メインコンテンツまでスキップ
最終更新

プログラムで権限を付与する

備考

Lakebaseオートスケールは、オートスケールコンピュート、ゼロへのスケール、分岐、即時復元を備えたLakebaseの最新バージョンです。 サポートされているリージョンについては、 「リージョンの提供状況」を参照してください。Lakebaseプロビジョニング ユーザーの場合は、 Lakebaseプロビジョニング」を参照してください。

Lakebase プロジェクトの権限は、標準の Databricks Permissions API、Databricks CLI、Databricks SDK、および Terraform を使用してプログラムで管理できます。

権限の種類、デフォルトの権限、Lakebase UI で権限を管理する方法の概要については、 「プロジェクト権限の管理」を参照してください。

権限レベル

Lakebase プロジェクトに付与できる権限レベルはCAN_USECAN_MANAGEです。CAN_CREATEは、ワークスペースからすべてのユーザーに自動的に渡される継承レベルであり、プロジェクトで明示的に付与または取り消すことはできません。API 経由でCAN_CREATE許可しようとすると、HTTP 400 が返されます。

プロジェクト ID は UUID (例: a446ad92-e936-454b-a31c-a0742e53dd5c ) です。databricks postgres list-projectsを使用して取得し、 uidフィールドを確認します。

REST API

プロジェクト権限では、 /api/2.0/permissions/database-projects/{project_id}標準の Databricks 権限 API が使用されます。

現在の権限を取得する

Bash
curl -X GET "https://${DATABRICKS_HOST}/api/2.0/permissions/database-projects/${PROJECT_ID}" \
  -H "Authorization: Bearer ${DATABRICKS_TOKEN}" | jq

権限の付与または更新 (PATCH)

Bash
curl -X PATCH "https://${DATABRICKS_HOST}/api/2.0/permissions/database-projects/${PROJECT_ID}" \
  -H "Authorization: Bearer ${DATABRICKS_TOKEN}" \
  -H "Content-Type: application/json" \
  -d '{
    "access_control_list": [
      {
        "user_name": "user@example.com",
        "permission_level": "CAN_USE"
      }
    ]
  }'

グループまたはサービスプリンパルシに権限を付与するには、 user_name group_nameまたはservice_principal_nameに置き換えます。

注記

PATCH は追加的なものであり、既存の上位権限をダウングレードすることはできません。たとえば、すでにCAN_MANAGEを保持しているユーザーにCAN_USEをパッチしても効果はありません。権限をダウングレードまたは削除するには、代わりに PUT を使用します。

すべての明示的な権限を置き換える(PUT)

警告

PUT は明示的な ACL 全体を置き換えます。リクエスト本文に含まれていないユーザー、グループ、またはサービスプリンシパルは、明示的に付与されたアクセス許可を失います。 継承された権限 (ワークスペース管理者など) は影響を受けません。

Bash
curl -X PUT "https://${DATABRICKS_HOST}/api/2.0/permissions/database-projects/${PROJECT_ID}" \
  -H "Authorization: Bearer ${DATABRICKS_TOKEN}" \
  -H "Content-Type: application/json" \
  -d '{
    "access_control_list": [
      {
        "user_name": "user@example.com",
        "permission_level": "CAN_MANAGE"
      }
    ]
  }'

完全な Permissions API リファレンスについては、 「Permissions API」を参照してください。

CLI

コマンド ラインからプロジェクトの権限を管理するには、 databricks permissionsコマンド(Permissions APIをラップ)を使用します。

権限の付与または更新

Bash
# PROJECT_ID is a UUID. Retrieve it with: databricks postgres list-projects
databricks permissions update database-projects ${PROJECT_ID} \
  --json '{
    "access_control_list": [
      {
        "user_name": "user@example.com",
        "permission_level": "CAN_USE"
      }
    ]
  }'

現在の権限を取得する

Bash
databricks permissions get database-projects ${PROJECT_ID}
注記

プロジェクト ACL 管理にはdatabricks permissions ( databricks postgresではない) を使用します。databricks postgresサブコマンドは、権限ではなく、プロジェクト リソース (ブランチ、コンピュートなど) を管理します。

SDK

プロジェクトの権限を管理するには、Python、Java、または Go SDK のWorkspaceClient.permissionsインターフェースを使用します。

Python
from databricks.sdk import WorkspaceClient
from databricks.sdk.service.iam import AccessControlRequest, PermissionLevel

w = WorkspaceClient()

# Retrieve your project UUID from: databricks postgres list-projects
PROJECT_ID = "<project-uuid>"

# Grant CAN_USE to a user (PATCH is additive and cannot downgrade)
w.permissions.update(
    request_object_type="database-projects",
    request_object_id=PROJECT_ID,
    access_control_list=[
        AccessControlRequest(
            user_name="user@example.com",
            permission_level=PermissionLevel.CAN_USE,
        )
    ],
)

# Get current permissions
permissions = w.permissions.get(
    request_object_type="database-projects",
    request_object_id=PROJECT_ID,
)
print(permissions)

# Revoke or downgrade: use set() (PUT), not update() (PATCH)
# update() with an empty list is a no-op; set() replaces the full explicit ACL
w.permissions.set(
    request_object_type="database-projects",
    request_object_id=PROJECT_ID,
    access_control_list=[
        # Include every identity that should retain explicit access
        AccessControlRequest(
            user_name="owner@example.com",
            permission_level=PermissionLevel.CAN_MANAGE,
        )
    ],
)

次のステップ

On this page