メインコンテンツまでスキップ

必要な権限

このページでは、Google Cloud上でDatabricksワークスペースを作成および管理するために必要な権限について説明します。

Google Cloudでは、各ワークスペースは顧客所有のワークスペース プロジェクト内で実行されます。 Databricks は、ワークスペースを管理するために必要な最小限の権限を持つワークスペースごとのサービス アカウントを作成し、所有します。 Databricks は、ワークスペース作成者の資格情報を使用して、ワークスペース プロジェクトのサービス アカウントに権限を付与します。 ワークスペースを正常に作成するには、Databricks アカウント管理者がワークスペース プロジェクトに対する必要なアクセス許可を持っている必要があります。

この記事の 「従来の権限 」セクションには、 Databricks が GKE でコンピュートを起動するために以前に必要だった権限のリストが含まれています。 GKE から GCE への移行の詳細については、 GCE コンピュート デプロイの権限を更新するをご覧ください。

ワークスペース作成者に必要な権限

Databricks は、ワークスペース作成者の資格情報を使用して、設定の検証、アクセス許可の付与、必要なサービスの有効化、ワークスペースのプロビジョニングを行います。

以下は、ワークスペースとネットワークプロジェクトに必要な最小限の権限セットです。 Databricks では、ワークスペース作成者がワークスペース プロジェクトと VPC プロジェクトの両方で roles/owner ロールを持つことをお勧めします。

注記

ワークスペースの作成は、通常、完了するのに 1 分もかかりません。 Databricks は、ワークスペースの作成後にこれらのアクセス許可を保持したり使用したりしません。

Googleの許可

目的

ワークスペース プロジェクトに必要

VPC プロジェクトに必要

ユースケース

iam.roles.create

カスタムロールを作成します。

ワークスペースのサービス アカウントに権限を付与するためのカスタム ロールを作成および管理します。

iam.roles.delete

カスタムロールを削除します。

ワークスペースのサービス アカウントに権限を付与するためのカスタム ロールを作成および管理します。

iam.roles.get

カスタムロールを取得します。

ワークスペースのサービス アカウントに権限を付与するためのカスタム ロールを作成および管理します。

iam.roles.update

カスタムロールを更新します。

ワークスペースのサービス アカウントに権限を付与するためのカスタム ロールを作成および管理します。

iam.serviceAccounts.create

Databricks-コンピュート サービス アカウントを作成します。

Databricks-コンピュート サービス アカウントを作成します。これは、カスタム サービス アカウントがアタッチされていないワークスペース内のすべてのクラスターで使用されます。このサービスアカウントには、ログ記録とメトリクスに限定された最小限の権限があります。

iam.serviceAccounts.get

Get the Databricks-コンピュート サービス アカウント.

必要な Databricks-コンピュート サービス アカウント used by all clusters in the workspace が存在するかどうかを確認するために使用されます。

iam.serviceAccounts.getIamPolicy

IAM ポリシーを取得します。

GKE クラスターを起動するための Google コンピュート Engine (GCE) サービス アカウントのサービス アカウント User role をワークスペース サービス アカウントに付与します。

iam.serviceAccounts.setIamPolicy

Set IAM ポリシー。

GKE クラスターを起動するための Google コンピュート Engine (GCE) サービス アカウントのサービス アカウント User role をワークスペース サービス アカウントに付与します。

resourcemanager.projects.get

プロジェクト ID からプロジェクト番号を取得します。

ワークスペース プロジェクトに関する基本情報を取得します。

resourcemanager.projects.getIamPolicy

IAM ポリシーを取得します。

ワークスペース プロジェクトに関する基本情報を取得します。

resourcemanager.projects.setIamPolicy

Set IAM ポリシー。

ワークスペース プロジェクトに関する基本情報を取得します。

serviceusage.services.get

顧客プロジェクトで必要な Google CloudAPIsが有効になっているかどうかを検証します。

Databricksワークロードに必要な Google Cloud サービスを有効にします。

serviceusage.services.list

顧客プロジェクトで必要な Google CloudAPIsが有効になっているかどうかを検証します。

Databricksワークロードに必要な Google Cloud サービスを有効にします。

serviceusage.services.enable

プロジェクトで必要な Google CloudAPIsまだ有効になっていない場合は、有効にします。

Databricksワークロードに必要な Google Cloud サービスを有効にします。

compute.networks.get

VPC ネットワークの存在を検証します。

顧客提供の VPC ネットワークのネットワーク リソースを検証します。ネットワーク・リソースは、ワークスペース・プロジェクト以外のプロジェクトに属している可能性があります。

compute.networks.updatePolicy

VPC ネットワーク上のファイアウォール ポリシーを更新します。

顧客提供の VPC ネットワーク上のファイアウォール ポリシー (ワークスペース プロジェクト以外のプロジェクトに属している可能性があります) を更新します。

compute.projects.get

VPC ネットワークのホスト プロジェクトを取得します。

顧客提供の VPC ネットワークのネットワーク リソースを検証します。ネットワーク・リソースは、ワークスペース・プロジェクト以外のプロジェクトに属している可能性があります。

compute.subnetworks.get

VPC ネットワークのサブネットを検証します。

顧客提供の VPC ネットワークのネットワーク リソースを検証します。ネットワーク・リソースは、ワークスペース・プロジェクト以外のプロジェクトに属している可能性があります。 顧客管理VPCを使用する場合は必須です。

