プロジェクト権限の管理
プレビュー
Lakebase Postgres (オートスケール Preview) は 、次のリージョンで利用できます: us-east-1 、 us-west-2 、 eu-west-1 。
Lakebase オートスケール Preview は Lakebase の新しいバージョンです。 オートスケールコンピュート、分岐、インスタントリストアなどの高度な機能をサポートします。 Lakebase の以前のバージョンについては、 「Lakebase プロビジョニング プレビュー」を参照してください。 どのバージョンが適しているかを判断するには、バージョンの選択を参照してください。
プロジェクト権限は、Lakebase プロジェクト リソースにアクセスして管理できるユーザーを制御します。プロジェクト権限を使用して、ブランチの作成、コンピュートの管理、接続の詳細の表示などのアクションを実行するためのDatabricks ID、グループ、サービスプリンシパルへのアクセスを許可します。
プロジェクト権限は、データベース アクセス権限とは異なります。プロジェクト権限は Lakebase プラットフォームのアクションを制御し、Postgres のロール権限はデータベース アクセスを制御します。詳細については、 「アクセス許可レベルについて」を参照してください。
プロジェクトとデータベースの両方へのアクセスをユーザーに許可するための段階的なチュートリアルについては、 「チュートリアル: 新しいユーザーにプロジェクトとデータベースのアクセスを許可する」を参照してください。
権限の種類
Lakebase プロジェクトは、次の 2 つの権限レベルをサポートしています。
- 作成可能 : プロジェクト リソースの表示と作成
- CAN MANAGE : プロジェクトの構成とリソースを完全に制御
各権限で許可されるアクションの詳細については、 「プロジェクト権限の機能」を参照してください。
デフォルトの権限
Lakebase プロジェクトを作成すると、プロジェクトが作成されたワークスペース内の ID に次の権限が自動的に割り当てられます。
アイデンティティ/グループ | 権限 | 説明 |
|---|---|---|
ワークスペースユーザー | CAN CREATE | すべてのワークスペースユーザーがプロジェクトを表示および作成できます |
プロジェクトオーナー | CAN MANAGE | プロジェクトを作成したユーザーにはフルコントロール権限があります |
ワークスペース管理者 | CAN MANAGE | すべてのワークスペース管理者は完全な制御権を持ちます |
これらのデフォルトの権限により、プロジェクト作成者とワークスペース管理者は完全な制御権を持ち、すべてのワークスペース ユーザーはプロジェクト リソースを検出および作成できるようになります。他のユーザーにアクセスを許可するには、特定のユーザー、グループ、またはサービスプリンシパルにCAN MANAGE権限を明示的に付与する必要があります。
ワークスペースのユーザーと管理者について:
- ワークスペース ユーザーは 、ワークスペース内のすべてのユーザーであり、
usersグループのメンバーです。 デフォルトのワークスペース権限を参照してください。 - ワークスペース管理者は 昇格された権限を持ち、ワークスペース内のすべてのプロジェクトを管理できます。 「ワークスペースを作成する」を参照してください。
- プロジェクト権限の範囲は、プロジェクトが作成されたワークスペースに限定されます。他のワークスペースのユーザーは、自動的にプロジェクトにアクセスすることはできません。
プロジェクト権限を付与する
プロジェクト権限を他のユーザー、グループ、またはサービスプリンシパルに付与するには:
- Lakebase アプリでプロジェクトに移動します。
- 左側のサイドバーの 「設定」を クリックします。
- 「プロジェクト権限」 セクションまでスクロールします。
- [権限を付与] をクリックします。
- アクセスを許可するアイデンティティ、グループ、またはサービスプリンシパルを選択します。
- 権限レベルを選択します: CAN CREATE または CAN MANAGE 。
- 付与 をクリックします。
プロジェクトに対する CAN MANAGE 権限を持つユーザーのみが権限を付与または変更できます。
権限の適用について:
プロジェクト権限は API を通じて適用されます。権限のないアクション (CAN MANAGE なしでブランチを作成するなど) を実行しようとすると、操作は失敗します。
現在、Lakebase UI では、権限レベルに基づいて機能が非表示になったり、ボタンが無効になったりすることはありません。実行できないアクションのオプションが表示される場合があります。これらのアクションを実行しようとすると、権限エラーが発生します。
権限の変更または取り消し
権限を変更または取り消すには:
- Lakebase アプリでプロジェクトの 設定 に移動します。
- [プロジェクトのアクセス許可] セクションで、ユーザー、グループ、またはサービスプリンシパルを見つけます。
- 権限を変更するには: クリック
ID の横にある編集アイコンをクリックし、別の権限レベルを選択します。 - アクセスを取り消すには: ID の横にある削除アイコンをクリックして、削除を確認します。
ワークスペース管理者またはプロジェクト所有者の権限を変更または削除することはできません。これらの権限はデフォルトで設定されており、変更することはできません。
プロジェクト権限機能
各権限レベル (CAN CREATE、 CAN MANAGE ) では、プロジェクト、ブランチ、スナップショット、コンピュート エンドポイント、操作などのプロジェクト リソースに対するさまざまなアクションが許可されます。
各権限レベルで許可されるアクションの完全なリストについては、 Lakebase プロジェクト ACL を参照してください。
権限レベルを理解する
Lakebase Postgres は 2 つの権限レイヤーを使用します。
プロジェクト権限
プロジェクト権限は、ブランチの作成、コンピュートの管理、プロジェクト設定の管理などのプラットフォーム レベルのアクションを制御します。
管理方法 : Lakebase アプリ UI (プロジェクト設定 > プロジェクト権限)
付与先 : Databricks ID、グループ、サービスプリンシパル
データベース権限
Postgres のロール権限は、データベース自体内のデータにアクセスできるユーザーを制御します。
管理方法 : Postgres SQL コマンド ( GRANT 、 REVOKE )
付与先 : Postgres ロール
これらのシステムには自動同期機能はありません。
組織の要件に応じて、これらの権限を個別にまたはまとめて付与できます。
- プラットフォーム アクセスとデータベース アクセスを必要とするユーザーに両方のレイヤーを付与します。
- インフラストラクチャを管理するが、データをクエリする必要がないユーザーには、プロジェクト権限のみを付与します。
- データのクエリを実行する必要があるが、Lakebase リソースを管理する必要がないユーザーには、データベース アクセスのみを許可します (接続の詳細を含む
psqlなどのツールを使用して接続できます)。
ユーザーのデータベース アクセスを設定するには、 「Postgres ロールの管理」および「権限の管理」を参照してください。完全なチュートリアルについては、 「チュートリアル: 新しいユーザーにプロジェクトとデータベースのアクセスを許可する」を参照してください。
次のステップ
プロジェクト権限を付与したら、データベース アクセスを設定し、プロジェクトに接続できます。