データベースの役割、アクセス、および権限
プレビュー
この機能は、us-east-1、us-west-2、eu-west-1、ap-southeast-1、ap-southeast-2、eu-central-1、us-east-2、ap-south-1の各地域でパブリック プレビュー段階です。
このページでは、データベース インスタンスに対して Databricks ユーザーと ID の権限を付与するタイミングと方法について説明します。
他のユーザーがPostgreSQLを使用してデータベースインスタンスにアクセスできるようにするには、 databricks_superuser 対応するPostgresロールを作成する必要があります。Postgres ロールを作成する方法の詳細については、「 Databricks ID の Postgres ロールを作成および管理する」を参照してください。
権限を確認するタイミングと方法
Postgres構文を使用する場合、またはPostgreSQLインターフェースを介して接続する場合、Lakebaseは以下を使用してPostgreSQL固有のアクセス制御を実施します。
- Postgres ロール
- ロールのメンバーシップ
- Postgres で付与された権限
他のすべてのシナリオでは、Lakebase は Databricks 固有のアクセス制御を適用します。
- Databricks ID (ユーザー、グループ、サービスプリンシパル)
- Databricks グループ メンバーシップ
- ワークスペースアクセス制御リスト (ACL)
- Unity Catalog の特権
Databricks の ID とメンバーシップ、および Postgres のロールとメンバーシップとの間には自動同期はありません。
ユースケース / 権限またはアイデンティティ | データベース・インスタンスの管理 | 同期されたテーブルを作成または削除する | 同期されたテーブル パイプラインを管理する | SQLウェアハウスからPostgresテーブルのクエリー | 特徴量およびモデルサービングにおけるオンライン特徴量のクエリ | PostgreSQLでのPostgresテーブルのクエリ |
|---|---|---|---|---|---|---|
Databricks の ID | x | x | x | x | x | 対応するPostgresロールが必要です |
Databricks グループ メンバーシップ | x | x | x | x | x | グループとしてログインするときのみチェックされます |
インスタンス ACL | x | x | ||||
パイプライン ACL | 既存のパイプラインを再利用する場合、または同期されたテーブルを削除する場合 (パイプラインを編集する) 場合は、パイプライン所有者である必要があります | x | ||||
UC のアクセス許可 | x | x | x | |||
Postgres ロール | x | |||||
Postgres ロールのメンバーシップ | x | |||||
Postgres の権限 | x |
Databricks ID にインスタンス特権を付与する
ユーザーは、インスタンスを管理し、テーブル操作を実行するために、データベース・インスタンスに対する特定の権限を持っている必要があります。ワークスペース管理者とインスタンス作成者は、 データベース インスタンス の概要ページで、任意のユーザー、グループ、またはサービスプリンシパルに追加のアクセス許可を割り当てることができます。
- ワークスペースのサイドバーで「 コンピュート 」をクリックします。
- 「OLTP データベース 」をクリックします。
- 「 権限 」タブをクリックします。
- 右上の インスタンスのアクセス許可を管理 をクリックします。
- 追加の権限を付与するユーザー、グループ、またはサービスプリンシパルを入力します。
- ID に付与するアクセス許可を選択します。データベース・インスタンス ACLを参照してください。
- [ + 追加 ] をクリックします。
- すべてのワークスペース・ユーザーは、データベース・インスタンスを表示またはリストできます。データベース カタログと同期テーブルの権限は、Unity Catalogのメタストア、カタログ、スキーマ、およびテーブルの権限によってさらに管理されます 。 詳細については、「 Unity Catalog での特権の管理」を参照してください。
- 保存 をクリックします。