compute.subnetworks.getIamPolicy

VPC サブネットの IAM ポリシーを取得します。

顧客提供の VPC ネットワーク (ワークスペース プロジェクト以外のプロジェクトに属している可能性がある) のサブネットワーク上の権限を検証します。 顧客管理VPCを使用する場合は必須です。

compute.subnetworks.setIamPolicy

VPC サブネットに IAM ポリシーを設定します。

IAM顧客提供のVPC ネットワーク (ワークスペース プロジェクト以外のプロジェクトに属している可能性がある) のサブネットワークに ポリシーを設定します。顧客管理VPCを使用する場合は必須です。

compute.forwardingRules.get

Private Service Connectの転送ルールを一覧表示します。

Private サービス Connectを有効にする場合は必須です。

compute.forwardingRules.list

Private サービス コネクトの転送ルールを取得します。

Private サービス Connectを有効にする場合は必須です。

compute.firewalls.get

ファイアウォールルールを取得します。

顧客提供の VPC ネットワークで必要なファイアウォールルールを取得して、存在するかどうかを確認します。

compute.firewalls.create

ファイアウォールルールを作成します。

顧客提供の VPC ネットワークにファイアウォールルールを作成します。ファイアウォールルールは、ワークスペースプロジェクト以外のプロジェクトに属している可能性があります。

ワークスペース サービス アカウントに必要なアクセス許可

ワークスペース サービス アカウントには、ワークスペースを操作および管理するために、ワークスペース プロジェクトの次の IAMロールのアクセス許可が必要です。 これらのロールは、ワークスペースをデプロイするときに Databricks によって自動的に作成されます。

  • Databricks プロジェクト ロール v2 : このロールは、Databricks によって管理されるインスタンス、ディスク、クラウド操作、サービス アカウントなどのプロジェクト レベルのリソースを運用および管理するために必要です。 これは、プロジェクト レベルでワークスペース サービス アカウントに付与されます。

  • Databricks リソース ロール v2 : これは、Google コンピュート エンジン (GCE) インスタンス、ストレージ ディスク、および Databricksによって管理されるその他のワークスペース レベルのリソースを運用および管理するために必要です。このロールは、プロジェクト レベルでワークスペース サービス アカウントに付与されます。 ワークスペース レベルのスコープは、ワークスペース ID の IAM 条件を使用して適用されます。 次の例では、実際のワークスペース ID の代わりに 1234567890 を使用しています。

    Bash
    resource.name.extract("{x}databricks”) != "" &&
    resource.name.extract("{x}1234567890”) != ""

ワークスペース サービスIAM アカウントには、顧客管理 のプライマリ サブネット上の次のVPC ロールのアクセス許可が必要です。ロールは VPC プロジェクトに存在する必要があります。

  • Databricks ネットワーク ロール v2 : これは、顧客管理VPC ネットワークでサブネットワーク リソースを使用するために必要です。

Databricks プロジェクト ロール v2 のアクセス許可

権限

目的

ユースケース

compute.disks.list

ディスクの一覧表示

Google コンピュート エンジン (GCE) リソースを管理してワークロードを実行

compute.globalOperations.list

クラウド操作の一覧表示

Google コンピュート エンジン (GCE) リソースを管理してワークロードを実行

compute.regionOperations.list

リージョン クラウド運用を一覧表示する

Google コンピュート エンジン (GCE) リソースを管理してワークロードを実行

compute.zoneOperations.list

ゾーン クラウド操作の一覧表示

Google コンピュート エンジン (GCE) リソースを管理してワークロードを実行

compute.instances.list

GCE インスタンスの一覧表示

Google コンピュート エンジン (GCE) リソースを管理してワークロードを実行

compute.zones.list

利用可能なゾーンを一覧表示する

Google コンピュート エンジン (GCE) リソースを管理してワークロードを実行

compute.zones.get

ゾーンの説明を取得する

Google コンピュート エンジン (GCE) リソースを管理してワークロードを実行

compute.regions.get

地域の説明を取得する

Google コンピュート エンジン (GCE) リソースを管理してワークロードを実行

serviceusage.services.list

有効なサービスの一覧表示

Databricks が必要なサービスが有効になっていることを確認するために必要です

serviceusage.quotas.get

クォータの詳細を取得する

Google コンピュート エンジン (GCE) リソースを管理してワークロードを実行

storage.buckets.list

Databricks で管理されている GCS バケットを一覧表示する

Google コンピュート エンジン (GCE) リソースを管理してワークロードを実行

compute.instances.recommendLocations

オンデマンドの容量に関する推奨事項を取得する

リージョンの使用可能な容量に基づいてオンデマンド インスタンスのゾーン/マシンタイプの推奨事項を取得する

compute.spotAssistants.get

スポット容量の推奨事項を取得する

リージョンの使用可能な容量に基づいてスポットインスタンスのゾーン/マシンタイプの推奨事項を取得する

compute.reservations.get

GCE予約の詳細を取得する

ゾーン/マシンの種類の選択で使用する GCE 予約の詳細を取得する

compute.reservations.list

すべてのGCE予約を一覧表示する

ゾーン/マシンタイプ選択で使用するすべてのGCE予約の詳細を一覧表示します

次の権限は、従来の権限との互換性のために保持されます。これらは、必要に応じて削除または変更できます

権限

目的

ユースケース

iam.serviceAccounts.actAs

サービスアカウントの偽装

クラスタリング で Google サービス アカウントを使用するために必要です。 GSAを使用しない場合は取り外すことができます または、 Databricks クラスタリングで使用される特定のサービス アカウントに対してのみ付与できます。

iam.serviceAccounts.getAccessToken

サービスアカウントの偽装

クラスタリング で Google サービス アカウントを使用するために必要です。 GSAを使用しない場合は取り外すことができます または、 Databricks クラスタリングで使用される特定のサービス アカウントに対してのみ付与できます。

iam.serviceAccounts.getOpenIdToken

サービスアカウントの偽装

クラスタリング で Google サービス アカウントを使用するために必要です。 GSAを使用しない場合は取り外すことができます または、 Databricks クラスタリングで使用される特定のサービス アカウントに対してのみ付与できます。

