メインコンテンツまでスキップ

Unity Catalog の特権とセキュリティ保護可能なオブジェクト

この記事では、Unity Catalog のセキュリティ保護可能なオブジェクトと、それらに適用される特権について説明します。 Unity Catalog で特権を付与する方法については 、「特権の表示、付与、取り消し」を参照してください。

注記

この記事では、Privilege Model バージョン 1.0 の Unity Catalog の特権と継承モデルについて説明します。 パブリック プレビュー中 (2022 年 8 月 25 日より前) に Unity Catalog メタストアを作成した場合は、現在の継承モデルをサポートしていない以前の特権モデルを使用している可能性があります。 Privilege Model バージョン 1.0 にアップグレードして、特権の継承を取得できます。 「特権の継承へのアップグレード」を参照してください。

Unity Catalog のセキュリティ保護可能なオブジェクト

セキュリティ保護可能なオブジェクトは、Unity Catalogメタストアで定義され、プリンシパル(ユーザー、サービスプリンシパル、またはグループ)に権限を付与できるオブジェクトです。Unity Catalog内のセキュリティ保護可能なオブジェクトは階層構造です。

Unityカタログのオブジェクト階層

セキュリティ保護対象オブジェクトには次のものがあります。

  • METASTORE :メタデータのトップレベルコンテナです。各Unity Catalogメタストアでは、データを整理する3つのレベルの名前空間(catalogschematable)が公開されます。

    メタストアの権限を管理する場合は、SQLコマンドにメタストア名を含めません。Unity Catalogは、ワークスペースにアタッチされたメタストアに対して権限を付与または取り消します。たとえば、次のコマンドは、 engineering という名前のグループに、ワークスペースにアタッチされたメタストアにカタログを作成する能力を付与します。

    SQL
    GRANT CREATE CATALOG ON METASTORE TO engineering
  • CATALOG :データ資産を整理するために使用されるオブジェクト階層の最初のレイヤー。 フォーリンカタログ は、レイクハウスフェデレーションシナリオで外部データシステム内のデータベースをミラーリングする特別なカタログタイプです。

  • SCHEMA :データベースとも呼ばれます。オブジェクト階層の第2層であり、テーブルとビューが格納されます。

  • TABLE: オブジェクト階層の最下位レベル(マネージドテーブル、外部テーブル、フォーリンテーブル、ストリーミングテーブル、online tables、特徴量テーブルなど)。 「テーブルとは」を参照してください。

  • VIEW :スキーマに含まれる1つ以上のテーブルに対するクエリーから作成された読み取り専用オブジェクトです。

  • MATERIALIZED VIEW :スキーマ内に含まれる1つ以上のテーブルに対するクエリーから作成されたオブジェクト。その結果には、最後に更新されたときのデータの状態が反映されます。

  • VOLUME :オブジェクト階層の最下位レベルであるボリュームは、 外部 (選択したクラウドストレージの外部ロケーションに格納)または 管理 (Databricks用に明示的に作成したクラウドストレージ内のストレージコンテナーに格納される)にすることができます。

  • FUNCTION: スキーマ内に含まれる ユーザー定義関数 または MLflow 登録モデル

  • モデル : MLflow に登録されたモデルは 、特定の種類の関数です。 モデルはカタログ エクスプローラで他の関数とは別にリストされますが、SQL を使用してモデルに対する権限を付与する場合は、 GRANT ON FUNCTIONを使用します。

  • EXTERNAL LOCATION :ストレージ資格情報への参照と、Unity Catalogメタストア内に含まれるクラウドストレージパスを含むオブジェクト。

  • サービス CREDENTIAL: 外部サービスへのアクセスを提供する長期的なクラウド資格情報をカプセル化するオブジェクト。 Unity Catalogメタストアに含まれています。

  • STORAGE CREDENTIAL :Unity Catalogメタストアに含まれるクラウドストレージにアクセスするための長期的なクラウド資格情報をカプセル化するオブジェクト。

