ワークスペースサービスアカウントに必要な権限

ワークスペースサービスアカウントには、ワークスペースを運営および管理するために、ワークスペースプロジェクトに対する次のIAMロールの権限が必要です。これらのロールは、ワークスペースをデプロイするときに Databricks によって自動的に作成されます。

Databricks プロジェクトロール v2 : このロールは、Databricks によって管理されるインスタンス、ディスク、クラウド操作、サービスアカウントなどのプロジェクトレベルのリソースを操作および管理するために必要です。これは、プロジェクトレベルでワークスペースサービスアカウントに付与されます。
Databricksリソースロール v2 : このロールは、Google コンピュートエンジン (GCE) インスタンス、ストレージディスク、およびDatabricksによって管理されるその他のワークスペースレベルのリソースを操作および管理するために必要です。このロールは、プロジェクトレベルでワークスペースサービスアカウントに付与されます。ワークスペースレベルのスコープ設定は、ワークスペース ID の IAM 条件を使用して適用されます。次の例では、実際のワークスペース ID の代わりに1234567890使用します。
Bash
```
resource.name.extract("{x}databricks”) != "" &&
resource.name.extract("{x}1234567890”) != ""
```
Databricksネットワークロール v2 : このロールは、カスタマー管理VPCネットワークの下でサブネットワークリソースを使用するために必要です。ロールは、顧客管理VPCのプライマリサブネット内のVPCプロジェクトに存在する必要があります。

顧客管理キーがワークスペースで有効になっている場合は、 クラウドKMSキーリソースに対して CloudKMS CryptoKey Decrypter ロールとKMS KMS Encrypter ロールが必要です。

Databricks プロジェクトロール v2 の権限

権限	目的	ユースケース
`compute.disks.list`	ディスクの一覧	ワークロードを実行するための Google コンピュートエンジン (GCE) リソースを管理する
`compute.globalOperations.list`	クラウド操作の一覧	ワークロードを実行するための Google コンピュートエンジン (GCE) リソースを管理する
`compute.regionOperations.list`	地域のクラウド運用を一覧表示する	ワークロードを実行するための Google コンピュートエンジン (GCE) リソースを管理する
`compute.zoneOperations.list`	ゾーンクラウド操作の一覧表示	ワークロードを実行するための Google コンピュートエンジン (GCE) リソースを管理する
`compute.instances.list`	GCEインスタンスの一覧	ワークロードを実行するための Google コンピュートエンジン (GCE) リソースを管理する
`compute.zones.list`	利用可能なゾーンを一覧表示する	ワークロードを実行するための Google コンピュートエンジン (GCE) リソースを管理する
`compute.zones.get`	ゾーンの説明を取得する	ワークロードを実行するための Google コンピュートエンジン (GCE) リソースを管理する
`compute.regions.get`	地域の説明を取得する	ワークロードを実行するための Google コンピュートエンジン (GCE) リソースを管理する
`serviceusage.services.list`	有効なサービスの一覧	必要なサービスが有効になっているかどうかをDatabricksが確認するために必要
`serviceusage.quotas.get`	割り当ての詳細を取得する	ワークロードを実行するための Google コンピュートエンジン (GCE) リソースを管理する
`storage.buckets.list`	Databricks が管理する GCS バケットの一覧表示	ワークロードを実行するための Google コンピュートエンジン (GCE) リソースを管理する
`compute.instances.recommendLocations`	オンデマンドの容量推奨を取得する	リージョン内の利用可能な容量に基づいて、オンデマンドインスタンスのゾーン/マシンタイプの推奨事項を取得します。
`compute.spotAssistants.get`	スポット容量の推奨事項を取得する	リージョン内の利用可能な容量に基づいて、スポットインスタンスのゾーン/マシンタイプの推奨事項を取得します。
`compute.reservations.get`	GCE予約の詳細を取得する	ゾーン/マシンタイプの選択に使用する GCE 予約の詳細を取得します
`compute.reservations.list`	すべての GCE 予約を一覧表示する	ゾーン/マシンタイプの選択に使用するすべての GCE 予約の詳細を一覧表示します