Databricks リソース ロール v2 のアクセス許可

権限

目的

ユースケース

compute.disks.create

Databricks マネージド ディスクを作成する

Google コンピュート エンジン (GCE) リソースを管理してワークロードを実行

compute.disks.delete

Databricks マネージド ディスクを削除する

Google コンピュート エンジン (GCE) リソースを管理してワークロードを実行

compute.disks.get

Databricks で管理されているディスク情報を取得する

Google コンピュート エンジン (GCE) リソースを管理してワークロードを実行

compute.disks.resize

Databricks マネージド ディスクのサイズを変更する

Google コンピュート エンジン (GCE) リソースを管理してワークロードを実行

compute.disks.setLabels

Databricks マネージド ディスクにラベルを設定する

Google コンピュート エンジン (GCE) リソースを管理してワークロードを実行

compute.disks.update

Databricks マネージド ディスクを更新する

Google コンピュート エンジン (GCE) リソースを管理してワークロードを実行

compute.disks.use

Databricks マネージド ディスクを VM に接続する

Google コンピュート エンジン (GCE) リソースを管理してワークロードを実行

compute.disks.useReadOnly

Databricks マネージド ディスクを読み取り専用モードで VM に接続する

Google コンピュート エンジン (GCE) リソースを管理してワークロードを実行

compute.instances.create

Databricks で管理されるインスタンスを作成する

Google コンピュート エンジン (GCE) リソースを管理してワークロードを実行

compute.instances.delete

Databricks で管理されているインスタンスを削除する

Google コンピュート エンジン (GCE) リソースを管理してワークロードを実行

compute.instances.attachDisk

Databricks マネージド インスタンスにディスクをアタッチする

Google コンピュート エンジン (GCE) リソースを管理してワークロードを実行

compute.instances.detachDisk

Databricks マネージド インスタンスからディスクをデタッチする

Google コンピュート エンジン (GCE) リソースを管理してワークロードを実行

compute.instances.get

インスタンスの詳細を取得する

Google コンピュート エンジン (GCE) リソースを管理してワークロードを実行

compute.instances.getGuestAttributes

インスタンスのゲスト属性を取得する

Google コンピュート エンジン (GCE) リソースを管理してワークロードを実行

compute.instances.getSerialPortOutput

インスタンスのシリアルポートログを取得する

Debug failed Google コンピュート エンジン (GCE) リソース

compute.instances.setLabels

インスタンスにラベルを設定する

Google コンピュート エンジン (GCE) リソースを管理してワークロードを実行

compute.instances.setTags

インスタンスにタグを設定する

Google コンピュート エンジン (GCE) リソースを管理してワークロードを実行

compute.instances.update

インスタンスを更新する

Google コンピュート エンジン (GCE) リソースを管理してワークロードを実行

compute.instances.setMetadata

インスタンスにメタデータを設定する

Google コンピュート エンジン (GCE) リソースを管理してワークロードを実行

compute.instances.setServiceAccount

インスタンスにサービスアカウントを設定する

Google コンピュート エンジン (GCE) リソースを管理してワークロードを実行

storage.multipartUploads.abort

Databricks マネージド GCS バケットへのマルチパート アップロードを取り消す

大きなファイルをアップロードするときに Google Cloud Storage (GCS) アップロード セッションを管理する

storage.multipartUploads.create

Databricks マネージド GCS バケットへのマルチパート アップロードを作成する

大きなファイルをアップロードするときに Google Cloud Storage (GCS) アップロード セッションを管理する

storage.multipartUploads.list

Databricks マネージド GCS バケットへのマルチパートアップロードを一覧表示する

大きなファイルをアップロードするときに Google Cloud Storage (GCS) アップロード セッションを管理する

storage.multipartUploads.listParts

特定のマルチパートアップロード用にアップロードされたパートを Databricks マネージド GCS バケットに一覧表示する

大きなファイルをアップロードするときに Google Cloud Storage (GCS) アップロード セッションを管理する

storage.buckets.create

Databricks で管理される GCS バケットを作成する

Google コンピュート エンジン (GCE) リソースを管理してワークロードを実行

storage.buckets.delete

Databricks で管理されている GCS バケットを削除する

Google コンピュート エンジン (GCE) リソースを管理してワークロードを実行

storage.buckets.get

Databricks で管理される GCS バケットの詳細を取得する

Google コンピュート エンジン (GCE) リソースを管理してワークロードを実行

storage.buckets.getIamPolicy

Databricks で管理されている GCS バケットの IAM ポリシーを取得する

Google コンピュート エンジン (GCE) リソースを管理してワークロードを実行

storage.buckets.setIamPolicy

Databricks で管理される GCS バケットの IAM ポリシーを設定する

Google コンピュート エンジン (GCE) リソースを管理してワークロードを実行

storage.buckets.update

Databricks で管理される GCS バケットを更新する

Google コンピュート エンジン (GCE) リソースを管理してワークロードを実行

storage.objects.create

Databricks で管理される GCS バケットを作成する

Google コンピュート エンジン (GCE) リソースを管理してワークロードを実行

storage.objects.delete

Databricks で管理されている GCS バケットを削除する

Google コンピュート エンジン (GCE) リソースを管理してワークロードを実行

storage.objects.get

Databricks で管理される GCS バケットの詳細を取得する

Google コンピュート エンジン (GCE) リソースを管理してワークロードを実行

storage.objects.list