  • CONNECTION :レイクハウスフェデレーションシナリオで外部データベースシステムにアクセスするためのパスと資格情報を指定するオブジェクト。

  • SHARE :Delta Sharingを使用して共有するテーブルの論理グループ。共有はUnity Catalogメタストア内に含まれます。

  • RECIPIENT :Delta Sharingを使用してデータを共有できる組織またはユーザーグループを識別するオブジェクト。これらのオブジェクトはUnity Catalogメタストア内に含まれています。

  • PROVIDER :Delta Sharingを使用してデータを共有できるようにした組織を表すオブジェクト。これらのオブジェクトはUnity Catalogメタストア内に含まれています。

  • CLEAN ROOM :Databricksによって管理される、セキュアでプライバシーが保護された環境を表すオブジェクトで、複数の関係者が互いのデータに直接アクセスすることなくコラボレーションすることができます。

Unity Catalog のセキュリティ保護可能なオブジェクト別の特権の種類

次の表に、Unity Catalog の各セキュリティ保護可能なオブジェクトに適用される特権の種類を示します。 Unity Catalog で特権を付与する方法については 、「特権の表示、付与、取り消し」を参照してください。

セキュリティ保護可能

権限

METASTORE

CREATE CATALOGCREATE CLEAN ROOM, CREATE CONNECTION, CREATE EXTERNAL LOCATION, CREATE PROVIDER, CREATE RECIPIENT, CREATE SHARE, CREATE SERVICE CREDENTIAL, CREATE STORAGE CREDENTIAL, SET SHARE PERMISSION, USE MARKETPLACE ASSETS, USE PROVIDER, USE RECIPIENT, USE SHARE

CATALOG

ALL PRIVILEGESAPPLY TAGBROWSECREATE SCHEMAUSE CATALOG

すべてのユーザーは、デフォルトでmainカタログにUSE CATALOGを持っています。

以下の権限タイプは、カタログ内の保護可能なオブジェクトに適用されます。これらの特権をカタログレベルで付与して、カタログ内の現在および将来のオブジェクトに適用することができます。

CREATE FUNCTION, CREATE TABLE, CREATE MATERIALIZED VIEW, CREATE MODEL, CREATE VOLUME, EXTERNAL USE SCHEMA, READ VOLUME, REFRESH, WRITE VOLUME, EXECUTE, MANAGE, MODIFY, SELECT, USE SCHEMA

SCHEMA

ALL PRIVILEGESAPPLY TAGCREATE FUNCTIONCREATE TABLECREATE MODELCREATE VOLUMECREATE MATERIALIZED VIEWMANAGEEXTERNAL USE SCHEMAUSE SCHEMA

以下の権限タイプは、スキーマ内のセキュリティ保護可能なオブジェクトに適用されます。これらの権限をスキーマレベルで付与して、スキーマ内の現在および将来のオブジェクトに適用できます。

EXECUTEMODIFYREAD VOLUMEREFRESHSELECTWRITE VOLUME

TABLE

ALL PRIVILEGESAPPLY TAGMANAGEMODIFYSELECT

マテリアライズドビュー

ALL PRIVILEGESAPPLY TAGMANAGEREFRESHSELECT

VIEW

ALL PRIVILEGESAPPLY TAGMANAGESELECT

VOLUME

ALL PRIVILEGESMANAGEREAD VOLUMEWRITE VOLUME

EXTERNAL LOCATION

ALL PRIVILEGES, BROWSE, CREATE EXTERNAL TABLE, CREATE EXTERNAL VOLUME, CREATE FOREIGN SECURABLE, MANAGE, READ FILES, WRITE FILES, CREATE MANAGED STORAGE

サービス資格情報

ALL PRIVILEGESACCESSCREATE CONNECTIONMANAGE

STORAGE CREDENTIAL

ALL PRIVILEGESCREATE EXTERNAL LOCATIONCREATE EXTERNAL TABLEMANAGEREAD FILESWRITE FILES

CONNECTION

ALL PRIVILEGESCREATE FOREIGN CATALOGMANAGEUSE CONNECTION

FUNCTION

ALL PRIVILEGESAPPLY TAG (モデルのみ)、 EXECUTEMANAGECREATE MODEL VERSION (モデルのみ)