以下の権限は、従来の権限との互換性のために保持されます。必要に応じて削除または変更することができます

権限	目的	ユースケース
`iam.serviceAccounts.actAs`	サービスアカウントを偽装する	クラスターで Google サービスアカウントを使用するために必要です。 GSAを使用しない場合は取り外すことができますまたは、 Databricks クラスタリングで使用される特定のサービスアカウントに対してのみ付与できます。
`iam.serviceAccounts.getAccessToken`	サービスアカウントを偽装する	クラスターで Google サービスアカウントを使用するために必要です。 GSAを使用しない場合は取り外すことができますまたは、 Databricks クラスタリングで使用される特定のサービスアカウントに対してのみ付与できます。
`iam.serviceAccounts.getOpenIdToken`	サービスアカウントを偽装する	クラスターで Google サービスアカウントを使用するために必要です。 GSAを使用しない場合は取り外すことができますまたは、 Databricks クラスタリングで使用される特定のサービスアカウントに対してのみ付与できます。

Databricks リソースロール v2 の権限

権限	目的	ユースケース
`compute.disks.create`	Databricks マネージドディスクを作成する	ワークロードを実行するための Google コンピュートエンジン (GCE) リソースを管理する
`compute.disks.delete`	Databricks マネージドディスクを削除する	ワークロードを実行するための Google コンピュートエンジン (GCE) リソースを管理する
`compute.disks.get`	Databricks マネージドディスクの情報を取得する	ワークロードを実行するための Google コンピュートエンジン (GCE) リソースを管理する
`compute.disks.resize`	Databricks マネージドディスクのサイズ変更	ワークロードを実行するための Google コンピュートエンジン (GCE) リソースを管理する
`compute.disks.setLabels`	Databricks マネージドディスクにラベルを設定する	ワークロードを実行するための Google コンピュートエンジン (GCE) リソースを管理する
`compute.disks.update`	Databricks マネージドディスクを更新する	ワークロードを実行するための Google コンピュートエンジン (GCE) リソースを管理する
`compute.disks.use`	Databricks マネージドディスクを VM に接続する	ワークロードを実行するための Google コンピュートエンジン (GCE) リソースを管理する
`compute.disks.useReadOnly`	Databricks マネージドディスクを読み取り専用モードで VM に接続する	ワークロードを実行するための Google コンピュートエンジン (GCE) リソースを管理する
`compute.instances.create`	Databricks 管理インスタンスを作成する	ワークロードを実行するための Google コンピュートエンジン (GCE) リソースを管理する
`compute.instances.delete`	Databricks 管理インスタンスを削除する	ワークロードを実行するための Google コンピュートエンジン (GCE) リソースを管理する
`compute.instances.attachDisk`	Databricks 管理インスタンスにディスクを接続する	ワークロードを実行するための Google コンピュートエンジン (GCE) リソースを管理する
`compute.instances.detachDisk`	Databricks 管理インスタンスからディスクをデタッチする	ワークロードを実行するための Google コンピュートエンジン (GCE) リソースを管理する
`compute.instances.get`	インスタンスの詳細を取得する	ワークロードを実行するための Google コンピュートエンジン (GCE) リソースを管理する
`compute.instances.getGuestAttributes`	インスタンスのゲスト属性を取得する	ワークロードを実行するための Google コンピュートエンジン (GCE) リソースを管理する
`compute.instances.getSerialPortOutput`	インスタンスのシリアルポートログを取得する	デバッグに失敗した Google コンピュートエンジン (GCE) リソース
`compute.instances.setLabels`	インスタンスにラベルを設定する	ワークロードを実行するための Google コンピュートエンジン (GCE) リソースを管理する