Databricks で管理される GCS バケット内のオブジェクトを一覧表示する

Google コンピュート エンジン (GCE) リソースを管理してワークロードを実行

storage.objects.update

Databricks で管理される GCS バケット内のオブジェクトを更新する

Google コンピュート エンジン (GCE) リソースを管理してワークロードを実行

Databricks マネージド VPC ネットワーク上のワークスペースに対する追加のアクセス許可

Databricks マネージド VPC ネットワークを使用するワークスペースには、次のアクセス許可も必要です。

権限

目的

ユースケース

compute.networks.access

Databricks マネージド VPC で VM を起動する

Google コンピュート エンジン (GCE) リソースを管理してワークロードを実行

compute.networks.get

Databricks マネージド VPC の詳細を取得する

Google コンピュート エンジン (GCE) リソースを管理してワークロードを実行

compute.networks.use

Databricks マネージド VPC で VM を起動する

Google コンピュート エンジン (GCE) リソースを管理してワークロードを実行

compute.networks.useExternalIp

Databricks マネージド VPC で VM を起動する

Google コンピュート エンジン (GCE) リソースを管理してワークロードを実行

compute.routers.get

Databricks マネージド ルーターの詳細を取得する

Google コンピュート エンジン (GCE) リソースを管理してワークロードを実行

compute.subnetworks.get

Databricks マネージド サブネットの詳細を取得する

Google コンピュート エンジン (GCE) リソースを管理してワークロードを実行

compute.subnetworks.use

Databricks マネージド VPC で VM を起動する

Google コンピュート エンジン (GCE) リソースを管理してワークロードを実行

compute.routers.use

Databricks マネージド VPC で VM を起動する

Google コンピュート エンジン (GCE) リソースを管理してワークロードを実行

compute.subnetworks.getIamPolicy

Databricks で管理されるサブネットの IAM ポリシーを取得する

Google コンピュート エンジン (GCE) リソースを管理してワークロードを実行

compute.subnetworks.useExternalIp

Databricks マネージド VPC で VM を起動する

Google コンピュート エンジン (GCE) リソースを管理してワークロードを実行

compute.networks.create

Databricks マネージド VPC を作成する

Google コンピュート エンジン (GCE) リソースを管理してワークロードを実行

compute.networks.delete

Databricks マネージド VPC を削除する

Google コンピュート エンジン (GCE) リソースを管理してワークロードを実行

compute.networks.update

Databricks マネージド VPC を更新する

Google コンピュート エンジン (GCE) リソースを管理してワークロードを実行

compute.networks.updatePolicy

Databricks マネージド VPC を更新する

Google コンピュート エンジン (GCE) リソースを管理してワークロードを実行

compute.subnetworks.create

Databricks で管理されるサブネットを作成する

Google コンピュート エンジン (GCE) リソースを管理してワークロードを実行

compute.subnetworks.delete

Databricks で管理されているサブネットを削除する

Google コンピュート エンジン (GCE) リソースを管理してワークロードを実行

compute.subnetworks.expandIpCidrRange

Databricks マネージド サブネットの CIDR 範囲を拡張する

Google コンピュート エンジン (GCE) リソースを管理してワークロードを実行

compute.subnetworks.setIamPolicy

Databricks で管理されるサブネットに IAM ポリシーを設定するSet IAM policy on the Databricks-managed subnet

Google コンピュート エンジン (GCE) リソースを管理してワークロードを実行

compute.subnetworks.setPrivateIpGoogleAccess

Databricks で管理されているサブネットでプライベート Google API アクセスを構成する

Google コンピュート エンジン (GCE) リソースを管理してワークロードを実行

compute.subnetworks.update

Databricks で管理されるサブネットを更新する

Google コンピュート エンジン (GCE) リソースを管理してワークロードを実行

compute.routers.create

Databricks で管理されるルーターを作成する

Google コンピュート エンジン (GCE) リソースを管理してワークロードを実行

compute.routers.delete

Databricks で管理されているルーターを削除する

Google コンピュート エンジン (GCE) リソースを管理してワークロードを実行

compute.routers.update

Databricks マネージド ルーターを更新する

Google コンピュート エンジン (GCE) リソースを管理してワークロードを実行

compute.firewalls.create

Databricks VM が通信できるようにするイングレス ファイアウォール規則を作成します

Google コンピュート エンジン (GCE) リソースを管理してワークロードを実行

compute.firewalls.delete

VPC をクリーンアップするために、ワークスペースのティアダウンでイングレス ファイアウォール ルールを削除します

Google コンピュート エンジン (GCE) リソースを管理してワークロードを実行

compute.firewalls.get

イングレス ファイアウォール ルールの詳細を取得する

Google コンピュート エンジン (GCE) リソースを管理してワークロードを実行

compute.firewalls.update

イングレス ファイアウォール ルールの詳細を更新する

Google コンピュート エンジン (GCE) リソースを管理してワークロードを実行

Databricks ネットワーク ロール v2 のアクセス許可

権限

目的

ユースケース

compute.subnetworks.use

顧客管理ネットワーク内のサブネットを使用する

Google コンピュート エンジン (GCE) リソースを管理してワークロードを実行

compute.subnetworks.get

顧客管理ネットワーク内のサブネットの情報を取得する

Google コンピュート エンジン (GCE) リソースを管理してワークロードを実行

従来のアクセス許可

次の権限は従来のものであり Databricks GKE クラスターの起動時に必要でした。 リストを参照するのは、アカウントにGCEコンピュートのデプロイメントに対する更新された権限がない場合のみです。 「GCE コンピュート デプロイのアクセス許可を更新する」を参照してください。