モデル

登録モデルは機能の一種です。

SHARE

SELECTRECIPIENTに付与可能)

RECIPIENT

なし

PROVIDER

なし

クリーンルーム

ALL PRIVILEGESBROWSEEXECUTE CLEAN ROOM TASKMANAGEMODIFY CLEAN ROOM

一般的な Unity Catalog の特権の種類

このセクションでは、Unity Catalog に一般的に適用される特権の種類について詳しく説明します。 Unity Catalog で特権を付与する方法については 、「特権の表示、付与、取り消し」を参照してください。

すべての特権

適用可能なオブジェクトタイプ: CATALOGEXTERNAL LOCATIONSERVICE CREDENTIALSTORAGE CREDENTIALSCHEMAFUNCTION (モデルを含む) TABLEMATERIALIZED VIEWVIEW, VOLUME

セキュリティ保護可能なオブジェクトとその子オブジェクトに適用されるすべての権限を、明示的に指定せずに付与または取り消すために使用されます。

オブジェクトに対するALL PRIVILEGESが付与された場合、付与された時点で適用可能な各権限が個別にユーザーに付与されるのではなく、権限チェックが行われた時点で使用可能なすべての権限として展開されます。つまり、Databricksが新しい権限と新しいセキュリティ保護可能なオブジェクトをリリースすると、すでに付与されていたALL PRIVILEGESには、セキュリティ保護可能なオブジェクト、その既存の子オブジェクト、および新しい子オブジェクトに適用可能な新しい権限が自動的に含まれることになります。

ALL PRIVILEGESが取り消されると、ALL PRIVILEGES権限が取り消され、ユーザーに付与されたオブジェクトに対する明示的な権限もすべて取り消されます。

偶発的なデータ流出や特権の昇格を避けるため、 ALL PRIVILEGES には EXTERNAL USE SCHEMA 特権や MANAGE 特権は含まれていません。

注記

この権限は、階層の上位レベルに適用するとより強力になります。たとえば、「GRANT ALL PRIVILEGES ON CATALOG main TO analysts」では、カタログ内の既存および将来の保護可能なすべてのオブジェクトに対する既存および将来のすべての権限がアナリストチームに付与されます。

アクセス

適用可能なオブジェクトタイプ: SERVICE CREDENTIAL

ユーザーがサービスの資格情報を使用して、外部のサービスまたはサービスにアクセスできるようにします。

タグの適用

適用可能なオブジェクトタイプ: CATALOGSCHEMATABLEVOLUMEMATERIALIZED VIEWVIEWFUNCTION

ユーザーは、オブジェクトにタグを追加および編集できます。 テーブルまたはビューに APPLY TAG を付与すると、列のタグ付けも有効になります。 登録済みモデルに APPLY TAG を付与すると、モデル バージョンのタグ付けも有効になります。

ユーザーは親カタログ上でUSE CATALOG権限、親スキーマ上でUSE SCHEMA権限も持っている必要があります。

ブラウズする

適用可能なオブジェクトタイプ:CATALOGEXTERNAL LOCATIONCLEAN ROOM

備考

プレビュー

この機能は パブリック プレビュー段階です。

ユーザーが、カタログエクスプローラー、スキーマブラウザー、検索結果、リネージグラフ、information_schema、およびREST APIを使用してオブジェクトのメタデータを確認できるようにします。

ユーザーには、親カタログに対するUSE CATALOG権限や親スキーマに対するUSE SCHEMA権限は必要ありません。

カタログエクスプローラーを使用して作成された新しいカタログでは、デフォルトですべてのユーザーにBROWSE権限が付与されます。権限は必要に応じて取り消すことができます。SQL文、REST API、またはDatabricks CLIを使用して作成されたカタログでは、デフォルトでBROWSE権限が付与されません。明示的に付与する必要があります。

