Unity Catalog の特権とセキュリティ保護可能なオブジェクト
この記事では、Unity Catalog のセキュリティ保護可能なオブジェクトと、それらに適用される特権について説明します。 Unity Catalog で特権を付与する方法については 、「特権の表示、付与、取り消し」を参照してください。
この記事では、Privilege Model バージョン 1.0 の Unity Catalog の特権と継承モデルについて説明します。 パブリック プレビュー中 (2022 年 8 月 25 日より前) に Unity Catalog メタストアを作成した場合は、現在の継承モデルをサポートしていない以前の特権モデルを使用している可能性があります。 Privilege Model バージョン 1.0 にアップグレードして、特権の継承を取得できます。 「特権の継承へのアップグレード」を参照してください。
Unity Catalog のセキュリティ保護可能なオブジェクト
セキュリティ保護可能なオブジェクトは、Unity Catalogメタストアで定義され、プリンシパル(ユーザー、サービスプリンシパル、またはグループ)に権限を付与できるオブジェクトです。Unity Catalog内のセキュリティ保護可能なオブジェクトは階層構造です。
セキュリティ保護対象オブジェクトには次のものがあります。
-
METASTORE :メタデータのトップレベルコンテナです。各Unity Catalogメタストアでは、データを整理する3つのレベルの名前空間(
catalog
、schema
、table
)が公開されます。メタストアの権限を管理する場合は、SQLコマンドにメタストア名を含めません。Unity Catalogは、ワークスペースにアタッチされたメタストアに対して権限を付与または取り消します。たとえば、次のコマンドは、 engineering という名前のグループに、ワークスペースにアタッチされたメタストアにカタログを作成する能力を付与します。
SQLGRANT CREATE CATALOG ON METASTORE TO engineering
-
CATALOG :データ資産を整理するために使用されるオブジェクト階層の最初のレイヤー。 フォーリンカタログ は、レイクハウスフェデレーションシナリオで外部データシステム内のデータベースをミラーリングする特別なカタログタイプです。
-
SCHEMA :データベースとも呼ばれます。オブジェクト階層の第2層であり、テーブルとビューが格納されます。
-
TABLE: オブジェクト階層の最下位レベル(マネージドテーブル、外部テーブル、フォーリンテーブル、ストリーミングテーブル、online tables、特徴量テーブルなど)。 「テーブルとは」を参照してください。
-
VIEW :スキーマに含まれる1つ以上のテーブルに対するクエリーから作成された読み取り専用オブジェクトです。
-
MATERIALIZED VIEW :スキーマ内に含まれる1つ以上のテーブルに対するクエリーから作成されたオブジェクト。その結果には、最後に更新されたときのデータの状態が反映されます。
-
VOLUME :オブジェクト階層の最下位レベルであるボリュームは、 外部 (選択したクラウドストレージの外部ロケーションに格納)または 管理 (Databricks用に明示的に作成したクラウドストレージ内のストレージコンテナーに格納される)にすることができます。
-
FUNCTION: スキーマ内に含まれる ユーザー定義関数 または MLflow 登録モデル 。
-
モデル : MLflow に登録されたモデルは 、特定の種類の関数です。 モデルはカタログ エクスプローラで他の関数とは別にリストされますが、SQL を使用してモデルに対する権限を付与する場合は、
GRANT ON FUNCTION
を使用します。 -
EXTERNAL LOCATION :ストレージ資格情報への参照と、Unity Catalogメタストア内に含まれるクラウドストレージパスを含むオブジェクト。
-
サービス CREDENTIAL: 外部サービスへのアクセスを提供する長期的なクラウド資格情報をカプセル化するオブジェクト。 Unity Catalogメタストアに含まれています。
-
STORAGE CREDENTIAL :Unity Catalogメタストアに含まれるクラウドストレージにアクセスするための長期的なクラウド資格情報をカプセル化するオブジェクト。
-
CONNECTION :レイクハウスフェデレーションシナリオで外部データベースシステムにアクセスするためのパスと資格情報を指定するオブジェクト。
-