ワークスペース作成者に必要な権限

Googleの許可

目的

ユースケース

iam.roles.create

カスタムロールを作成します。

ワークスペースのサービス アカウントに権限を付与するためのカスタム ロールを作成および管理します。

iam.roles.delete

カスタムロールを削除します。

ワークスペースのサービス アカウントに権限を付与するためのカスタム ロールを作成および管理します。

iam.roles.get

カスタムロールを取得します。

ワークスペースのサービス アカウントに権限を付与するためのカスタム ロールを作成および管理します。

iam.roles.update

カスタムロールを更新します。

ワークスペースのサービス アカウントに権限を付与するためのカスタム ロールを作成および管理します。

iam.serviceAccounts.getIamPolicy

IAM ポリシーを取得します。

ワークスペース サービス アカウントに、GKE クラスターを起動するための Google コンピュート Engine (GCE) サービス アカウントの Service Account User ロールを付与します。

iam.serviceAccounts.setIamPolicy

Set IAM ポリシー。

ワークスペース サービス アカウントに、GKE クラスターを起動するための Google コンピュート Engine (GCE) サービス アカウントの Service Account User ロールを付与します。

resourcemanager.projects.get

プロジェクト ID からプロジェクト番号を取得します。

ワークスペース プロジェクトに関する基本情報を取得します。

resourcemanager.projects.getIamPolicy

IAM ポリシーを取得します。

ワークスペース プロジェクトに関する基本情報を取得します。

resourcemanager.projects.setIamPolicy

Set IAM ポリシー。

ワークスペース プロジェクトに関する基本情報を取得します。

serviceusage.services.get

顧客プロジェクトで必要な Google CloudAPIsが有効になっているかどうかを検証します。

Databricksワークロードに必要な Google Cloud サービスを有効にします。

serviceusage.services.list

顧客プロジェクトで必要な Google CloudAPIsが有効になっているかどうかを検証します。

Databricksワークロードに必要な Google Cloud サービスを有効にします。

serviceusage.services.enable

プロジェクトで必要な Google CloudAPIsまだ有効になっていない場合は、有効にします。

Databricksワークロードに必要な Google Cloud サービスを有効にします。

compute.networks.get

VPC ネットワークの存在を検証します。

顧客提供の VPC ネットワークのネットワーク リソースを検証します。ネットワーク・リソースは、ワークスペース・プロジェクト以外のプロジェクトに属している可能性があります。

compute.projects.get

VPC ネットワークのホスト プロジェクトを取得します。

顧客提供の VPC ネットワークのネットワーク リソースを検証します。ネットワーク・リソースは、ワークスペース・プロジェクト以外のプロジェクトに属している可能性があります。

compute.subnetworks.get

VPC ネットワークのサブネットを検証します。

顧客提供の VPC ネットワークのネットワーク リソースを検証します。ネットワーク・リソースは、ワークスペース・プロジェクト以外のプロジェクトに属している可能性があります。

compute.forwardingRules.get

Private Service Connectの転送ルールを一覧表示します。

Private サービス Connectを有効にする場合は必須です。

compute.forwardingRules.list

Private サービス コネクトの転送ルールを取得します。

Private サービス Connectを有効にする場合は必須です。

cloudkms.cryptoKeys.getIamPolicy

Cloud KMS リソースのアクセス制御ポリシーを取得します。

Cloud KMS キーで必須 - 顧客 管理キーを有効にする場合。

cloudkms.cryptoKeys.setIamPolicy

Cloud KMS リソースのアクセス制御ポリシーを設定します。

Cloud KMS キーで必須 - 顧客 管理キーを有効にする場合。

ワークスペース サービス アカウントに必要なアクセス許可

ワークスペース サービス アカウントでは、ワークスペースを操作および管理するために、ワークスペース プロジェクトの次の IAMロールのアクセス許可が必要です。

  • GKE 管理者ロール: GKE で実行されている 顧客ワークロードを運用および管理するために必要です。
  • GCE Storage Admin Role : GKE ノードに関連付けられた Google コンピュート Engine(GCE)永続ストレージを運用、管理するために必要です。
  • Databricks Workspaceロール : ワークスペースの管理に必要な追加の権限を付与するための、ワークスペースごとのカスタムロール。

権限

目的

ユースケース

compute.globalOperations.get

GCEの停止中にGCEの運用を可視化するための運用データを取得します。

Google コンピュート エンジン (GCE) リソースを管理してワークロードを実行します。

compute.instanceGroups.get

GCE のトラブルシューティング用のインスタンス グループを取得します。 Google コンピュート エンジン (GCE) リソースを管理してワークロードを実行します。