CREATE CATALOG

適用可能なオブジェクトタイプ: Unity Catalog メタストア

ユーザーは、 Unity Catalog メタストアにカタログを作成できます。 フォーリンカタログを作成するには、フォーリンカタログを含む接続またはメタストアに対する CREATE フォーリンカタログ 権限も必要です。

クリーンルームの作成

適用可能なオブジェクトタイプ: Unity Catalog メタストア

ユーザーは、基礎となるデータを共有することなく、他の組織とプロジェクトを安全にコラボレーションするためのクリーンルームを作成することができます。

CREATE CONNECTION

適用可能なオブジェクトタイプ: Unity Catalog メタストア、 SERVICE CREDENTIAL

ユーザーは、レイクハウスフェデレーションのシナリオで外部データベースへの接続を作成できます。 サービス資格情報を使用して接続を作成するには、ユーザーはメタストアとサービス資格情報の両方に対してこの特権を持っている必要があります。

外部ロケーションの作成

適用可能なオブジェクトタイプ: Unity Catalog メタストア、 STORAGE CREDENTIAL

外部ロケーションを作成するには、ユーザーがメタストアと外部ロケーションで参照されるストレージ資格情報の両方に対してこの権限を持っている必要があります。

外部テーブルの作成

適用可能なオブジェクトタイプ:EXTERNAL LOCATIONSTORAGE CREDENTIAL

ユーザーは、外部ロケーションまたはストレージ資格情報を使用して、クラウドテナントに外部テーブルを直接作成できます。Databricksでは、ストレージ資格情報ではなく外部ロケーションにこの特権を付与することをお勧めします(パスにスコープが設定されているため、ユーザーがクラウドテナントで外部テーブルを作成できる場所をより細かく制御できます)。

外部ボリュームの作成

適用可能なオブジェクトタイプ: EXTERNAL LOCATION

ユーザーは外部ロケーションを使用して外部ボリュームを作成できます。

CREATE フォーリンカタログ

適用可能なオブジェクトタイプ: CONNECTION

レイクハウスフェデレーションシナリオで、外部データベースへの接続を使用してフォーリンカタログを作成できるようにします。

外部担保付き保険を作成してください

適用可能なオブジェクトタイプ: EXTERNAL LOCATION

フォーリンカタログを作成しているユーザーは、外部ロケーションでカバーされる 許可パス を指定できます。

また、ユーザーは Unity Catalog メタストアにCREATE CATALOGを持ち、接続にCREATE FOREIGN CATALOGを持っている必要があります。

CREATE FUNCTION

適用可能なオブジェクトタイプ: SCHEMA

ユーザーがスキーマに関数を作成できるようにします。権限は継承されるため、カタログに対してCREATE FUNCTIONを付与することもできます。これにより、ユーザーはカタログ内の既存または将来のスキーマで関数を作成できます。

ユーザーは親カタログ上でUSE CATALOG権限、親スキーマ上でUSE SCHEMA権限も持っている必要があります。

モデルの作成

適用可能なオブジェクトタイプ: SCHEMA

ユーザーは、スキーマに MLflow 登録済みモデル (FUNCTION の一種) を作成できます。 権限は継承されるため、カタログに対して CREATE MODEL を付与することもでき、これにより、ユーザーはカタログ内の既存または将来のスキーマに登録されたモデルを作成できます。

ユーザーは親カタログ上でUSE CATALOG権限、親スキーマ上でUSE SCHEMA権限も持っている必要があります。

モデル バージョンの作成

適用可能なオブジェクトタイプ: MODEL

ユーザーは、 MLflow 登録されたモデル (FUNCTION の一種) の新しいバージョンを登録できるようにします。 モデル バージョンに対してタグを実行、変更、または追加する権限をユーザーに付与しません。