SHARE :Delta Sharingを使用して共有するテーブルの論理グループ。共有はUnity Catalogメタストア内に含まれます。
-
RECIPIENT :Delta Sharingを使用してデータを共有できる組織またはユーザーグループを識別するオブジェクト。これらのオブジェクトはUnity Catalogメタストア内に含まれています。
-
PROVIDER :Delta Sharingを使用してデータを共有できるようにした組織を表すオブジェクト。これらのオブジェクトはUnity Catalogメタストア内に含まれています。
-
CLEAN ROOM :Databricksによって管理される、セキュアでプライバシーが保護された環境を表すオブジェクトで、複数の関係者が互いのデータに直接アクセスすることなくコラボレーションすることができます。
Unity Catalog のセキュリティ保護可能なオブジェクト別の特権の種類
次の表に、Unity Catalog の各セキュリティ保護可能なオブジェクトに適用される特権の種類を示します。 Unity Catalog で特権を付与する方法については 、「特権の表示、付与、取り消し」を参照してください。
セキュリティ保護可能 | 権限 |
---|---|
METASTORE |
|
CATALOG |
すべてのユーザーは、デフォルトで 以下の権限タイプは、カタログ内の保護可能なオブジェクトに適用されます。これらの特権をカタログレベルで付与して、カタログ内の現在および将来のオブジェクトに適用することができます。
|
SCHEMA |
以下の権限タイプは、スキーマ内のセキュリティ保護可能なオブジェクトに適用されます。これらの権限をスキーマレベルで付与して、スキーマ内の現在および将来のオブジェクトに適用できます。
|
TABLE |
|
マテリアライズドビュー |
|
VIEW |
|
VOLUME |
|
EXTERNAL LOCATION |
|
サービス資格情報 |
|
STORAGE CREDENTIAL |
|
CONNECTION |
|
FUNCTION |
|
モデル | 登録モデルは機能の一種です。 |
SHARE |
|
RECIPIENT | なし |
PROVIDER | なし |
クリーンルーム |
|
一般的な Unity Catalog の特権の種類
このセクションでは、Unity Catalog に一般的に適用される特権の種類について詳しく説明します。 Unity Catalog で特権を付与する方法については 、「特権の表示、付与、取り消し」を参照してください。
すべての特権
適用可能なオブジェクトタイプ: CATALOG
、 EXTERNAL LOCATION
、 SERVICE CREDENTIAL
、 STORAGE CREDENTIAL
、 SCHEMA
、 FUNCTION
(モデルを含む) TABLE
、 MATERIALIZED VIEW
、 VIEW,
VOLUME
セキュリティ保護可能なオブジェクトとその子オブジェクトに適用されるすべての権限を、明示的に指定せずに付与または取り消すために使用されます。
オブジェクトに対するALL PRIVILEGES
が付与された場合、付与された時点で適用可能な各権限が個別にユーザーに付与されるのではなく、権限チェックが行われた時点で使用可能なすべての権限として展開されます。つまり、Databricksが新しい権限と新しいセキュリティ保護可能なオブジェクトをリリースすると、すでに付与されていたALL PRIVILEGES
には、セキュリティ保護可能なオブジェクト、その既存の子オブジェクト、および新しい子オブジェクトに適用可能な新しい権限が自動的に含まれることになります。
ALL PRIVILEGES
が取り消されると、ALL PRIVILEGES
権限が取り消され、ユーザーに付与されたオブジェクトに対する明示的な権限もすべて取り消されます。
偶発的なデータ流出や特権の昇格を避けるため、 ALL PRIVILEGES
には EXTERNAL USE SCHEMA
特権や MANAGE
特権は含まれていません。
この権限は、階層の上位レベルに適用するとより強力になります。たとえば、「GRANT ALL PRIVILEGES ON CATALOG main TO analysts
」では、カタログ内の既存および将来の保護可能なすべてのオブジェクトに対する既存および将来のすべての権限がアナリストチームに付与されます。
アクセス
適用可能なオブジェクトタイプ: SERVICE CREDENTIAL
ユーザーがサービスの資格情報を使用して、外部のサービスまたはサービスにアクセスできるようにします。
タグの適用
適用可能なオブジェクトタイプ: CATALOG
、 SCHEMA
、 TABLE
