Unity Catalog の管理者特権
Databricksには多くの管理者ロールがあります。Unity Catalog権限の観点から見ると、最も重要な 3 つは、アカウント管理者、ワークスペース管理者、メタストア管理者です。 アカウント管理者とワークスペース管理者はすべてのデプロイメントに必須であり、メタストア管理者の役割はオプションです。各役割の責任を理解することで、適切な範囲の管理者を割り当てることができます。
- アカウント管理者は、 Databricksアカウント レベルで操作します。 彼らはメタストアとワークスペースを作成およびリンクし、管理者ロールを割り当てることができます。
- ワークスペース管理者は、 単一のワークスペース内で作業を行います。 彼らはワークスペースのメンバーシップ、ジョブ、およびワークスペースオブジェクトを管理します。
- メタストア管理者(オプション)は、 単一のUnity Catalogメタストア内で操作を行います。 これらは、データへのアクセス、所有権、および最上位レベルのUnity Catalogセキュリティ保護対象オブジェクトを管理します。
管理者の役割の概要
管理者ロール | スコープ | 必須? | 主な目的 |
|---|---|---|---|
アカウント管理者 | Databricksアカウント全体 | はい | メタストアとワークスペースを作成し、メタストアをワークスペースにリンクし、管理者ロールを割り当てます。 |
ワークスペース管理者 | シングルワークスペース | はい | ワークスペースのメンバーシップ、ジョブの所有権、およびワークスペースのオブジェクトを管理します。カタログおよびその他のトップレベルのUnity Catalogセキュリティ保護可能なものを作成する |
メタストア管理者 | 単一のUnity Catalogメタストア (クラウド リージョンごとに 1 つ) | いいえ(任意) | トップレベルのUnity Catalogセキュリティ保護可能な要素 (カタログ、接続、外部ロケーション、その他のメタストア オブジェクト) を作成および管理します。 |
アカウント管理者とメタストア管理者は別々の役割です。アカウント管理者がメタストアを作成すると、デフォルトでその管理者が初期メタストア管理者になります。その後、メタストア管理者の役割を別のユーザー、グループ、またはサービスプリンシパルに割り当て、自身でその役割を放棄することができます。
アカウント管理者
アカウント管理者は高度な権限を持つロールなので、慎重に配布する必要があります。アカウント管理者は、 Databricks全体に対する権限を持ち、これには次の主要な機能が含まれます。
機能 | 説明 |
|---|---|
メタストアを作成する | メタストアを作成し、デフォルトで初期メタストア管理者になる |
ワークスペースを作成する | アカウント内でワークスペースを作成および管理する |
メタストアをワークスペースにリンクする | メタストアを特定のワークスペースに関連付ける |
アカウント管理者ロールを割り当てる | アカウント管理者ロールを任意のユーザーに委任する |
ワークスペース管理者の役割を割り当てる | アカウント内の任意のワークスペースの任意のユーザーにワークスペース管理者ロールを付与する |
(オプションの)メタストア管理者ロールを割り当てる | ユーザー、サービスプリンシパル、またはグループに(オプションの)メタストア管理者ロールを割り当てます。 |
メタストアに対する権限を付与する | メタストアレベルで権限を管理する |
メタストアのDelta Sharingを有効にする | メタストアのDelta Sharing機能を有効にする |
ストレージ資格情報の構成 | クラウドストレージにアクセスするためのストレージ資格情報を設定する |
システムテーブルを有効にする | システムテーブルを有効にし、アクセスできるユーザーを制御する |
詳細については、 「アカウント管理者とは何ですか?」を参照してください。 。
ワークスペース管理者
ワークスペース管理者は高度な権限を持つロールであるため、慎重に配布する必要があります。ワークスペース管理者は、単一のワークスペース内で次の主要な機能を含む管理者権限を持っています。
機能 | 説明 |
|---|---|
カタログおよびその他のトップレベルのUnity Catalogセキュリティ保護可能なものを作成する (2023 年 11 月 8 日以降に作成されたワークスペースに適用されます) | カタログ、外部ロケーション、接続、およびその他のメタストアレベルのオブジェクトを作成します。完全なリストについては、「ワークスペースがUnity Catalogに対して自動的に有効になっている場合のワークスペース管理者権限」を参照してください。 |
