Postgres ロールの管理

備考

プレビュー

この機能は、us-east-1、 us-west-2、 eu-west-1、 ap-southeast-1、 ap-southeast-2、 eu-central-1、 us-east-2、 ap-south-1のリージョンでパブリック プレビューとして提供されています。

Lakebase プロビジョニングは、手動でスケールするプロビジョニング コンピュートを使用します。 新しいLakebase オートスケールとの機能の比較については、 「バージョンの選択」を参照してください。

Lakebase データベース インスタンス所有者の Databricks ID の Postgres ロールが自動的に作成されます。

最初は、インスタンスの所有者のみが Postgres を介してログインしてインスタンスにアクセスできます。他の Databricks ID がデータベース インスタンスにログインできるようにするには、Databricks ID に対応する Postgres ロールが必要です。

このページでは、PostgreSQL で Databricks ID ベースのロールを追加および管理する方法について説明します。

Postgres ロールを作成し、Databricks ID の特権を付与する

Databricks UI または PostgreSQL クエリを使用して Postgres ロールを作成します。

注記

ロール管理アクションは、データベース・インスタンスに付与された権限によって管理されます。ロールの管理を試みる前に、適切なレベルのアクセス権があることを確認してください。

UI

データベース インスタンスに対する CAN USE アクセス許可を持つユーザーは、Databricks ID に関連付けられている既存の Postgres ロールを表示したり、自分の ID のロールをインスタンスに追加したりできます。

CAN MANAGEを持つユーザーは、追加の特権を含む他の Databricks ID のロールを追加で作成し、任意の Databricks ID のロールを削除できます。

データベース ・インスタンス の概要ページで、任意のユーザー、グループ、またはサービスプリンシパルに追加の権限を割り当てることができます。

1. クリック右上隅の アプリを クリックし、 Lakebase Postgres を選択します。

2. [プロビジョニング済み] をクリックして、 [プロビジョニング済みインスタンス] ページを開きます。

3. データベース インスタンスを選択します。

4. Lakebase アプリのサイドバーで [ロール] ページを選択します。

5. 右上隅の 「役割を追加」 をクリックします。

6. [プリンシパル] ドロップダウン メニューから、データベース アクセスを許可するユーザー、グループ、またはサービスプリンシパルを選択します。 インスタンスにまだ Postgres ロールがない Databricks ID を選択する必要があります。

7. (オプション) 付与する システム ロール を選択します。

   • databricks_superuser : すべてのデータへの読み取りおよび書き込みアクセスを許可します。これは、 pg_read_all_data 、 pg_write_all_data 、およびpg_monitorから継承された広範な権限を持つ管理ロールです。事前に作成されたロールと権限を参照してください。

8. (オプション) 特定の機能を付与するには、 システム属性 を選択します。

   • CREATEDB : 新しいデータベースを作成する権限を付与します。
   • CREATEROLE : 新しいロールを作成する権限を付与します。
   • BYPASSRLS : 行レベルのセキュリティ (RLS) ポリシーをバイパスする権限を付与します。

9. [ 追加 ] をクリックします。

PostgreSQL

新しいPostgresロールを作成する前に、次の要件を満たしていることを確認してください。

• データベースに対する CREATE 権限と CREATE ROLE 権限が必要です。
• Postgres に認証し、 Databricks ID (ユーザー、サービスプリンシパル、またはグループ) としてログインする必要があります。 ネイティブ Postgres 認証セッションでは、Databricks ロールを作成できません。
• 認証トークンは有効であり、ロールの作成時に有効期限が切れていない必要があります。

databricks_create_role 関数を使用して、Databricks ID ベースの PostgreSQL ロールを追加および作成します。カスタムPostgreSQL拡張機能 databricks_auth は、 databricks_create_role 関数を提供します。

1. databricks_auth拡張機能を作成します。各Postgresデータベースには、独自の拡張子が必要です。

   SQL

   CREATE EXTENSION IF NOT EXISTS databricks_auth;

2. databricks_create_role 関数を使用して、Databricks ID の新しい Postgres ロールを追加および作成します。ロールはすでに存在していてはなりません。同じ名前のロールが存在する場合は、Databricks ID ベースのロールを作成する前に削除します。