、 VOLUME
、 MATERIALIZED VIEW
、 VIEW
、 FUNCTION
ユーザーは、オブジェクトにタグを追加および編集できます。 テーブルまたはビューに APPLY TAG
を付与すると、列のタグ付けも有効になります。 登録済みモデルに APPLY TAG
を付与すると、モデル バージョンのタグ付けも有効になります。
ユーザーは親カタログ上でUSE CATALOG
権限、親スキーマ上でUSE SCHEMA
権限も持っている必要があります。
ブラウズする
適用可能なオブジェクトタイプ:CATALOG
、EXTERNAL LOCATION
、 CLEAN ROOM
プレビュー
この機能は パブリック プレビュー段階です。
ユーザーが、カタログエクスプローラー、スキーマブラウザー、検索結果、リネージグラフ、information_schema
、およびREST APIを使用してオブジェクトのメタデータを確認できるようにします。
ユーザーには、親カタログに対するUSE CATALOG
権限や親スキーマに対するUSE SCHEMA
権限は必要ありません。
カタログエクスプローラーを使用して作成された新しいカタログでは、デフォルトですべてのユーザーにBROWSE
権限が付与されます。権限は必要に応じて取り消すことができます。SQL文、REST API、またはDatabricks CLIを使用して作成されたカタログでは、デフォルトでBROWSE
権限が付与されません。明示的に付与する必要があります。
CREATE CATALOG
適用可能なオブジェクトタイプ: Unity Catalog メタストア
ユーザーは、 Unity Catalog メタストアにカタログを作成できます。 フォーリンカタログを作成するには、フォーリンカタログを含む接続またはメタストアに対する CREATE フォーリンカタログ 権限も必要です。
クリーンルームの作成
適用可能なオブジェクトタイプ: Unity Catalog メタストア
ユーザーは、基礎となるデータを共有することなく、他の組織とプロジェクトを安全にコラボレーションするためのクリーンルームを作成することができます。
CREATE CONNECTION
適用可能なオブジェクトタイプ: Unity Catalog メタストア、 SERVICE CREDENTIAL
ユーザーは、レイクハウスフェデレーションのシナリオで外部データベースへの接続を作成できます。 サービス資格情報を使用して接続を作成するには、ユーザーはメタストアとサービス資格情報の両方に対してこの特権を持っている必要があります。
外部ロケーションの作成
適用可能なオブジェクトタイプ: Unity Catalog メタストア、 STORAGE CREDENTIAL
外部ロケーションを作成するには、ユーザーがメタストアと外部ロケーションで参照されるストレージ資格情報の両方に対してこの権限を持っている必要があります。
外部テーブルの作成
適用可能なオブジェクトタイプ:EXTERNAL LOCATION
、 STORAGE CREDENTIAL
ユーザーは、外部ロケーションまたはストレージ資格情報を使用して、クラウドテナントに外部テーブルを直接作成できます。Databricksでは、ストレージ資格情報ではなく外部ロケーションにこの特権を付与することをお勧めします(パスにスコープが設定されているため、ユーザーがクラウドテナントで外部テーブルを作成できる場所をより細かく制御できます)。
外部ボリュームの作成
適用可能なオブジェクトタイプ: EXTERNAL LOCATION
ユーザーは外部ロケーションを使用して外部ボリュームを作成できます。
CREATE フォーリンカタログ
適用可能なオブジェクトタイプ: CONNECTION
レイクハウスフェデレーションシナリオで、外部データベースへの接続を使用してフォーリンカタログを作成できるようにします。
外部担保付き保険を作成してください
適用可能なオブジェクトタイプ: EXTERNAL LOCATION
フォーリンカタログを作成しているユーザーは、外部ロケーションでカバーされる 許可パス を指定できます。
また、ユーザーは Unity Catalog メタストアにCREATE CATALOG
を持ち、接続にCREATE FOREIGN CATALOG
を持っている必要があります。
CREATE FUNCTION
適用可能なオブジェクトタイプ: SCHEMA
ユーザーがスキーマに関数を作成できるようにします。権限は継承されるため、カタログに対してCREATE FUNCTION
を付与することもできます。これにより、ユーザーはカタログ内の既存または将来のスキーマで関数を作成できます。
ユーザーは親カタログ上でUSE CATALOG
