ロールと権限を管理する
プレビュー
この機能は、us-east-1、 us-west-2、 eu-west-1、 ap-southeast-1、 ap-southeast-2、 eu-central-1、 us-east-2、 ap-south-1のリージョンでパブリック プレビューとして提供されています。
このページでは、データベース インスタンスに対する Databricks ユーザーと ID のアクセス許可を付与するタイミングと方法について説明します。
他のユーザーがPostgreSQLを使用してデータベース・インスタンスにアクセスできるようにするには、 databricks_superuser は対応するPostgresロールを作成する必要があります。Postgres ロールの作成方法の詳細については、「 Postgres ロールの管理」を参照してください。
アクセス許可がチェックされるタイミングと方法
Postgres 構文を使用するか、PostgreSQL インターフェイスを介して接続する場合、Lakebase は以下を使用して PostgreSQL 固有のアクセス制御を適用します。
- Postgres ロール
- ロール メンバーシップ
- Postgres で付与されたアクセス許可
他のすべてのシナリオでは、Lakebase は Databricks 固有のアクセス制御を適用します。
- Databricks ID(ユーザー、グループ、サービスプリンシパル)
- Databricks グループ メンバーシップ
- ワークスペースアクセス制御リスト (ACL)
- Unity Catalog の特権
Databricks ID とメンバーシップ、および Postgres ロールとメンバーシップの間には自動同期はありません。
ユースケース/権限またはID | データベースインスタンスの管理 | 同期されたテーブルを作成または削除する | 同期されたテーブル パイプラインを管理する | SQLウェアハウスからPostgresテーブルのクエリー | 特徴量およびモデルサービングにおけるオンライン特徴量のクエリ | PostgreSQL での Postgres テーブルのクエリ |
|---|---|---|---|---|---|---|
Databricks ID | ✅ | ✅ | ✅ | ✅ | ✅ | 対応するPostgresロールが必要です |
Databricks グループ メンバーシップ | ✅ | ✅ | ✅ | ✅ | ✅ | グループでログインするときにのみログイン時にチェックされます |
インスタンス ACL | ✅ | ✅ | ||||
パイプライン ACL | 既存のパイプラインを再利用する場合、または同期されたテーブルを削除する場合 (パイプラインを編集する) 場合は、パイプライン所有者である必要があります | ✅ | ||||
UC 権限 | ✅ | ✅ | ✅ | |||
Postgres ロール | ✅ | |||||
Postgres ロール メンバーシップ | ✅ | |||||
Postgres の権限 | ✅ |
Databricks ID にインスタンスのアクセス許可を付与する
ユーザーは、インスタンスを管理し、テーブル操作を実行するために、データベースインスタンスに対する特定の権限を持っている必要があります。ワークスペース管理者とインスタンス作成者は、 データベースインスタンス の概要ページで、任意のユーザー、グループ、またはサービスプリンシパルに追加の権限を割り当てることができます。
- ワークスペースのサイドバーで「 コンピュート 」をクリックします。
- [ OLTP データベース] をクリックします。
- 「 アクセス許可 」タブをクリックします。
- 右上の インスタンスのアクセス許可を管理 をクリックします。
- 追加の権限を付与するユーザー、グループ、またはサービスプリンシパルを入力します。
- ID に付与するアクセス許可を選択します。データベース・インスタンス ACLを参照してください。
- [ + 追加 ] をクリックします。
- すべてのワークスペース・ユーザーは、データベース・インスタンスを表示またはリストできます。データベース カタログと同期テーブルの権限は、Unity Catalogのメタストア、カタログ、スキーマ、およびテーブルの権限によってさらに管理されます 。 詳細については、「 Unity Catalog での特権の管理」を参照してください。
- 保存 をクリックします。