   SQL

   SELECT databricks_create_role('identity_name', 'identity_type');

   identity_name パラメーターと identity_type パラメーターは、Databricks ID の種類によって異なります。

   • Databricks ユーザー:

     • identity_name:ユーザーの電子メール(例: myuser@databricks.com
     • identity_type: USER
     SQL

     SELECT databricks_create_role('myuser@databricks.com','USER');

   • Databricks サービスプリンシパル:

     • identity_name:サービスプリンシパルのアプリケーションID(例: 8c01cfb1-62c9-4a09-88a8-e195f4b01b08
     • identity_type: SERVICE_PRINCIPAL
     SQL

     SELECT databricks_create_role('8c01cfb1-62c9-4a09-88a8-e195f4b01b08','SERVICE_PRINCIPAL');

   • Databricks グループ:

     • identity_name: グループの名前 (大文字と小文字を区別): My Group 123
     • identity_type: GROUP
     SQL

     SELECT databricks_create_role('My Group 123','GROUP');

3. databricks_create_roleを使用して作成されたロールには、作成後にPUBLICにのみ権限が付与されます。追加の権限を付与または取り消すには、標準のPostgres権限管理コマンド GRANT と REVOKEを使用します。

   テーブルにアクセスするための読み取りアクセス許可をロールに付与します。

   SQL

   GRANT SELECT ON "my_schema"."my_table" TO <role-name>;

   ロールからテーブルへの書き込みアクセスを削除します。

   SQL

   REVOKE INSERT, UPDATE, DELETE ON TABLE "my_schema"."my_table" FROM <role-name>;

   ロールからデータベースへのすべてのアクセスを取り消します。

   SQL

   REVOKE CONNECT ON DATABASE "example_database" FROM <role-name>;

Databricks ID ロールを表示する

UI

どのユーザー、グループ、およびサービスプリンシパルが対応するPostgresロールを持っているかは、 データベース・インスタンス の概要ページで確認できます。

1. クリック右上隅の アプリを クリックし、 Lakebase Postgres を選択します。
2. [プロビジョニング済み] をクリックして、 [プロビジョニング済みインスタンス] ページを開きます。
3. データベース インスタンスを選択します。
4. Lakebase アプリのサイドバーで [ロール] ページを選択します。

PostgreSQL

PostgreSQLクエリを使用して、によって作成されたすべてのDatabricks ID ロールを一覧表示します デフォルト databricks_create_role関数を使用して、databricks_auth 拡張機能の databricks_list_roles 関数を使用します。これにより、Postgres ロールとして認証するために追加されたすべての Databricks ユーザー、サービスプリンシパル、およびグループが一覧表示されます。

SQL

CREATE EXTENSION IF NOT EXISTS databricks_auth;

SQL

SELECT * from databricks_list_roles;

Databricks ID ベースの Postgres ロールを削除する

UI

ロールの削除は元に戻せません。ロールを再作成することはできますが、オブジェクト所有権の再割り当ては、再割り当てされたオブジェクトを所有する新しいロールを削除せずに元に戻すことはできません。

1. クリック右上隅の アプリを クリックし、 Lakebase Postgres を選択します。
2. [プロビジョニング済み] をクリックして、 [プロビジョニング済みインスタンス] ページを開きます。
3. データベース インスタンスを選択します。
4. Lakebase アプリのサイドバーで [ロール] ページを選択します。
5. 削除したい役割については、行の右側にあります。
6. ［ドロップ］ をクリックします。
7. (オプション) ロールがオブジェクトを所有している場合は、 所有オブジェクトの再割り当てを オンにして、ロールの削除を有効にします。このオプションは、所有されているオブジェクトを削除する前に別のロールに再割り当てします。一部のオブジェクト (削除されるロールへの付与など) は再割り当てできず、再割り当て可能なすべてのオブジェクトの再割り当て後に削除されます。
8. 確認 をクリックします。

PostgreSQL

Databricks ID ベースの Postgres ロールは、他の Postgres ロールと同様に削除および削除できます。詳細については、 ロールの削除に関するPostgreSQLのドキュメントを参照してください。Databricks ID ベースのロールが削除されると、トークンベースの認証と Postgres へのアクセスに使用できなくなります。