権限、親スキーマ上でUSE SCHEMA
権限も持っている必要があります。
モデルの作成
適用可能なオブジェクトタイプ: SCHEMA
ユーザーは、スキーマに MLflow 登録済みモデル (FUNCTION の一種) を作成できます。 権限は継承されるため、カタログに対して CREATE MODEL
を付与することもでき、これにより、ユーザーはカタログ内の既存または将来のスキーマに登録されたモデルを作成できます。
ユーザーは親カタログ上でUSE CATALOG
権限、親スキーマ上でUSE SCHEMA
権限も持っている必要があります。
モデル バージョンの作成
適用可能なオブジェクトタイプ: MODEL
ユーザーは、 MLflow 登録されたモデル (FUNCTION の一種) の新しいバージョンを登録できるようにします。 モデル バージョンに対してタグを実行、変更、または追加する権限をユーザーに付与しません。
ユーザーは親カタログ上でUSE CATALOG
権限、親スキーマ上でUSE SCHEMA
権限も持っている必要があります。
管理ストレージの作成
適用可能なオブジェクトタイプ: EXTERNAL LOCATION
ユーザーは、カタログまたはスキーマレベルでマネージドテーブルを格納する場所を指定し、メタストアのデフォルトのルートストレージをオーバーライドできます。
CREATE SCHEMA
適用可能なオブジェクトタイプ: CATALOG
ユーザーがスキーマを作成できるようにします。ユーザーは、カタログに対するUSE CATALOG
権限も持っている必要があります。
サービス資格情報の作成
適用可能なオブジェクトタイプ: Unity Catalog メタストア
ユーザーは、 Unity Catalog メタストアにサービス資格情報を作成できます。
ストレージ証明書を作成してください
適用可能なオブジェクトタイプ: Unity Catalog メタストア
ユーザーがUnity Catalogメタストアにストレージ資格情報を作成できるようにします。
CREATE TABLE
適用可能なオブジェクトタイプ: SCHEMA
ユーザーがスキーマにテーブルやビューを作成できるようにします。権限は継承されるため、カタログに対するCREATE TABLE
を付与することもできます。これにより、ユーザーはカタログ内の既存または将来のスキーマでテーブルやビューを作成できます。
ユーザーは、親カタログに対するUSE CATALOG
権限と、親スキーマに対するUSE SCHEMA
権限も持っている必要があります。
CREATE MATERIALIZED VIEW
適用可能なオブジェクトタイプ: SCHEMA
ユーザーがスキーマにマテリアライズドビューを作成できるようにします。権限は継承されるため、カタログに対するCREATE MATERIALIZED VIEW
を付与することもできます。これにより、ユーザーはカタログ内の既存または将来のスキーマでテーブルやビューを作成できます。
ユーザーは、親カタログに対するUSE CATALOG
権限と、親スキーマに対するUSE SCHEMA
権限も持っている必要があります。
CREATE VOLUME
適用可能なオブジェクトタイプ: SCHEMA
ユーザーがスキーマにボリュームを作成できるようにします。権限は継承されるため、カタログに対してCREATE VOLUME
を付与することもできます。これにより、ユーザーはカタログ内の既存または将来のスキーマでボリュームを作成できます。
また、ユーザーは、ボリュームの親カタログに対するUSE CATALOG
権限と、その親スキーマに対するUSE SCHEMA
権限も持っている必要があります。
実行する
適用可能なオブジェクトタイプ: FUNCTION
、モデル
ユーザーが親カタログに対するUSE CATALOG
、親スキーマに対するUSE SCHEMA
を持っている場合、ユーザーがユーザー定義関数を呼び出したり、推論用のモデルをロードしたりできるようにします。関数の場合、EXECUTE
は関数定義とメタデータを表示する権限を付与します。登録済みモデルの場合、EXECUTE
は、登録済みモデルの全バージョンのメタデータを閲覧し、モデルファイルをダウンロードする権限を付与します。
権限は継承されるため、カタログまたはスキーマに対するEXECUTE
権限をユーザーに付与すると、カタログまたはスキーマ内の現在および将来のすべての機能に対するEXECUTE
権限が自動的にユーザーに付与されます。
クリーンルームタスクの実行
適用可能なオブジェクトタイプ: CLEAN ROOM
ユーザーがクリーンルーム内でタスク(ノートブック)を実行できるようにします。また、ユーザーがクリーンルームの詳細を表示できるようにもします。