ワークスペースのメンバーシップを管理する | ユーザー、サービスプリンシパル、グループをワークスペースに追加する |
ワークスペース管理者の役割を割り当てる | ワークスペース管理者の役割をユーザー、サービスプリンシパル、またはグループに割り当てます。 |
ジョブの所有権を管理する | ジョブの所有権を制御します。「ジョブへのアクセスを制御する」を参照してください。 |
ジョブの 実行 設定を管理する | ジョブ実行 ID を構成します。「ジョブ実行のユーザーとして実行を構成する」を参照してください。 |
ワークスペースオブジェクトの表示と管理 | ノートブック、ダッシュボード、クエリ、その他のワークスペース オブジェクトにアクセスして制御します。「アクセス制御リスト」を参照してください。 |
詳細については、 「ワークスペース管理者とは何ですか?」を参照してください。 。
アカウント管理者は、 RestrictWorkspaceAdmins設定を使用してワークスペース管理者の権限を制限できます。「ワークスペース管理者の制限」を参照してください。
ワークスペースの管理者権限 (ワークスペースが自動的に Unity Catalog 有効になっている場合)
ワークスペースがUnity Catalogに対して自動的に有効になっている場合 (2023 年 11 月 8 日以降に作成されたすべてのワークスペースに適用されます)、ワークスペースは無事にメタストアにアタッチされます。 詳細については、 Unity Catalogの自動有効化」を参照してください。 さらに、ワークスペース管理者は、デフォルトで接続されたメタストアに対して以下の権限を持ちます。
-
CREATE CATALOG -
CREATE CLEAN ROOM -
CREATE EXTERNAL LOCATION -
CREATE SERVICE CREDENTIAL -
CREATE STORAGE CREDENTIAL -
CREATE CONNECTION -
CREATE SHARE -
CREATE RECIPIENT -
CREATE PROVIDER -
CREATE MATERIALIZED VIEW
これらの権限付与は、アカウントコンソールのメタストアの 「権限」 タブで確認できます。Databricks は、それらを_workspace_admins_databricks_<account_id>_workspace_<workspace_id>という名前の自動生成されたシステム グループで表現します。
ワークスペース管理者は、ワークスペースカタログがワークスペースにプロビジョニングされた場合、ワークスペースカタログのデフォルト所有者です。 このカタログの所有権は、次の権限を付与します。
-
ワークスペースカタログ内の任意のオブジェクトの権限を管理したり、オブジェクトの所有権を譲渡したりします。
これには、カタログ内のすべてのデータに対する読み取りおよび書き込みアクセス権を自分自身に付与する機能が含まれます (デフォルトによる直接アクセスは不可、アクセス許可の付与は監査ログに記録されます)。
-
ワークスペースカタログ自体の所有権を移行します。
すべてのワークスペース ユーザーは、ワークスペース カタログに対する USE CATALOG 権限を受け取ります。 ワークスペース ユーザーは、カタログ内のdefaultスキーマに対する USE SCHEMA、 CREATE TABLE、 CREATE VOLUME、 CREATE MODEL、 CREATE FUNCTION、および CREATE MATERIALIZED VIEW 特権も受け取ります。
アタッチされたメタストアとワークスペース カタログに付与されたデフォルト特権は、ワークスペース間では保持されません (たとえば、ワークスペース カタログが別のワークスペースにもバインドされている場合)。
メタストア管理者
メタストア管理者は、Unity Catalog 内のオプションですが、高度な権限を持つユーザーまたはグループです。メタストア管理者は、2 つのソースからの権限を持っています。1 つはロールによって付与された権限、もう 1 つはメタストアの所有者であるため、所有権権限です。
メタストア管理者を割り当てるタイミング
2023年11月8日以降に作成されたワークスペースでは、メタストア管理者ロールはオプションです。これは、ワークスペース管理者が自動的に十分なメタストア レベルの権限を受け取るためです ( 「ワークスペースがUnity Catalogに対して自動的に有効になっている場合のワークスペース管理者権限」を参照してください)。 ただし、以下の操作を実行する必要がある場合は、メタストア管理者を割り当てる必要があります。