Google コンピュート エンジン (GCE) リソースを管理してワークロードを実行します。

compute.instanceGroups.list

GCE のトラブルシューティングのためのインスタンス グループを一覧表示します。 Google コンピュート エンジン (GCE) リソースを管理してワークロードを実行します。

Google コンピュート エンジン (GCE) リソースを管理してワークロードを実行します。

compute.instances.get

Get コンピュート インスタンス。 Google コンピュート エンジン (GCE) リソースを管理してワークロードを実行します。

Google コンピュート エンジン (GCE) リソースを管理してワークロードを実行します。

compute.instances.list

GCE のトラブルシューティングのためのコンピュート インスタンスを一覧表示します。 Google コンピュート エンジン (GCE) リソースを管理してワークロードを実行します。

Google コンピュート エンジン (GCE) リソースを管理してワークロードを実行します。

compute.instances.setLabels

コンピュート・インスタンス・ラベルを設定します。 Google コンピュート エンジン (GCE) リソースを管理してワークロードを実行します。

Google コンピュート エンジン (GCE) リソースを管理してワークロードを実行します。

compute.disks.get

ディスクを取得します。 Google コンピュート エンジン (GCE) リソースを管理してワークロードを実行します。

Google コンピュート エンジン (GCE) リソースを管理してワークロードを実行します。

compute.disks.setLabels

ディスクラベルを設定します。 Google コンピュート エンジン (GCE) リソースを管理してワークロードを実行します。

Google コンピュート エンジン (GCE) リソースを管理してワークロードを実行します。

compute.networks.access

ネットワーク リソースを管理します。

Google コンピュート エンジン (GCE) リソースを管理してワークロードを実行します。

compute.networks.create

ネットワーク リソースを管理します。 顧客管理VPC を使用する場合、このアクセス許可は、Databricksがサービス アカウントに付与するカスタム ロール にはありません 。

Google コンピュート エンジン (GCE) リソースを管理してワークロードを実行します。

compute.networks.delete

ネットワーク リソースを管理します。 顧客管理VPC を使用する場合、このアクセス許可は、Databricksがサービス アカウントに付与するカスタム ロール にはありません 。

Google コンピュート エンジン (GCE) リソースを管理してワークロードを実行します。

compute.networks.get

ネットワーク リソースを管理します。

Google コンピュート エンジン (GCE) リソースを管理してワークロードを実行します。

compute.networks.getEffectiveFirewalls

ネットワーク リソースを管理します。

Google コンピュート エンジン (GCE) リソースを管理してワークロードを実行します。

compute.networks.update

ネットワーク リソースを管理します。 顧客管理VPC を使用する場合、このアクセス許可は、Databricksがサービス アカウントに付与するカスタム ロール にはありません 。

Google コンピュート エンジン (GCE) リソースを管理してワークロードを実行します。

compute.networks.updatePolicy

ネットワーク リソースを管理します。 顧客管理VPC を使用する場合、このアクセス許可は、Databricksがサービス アカウントに付与するカスタム ロール にはありません 。

Google コンピュート エンジン (GCE) リソースを管理してワークロードを実行します。

compute.networks.use

ネットワーク リソースを管理します。

Google コンピュート エンジン (GCE) リソースを管理してワークロードを実行します。

compute.networks.useExternalIp

ネットワーク リソースを管理します。

Google コンピュート エンジン (GCE) リソースを管理してワークロードを実行します。

compute.regionOperations.get

リージョン オペレーションを取得して、GCE の停止中に Google コンピュート エンジン(GCE)のオペレーションを可視化します。

Google コンピュート エンジン (GCE) リソースを管理してワークロードを実行します。

compute.routers.create

ネットワーク リソースを管理します。 顧客管理VPC を使用する場合、このアクセス許可は、Databricksがサービス アカウントに付与するカスタム ロール にはありません 。

Google コンピュート エンジン (GCE) リソースを管理してワークロードを実行します。

compute.routers.delete

ネットワーク リソースを管理します。 顧客管理VPC を使用する場合、このアクセス許可は、Databricksがサービス アカウントに付与するカスタム ロール にはありません 。

Google コンピュート エンジン (GCE) リソースを管理してワークロードを実行します。

compute.routers.get

ネットワーク リソースを管理します。

Google コンピュート エンジン (GCE) リソースを管理してワークロードを実行します。

compute.routers.update

ネットワーク リソースを管理します。 顧客管理VPC を使用する場合、このアクセス許可は、Databricksがサービス アカウントに付与するカスタム ロール にはありません 。

Google コンピュート エンジン (GCE) リソースを管理してワークロードを実行します。

compute.routers.use

ネットワーク リソースを管理します。

Google コンピュート エンジン (GCE) リソースを管理してワークロードを実行します。

compute.subnetworks.create

ネットワーク リソースを管理します。 顧客管理VPC を使用する場合、このアクセス許可は、Databricksがサービス アカウントに付与するカスタム ロール にはありません 。

Google コンピュート エンジン (GCE) リソースを管理してワークロードを実行します。

compute.subnetworks.delete

ネットワーク リソースを管理します。 顧客管理VPC を使用する場合、このアクセス許可は、Databricksがサービス アカウントに付与するカスタム ロール にはありません 。

Google コンピュート エンジン (GCE) リソースを管理してワークロードを実行します。

compute.subnetworks.expandIpCidrRange

ネットワーク リソースを管理します。 顧客管理VPC を使用する場合、このアクセス許可は、Databricksがサービス アカウントに付与するカスタム ロール にはありません 。