ユーザーは親カタログ上でUSE CATALOG権限、親スキーマ上でUSE SCHEMA権限も持っている必要があります。

管理ストレージの作成

適用可能なオブジェクトタイプ: EXTERNAL LOCATION

ユーザーは、カタログまたはスキーマレベルでマネージドテーブルを格納する場所を指定し、メタストアのデフォルトのルートストレージをオーバーライドできます。

CREATE SCHEMA

適用可能なオブジェクトタイプ: CATALOG

ユーザーがスキーマを作成できるようにします。ユーザーは、カタログに対するUSE CATALOG権限も持っている必要があります。

サービス資格情報の作成

適用可能なオブジェクトタイプ: Unity Catalog メタストア

ユーザーは、 Unity Catalog メタストアにサービス資格情報を作成できます。

ストレージ証明書を作成してください

適用可能なオブジェクトタイプ: Unity Catalog メタストア

ユーザーがUnity Catalogメタストアにストレージ資格情報を作成できるようにします。

CREATE TABLE

適用可能なオブジェクトタイプ: SCHEMA

ユーザーがスキーマにテーブルやビューを作成できるようにします。権限は継承されるため、カタログに対するCREATE TABLEを付与することもできます。これにより、ユーザーはカタログ内の既存または将来のスキーマでテーブルやビューを作成できます。

ユーザーは、親カタログに対するUSE CATALOG権限と、親スキーマに対するUSE SCHEMA権限も持っている必要があります。

CREATE MATERIALIZED VIEW

適用可能なオブジェクトタイプ: SCHEMA

ユーザーがスキーマにマテリアライズドビューを作成できるようにします。権限は継承されるため、カタログに対するCREATE MATERIALIZED VIEWを付与することもできます。これにより、ユーザーはカタログ内の既存または将来のスキーマでテーブルやビューを作成できます。

ユーザーは、親カタログに対するUSE CATALOG権限と、親スキーマに対するUSE SCHEMA権限も持っている必要があります。

CREATE VOLUME

適用可能なオブジェクトタイプ: SCHEMA

ユーザーがスキーマにボリュームを作成できるようにします。権限は継承されるため、カタログに対してCREATE VOLUMEを付与することもできます。これにより、ユーザーはカタログ内の既存または将来のスキーマでボリュームを作成できます。

また、ユーザーは、ボリュームの親カタログに対するUSE CATALOG権限と、その親スキーマに対するUSE SCHEMA権限も持っている必要があります。

実行する

適用可能なオブジェクトタイプ: FUNCTION、モデル

ユーザーが親カタログに対するUSE CATALOG、親スキーマに対するUSE SCHEMAを持っている場合、ユーザーがユーザー定義関数を呼び出したり、推論用のモデルをロードしたりできるようにします。関数の場合、EXECUTEは関数定義とメタデータを表示する権限を付与します。登録済みモデルの場合、EXECUTEは、登録済みモデルの全バージョンのメタデータを閲覧し、モデルファイルをダウンロードする権限を付与します。

権限は継承されるため、カタログまたはスキーマに対するEXECUTE権限をユーザーに付与すると、カタログまたはスキーマ内の現在および将来のすべての機能に対するEXECUTE権限が自動的にユーザーに付与されます。

クリーンルームタスクの実行

適用可能なオブジェクトタイプ: CLEAN ROOM

ユーザーがクリーンルーム内でタスク(ノートブック)を実行できるようにします。また、ユーザーがクリーンルームの詳細を表示できるようにもします。

外部 USE SCHEMA

適用可能なオブジェクトタイプ: SCHEMA

Unity CatalogUnity CatalogOpenAPIs または を使用して、外部処理エンジンから テーブルにアクセスするための一時的な資格情報をユーザーに付与できます。IcebergRESTAPIs

この権限を付与できるのは、カタログの所有者だけです。

偶発的なデータ流出を防ぐため、 ALL PRIVILEGES には EXTERNAL USE SCHEMA 権限が含まれておらず、スキーマの所有者にはデフォルトでこの権限がありません。