- 自分が所有していないオブジェクトの所有権を変更したり、オブジェクトに対する権限を付与したりします。例えば、元の所有アカウントが削除された後にカタログを引き継ぐ場合などに、この手順が必要となります。ワークスペース管理者はオブジェクトを作成できますが、自分が所有していない既存のオブジェクトに対して権限を付与したり、所有権を変更したりすることはできません。
- デフォルトのワークスペース管理者権限を削除します。
- メタストアにマネージドストレージが設定されていない場合は、追加してください。これには、アカウント管理者がメタストア定義にストレージの場所を追加する必要があります。既存のメタストアにマネージドストレージを追加する方法については、「既存のメタストアにマネージドストレージを追加する」を参照してください。
- 有効にする デフォルトアクセス要求の宛先 宛先が明示的に設定されていないオブジェクトに対して。 「 デフォルト Eメールの宛先を有効にする」を参照してください。
デフォルトのメタストア管理者権限
メタストア管理者は、デフォルトでメタストアに対して次の権限を持ちます。
権限 | 説明 |
|---|---|
| メタストアにカタログを作成する |
| 基盤となるデータを共有せずに、他の組織と安全にプロジェクトを共同作業するためのクリーンルームを作成する |
| レイクハウスフェデレーション シナリオで外部データベースへの接続を作成する |
| 外部位置の作成 |
| サービス資格情報を作成する |
| ストレージ資格情報の作成 |
| レイクハウスフェデレーションシナリオで外部データベースへの接続を使用してフォーリンカタログを作成する |
| |
| |
| |
| マテリアライズドビューを作成する |
| init スクリプトおよびライブラリへのクラスター アクセスを管理するホワイトリストを更新する |
所有権の特権
メタストアの所有者として、メタストア管理者には次の権限があります。
権限 | 説明 |
|---|---|
権限の管理と所有権の譲渡 | ストレージ資格情報、外部ロケーション、接続、共有、受信者、プロバイダーなど、メタストア内のオブジェクトの権限を管理したり、所有権を譲渡したりできます。 |
データへのアクセスを許可する | メタストア内のすべてのデータに対する読み取りおよび書き込みアクセス権をすべてのユーザーに付与します。メタストア管理者は任意のオブジェクトの所有権を自分に譲渡できるため、この機能は間接的です。デフォルトでは直接アクセスできません。権限の付与は監査ログに記録されます。 |
オブジェクトメタデータの管理 | メタストア内のすべてのオブジェクトのメタデータを読み取り、更新する |
タグを管理する | メタストア内のすべてのオブジェクトにタグを設定する |
アクセス要求の宛先を構成する | メタストア内のデフォルトのアクセス要求の宛先を有効にする |
メタストアを削除 | メタストアを削除する |
メタストアの初期管理者権限を持つのは誰ですか?
アカウント管理者がメタストアを手動で作成した場合、そのアカウント管理者はメタストアの初期所有者であり、メタストア管理者です。2023 年 11 月 8 日より前に作成されたすべてのメタストアは、アカウント管理者によって手動で作成されました。
メタストアが Unity Catalog の自動有効化の一部としてプロビジョニングされた場合、メタストアはメタストア管理者なしで作成されています。 その場合、ワークスペース管理者には、メタストア管理者をオプションにする特権が自動的に付与されます。 必要に応じて、アカウント管理者は、ユーザー、サービスプリンシパル、またはグループにメタストア管理者ロールを割り当てることができます。 グループを強くお勧めします。 Unity Catalog の自動有効化を参照してください。
メタストア管理者を割り当てる
メタストア管理者は、慎重に配布する必要がある高い特権ロールです。 これはオプションです。
アカウント管理者は、メタストア管理者ロールを割り当てることができます。 Databricks では、グループをメタストア管理者として指名することをお勧めします。 これにより、グループのすべてのメンバーが自動的にメタストア管理者になります。
メタストア管理者ロールをグループに割り当てるには:
- アカウント管理者として、アカウントコンソールにログインします。
[カタログ] をクリックします。- メタストアの名前をクリックして、そのプロパティを開きます。
- メタストア管理者 で、 編集 をクリックします。
- ドロップダウンからグループを選択します。 フィールドにテキストを入力して、オプションを検索できます。
- [ 保存 ]をクリックします。
メタストア管理者の割り当ての変更がアカウントに反映されるまでに最大 30 秒かかる場合があり、一部のワークスペースでは他のワークスペースよりも有効になるまでに時間がかかる場合があります。 この遅延は、キャッシングプロトコルによるものです。