Unity Catalog セットアップガイド
このページでは、新しいDatabricksワークスペースにおけるワークスペース管理者向けのUnity Catalogの初期設定について説明します。内容は以下のとおりです。
- ワークスペースで Unity Catalog が有効になっていることを確認する
- ワークスペースのアクセスとIDの管理
- Unity Catalog 準拠のコンピュート リソースの作成
- データ カタログとスキーマの作成
- ユーザーに必要な権限を付与する
始める前に
開始する前に、次の Unity Catalog の概念を理解しておきましょう。
- Metastore :単一のクラウドリージョンに限定された、Unity Catalog のトップレベルコンテナです。すべてのセキュリティ保護可能なオブジェクトを保持します:カタログ、ストレージ資格情報、外部ロケーションなど。メタストアを参照してください。
- カタログ :メタストア内の最上位のデータコンテナオブジェクトです。カタログにはスキーマが含まれ、スキーマにはテーブル、ビュー、ボリューム、および関数が含まれます。カタログを参照してください。
- 管理者ロール : Unity Catalog には 3 つの主要な管理者ロールがあります: アカウント管理者、ワークスペース管理者、メタストア管理者で、それぞれ異なるスコープと責任を持っています。「Unity Catalog の管理者権限」を参照してください。
また、以下のものも必要です。
- Premium プラン以上の Databricks ワークスペース。
- ワークスペース管理者特権次の場合にアカウント管理者の権限が必要となる場合があります。
- ワークスペースにまだコンピューティング リソースがない場合は、アカウント 管理者権限を使用して、手順 1: ワークスペースが Unity Catalog 用に有効になっていることを確認するアカウント コンソールから Unity Catalog が有効になっていることを確認する必要があります。
- ワークスペースがUnity Catalogメタストアにアタッチされていない場合は、アタッチするためにアカウント管理者権限が必要です。
- メタストアが存在しない場合、作成するにはアカウント管理者の権限が必要です。
ステップ1:ワークスペースでUnityカタログが有効になっていることを確認します。
ワークスペースがUnity Catalog メタストアにアタッチされているかを確認するには、以下のいずれかの方法を使用してください。
- Use the account console
- Run a SQL query
このメソッドにはアカウント管理者権限が必要です。
- Databricks アカウント管理者として、アカウントコンソールにログインします。
ワークスペース をクリックします。- ワークスペースを見つけて、 Metastore 列を確認してください。メタストア名が記載されている場合、ワークスペースでUnity Catalogが有効になります。
この方法では管理者権限は不要ですが、Unity Catalogに準拠したコンピュートリソースが必要です。ステップ 3:Unity Catalog 準拠のコンピュートを作成するでは、UC 準拠のコンピュート リソースを作成する手順を説明します。
SQLクエリーエディタまたはコンピュートリソースにアタッチされたノートブックで次のコマンドを実行します。
SELECT CURRENT_METASTORE();
クエリでメタストアIDが返された場合、ワークスペースでUnity Catalogが有効になっています。
お使いのワークスペースがUnity Catalogが有効になっていない場合は、「Databricks ワークスペースをUnity Catalogにアップグレードする」を参照してください。
ステップ2:ワークスペースのアクセスとIDを管理する
ワークスペース管理者は、ユーザーとグループを追加し、管理者ロールを割り当て、サービスプリンシパルを管理できます。
ユーザーを追加する
このワークスペースへのアクセスが必要な個々のユーザーを追加します。手順については、「ユーザーの管理」を参照してください。
ユーザーをグループに編成する
Databricksでは、個々のユーザーではなくグループに対してアクセスを管理することを推奨しています。グループに権限を付与すると、すべてのメンバーに適用され、チームの成長に合わせて管理の負担が軽減されます。
- 組織に既存の ID プロバイダー (IdP) にグループがある場合:グループメンバーシップが自動的に同期されるよう、自動 ID 管理または SCIM プロビジョニングを使用して Databricks に同期します。「自動ID管理」を参照してください。
- まだグループがない場合: ワークスペース管理者として、 グループ の隣にある 設定 > ID とアクセス > 管理 に移動して、アカウントレベルのグループを作成してください。「グループの管理」を参照してください。
管理者のロールの割り当て
ワークスペース管理者は、ユーザーの追加と削除、コンピュートの管理、ワークスペース設定の構成、データへのアクセス権の付与など、ほとんどの日常管理タスクを実行できます。このロールは、中央のデータプラットフォームまたはITチームのメンバーで、ワークスペースの維持管理を担当する方に適しています。このロールを割り当てる相手は、慎重に選んでください。ワークスペース管理者は、ワークスペースリソースと設定に幅広くアクセスできます。