Google コンピュート エンジン (GCE) リソースを管理してワークロードを実行します。

compute.subnetworks.get

ネットワーク リソースを管理します。

Google コンピュート エンジン (GCE) リソースを管理してワークロードを実行します。

compute.subnetworks.getIamPolicy

ネットワーク リソースを管理します。

Google コンピュート エンジン (GCE) リソースを管理してワークロードを実行します。

compute.subnetworks.setIamPolicy

ネットワーク リソースを管理します。 顧客管理VPC を使用する場合、このアクセス許可は、Databricksがサービス アカウントに付与するカスタム ロール にはありません 。

Google コンピュート エンジン (GCE) リソースを管理してワークロードを実行します。

compute.subnetworks.setPrivateIpGoogleAccess

ネットワーク リソースを管理します。 顧客管理VPC を使用する場合、このアクセス許可は、Databricksがサービス アカウントに付与するカスタム ロール にはありません 。

Google コンピュート エンジン (GCE) リソースを管理してワークロードを実行します。

compute.subnetworks.update

ネットワーク リソースを管理します。 顧客管理VPC を使用する場合、このアクセス許可は、Databricksがサービス アカウントに付与するカスタム ロール にはありません 。

Google コンピュート エンジン (GCE) リソースを管理してワークロードを実行します。

compute.subnetworks.use

ネットワーク リソースを管理します。

Google コンピュート エンジン (GCE) リソースを管理してワークロードを実行します。

compute.subnetworks.useExternalIp

ネットワーク リソースを管理します。

Google コンピュート エンジン (GCE) リソースを管理してワークロードを実行します。

container.clusterRoleBindings.create

クラスター ロールのバインドを作成します。

GKE クラスターを管理して、 Databricks ワークロードを実行します。

container.clusterRoleBindings.get

クラスター ロール バインディングを取得します。

GKE クラスターを管理して、 Databricks ワークロードを実行します。

container.clusterRoles.bind

クラスター ロール バインディングをバインドします。

GKE クラスターを管理して、 Databricks ワークロードを実行します。

container.clusterRoles.create

クラスター ロールを作成します。

GKE クラスターを管理して、 Databricks ワークロードを実行します。

container.clusterRoles.get

クラスター ロールを取得します。

GKE クラスターを管理して、 Databricks ワークロードを実行します。

container.clusters.create

クラスター ロールを作成します。

GKE クラスターを管理して、 Databricks ワークロードを実行します。

container.clusters.delete

クラスター ロールを削除します。

GKE クラスターを管理して、 Databricks ワークロードを実行します。

container.clusters.get

クラスターを取得します。

GKE クラスターを管理して、 Databricks ワークロードを実行します。

container.clusters.getCredentials

クラスターの資格情報を取得します。

GKE クラスターを管理して、 Databricks ワークロードを実行します。

container.clusters.list

クラスターを一覧表示します。

GKE クラスターを管理して、 Databricks ワークロードを実行します。

container.clusters.update

クラスターを更新します。

GKE クラスターを管理して、 Databricks ワークロードを実行します。

container.configMaps.create

configMap を作成します。

GKE クラスターを管理して、 Databricks ワークロードを実行します。

container.configMaps.get

configMaps を入手します。

GKE クラスターを管理して、 Databricks ワークロードを実行します。

container.configMaps.update

configMaps を更新します。

GKE クラスターを管理して、 Databricks ワークロードを実行します。

container.customResourceDefinitions.create

カスタムリソース定義を作成します。

GKE クラスターを管理して、 Databricks ワークロードを実行します。

container.customResourceDefinitions.get

カスタム リソース定義を取得します。

GKE クラスターを管理して、 Databricks ワークロードを実行します。

container.customResourceDefinitions.update

カスタムリソース定義を更新します。

GKE クラスターを管理して、 Databricks ワークロードを実行します。

container.daemonSets.create

デーモンセットを作成します。

GKE クラスターを管理して、 Databricks ワークロードを実行します。

container.daemonSets.get

デーモンセットを取得します。

GKE クラスターを管理して、 Databricks ワークロードを実行します。

container.daemonSets.update

デーモンセットを更新します。

GKE クラスターを管理して、 Databricks ワークロードを実行します。

container.deployments.create

デプロイメントを作成します。

GKE クラスターを管理して、 Databricks ワークロードを実行します。

container.deployments.get

デプロイを取得します。

GKE クラスターを管理して、 Databricks ワークロードを実行します。

container.deployments.update

デプロイを更新します。

GKE クラスターを管理して、 Databricks ワークロードを実行します。

container.jobs.create

ジョブを作成します。

GKE クラスターを管理して、 Databricks ワークロードを実行します。

container.jobs.get

ジョブを取得します。

GKE クラスターを管理して、 Databricks ワークロードを実行します。

container.jobs.update

ジョブを更新します。

GKE クラスターを管理して、 Databricks ワークロードを実行します。

container.namespaces.create

名前空間を作成します。

GKE クラスターを管理して、 Databricks ワークロードを実行します。

container.namespaces.get

名前空間を取得します。

GKE クラスターを管理して、 Databricks ワークロードを実行します。

container.namespaces.list

名前空間を一覧表示します。

GKE クラスターを管理して、 Databricks ワークロードを実行します。

container.operations.get

