表示されません。ワークスペース管理者は、「通知先の管理」の手順に従って外部の宛先を構成できます。
宛先継承動作
Unity Catalogオブジェクト階層の上位レベルで宛先を構成すると、宛先がまだ設定されていないすべての子オブジェクトにも適用されます。 たとえば、カタログに宛先を構成すると、この宛先は、すでに宛先が設定されているスキーマとオブジェクトを除き、カタログの下にあるすべてのスキーマとオブジェクトに継承されます。
デフォルト Eメールの宛先を有効にする
Databricks は、デフォルトの Eメール宛先を有効にすることをお勧めします。 これにより、デスティネーションが手動で設定されていない場合でも、アクセス要求が配信されます。有効にすると、カタログ オブジェクトの要求はカタログ所有者の Eメール アドレスに送信され、カタログ外のオブジェクト (外部ロケーションなど) の要求はオブジェクト所有者の Eメール アドレスに送信されます。
デフォルト Eメール宛先を有効にすると、オブジェクトに対して宛先が手動で設定されていない場合でも、アクセス要求が配信されます。 これは、Unity Catalog メタストア全体で要求の受信と応答を開始する最速の方法です。
有効にするには デフォルト宛先、メタストア管理者とワークスペース管理者の両方である必要があります。
- ワークスペースの右上隅にあるプロフィール写真をクリックし、 設定 を選択します。
- 通知 をクリックします。
- [UC でのアクセス要求の電子メール宛先を有効にする] をオンにします。
オブジェクトへのアクセス要求の宛先を構成する
オブジェクトへのアクセス要求の宛先を構成するには、オブジェクトの所有者であるか、オブジェクトに対するMANAGE権限を持っているか、メタストア管理者である必要があります。
このセクションのステップでは、カタログ エクスプローラーを使用してアクセス要求の宛先を構成する方法を示します。 アクセス リクエスト宛先 APIを使用して宛先を構成することもできます。
既存のオブジェクトの宛先を構成する
-
Databricks ワークスペースで、
カタログ をクリックします。 -
セキュリティ保護可能なオブジェクトを選択します。
-
ケバブメニューをクリックし、 アクセスリクエストの宛先の管理 を選択します。 -
1 つ以上の Eメール または外部宛先を選択するか、リダイレクト URL を設定します。URL を選択すると、他のリンク先タイプを追加できません。
-
更新 をクリックします。
カタログ作成時に宛先を設定する
- Databricks ワークスペースで、 カタログ をクリックします。
- クリック
プラスアイコン。次に、 「カタログの作成」を クリックします。 - カタログの名前を入力し、 「カタログの作成」を クリックします。
- 次のモーダルで、 「カタログの構成」を クリックします。
- 「アクセス要求」 セクションで、必要に応じて宛先を追加、変更、または削除します。カタログ所有者の電子メールが宛先として自動的に含まれます。
- 「次へ」 をクリックし、 「保存」 をクリックします。
宛先はUnity Catalogオブジェクト階層に継承されます。 アクセス要求の宛先を持つカタログ内にスキーマを作成する場合、 「新しいスキーマの作成 」モーダルに継承された宛先が表示されます。
スキーマ上のこれらの宛先を変更するには、 「既存のオブジェクトの宛先を構成する」を参照してください。
アクセス要求の例
次のセクションでは、さまざまな宛先に送信されるアクセス要求の例を示します。
Eメール
アクセスリクエスト Eメールは noreply@databricks.comから送信されます。
Slack
Webhook (JSON)
{
"requesterName": "<first-name> <last-name> (<email>)",
"objectName": "<catalog>.<schema>.<table>",
"objectType": "Table",
"privileges": "SELECT",
"principalName": "<group-name>",
"onBehalfOf": "<group-name>",
"onBehalfOfType": "Group",
"comment": "My team needs access to run queries on this table.",
"databricksWorkspaceUrl": "https:/<account>.databricks.com/explore/data/<catalog>/<schema>/<table>?o=<table-id>&activeTab=permissions&showGrantModal=true&requestedPrivileges=SELECT&groupId=<group-id>"
}
詳細については、Webhook を一般的なツールと統合する方法については、以下を参照してください。
アクセス要求を承認する
アクセス要求を承認するには、アクセス要求通知に送信されたリンクをたどります。このリンクにより、ワークスペースにモーダル ダイアログが開き、リクエスタ、オブジェクト、および要求された権限が表示されます。
次に、次のいずれかの承認方法を選択します。
-
グループにプリンシパルを追加 して、要求された権限の少なくとも 1 つを持つ 1 つ以上の既存のグループにリクエスタを追加します。
-
プリンシパルに権限を付与 して、オブジェクトに直接アクセスできるようにします。また、 データリーダー などの権限プリセットを選択して、ユーザーに権限のコレクションを付与することもできます。
