Unity Catalog の管理者特権
この記事では、Databricks アカウント管理者、ワークスペース管理者、メタストア管理者が Unity Catalog を管理するために持つ特権について説明します。
ワークスペースが自動的に Unity Catalog 有効になっている場合、ワークスペース管理者は、アタッチされたメタストアとワークスペース カタログ (ワークスペース カタログがプロビジョニングされている場合) に対するデフォルトの特権を持ちます。 ワークスペースの管理者権限については、 ワークスペースの Unity Catalog が自動的に有効になっている場合を参照してください。
アカウント管理者
アカウント管理者は高度な権限を持つロールなので、慎重に配布する必要があります。アカウント管理者は、 Databricks全体に対する権限を持ち、これには次の主要な機能が含まれます。
機能 | 説明 |
|---|---|
メタストアを作成する | メタストアを作成し、デフォルトで初期メタストア管理者になる |
メタストアをワークスペースにリンクする | メタストアを特定のワークスペースに関連付ける |
メタストア管理者ロールを割り当てる | メタストア管理者の役割をユーザー、サービスプリンシパル、またはグループに割り当てます。 メタストア管理機能のリストについては、 「メタストア管理者」を参照してください。 |
メタストアに対する権限を付与する | メタストアレベルで権限を管理する |
メタストアのDelta Sharingを有効にする | メタストアのDelta Sharing機能を有効にします。 |
ストレージ資格情報の構成 | クラウドストレージにアクセスするためのストレージ資格情報を設定する |
システムテーブルを有効にする | システムテーブルを有効にし、アクセスできるユーザーを制御する |
詳細については、 「アカウント管理者とは何ですか?」を参照してください。 。
ワークスペース管理者
ワークスペース管理者は高度な権限を持つロールであるため、慎重に配布する必要があります。ワークスペース管理者は、単一のワークスペース内で次の主要な機能を含む管理者権限を持っています。
機能 | 説明 |
|---|---|
ワークスペースのメンバーシップを管理する | ユーザー、サービスプリンシパル、グループをワークスペースに追加する |
ワークスペース管理者の役割を割り当てる | ワークスペース管理者の役割をユーザー、サービスプリンシパル、またはグループに割り当てます。 |
ジョブの所有権を管理する | ジョブの所有権を制御します。「ジョブへのアクセスを制御する」を参照してください。 |
ジョブの 実行 設定を管理する | ジョブ実行 ID を構成します。「ジョブ実行のユーザーとして実行を構成する」を参照してください。 |
ワークスペースオブジェクトの表示と管理 | ノートブック、ダッシュボード、クエリ、その他のワークスペース オブジェクトにアクセスして制御します。「アクセス制御リスト」を参照してください。 |
詳細については、 「ワークスペース管理者とは何ですか?」を参照してください。 。
アカウント管理者は、 RestrictWorkspaceAdmins設定を使用してワークスペース管理者の権限を制限できます。「ワークスペース管理者の制限」を参照してください。
ワークスペースの管理者権限 (ワークスペースが自動的に Unity Catalog 有効になっている場合)
ワークスペースが自動的に Unity Catalog 有効になっている場合、ワークスペースはデフォルトによってメタストアにアタッチされます。 詳細については、「Unity Catalogの自動有効化」を参照してください。
ワークスペースで Unity Catalog が自動的に有効になった場合、ワークスペース管理者は、アタッチされたメタストアに対して、デフォルトで次の特権を持ちます。
-
CREATE CATALOG -
CREATE EXTERNAL LOCATION -
CREATE SERVICE CREDENTIAL -
CREATE STORAGE CREDENTIAL -
CREATE CONNECTION -
CREATE SHARE -
CREATE RECIPIENT -
CREATE PROVIDER -
CREATE MATERIALIZED VIEW
ワークスペース管理者は、ワークスペースカタログがワークスペースにプロビジョニングされた場合、ワークスペースカタログのデフォルト所有者です。 このカタログの所有権は、次の権限を付与します。
-
ワークスペースカタログ内の任意のオブジェクトの権限を管理したり、オブジェクトの所有権を譲渡したりします。
これには、カタログ内のすべてのデータに対する読み取りおよび書き込みアクセス権を自分自身に付与する機能が含まれます (デフォルトによる直接アクセスは不可、アクセス許可の付与は監査ログに記録されます)。
-
ワークスペースカタログ自体の所有権を移行します。