操作を取得します。

GKE クラスターを管理して、 Databricks ワークロードを実行します。

container.pods.get

ポッドを取得します。

GKE クラスターを管理して、 Databricks ワークロードを実行します。

container.pods.getLogs

ポッド ログを取得します。

GKE クラスターを管理して、 Databricks ワークロードを実行します。

container.pods.list

ポッドを一覧表示します。

GKE クラスターを管理して、 Databricks ワークロードを実行します。

container.roleBindings.create

ロールのバインドを作成します。

GKE クラスターを管理して、 Databricks ワークロードを実行します。

container.roleBindings.get

ロールのバインドを取得します。

GKE クラスターを管理して、 Databricks ワークロードを実行します。

container.roles.bind

ロールをバインドします。

GKE クラスターを管理して、 Databricks ワークロードを実行します。

container.roles.create

ロールを作成します。

GKE クラスターを管理して、 Databricks ワークロードを実行します。

container.roles.get

ロールを取得します。

GKE クラスターを管理して、 Databricks ワークロードを実行します。

container.secrets.create

シークレットを作成します。

GKE クラスターを管理して、 Databricks ワークロードを実行します。

container.secrets.get

シークレットを取得します。

GKE クラスターを管理して、 Databricks ワークロードを実行します。

container.secrets.update

シークレットを更新します。

GKE クラスターを管理して、 Databricks ワークロードを実行します。

container.serviceAccounts.create

サービスアカウントを作成します。

GKE クラスターを管理して、 Databricks ワークロードを実行します。

container.serviceAccounts.get

サービス アカウントを取得します。

GKE クラスターを管理して、 Databricks ワークロードを実行します。

container.services.create

サービスを作成します。

GKE クラスターを管理して、 Databricks ワークロードを実行します。

container.services.get

サービスを受ける。

GKE クラスターを管理して、 Databricks ワークロードを実行します。

container.thirdPartyObjects.create

サードパーティオブジェクトを作成します。

GKE クラスターを管理して、 Databricks ワークロードを実行します。

container.thirdPartyObjects.delete

サードパーティオブジェクトを削除します。

GKE クラスターを管理して、 Databricks ワークロードを実行します。

container.thirdPartyObjects.get

サードパーティのオブジェクトを取得します。

GKE クラスターを管理して、 Databricks ワークロードを実行します。

container.thirdPartyObjects.list

サードパーティオブジェクトをリストアップします。

GKE クラスターを管理して、 Databricks ワークロードを実行します。

container.thirdPartyObjects.update

サードパーティオブジェクトを更新します。

GKE クラスターを管理して、 Databricks ワークロードを実行します。

iam.serviceAccounts.getIamPolicy

サービス アカウントを検査するか、それらをクラスターにバインドします。

クラスターのサービス アカウントがデータにアクセスできるように GKE Workload Identity を設定します。

iam.serviceAccounts.setIamPolicy

サービス アカウントを検査するか、それらをクラスターにバインドします。

クラスターのサービス アカウントがデータにアクセスできるように GKE Workload Identity を設定します。

resourcemanager.projects.get

顧客のプロジェクト ID をプロジェクト番号に変換します。

プロジェクトがライブかどうか、ワークスペース サービス アカウントに十分なアクセス許可があるかどうかなど、プロジェクトの状態を検証します。

resourcemanager.projects.getIamPolicy

プロジェクトの IAM ポリシーが正しく構成されているかどうかを確認します。

プロジェクトがライブかどうか、ワークスペース サービス アカウントに十分なアクセス許可があるかどうかなど、プロジェクトの状態を検証します。

storage.buckets.create

バケットを作成します。

これは、 DBFS の GCS バケットを作成および管理するために必要です。

storage.buckets.delete

バケットを削除します。

これは、 DBFS の GCS バケットを作成および管理するために必要です。

storage.buckets.get

バケツを手に入れましょう。

これは、 DBFS の GCS バケットを作成および管理するために必要です。

storage.buckets.getIamPolicy

ストレージ IAM ポリシーを取得します。

これは、 DBFS の GCS バケットを作成および管理するために必要です。

storage.buckets.list

バケットをリストします。

これは、 DBFS の GCS バケットを作成および管理するために必要です。

storage.buckets.setIamPolicy

ストレージ IAM ポリシーを設定します。

これは、 DBFS の GCS バケットを作成および管理するために必要です。

storage.buckets.update

ストレージ IAM ポリシーを更新します。

これは、 DBFS の GCS バケットを作成および管理するために必要です。

storage.multipartUploads.abort

マルチパートアップロードを中止します。

DBFS オブジェクトの読み取りと書き込み。

storage.multipartUploads.create

マルチパートアップロードを作成します。

DBFS オブジェクトの読み取りと書き込み。

storage.multipartUploads.list

マルチパートアップロードを一覧表示します。

DBFS オブジェクトの読み取りと書き込み。

storage.multipartUploads.listParts

マルチパートアップロードのパートを一覧表示します。

DBFS オブジェクトの読み取りと書き込み。

storage.objects.create

ストレージオブジェクトを作成します。

DBFS オブジェクトの読み取りと書き込み。

storage.objects.delete

ストレージオブジェクトを削除します。

DBFS オブジェクトの読み取りと書き込み。

storage.objects.get

ストレージ オブジェクトを取得します。

DBFS オブジェクトの読み取りと書き込み。

storage.objects.list

ストレージオブジェクトを一覧表示します。

DBFS オブジェクトの読み取りと書き込み。

storage.objects.update

ストレージオブジェクトを更新します。

DBFS オブジェクトの読み取りと書き込み。