ワークスペース作成に必要な権限
このページでは、Google クラウド上でクラシックDatabricksワークスペースを作成するために必要な権限について説明します。
Google クラウドでは、各ワークスペースは顧客所有のワークスペース プロジェクト内で実行されます。 Databricks は、ワークスペース作成者の資格情報を使用して、設定の検証、アクセス許可の付与、必要なサービスの有効化、ワークスペースのプロビジョニングを行います。ワークスペースを正常に作成するには、Databricks アカウント管理者がワークスペース プロジェクトに対する必要なアクセス許可を持っている必要があります。
さらに、ワークスペースの作成中に、Databricks はワークスペースの管理に必要な最小限の権限を持つ新しいサービス アカウントを作成します。Databricks は、ワークスペース作成者の資格情報を使用して、ワークスペース プロジェクトのサービス アカウントに権限を付与します。サービス アカウントに付与される権限の一覧については、 「ワークスペース サービス アカウントに必要な権限」を参照してください。
必要なアカウント管理者権限
以下は、ワークスペースとネットワークプロジェクトに必要な最小限の権限セットです。 Databricks では、ワークスペース作成者がワークスペース プロジェクトと VPC プロジェクトの両方で roles/owner ロールを持つことをお勧めします。
ワークスペースの作成は、通常、完了するのに 1 分もかかりません。Databricks は、ワークスペースの作成後にこれらのアクセス許可を保持したり使用したりしません。
Googleの許可 | 目的 | ワークスペース プロジェクトに必要 | VPC プロジェクトに必要 | ユースケース |
|---|---|---|---|---|
| カスタムロールを作成します。 | ✓ | ✓ | ワークスペースのサービス アカウントに権限を付与するためのカスタム ロールを作成および管理します。 |
| カスタムロールを削除します。 | ✓ | ワークスペースのサービス アカウントに権限を付与するためのカスタム ロールを作成および管理します。 | |
| カスタムロールを取得します。 | ✓ | ✓ | ワークスペースのサービス アカウントに権限を付与するためのカスタム ロールを作成および管理します。 |
| カスタムロールを更新します。 | ✓ | ✓ | ワークスペースのサービス アカウントに権限を付与するためのカスタム ロールを作成および管理します。 |
| Databricks-コンピュート サービス アカウントを作成します。 | ✓ | Databricks-コンピュート サービス アカウントを作成します。これは、カスタム サービス アカウントがアタッチされていないワークスペース内のすべてのクラスターで使用されます。このサービスアカウントには、ログ記録とメトリクスに限定された最小限の権限があります。 | |
| Get the Databricks-コンピュート サービス アカウント. | ✓ | 必要な Databricks-コンピュート サービス アカウント used by all clusters in the workspace が存在するかどうかを確認するために使用されます。 | |
| IAM ポリシーを取得します。 | ✓ | Grant ワークスペース サービス アカウント サービス アカウント User role on Google コンピュート エンジン (GCE) サービス アカウント をクリックして、クラスターを起動します。 | |
| Set IAM ポリシー。 | ✓ | Grant ワークスペース サービス アカウント サービス アカウント User role on Google コンピュート エンジン (GCE) サービス アカウント をクリックして、クラスターを起動します。 | |
| プロジェクト ID からプロジェクト番号を取得します。 | ✓ | ✓ | ワークスペース プロジェクトに関する基本情報を取得します。 |
| IAM ポリシーを取得します。 | ✓ | ✓ | ワークスペース プロジェクトに関する基本情報を取得します。 |
| Set IAM ポリシー。 | ✓ | ワークスペース プロジェクトに関する基本情報を取得します。 | |
| 顧客プロジェクトで必要な Google CloudAPIが有効になっているかどうかを検証します。 | ✓ | ✓ | Databricksワークロードに必要な Google Cloud サービスを有効にします。 |
| 顧客プロジェクトで必要な Google CloudAPIが有効になっているかどうかを検証します。 | ✓ | ✓ | Databricksワークロードに必要な Google Cloud サービスを有効にします。 |
| プロジェクトで必要な Google CloudAPIまだ有効になっていない場合は、有効にします。 | ✓ | Databricksワークロードに必要な Google Cloud サービスを有効にします。 | |
| VPC ネットワークの存在を検証します。 | ✓ | 顧客提供の VPC ネットワークのネットワーク リソースを検証します。ネットワーク・リソースは、ワークスペース・プロジェクト以外のプロジェクトに属している可能性があります。 | |
| VPC ネットワーク上のファイアウォール ポリシーを更新します。 | ✓ | 顧客提供の VPC ネットワーク上のファイアウォール ポリシー (ワークスペース プロジェクト以外のプロジェクトに属している可能性があります) を更新します。 | |
| VPC ネットワークのホスト プロジェクトを取得します。 | ✓ | 顧客提供の VPC ネットワークのネットワーク リソースを検証します。ネットワーク・リソースは、ワークスペース・プロジェクト以外のプロジェクトに属している可能性があります。 | |
| VPC ネットワークのサブネットを検証します。 | ✓ | 顧客提供の VPC ネットワークのネットワーク リソースを検証します。ネットワーク・リソースは、ワークスペース・プロジェクト以外のプロジェクトに属している可能性があります。 顧客管理VPCを使用する場合は必須です。 | |
| VPC サブネットの IAM ポリシーを取得します。 | ✓ | 顧客提供の VPC ネットワーク (ワークスペース プロジェクト以外のプロジェクトに属している可能性がある) のサブネットワーク上の権限を検証します。 顧客管理VPCを使用する場合は必須です。 | |
| VPC サブネットに IAM ポリシーを設定します。 | ✓ | IAM顧客提供のVPC ネットワーク (ワークスペース プロジェクト以外のプロジェクトに属している可能性がある) のサブネットワークに ポリシーを設定します。顧客管理VPCを使用する場合は必須です。 | |
| Private Service Connectの転送ルールを一覧表示します。 | ✓ | Private サービス Connectを有効にする場合は必須です。 | |
| Private サービス コネクトの転送ルールを取得します。 | ✓ | Private サービス Connectを有効にする場合は必須です。 | |
| ファイアウォールルールを取得します。 | ✓ | 顧客提供の VPC ネットワークで必要なファイアウォールルールを取得して、存在するかどうかを確認します。 | |
| ファイアウォールルールを作成します。 | ✓ | 顧客提供の VPC ネットワークにファイアウォールルールを作成します。ファイアウォールルールは、ワークスペースプロジェクト以外のプロジェクトに属している可能性があります。 | |
| Cloud KMS リソースのアクセス制御ポリシーを取得します。 | ✓ | Cloud KMS キーで必須 - 顧客 管理キーを有効にする場合。 | |
| Cloud KMS リソースのアクセス制御ポリシーを設定します。 | ✓ | Cloud KMS キーで必須 - 顧客 管理キーを有効にする場合。 |