`compute.instances.setTags`	インスタンスにタグを設定する	ワークロードを実行するための Google コンピュートエンジン (GCE) リソースを管理する
`compute.instances.update`	インスタンスを更新する	ワークロードを実行するための Google コンピュートエンジン (GCE) リソースを管理する
`compute.instances.setMetadata`	インスタンスにメタデータを設定する	ワークロードを実行するための Google コンピュートエンジン (GCE) リソースを管理する
`compute.instances.setServiceAccount`	インスタンスにサービスアカウントを設定する	ワークロードを実行するための Google コンピュートエンジン (GCE) リソースを管理する
`storage.multipartUploads.abort`	Databricks 管理の GCS バケットへのマルチパートアップロードをキャンセルする	大きなファイルをアップロードする際の Google Cloud Storage（GCS）アップロードセッションを管理する
`storage.multipartUploads.create`	Databricks が管理する GCS バケットへのマルチパートアップロードを作成する	大きなファイルをアップロードする際の Google Cloud Storage（GCS）アップロードセッションを管理する
`storage.multipartUploads.list`	Databricks が管理する GCS バケットへのマルチパートアップロードを一覧表示する	大きなファイルをアップロードする際の Google Cloud Storage（GCS）アップロードセッションを管理する
`storage.multipartUploads.listParts`	Databricks が管理する GCS バケットへの特定のマルチパートアップロードでアップロードされたパーツを一覧表示する	大きなファイルをアップロードする際の Google Cloud Storage（GCS）アップロードセッションを管理する
`storage.buckets.create`	Databricks 管理の GCS バケットを作成する	ワークロードを実行するための Google コンピュートエンジン (GCE) リソースを管理する
`storage.buckets.delete`	Databricks 管理の GCS バケットを削除する	ワークロードを実行するための Google コンピュートエンジン (GCE) リソースを管理する
`storage.buckets.get`	Databricks が管理する GCS バケットの詳細を取得する	ワークロードを実行するための Google コンピュートエンジン (GCE) リソースを管理する
`storage.buckets.getIamPolicy`	Databricks 管理の GCS バケットの IAM ポリシーを取得する	ワークロードを実行するための Google コンピュートエンジン (GCE) リソースを管理する
`storage.buckets.setIamPolicy`	Databricks 管理の GCS バケットの IAM ポリシーを設定する	ワークロードを実行するための Google コンピュートエンジン (GCE) リソースを管理する
`storage.buckets.update`	Databricks 管理の GCS バケットを更新する	ワークロードを実行するための Google コンピュートエンジン (GCE) リソースを管理する
`storage.objects.create`	Databricks 管理の GCS バケットを作成する	ワークロードを実行するための Google コンピュートエンジン (GCE) リソースを管理する
`storage.objects.delete`	Databricks 管理の GCS バケットを削除する	ワークロードを実行するための Google コンピュートエンジン (GCE) リソースを管理する
`storage.objects.get`	Databricks が管理する GCS バケットの詳細を取得する	ワークロードを実行するための Google コンピュートエンジン (GCE) リソースを管理する
`storage.objects.list`	Databricks 管理の GCS バケット内のオブジェクトを一覧表示する	ワークロードを実行するための Google コンピュートエンジン (GCE) リソースを管理する
`storage.objects.update`	Databricks 管理の GCS バケット内のオブジェクトを更新する	ワークロードを実行するための Google コンピュートエンジン (GCE) リソースを管理する