外部 USE SCHEMA
適用可能なオブジェクトタイプ: SCHEMA
Unity CatalogUnity CatalogOpenAPIs または を使用して、外部処理エンジンから テーブルにアクセスするための一時的な資格情報をユーザーに付与できます。IcebergRESTAPIs
この権限を付与できるのは、カタログの所有者だけです。
偶発的なデータ流出を防ぐため、 ALL PRIVILEGES
には EXTERNAL USE SCHEMA
権限が含まれておらず、スキーマの所有者にはデフォルトでこの権限がありません。
「Unity Catalog への外部データ アクセスを有効にする」を参照してください。
取り締まる
適用可能なオブジェクトタイプ: CATALOG
、 EXTERNAL LOCATION
、 SERVICE CREDENTIAL
、 STORAGE CREDENTIAL
、 SCHEMA
、 FUNCTION
(モデルを含む)、 CONNECTION
、 TABLE
、 MATERIALIZED VIEW
、 VIEW,
VOLUME
、 CLEAN ROOM
プレビュー
この機能は パブリック プレビュー段階です。
ユーザーは、権限の表示と管理、所有権の譲渡、オブジェクトの削除、および名前の変更を行うことができます。 MANAGE
はオブジェクトの所有権と似ていますが、 MANAGE
権限を持つユーザーには、そのオブジェクトに対するすべての権限が自動的に付与されるわけではありません (ただし、自分自身に権限を付与することはできます)。
また、ユーザーは、オブジェクトの親カタログに対する USE CATALOG
権限と、その親スキーマに対する USE SCHEMA
権限も必要です。
ALL PRIVILEGES
MANAGE
権限は含まれません
許可リストの管理
適用可能なオブジェクトタイプ: Unity Catalog メタストア
ユーザーは、標準アクセスモードでUnity Catalog対応クラスターを管理する許可リスト内のinitスクリプト、JAR、および Maven 座標のパスを追加または変更できます。 Allowlist ライブラリと initスクリプト on 標準アクセスモード (旧称 Shared Access Mode) のコンピュートを参照してください。
修正します
適用可能なオブジェクトタイプ: TABLE
ユーザーがテーブルに対してSELECT
、親カタログに対してUSE CATALOG
、親スキーマに対してUSE SCHEMA
を持っている場合、そのユーザーはテーブルのデータを追加、更新、削除できます。
権限は継承されるため、カタログまたはスキーマに対するMODIFY
権限をユーザーに付与すると、カタログまたはスキーマ内の現在および将来のすべてのテーブルに対するMODIFY
権限が自動的にユーザーに付与されます。
MODIFY
フォーリンテーブルは読み取り専用であるため、フォーリンテーブルで付与することはできません。
クリーンルームの変更
適用可能なオブジェクトタイプ: CLEAN ROOM
ユーザーが、データ資産の追加と削除、ノートブックの追加と削除、コメントの更新など、クリーンルームを更新できるようにします。また、ユーザーがクリーンルームの詳細を表示できるようにもします。
ファイルの読み取り
適用可能なオブジェクトタイプ: EXTERNAL LOCATION
Databricks では、ボリュームと READ VOLUME
特権を使用して、クラウド オブジェクト ストレージ内のデータへの読み取りアクセスを管理することをお勧めします。
READ FILES
ユーザーは、外部ロケーションとして構成された Cloud Object Storage からファイルを直接読み取ることができます。 詳細については 、「外部ロケーション、外部テーブル、および外部ボリュームの管理」を参照してください。
読み取りボリューム
適用可能なオブジェクトタイプ: VOLUME
ユーザーが親カタログに対してUSE CATALOG
、親スキーマに対してUSE SCHEMA
を持っている場合、そのユーザーはボリューム内に格納されているファイルとディレクトリを読み取ることができます。
権限は継承されます。ユーザーにカタログまたはスキーマに対するREAD VOLUME
権限を付与できる場合、そのユーザーにはカタログまたはスキーマ内の現在および将来のすべてのボリューム対するREAD VOLUME
権限が自動的に付与されます。
REFRESH
適用可能なオブジェクトタイプ: MATERIALIZED VIEW
ユーザーが親カタログに対するUSE CATALOG
、親スキーマに対するUSE SCHEMA
