アクセス要求の宛先を管理する
プレビュー
この機能は パブリック プレビュー段階です。
このページでは、Unity Catalog でセキュリティ保護可能なオブジェクトのアクセス要求の送信先を構成する方法について説明します。これらの宛先は、ユーザーがデータ・オブジェクトへのアクセスを要求したときに、アクセス要求が送信される場所を決定します。
アクセス要求の宛先とは
ユーザーが Unity Catalog 内のオブジェクト (テーブルやビューなど) へのアクセスを要求すると、要求は 1 つ以上の構成された宛先に送信されます。宛先は、次のいずれかになります。
-
メールアドレス
-
Slack チャンネル
-
Microsoft Teams チャンネル
-
Webhook エンドポイント
-
リダイレクト URL (組織の外部アクセス要求システムへ)
オブジェクトごとに設定できるリダイレクト URL は 1 つだけです。URL が設定されている場合、他のリンク先を設定できず、ユーザーは製品内リクエスト フォームを表示する代わりに、その URL にリダイレクトされます。
アクセス要求の宛先のしくみ
-
アクセス要求の宛先が構成されている場合、ユーザーは、オブジェクトへの
BROWSE
権限または直接 URL のいずれかを持つオブジェクトに対する権限を要求できます。ユーザーは、ノートブック、SQL エディター、またはその他のオーサリング ツールでアクセス許可拒否エラーが発生した場合に、権限を要求することもできます。 -
要求を送信すると、ユーザーは自分自身、サービスプリンシパル、他のユーザー、グループなど、1 つ以上のプリンシパルのアクセスを要求できます。 要求は、設定された宛先にルーティングされます。
-
宛先は、メタストア、カタログ、スキーマ、ストレージ資格情報、サービス資格情報、外部ロケーション、および接続で構成できます。
-
宛先は、テーブルやビューなどの子オブジェクトによって継承されます。
-
宛先が設定されていない場合、ユーザーはオブジェクトへのアクセスを要求できません。
デフォルトでは、どのオブジェクトにも宛先は設定されていません。アクセス要求が常に配信されるようにするには、 デフォルト Eメール宛先を有効にすることをお勧めします。
-
複数の宛先が設定されている場合、要求はすべての宛先に送信されます。
-
リダイレクト URL が設定されている場合、ユーザーは URL に移動し、アクセス要求フォームは表示されません。
-
ワークスペース管理者は、通知の宛先を管理するの手順に従って、外部宛先を構成できます。
デフォルト Eメールの宛先を有効にする
Databricks は、デフォルトの Eメール宛先を有効にすることをお勧めします。 これにより、デスティネーションが手動で設定されていない場合でも、アクセス要求が配信されます。有効にすると、カタログ オブジェクトの要求はカタログ所有者の Eメール アドレスに送信され、カタログ外のオブジェクト (外部ロケーションなど) の要求はオブジェクト所有者の Eメール アドレスに送信されます。
デフォルト Eメール宛先を有効にすると、オブジェクトに対して宛先が手動で設定されていない場合でも、アクセス要求が配信されます。 これは、Unity Catalog メタストア全体で要求の受信と応答を開始する最速の方法です。
有効にするには デフォルト宛先、メタストア管理者とワークスペース管理者の両方である必要があります。
- ワークスペースの右上隅にあるプロフィール写真をクリックし、 設定 を選択します。
- 通知 をクリックします。
- [UC でのアクセス要求のデフォルト宛先を有効にする] をオンにします。
オブジェクトに対するアクセス要求の宛先を構成する
カタログまたはスキーマの宛先を設定するには、メタストア管理者またはオブジェクト所有者である必要があります。スキーマでアクセス要求の宛先を設定するには、親カタログに対する USE CATALOG
権限も必要です。
アクセス要求宛先APIを使用して、アクセス要求宛先を構成することもできます。
-
Databricks ワークスペースで、
カタログ をクリックします。
-
セキュリティ保護可能なオブジェクトを選択します。
-
ケバブメニューをクリックし、 アクセスリクエストの宛先の管理 を選択します。
-
1 つ以上の Eメール または外部宛先を選択するか、リダイレクト URL を設定します。URL を選択すると、他のリンク先タイプを追加できません。
-
更新 をクリックします。
アクセス要求を無効に するには、すべての宛先を削除し、デフォルトの宛先設定をオフにします(有効になっている場合)。
アクセス要求の例
次のセクションでは、さまざまな宛先に送信されるアクセス要求の例を示します。
Eメール
アクセスリクエスト Eメールは noreply@databricks.com
から送信されます。
Slack
Webhook (JSON)
{
"requesterName": "<first-name> <last-name> (<email>)",
"objectName": "<catalog>.<schema>.<table>",
"objectType": "Table",
"privileges": "SELECT",
"principalName": "<group-name>",
"onBehalfOf": "<group-name>",
"onBehalfOfType": "Group",
"comment": "My team needs access to run queries on this table.",
"databricksWorkspaceUrl": "https:/<account>.databricks.com/explore/data/<catalog>/<schema>/<table>?o=<table-id>&activeTab=permissions&showGrantModal=true&requestedPrivileges=SELECT&groupId=<group-id>"
}
詳細については、Webhook を一般的なツールと統合する方法については、以下を参照してください。
アクセス要求を承認する
アクセス要求を承認するには、アクセス要求通知に送信されたリンクをたどります。このリンクにより、ワークスペースにモーダル ダイアログが開き、リクエスタ、オブジェクト、および要求された権限が表示されます。
次に、次のいずれかの承認方法を選択します。
-
グループにプリンシパルを追加 して、要求された権限の少なくとも 1 つを持つ 1 つ以上の既存のグループにリクエスタを追加します。
-
プリンシパルに権限を付与 して、オブジェクトに直接アクセスできるようにします。また、 データリーダー などの権限プリセットを選択して、ユーザーに権限のコレクションを付与することもできます。