Databricks 管理 VPC ネットワーク上のワークスペースに対する追加の権限

Databricks が管理する VPC ネットワークを使用するワークスペースには、次のアクセス許可も必要です。

権限	目的	ユースケース
`compute.networks.access`	Databricks が管理する VPC で VM を起動する	ワークロードを実行するための Google コンピュートエンジン (GCE) リソースを管理する
`compute.networks.get`	Databricks が管理する VPC の詳細を取得する	ワークロードを実行するための Google コンピュートエンジン (GCE) リソースを管理する
`compute.networks.use`	Databricks が管理する VPC で VM を起動する	ワークロードを実行するための Google コンピュートエンジン (GCE) リソースを管理する
`compute.networks.useExternalIp`	Databricks が管理する VPC で VM を起動する	ワークロードを実行するための Google コンピュートエンジン (GCE) リソースを管理する
`compute.routers.get`	Databricks管理ルーターの詳細を取得する	ワークロードを実行するための Google コンピュートエンジン (GCE) リソースを管理する
`compute.subnetworks.get`	Databricks が管理するサブネットの詳細を取得する	ワークロードを実行するための Google コンピュートエンジン (GCE) リソースを管理する
`compute.subnetworks.use`	Databricks が管理する VPC で VM を起動する	ワークロードを実行するための Google コンピュートエンジン (GCE) リソースを管理する
`compute.routers.use`	Databricks が管理する VPC で VM を起動する	ワークロードを実行するための Google コンピュートエンジン (GCE) リソースを管理する
`compute.subnetworks.getIamPolicy`	Databricks 管理サブネットの IAM ポリシーを取得する	ワークロードを実行するための Google コンピュートエンジン (GCE) リソースを管理する
`compute.subnetworks.useExternalIp`	Databricks が管理する VPC で VM を起動する	ワークロードを実行するための Google コンピュートエンジン (GCE) リソースを管理する
`compute.networks.create`	Databricks マネージド VPC を作成する	ワークロードを実行するための Google コンピュートエンジン (GCE) リソースを管理する
`compute.networks.delete`	Databricks 管理 VPC を削除する	ワークロードを実行するための Google コンピュートエンジン (GCE) リソースを管理する
`compute.networks.update`	Databricks 管理 VPC を更新する	ワークロードを実行するための Google コンピュートエンジン (GCE) リソースを管理する
`compute.networks.updatePolicy`	Databricks 管理 VPC を更新する	ワークロードを実行するための Google コンピュートエンジン (GCE) リソースを管理する
`compute.subnetworks.create`	Databricks 管理サブネットを作成する	ワークロードを実行するための Google コンピュートエンジン (GCE) リソースを管理する
`compute.subnetworks.delete`	Databricks 管理サブネットを削除する	ワークロードを実行するための Google コンピュートエンジン (GCE) リソースを管理する
`compute.subnetworks.expandIpCidrRange`	Databricks 管理サブネットの CIDR 範囲を拡張する	ワークロードを実行するための Google コンピュートエンジン (GCE) リソースを管理する
`compute.subnetworks.setIamPolicy`	Databricks 管理サブネットに IAM ポリシーを設定する	ワークロードを実行するための Google コンピュートエンジン (GCE) リソースを管理する
`compute.subnetworks.setPrivateIpGoogleAccess`	Databricks 管理サブネットでプライベート Google API アクセスを構成する	ワークロードを実行するための Google コンピュートエンジン (GCE) リソースを管理する
`compute.subnetworks.update`	Databricks 管理サブネットを更新する	ワークロードを実行するための Google コンピュートエンジン (GCE) リソースを管理する
`compute.routers.create`	Databricks管理ルーターを作成する	ワークロードを実行するための Google コンピュートエンジン (GCE) リソースを管理する
`compute.routers.delete`	Databricks管理ルーターを削除する	ワークロードを実行するための Google コンピュートエンジン (GCE) リソースを管理する
`compute.routers.update`	Databricks管理ルーターを更新する	ワークロードを実行するための Google コンピュートエンジン (GCE) リソースを管理する
`compute.firewalls.create`	Databricks VM が通信できるように、イングレスファイアウォールルールを作成します。	ワークロードを実行するための Google コンピュートエンジン (GCE) リソースを管理する
`compute.firewalls.delete`	VPC をクリーンアップするために、ワークスペースのティアダウン時に Ingress ファイアウォールルールを削除します。	ワークロードを実行するための Google コンピュートエンジン (GCE) リソースを管理する
`compute.firewalls.get`	入口ファイアウォールルールの詳細を取得する	ワークロードを実行するための Google コンピュートエンジン (GCE) リソースを管理する
`compute.firewalls.update`	入口ファイアウォールルールの詳細を更新する	ワークロードを実行するための Google コンピュートエンジン (GCE) リソースを管理する

Databricks ネットワークロール v2 の権限

権限	目的	ユースケース
`compute.subnetworks.use`	顧客管理ネットワーク内のサブネットを使用する	ワークロードを実行するための Google コンピュートエンジン (GCE) リソースを管理する
`compute.subnetworks.get`	顧客管理ネットワーク内のサブネットの情報を取得する	ワークロードを実行するための Google コンピュートエンジン (GCE) リソースを管理する

従来の権限

従来の GKE デプロイモデルでは、ワークスペースサービスアカウントには、ワークスペースを操作および管理するために、ワークスペースプロジェクトに対する次のIAMロールの権限が必要でした。

GKE 管理者ロール : GKE 上で実行されている顧客のワークロードを操作および管理するために必要です。
GCE ストレージ管理者ロール : GKE ノードに関連付けられた Google コンピュートエンジン (GCE) 永続ストレージの操作と管理に必要です。
Databricks Workspaceロール : ワークスペースの管理に必要な追加のアクセス許可を付与するために必要です。

Databricks プロジェクト ロール v2 の権限​

Databricks リソース ロール v2 の権限​

Databricks 管理 VPC ネットワーク上のワークスペースに対する追加の権限​

Databricks ネットワーク ロール v2 の権限​

従来の権限​

Databricks プロジェクトロール v2 の権限

Databricks リソースロール v2 の権限

Databricks 管理 VPC ネットワーク上のワークスペースに対する追加の権限

Databricks ネットワークロール v2 の権限

従来の権限