を持っている場合、そのユーザーがマテリアライズドビューを更新できるようにします。
権限は継承されます。カタログまたはスキーマに対するREFRESH
権限をユーザーに付与する場合、そのユーザーにはカタログまたはスキーマ内の現在および将来のすべてのマテリアライズドビュー対するREFRESH
権限が自動的に付与されます。
選択してください
適用可能なオブジェクトタイプ:TABLE
、 VIEW
、 MATERIALIZED VIEW
、 SHARE
テーブルまたはビューに適用すると、ユーザーが親カタログに対してUSE CATALOG
、親スキーマに対してUSE SCHEMA
持っている場合、そのユーザーはテーブルまたはビューから選択できるようになります。共有に適用すると、受信者が共有から選択できるようになります。
権限は継承されるため、カタログまたはスキーマに対するSELECT
権限をユーザーに付与すると、カタログまたはスキーマ内の現在および将来のすべてのテーブルおよびビューに対するSELECT
権限が自動的にユーザーに付与されます。
USE CATALOG
適用可能なオブジェクトタイプ: CATALOG
この権限はカタログ自体へのアクセスを許可するものではありませんが、ユーザーがカタログ内の任意のオブジェクトを操作するために必要です。たとえば、テーブルからデータを選択するには、ユーザーはそのテーブルに対するSELECT
権限と、その親カタログに対するUSE CATALOG
権限、さらにその親スキーマに対するUSE SCHEMA
権限を持っている必要があります。
これは、カタログの所有者が、個々のスキーマとテーブルの所有者が生成するデータを共有できる範囲を制限できるようにする場合に便利です。たとえば、テーブルの所有者が別のユーザーにSELECT
権限を付与する場合、そのユーザーには、親カタログに対するUSE CATALOG
権限と親スキーマに対するUSE SCHEMA
権限も付与されていない限り、テーブルへの読み取りアクセスは許可されません。
ユーザーがそのカタログに対するBROWSE
権限を持っている場合、オブジェクトのメタデータを読み取るために親カタログに対するUSE CATALOG
権限は必要ありません。
接続を使用する
適用可能なオブジェクトタイプ: CONNECTION
ユーザーは、レイクハウスフェデレーションシナリオで外部データベースへの接続に関する詳細を一覧表示および表示できます。接続のフォーリンカタログを作成するには、接続に対するCREATE FOREIGN CATALOG
または接続の所有権が必要です。
USE SCHEMA
適用可能なオブジェクトタイプ: SCHEMA
この権限はスキーマ自体へのアクセスを許可するものではありませんが、ユーザーがスキーマ内の任意のオブジェクトを操作するために必要です。たとえば、テーブルからデータを選択するには、ユーザーはそのテーブルに対するSELECT
権限と、その親スキーマに対するUSE SCHEMA
権限と、その親カタログに対するUSE CATALOG
を持っている必要があります。
権限は継承されるため、カタログに対するUSE SCHEMA
権限をユーザーに付与すると、カタログ内の現在および将来のすべてのスキーマに対するUSE SCHEMA
権限が自動的にユーザーに付与されます。
ユーザーがそのスキーマまたはその親カタログに対するBROWSE
権限を持っている場合、オブジェクトのメタデータを読み取るために親スキーマに対するUSE SCHEMA
権限は必要ありません。
ファイルを書き込む
適用可能なオブジェクトタイプ: EXTERNAL LOCATION
Databricks では、ボリュームと WRITE VOLUME
特権を使用して、クラウド オブジェクト ストレージ内のデータへの書き込みアクセスを管理することをお勧めします。
WRITE FILES
ユーザーは、外部ロケーションとして構成された Cloud Object Storage にファイルを直接書き込むことができます。 詳細については 、「外部ロケーション、外部テーブル、および外部ボリュームの管理」を参照してください。
書き込みボリューム
適用可能なオブジェクトタイプ: VOLUME
ユーザーがボリュームの親カタログに対してUSE CATALOG
、親スキーマに対してUSE SCHEMA
も持っている場合、そのユーザーはボリューム内に格納されているファイルとディレクトリを追加、削除、または変更できます。
権限は継承されます。ユーザーにカタログまたはスキーマに対するWRITE VOLUME
権限を付与できる場合、そのユーザーにはカタログまたはスキーマ内の現在および将来のすべてのボリューム対するWRITE VOLUME