通常、割り当てる必要がある管理者ロールは、ワークスペース管理者ロールのみです。必要に応じて、特殊なユースケース向けにメタストア管理者を割り当てることができます。例えば、次のような場合に、このロールを専任のデータガバナンスチーム、または少数の上級プラットフォームエンジニアのグループに割り当てることができます:
- ワークスペース以外の管理者にカタログ作成を委任します。
- initスクリプトとJARの許可リストを管理します。
- Delta Sharing を通じて共有データを受け取る。
- チームメンバーが退職する場合は、オブジェクトの所有権を譲渡してください。
これらのロールの割り当て手順については、「Unity Catalog の管理者権限」を参照してください。
ステップ 3: Unity Catalog 準拠のコンピュートを作成する
Unity Catalog ワークロードを実行するには、コンピュート リソースが Unity Catalog のセキュリティ要件に準拠している必要があります。次の表は、どのコンピュート タイプが準拠しているかを示しています。
クラスタータイプ | UC準拠 |
|---|---|
SQLウェアハウス | はい |
サーバレス コンピュート(ノートブック、ジョブ、パイプライン用) | はい |
クラスター - シングルユーザーアクセスモード | はい |
クラスター — 共有アクセスモード | はい |
クラスター — 分離なし共有アクセスモード | No |
UC準拠コンピュートを作成するには:
- SQLウェアハウス: 「SQLウェアハウスを作成する 」を参照してください。
- サーバレス コンピュート :サーバレスコンピュートへの接続を参照してください。
- クラスター :クラスターを構成する際は、 シングルユーザー または 共有 をアクセスモードとして選択します。アクセスモードを参照してください。
ワークスペース管理者は、クラスターの作成を管理者のみに制限するか、クラスターポリシーを使用して、ユーザーが独自の Unity Catalog 準拠のクラスターを作成できるようにすることもできます。コンピュートの権限およびコンピュート ポリシーの作成と管理を参照してください。
ステップ4:カタログおよびスキーマを作成する
カタログはUnity Catalogにおけるデータ分離の主要な単位です。スキーマ、テーブル、ボリューム、ビュー、および関数はすべてカタログ内に存在します。
新しいカタログを作成するタイミング
新しいワークスペースには、ワークスペースカタログが自動的にプロビジョニングされます。デフォルトでは、このカタログにはワークスペースと同じ名前が付けられます。ワークスペースカタログがあるかどうかを確認するには、サイドバーの
**「カタログ」(Catalog)** をクリックして、ワークスペース名に一致するカタログを探します。既存のカタログがある場合、すぐに別のカタログを作成する必要はないかもしれません。
時間経過とともに、利用状況の拡大に合わせて、次のような論理的な境界に基づいて整理された新しいカタログの作成を検討してください。
- チームまたは事業単位 :エンジニアリング、財務、マーケティング用の個別のカタログ
- 環境 :開発と本番運用を分離するために、
dev、staging、prodカタログを別々に用意する。 - プロジェクト :主要なデータ製品または取り組みごとに専用のカタログ
組織のデータ境界がすでに明確に定義されている場合は、今すぐカタログを作成できます。
「カタログを作成する」
カタログを作成するには、次のSQLを実行します。
CREATE CATALOG IF NOT EXISTS <catalog-name>;
このカタログのマネージドデータは、メタストアのデフォルトマネージドストレージロケーションに保存されます。別の場所を使用するには、MANAGED LOCATIONを指定してください。「Unity Catalog を使用してクラウド オブジェクト ストレージに接続する」を参照してください。
次に、テーブルやその他のデータオブジェクトを整理するためのスキーマを作成します。
CREATE SCHEMA IF NOT EXISTS <catalog-name>.<schema-name>;
Catalog Explorer の詳細な手順と使用方法については、「カタログの作成」 および 「スキーマの作成」 を参照してください。
ステップ5:ユーザーに権限を付与する
Unity Catalog では、ユーザーはデフォルトではデータにアクセスできません。ワークスペース管理者は、ワークスペース全体でセキュリティ保護可能なオブジェクトに権限を付与できます。Databricksでは、個々のユーザーではなくグループに権限を付与することを推奨しています。これにより、チームの成長に合わせてアクセスの管理が容易になります。
データディスカバリーを有効にする
Databricksは、すべてのカタログに対するBROWSE権限をAll account usersグループに付与することをお勧めします。BROWSE は、ユーザーが Catalog Explorer でオブジェクトの存在を確認し、そのメタデータを、基となるデータへのアクセス権を付与することなく、表示できるようにします。これにより、ユーザーは事前に管理者が権限を付与する必要なく、データを検出してアクセスを要求できます。
GRANT BROWSE ON CATALOG <catalog-name> TO `account users`;
データアクセス権を付与