「Unity Catalog への外部データ アクセスを有効にする」を参照してください。

取り締まる

適用可能なオブジェクトタイプ: CATALOGEXTERNAL LOCATIONSERVICE CREDENTIALSTORAGE CREDENTIALSCHEMAFUNCTION (モデルを含む)、 CONNECTIONTABLEMATERIALIZED VIEWVIEW, VOLUMECLEAN ROOM

備考

プレビュー

この機能は パブリック プレビュー段階です。

ユーザーは、権限の表示と管理、所有権の譲渡、オブジェクトの削除、および名前の変更を行うことができます。 MANAGE はオブジェクトの所有権と似ていますが、 MANAGE 権限を持つユーザーには、そのオブジェクトに対するすべての権限が自動的に付与されるわけではありません (ただし、自分自身に権限を付与することはできます)。

また、ユーザーは、オブジェクトの親カタログに対する USE CATALOG 権限と、その親スキーマに対する USE SCHEMA 権限も必要です。

ALL PRIVILEGES MANAGE権限は含まれません

許可リストの管理

適用可能なオブジェクトタイプ: Unity Catalog メタストア

ユーザーは、標準アクセスモードでUnity Catalog対応クラスターを管理する許可リスト内のinitスクリプト、JAR、および Maven 座標のパスを追加または変更できます。 Allowlist ライブラリと initスクリプト on 標準アクセスモード (旧称 Shared Access Mode) のコンピュートを参照してください。

修正します

適用可能なオブジェクトタイプ: TABLE

ユーザーがテーブルに対してSELECT、親カタログに対してUSE CATALOG、親スキーマに対してUSE SCHEMAを持っている場合、そのユーザーはテーブルのデータを追加、更新、削除できます。

権限は継承されるため、カタログまたはスキーマに対するMODIFY権限をユーザーに付与すると、カタログまたはスキーマ内の現在および将来のすべてのテーブルに対するMODIFY権限が自動的にユーザーに付与されます。

注記

MODIFY フォーリンテーブルは読み取り専用であるため、フォーリンテーブルで付与することはできません。

クリーンルームの変更

適用可能なオブジェクトタイプ: CLEAN ROOM

ユーザーが、データ資産の追加と削除、ノートブックの追加と削除、コメントの更新など、クリーンルームを更新できるようにします。また、ユーザーがクリーンルームの詳細を表示できるようにもします。

ファイルの読み取り

適用可能なオブジェクトタイプ: EXTERNAL LOCATION

Databricks では、ボリュームと READ VOLUME 特権を使用して、クラウド オブジェクト ストレージ内のデータへの読み取りアクセスを管理することをお勧めします。

READ FILES ユーザーは、外部ロケーションとして構成された Cloud Object Storage からファイルを直接読み取ることができます。 詳細については 、「外部ロケーション、外部テーブル、および外部ボリュームの管理」を参照してください。

読み取りボリューム

適用可能なオブジェクトタイプ: VOLUME

ユーザーが親カタログに対してUSE CATALOG、親スキーマに対してUSE SCHEMAを持っている場合、そのユーザーはボリューム内に格納されているファイルとディレクトリを読み取ることができます。

権限は継承されます。ユーザーにカタログまたはスキーマに対するREAD VOLUME権限を付与できる場合、そのユーザーにはカタログまたはスキーマ内の現在および将来のすべてのボリューム対するREAD VOLUME権限が自動的に付与されます。

REFRESH

適用可能なオブジェクトタイプ: MATERIALIZED VIEW

ユーザーが親カタログに対するUSE CATALOG、親スキーマに対するUSE SCHEMAを持っている場合、そのユーザーがマテリアライズドビューを更新できるようにします。

権限は継承されます。カタログまたはスキーマに対するREFRESH権限をユーザーに付与する場合、そのユーザーにはカタログまたはスキーマ内の現在および将来のすべてのマテリアライズドビュー対するREFRESH権限が自動的に付与されます。

