メインコンテンツまでスキップ

Unity Catalog の管理者特権

この記事では、Databricks アカウント管理者、ワークスペース管理者、メタストア管理者が Unity Catalog を管理するために持つ特権について説明します。

注記

ワークスペースが自動的に Unity Catalog 有効になっている場合、ワークスペース管理者は、アタッチされたメタストアとワークスペース カタログ (ワークスペース カタログがプロビジョニングされている場合) に対するデフォルトの特権を持ちます。 ワークスペースの管理者権限については、 ワークスペースの Unity Catalog が自動的に有効になっている場合を参照してください。

メタストア管理者

メタストア管理者は省略可能ですが、Unity Catalog の高度な特権を持つユーザーまたはグループです。 メタストア管理者は、デフォルトによってメタストアに対して次の権限を持っています。

メタストアの管理者はメタストアの所有者でもあり、次の権限を付与されます。

  • メタストア内の任意のオブジェクト (ストレージ資格情報、外部ロケーション、接続、共有、受信者、プロバイダーなど) の特権を管理したり、所有権を譲渡したりします。

  • メタストア内の任意のデータへの読み取りおよび書き込み権限を自分に付与してください。

    メタストアの管理者は、すべてのオブジェクトの所有権を譲渡できるため、間接的にこの機能を利用できます。 デフォルトでは、直接アクセスはありません。 権限の付与は監査ログに記録されます。

  • メタストア内のすべてのオブジェクトのメタデータを読み取り、更新します。

  • メタストアを削除します。

メタストア管理者は、メタストア自体に対する権限を付与できる唯一のユーザーです。

メタストア管理者はこれらの特権を持つ唯一のユーザーであるため、次のいずれかの機能を使用する場合は、メタストア管理者を割り当てる必要があります。

メタストアの初期管理者権限を持つのは誰ですか?

アカウント管理者がメタストアを手動で作成した場合、そのアカウント管理者はメタストアの初期所有者であり、メタストア管理者です。 2024 年 3 月 6 日より前に作成されたすべてのメタストアは、アカウント管理者によって手動で作成されました。

メタストアが Unity Catalog の自動有効化の一部としてプロビジョニングされた場合、メタストアはメタストア管理者なしで作成されています。 その場合、ワークスペース管理者には、メタストア管理者をオプションにする特権が自動的に付与されます。 必要に応じて、アカウント管理者は、ユーザー、サービスプリンシパル、またはグループにメタストア管理者ロールを割り当てることができます。 グループを強くお勧めします。 「Unity Catalog の自動有効化」を参照してください。

メタストア管理者を割り当てる

メタストア管理者は、慎重に配布する必要がある高い特権ロールです。 これはオプションです。

アカウント管理者は、メタストア管理者ロールを割り当てることができます。 Databricks では、グループをメタストア管理者として指名することをお勧めします。 これにより、グループのすべてのメンバーが自動的にメタストア管理者になります。

メタストア管理者ロールをグループに割り当てるには:

  1. アカウント管理者として、アカウントコンソールにログインします。
  2. カタログアイコン [カタログ] をクリックします。
  3. メタストアの名前をクリックして、そのプロパティを開きます。
  4. 「Metastore Admin 」で、「 Edit 」をクリックします。
  5. ドロップダウンからグループを選択します。 フィールドにテキストを入力して、オプションを検索できます。
  6. [ 保存 ]をクリックします。
important

メタストア管理者の割り当ての変更がアカウントに反映されるまでに最大 30 秒かかる場合があり、一部のワークスペースでは他のワークスペースよりも有効になるまでに時間がかかる場合があります。 この遅延は、キャッシングプロトコルによるものです。

アカウント管理者

アカウント管理者は、慎重に分散する必要がある高い特権ロールです。 アカウント管理者には、次の権限があります。

  • メタストアを作成し、デフォルトで最初のメタストア管理者になります。
  • メタストアをワークスペースにリンクできます。
  • メタストア管理者ロールを割り当てることができます。
  • メタストアに権限を与えることができます。
  • メタストアの Delta Sharing を有効にできます。
  • ストレージの資格情報を構成できます。
  • システムテーブルを有効にし、それらへのアクセスを委任できます。

ワークスペース管理者

ワークスペース管理者は、慎重に分散する必要がある高い特権ロールです。 ワークスペース管理者には、次の権限があります。

  • ユーザー、サービスプリンシパル、およびグループをワークスペースに追加できます。
  • 他のワークスペース管理者を委任できます。
  • ジョブの所有権を管理できます。 ジョブへのアクセスの制御を参照してください。
  • ジョブ の [別のユーザーとして実行 ] 設定を管理できます。 「ジョブ実行の ID を構成する」を参照してください
  • ノートブック、ダッシュボード、クエリ、およびその他のワークスペース オブジェクトを表示および管理できます。 アクセス制御リストを参照してください。

アカウント管理者は、 RestrictWorkspaceAdmins 設定を使用してワークスペース管理者権限を制限できます。 「ワークスペース管理者を制限する」を参照してください。

ワークスペースの管理者権限 (ワークスペースが自動的に Unity Catalog 有効になっている場合)

ワークスペースが自動的に Unity Catalog 有効になっている場合、ワークスペースはデフォルトによってメタストアにアタッチされます。 詳細については、「Unity Catalogの自動有効化」を参照してください。

ワークスペースで Unity Catalog が自動的に有効になった場合、ワークスペース管理者は、アタッチされたメタストアに対して、デフォルトで次の特権を持ちます。

  • CREATE CATALOG

  • CREATE EXTERNAL LOCATION

  • CREATE STORAGE CREDENTIAL

  • CREATE CONNECTION

  • CREATE SHARE

  • CREATE RECIPIENT

  • CREATE PROVIDER

ワークスペース管理者は、ワークスペースカタログがワークスペースにプロビジョニングされた場合、ワークスペースカタログのデフォルト所有者です。 このカタログの所有権は、次の権限を付与します。

  • ワークスペースカタログ内の任意のオブジェクトの権限を管理したり、オブジェクトの所有権を譲渡したりします。

    これには、カタログ内のすべてのデータに対する読み取りおよび書き込みアクセス権を自分自身に付与する機能が含まれます (デフォルトによる直接アクセスは不可、アクセス許可の付与は監査ログに記録されます)。

  • ワークスペースカタログ自体の所有権を移行します。

すべてのワークスペース ユーザーは、ワークスペース カタログに対する USE CATALOG 権限を受け取ります。 ワークスペース ユーザーは、カタログ内のdefaultスキーマに対する USE SCHEMACREATE TABLECREATE VOLUMECREATE MODEL、および CREATE FUNCTION 特権も受け取ります。

注記

アタッチされたメタストアとワークスペース カタログに付与されたデフォルト特権は、ワークスペース間では保持されません (たとえば、ワークスペース カタログが別のワークスペースにもバインドされている場合)。