権限が自動的に付与されます。
Delta Sharing または Databricks Marketplace にのみ適用される特権の種類
このセクションでは、Delta Sharingにのみ適用される権限タイプについて詳しく説明します。
プロバイダーの作成
適用可能なオブジェクトタイプ: Unity Catalog メタストア
ユーザーは、メタストアに Delta Sharing プロバイダー オブジェクトを作成できます。 プロバイダーは、Delta Sharing を使用してデータを共有している組織またはユーザーのグループを識別します。 プロバイダーの作成は、受信者の Databricks アカウントのユーザーによって実行されます。 「Delta Sharing とは」を参照してください。
CREATE RECIPIENT
適用可能なオブジェクトタイプ: Unity Catalog メタストア
ユーザーは、メタストアに Delta Sharing 受信者オブジェクトを作成できます。 受信者は、Delta Sharing を使用してデータを共有できる組織またはユーザーのグループを識別します。 受信者の作成は、プロバイダーの Databricks アカウントのユーザーによって実行されます。 「Delta Sharing とは」を参照してください。
CREATE SHARE
適用可能なオブジェクトタイプ: Unity Catalog メタストア
ユーザーはメタストアに共有を作成できます。共有は、Delta Sharingを使用して共有するテーブルの論理グループです
SET 共有権限
適用可能なオブジェクトタイプ: Unity Catalog メタストア
Delta Sharingでは、この権限をUSE SHARE
およびUSE RECIPIENT
(または受信者の所有権)と組み合わせることで、プロバイダーユーザーが受信者に共有へのアクセスを許可できるようになります。USE SHARE
と組み合わせると、共有の所有権を別のユーザー、グループ、またはサービスプリンシパルに譲渡できるようになります。
マーケットプレイスアセットを使用する
適用可能なオブジェクトタイプ: Unity Catalog メタストア
すべてのUnity Catalogメタストアに対してデフォルトで有効になっています。 Databricks Marketplaceでは、この権限により、ユーザーはMarketplaceのリストで共有されているデータ製品に即座にアクセスしたり、アクセスを要求したりすることができます。また、プロバイダーがデータ製品を共有するときに作成される読み取り専用カタログにユーザーがアクセスすることもできます。この権限がない場合、ユーザーにはCREATE CATALOG
権限とUSE PROVIDER
権限、またはメタストア管理者ロールが必要になります。これにより、これらの強力な権限を持つユーザーの数を制限できます。
プロバイダーを使用する
適用可能なオブジェクトタイプ: Unity Catalog メタストア
Delta Sharingでは、受信者ユーザーに、受信者のメタストア内のすべてのプロバイダーとその共有への読み取り専用アクセス権を付与します。CREATE CATALOG
権限と組み合わせると、この権限により、メタストア管理者ではない受信者ユーザーでも共有をカタログとしてマウントできるようになります。これにより、強力なメタストア管理者ロールを持つユーザーの数を制限できます。
受信者を使う
適用可能なオブジェクトタイプ: Unity Catalog メタストア
Delta Sharingでは、プロバイダーのユーザーに、プロバイダーのメタストア内のすべての受信者とその共有への読み取り専用アクセス権を付与します。これにより、メタストア管理者ではないプロバイダーユーザーでも、受信者の詳細、受信者の認証ステータス、プロバイダーが受信者と共有した共有のリストを見ることができます。
Databricks Marketplace では、これにより、プロバイダー ユーザーはプロバイダー コンソールでリストとコンシューマー要求を表示できます。
シェアを使う
適用可能なオブジェクトタイプ: Unity Catalog メタストア
Delta Sharingでは、プロバイダーメタストアで定義されているすべての共有に対する読み取り専用アクセス権をプロバイダーユーザーに付与します。これにより、メタストア管理者ではないプロバイダーユーザーでも、共有の受信者と共に、共有を一覧表示したり、共有内の資産(テーブルとノートブック)を一覧表示したりできます。
Databricks Marketplace では、これにより、プロバイダー ユーザーはリストで共有されているデータの詳細を表示できます。