選択してください

適用可能なオブジェクトタイプ:TABLEVIEWMATERIALIZED VIEWSHARE

テーブルまたはビューに適用すると、ユーザーが親カタログに対してUSE CATALOG、親スキーマに対してUSE SCHEMA持っている場合、そのユーザーはテーブルまたはビューから選択できるようになります。共有に適用すると、受信者が共有から選択できるようになります。

権限は継承されるため、カタログまたはスキーマに対するSELECT権限をユーザーに付与すると、カタログまたはスキーマ内の現在および将来のすべてのテーブルおよびビューに対するSELECT権限が自動的にユーザーに付与されます。

USE CATALOG

適用可能なオブジェクトタイプ: CATALOG

この権限はカタログ自体へのアクセスを許可するものではありませんが、ユーザーがカタログ内の任意のオブジェクトを操作するために必要です。たとえば、テーブルからデータを選択するには、ユーザーはそのテーブルに対するSELECT権限と、その親カタログに対するUSE CATALOG権限、さらにその親スキーマに対するUSE SCHEMA権限を持っている必要があります。

これは、カタログの所有者が、個々のスキーマとテーブルの所有者が生成するデータを共有できる範囲を制限できるようにする場合に便利です。たとえば、テーブルの所有者が別のユーザーにSELECT権限を付与する場合、そのユーザーには、親カタログに対するUSE CATALOG権限と親スキーマに対するUSE SCHEMA権限も付与されていない限り、テーブルへの読み取りアクセスは許可されません。

ユーザーがそのカタログに対するBROWSE権限を持っている場合、オブジェクトのメタデータを読み取るために親カタログに対するUSE CATALOG権限は必要ありません。

接続を使用する

適用可能なオブジェクトタイプ: CONNECTION

ユーザーは、レイクハウスフェデレーションシナリオで外部データベースへの接続に関する詳細を一覧表示および表示できます。接続のフォーリンカタログを作成するには、接続に対するCREATE FOREIGN CATALOGまたは接続の所有権が必要です。

USE SCHEMA

適用可能なオブジェクトタイプ: SCHEMA

この権限はスキーマ自体へのアクセスを許可するものではありませんが、ユーザーがスキーマ内の任意のオブジェクトを操作するために必要です。たとえば、テーブルからデータを選択するには、ユーザーはそのテーブルに対するSELECT権限と、その親スキーマに対するUSE SCHEMA権限と、その親カタログに対するUSE CATALOGを持っている必要があります。

権限は継承されるため、カタログに対するUSE SCHEMA権限をユーザーに付与すると、カタログ内の現在および将来のすべてのスキーマに対するUSE SCHEMA権限が自動的にユーザーに付与されます。

ユーザーがそのスキーマまたはその親カタログに対するBROWSE権限を持っている場合、オブジェクトのメタデータを読み取るために親スキーマに対するUSE SCHEMA権限は必要ありません。

ファイルを書き込む

適用可能なオブジェクトタイプ: EXTERNAL LOCATION

Databricks では、ボリュームと WRITE VOLUME 特権を使用して、クラウド オブジェクト ストレージ内のデータへの書き込みアクセスを管理することをお勧めします。

WRITE FILES ユーザーは、外部ロケーションとして構成された Cloud Object Storage にファイルを直接書き込むことができます。 詳細については 、「外部ロケーション、外部テーブル、および外部ボリュームの管理」を参照してください。

書き込みボリューム

適用可能なオブジェクトタイプ: VOLUME

ユーザーがボリュームの親カタログに対してUSE CATALOG、親スキーマに対してUSE SCHEMAも持っている場合、そのユーザーはボリューム内に格納されているファイルとディレクトリを追加、削除、または変更できます。

権限は継承されます。ユーザーにカタログまたはスキーマに対するWRITE VOLUME権限を付与できる場合、そのユーザーにはカタログまたはスキーマ内の現在および将来のすべてのボリューム対するWRITE VOLUME権限が自動的に付与されます。