Unity Catalog のデータにアクセスするには、通常、ユーザーは操作に必要な特定の権限(たとえば、テーブルを読み取るためのSELECTなど)と、適切な使用権限(たとえば、親カタログに対するUSE CATALOG、および親スキーマに対するUSE SCHEMAなど)が必要です。「Unity Catalog 権限モデルの概念」を参照してください。
これらの権限は、特定のカタログおよびスキーマへのアクセスを必要とするユーザーとグループにのみ付与してください。たとえば、スキーマへの読み取り専用アクセスを許可するには、次の SQL を使用します。
GRANT USE CATALOG ON CATALOG <catalog-name> TO `<group-name>`;
GRANT USE SCHEMA ON SCHEMA <catalog-name>.<schema-name> TO `<group-name>`;
GRANT SELECT ON SCHEMA <catalog-name>.<schema-name> TO `<group-name>`;
読み取りおよび書き込みアクセスの場合:
GRANT USE CATALOG ON CATALOG <catalog-name> TO `<group-name>`;
GRANT USE SCHEMA ON SCHEMA <catalog-name>.<schema-name> TO `<group-name>`;
GRANT SELECT, MODIFY ON SCHEMA <catalog-name>.<schema-name> TO `<group-name>`;
アクセスパターンが時間の経過とともに変化します。Unity Catalog で権限を管理する際は、以下のページを参照してください:
- Unity Catalog permissions model concepts:オブジェクト階層、所有権、権限の継承、および Unity Catalog 権限モデルの動作原理について説明します。
- 「Unity Catalog の特権リファレンス」では、Unity Catalog のすべての特権、それが適用されるセキュリティ保護可能なオブジェクト、および許可される内容を一覧表示しています。
- Unity Catalog での権限の管理: SQL またはカタログエクスプローラーを使用して、セキュリティ保護可能なオブジェクトに対する権限の付与、取り消し、および検査を行う方法を扱います。
セットアップチェックリスト
すべての5つのステップを完了した場合、Unity Catalogがワークスペースにセットアップされ、ユーザーはデータの操作を開始できます。次のチェックリストを使用して、すべてが整っているかご確認ください。
- Unity Catalogが有効になっています。つまり、Unity Catalogメタストアがワークスペースにアタッチされています。ステップ 1: ワークスペースが Unity Catalog に対して有効になっていることを確認するをご覧ください。
- ユーザーはワークスペースに追加され、適切なロールが割り当てられます。ステップ2: ワークスペースアクセスおよびIDの管理を参照してください。
- Unity Catalog準拠のコンピュートをご利用いただけます。ステップ 3: Unity Catalog に準拠したコンピュートを作成するを参照してください。
- カタログとスキーマは、データを整理するために作成されます。ステップ4:カタログおよびスキーマを作成を参照してください。
- ユーザーは意図したカタログにアクセスできます。ステップ 5: ユーザーに権限を付与するを参照してください。
次のステップ
Unity Catalog が設定されると、ワークスペースにより高度なガバナンス機能を適用できるようになります。
属性ベースのアクセス制御
属性ベースのアクセス制御 (ABAC)は、データおよびそれにアクセスするユーザーの属性に基づいて、動的できめ細かいアクセスポリシーを定義できます。テーブルごとにアクセス許可を管理する代わりに、行レベルのフィルタリングと列レベルのマスクを自動的に適用するポリシーを作成します。例えば、特定の地域外のユーザーから機密性の高い列を非表示にしたり、非特権ロールに対して PII をマスクすることができます。
データの分類
データ分類はAIエージェントを利用して、カタログを自動的にスキャンし、PII、財務情報、資格情報などの機密データにタグを付けます。分類後、タグはABACポリシーと直接統合でき、オブジェクトごとにアクセスを管理するのではなく、データが実際に含まれている内容に基づいてガバナンス制御を適用することができます。
データ品質モニタリング
データ品質モニタリングは、スキーマ内のすべてのテーブルにわたる異常検出とテーブルレベルでのデータプロファイリングを提供します。異常検出は、ヒストリカルデータパターンに基づいて鮮度と完全性を自動的に監視し、手動での設定なしに問題を検出します。データプロファイリングは、時間の経過とともに統計分布を把握してデータ完全性を追跡し、予期しない変更に対するアラートを設定できます。
Unity AI Gateway による AI ガバナンス
Unity AIゲートウェイは、Unity Catalog のガバナンスを AI にまで広げます。LLMエンドポイント、エージェント、およびMCPサーバーにエンタープライズガバナンスを提供します。これにより、統合されたUIですべてのAIインタラクションにわたるアクセス制御、監査ロギング、および可観測性を実装できます。