Delta Sharing または Databricks Marketplace にのみ適用される特権の種類

このセクションでは、Delta Sharingにのみ適用される権限タイプについて詳しく説明します。

プロバイダーの作成

適用可能なオブジェクトタイプ: Unity Catalog メタストア

ユーザーは、メタストアに Delta Sharing プロバイダー オブジェクトを作成できます。 プロバイダーは、Delta Sharing を使用してデータを共有している組織またはユーザーのグループを識別します。 プロバイダーの作成は、受信者の Databricks アカウントのユーザーによって実行されます。 「Delta Sharing とは」を参照してください。

CREATE RECIPIENT

適用可能なオブジェクトタイプ: Unity Catalog メタストア

ユーザーは、メタストアに Delta Sharing 受信者オブジェクトを作成できます。 受信者は、Delta Sharing を使用してデータを共有できる組織またはユーザーのグループを識別します。 受信者の作成は、プロバイダーの Databricks アカウントのユーザーによって実行されます。 「Delta Sharing とは」を参照してください。

CREATE SHARE

適用可能なオブジェクトタイプ: Unity Catalog メタストア

ユーザーはメタストアに共有を作成できます。共有は、Delta Sharingを使用して共有するテーブルの論理グループです

SET 共有権限

適用可能なオブジェクトタイプ: Unity Catalog メタストア

Delta Sharingでは、この権限をUSE SHAREおよびUSE RECIPIENT(または受信者の所有権)と組み合わせることで、プロバイダーユーザーが受信者に共有へのアクセスを許可できるようになります。USE SHAREと組み合わせると、共有の所有権を別のユーザー、グループ、またはサービスプリンシパルに譲渡できるようになります。

マーケットプレイスアセットを使用する

適用可能なオブジェクトタイプ: Unity Catalog メタストア

すべてのUnity Catalogメタストアに対してデフォルトで有効になっています。 Databricks Marketplaceでは、この権限により、ユーザーはMarketplaceのリストで共有されているデータ製品に即座にアクセスしたり、アクセスを要求したりすることができます。また、プロバイダーがデータ製品を共有するときに作成される読み取り専用カタログにユーザーがアクセスすることもできます。この権限がない場合、ユーザーにはCREATE CATALOG権限とUSE PROVIDER権限、またはメタストア管理者ロールが必要になります。これにより、これらの強力な権限を持つユーザーの数を制限できます。

プロバイダーを使用する

適用可能なオブジェクトタイプ: Unity Catalog メタストア

Delta Sharingでは、受信者ユーザーに、受信者のメタストア内のすべてのプロバイダーとその共有への読み取り専用アクセス権を付与します。CREATE CATALOG権限と組み合わせると、この権限により、メタストア管理者ではない受信者ユーザーでも共有をカタログとしてマウントできるようになります。これにより、強力なメタストア管理者ロールを持つユーザーの数を制限できます。

受信者を使う

適用可能なオブジェクトタイプ: Unity Catalog メタストア

Delta Sharingでは、プロバイダーのユーザーに、プロバイダーのメタストア内のすべての受信者とその共有への読み取り専用アクセス権を付与します。これにより、メタストア管理者ではないプロバイダーユーザーでも、受信者の詳細、受信者の認証ステータス、プロバイダーが受信者と共有した共有のリストを見ることができます。

Databricks Marketplace では、これにより、プロバイダー ユーザーはプロバイダー コンソールでリストとコンシューマー要求を表示できます。

シェアを使う

適用可能なオブジェクトタイプ: Unity Catalog メタストア

Delta Sharingでは、プロバイダーメタストアで定義されているすべての共有に対する読み取り専用アクセス権をプロバイダーユーザーに付与します。これにより、メタストア管理者ではないプロバイダーユーザーでも、共有の受信者と共に、共有を一覧表示したり、共有内の資産(テーブルとノートブック)を一覧表示したりできます。

Databricks Marketplace では、これにより、プロバイダー ユーザーはリストで共有されているデータの詳細を表示できます。