すべてのワークスペース ユーザーは、ワークスペース カタログに対する USE CATALOG 権限を受け取ります。 ワークスペース ユーザーは、カタログ内のdefaultスキーマに対する USE SCHEMA、 CREATE TABLE、 CREATE VOLUME、 CREATE MODEL、 CREATE FUNCTION、および CREATE MATERIALIZED VIEW 特権も受け取ります。
アタッチされたメタストアとワークスペース カタログに付与されたデフォルト特権は、ワークスペース間では保持されません (たとえば、ワークスペース カタログが別のワークスペースにもバインドされている場合)。
メタストア管理者
メタストア管理者は、Unity Catalog 内のオプションですが、高度な権限を持つユーザーまたはグループです。メタストア管理者は、2 つのソースからの権限を持っています。1 つはロールによって付与された権限、もう 1 つはメタストアの所有者であるため、所有権権限です。
デフォルトのメタストア管理者権限
メタストア管理者は、デフォルトでメタストアに対して次の権限を持ちます。
権限 | 説明 |
|---|---|
| メタストアにカタログを作成する |
| 基盤となるデータを共有せずに、他の組織と安全にプロジェクトを共同作業するためのクリーンルームを作成する |
| レイクハウスフェデレーション シナリオで外部データベースへの接続を作成する |
| 外部位置の作成 |
| サービス資格情報を作成する |
| ストレージ資格情報の作成 |
| レイクハウスフェデレーションシナリオで外部データベースへの接続を使用してフォーリンカタログを作成する |
| |
| |
| |
| マテリアライズドビューを作成する |
| init スクリプトおよびライブラリへのクラスター アクセスを管理するホワイトリストを更新する |
所有権の特権
メタストアの所有者として、メタストア管理者には次の権限があります。
権限 | 説明 |
|---|---|
権限の管理と所有権の譲渡 | ストレージ資格情報、外部ロケーション、接続、共有、受信者、プロバイダーなど、メタストア内のオブジェクトの権限を管理したり、所有権を譲渡したりできます。 |
データへのアクセスを許可する | メタストア内のすべてのデータに対する読み取りおよび書き込みアクセス権をすべてのユーザーに付与します。メタストア管理者は任意のオブジェクトの所有権を自分に譲渡できるため、この機能は間接的です。デフォルトでは直接アクセスできません。権限の付与は監査ログに記録されます。 |
オブジェクトメタデータの管理 | メタストア内のすべてのオブジェクトのメタデータを読み取り、更新する |
タグを管理する | メタストア内のすべてのオブジェクトにタグを設定する |
アクセス要求の宛先を構成する | メタストア内のデフォルトのアクセス要求の宛先を有効にする |
メタストアを削除 | メタストアを削除する |
メタストア管理者だけが実行できる操作
次の機能はメタストア管理者専用です。アカウント管理者やワークスペース管理者を含む他のロールでは、これらのアクションを実行できません。
機能 | 説明 |
|---|---|
メタストアに対する権限を付与する | メタストア管理者はメタストア自体に権限を付与できる唯一のユーザーです |
あらゆるオブジェクトの所有権を譲渡する | ストレージ資格情報、外部ロケーション、接続、共有、受信者、プロバイダー、カタログ、その他のメタストア オブジェクトの所有権を譲渡します。 |
許可リストを管理する | ライブラリおよびスクリプトへのクラスターのアクセスを制御するinit スクリプトおよび jar ホワイトリストを更新します。 |
メタストアを削除する | メタストアを完全に削除する |
デフォルトのアクセス要求の宛先を有効にする | 明示的な宛先のないオブジェクトのデフォルトのアクセス要求宛先を構成する |
メタストア管理者はこれらの特権を持つ唯一のユーザーであるため、次のいずれかの機能を使用する場合は、メタストア管理者を割り当てる必要があります。
- 誰かが会社を辞めた後でカタログの所有権を変更します。
- initスクリプトとjar許可リストに対する権限を管理および委任します。
- カタログやその他の最上位の権限を作成する権限 を、ワークスペース管理者以外のユーザーに委任します。
- Delta Sharing を通じて共有データを受け取ります。
- デフォルトのワークスペース管理者権限を削除します。
- メタストアに管理ストレージがない場合は、追加します。 既存のメタストアへのマネージドストレージの追加を参照してください。
- 有効にする デフォルトアクセス要求の宛先 宛先が明示的に設定されていないオブジェクトに対して。 「 デフォルト Eメールの宛先を有効にする」を参照してください。
メタストアの初期管理者権限を持つのは誰ですか?
アカウント管理者がメタストアを手動で作成した場合、そのアカウント管理者はメタストアの初期所有者であり、メタストア管理者です。2024 年 3 月 6 日より前に作成されたすべてのメタストアは、アカウント管理者によって手動で作成されました。
メタストアが Unity Catalog の自動有効化の一部としてプロビジョニングされた場合、メタストアはメタストア管理者なしで作成されています。 その場合、ワークスペース管理者には、メタストア管理者をオプションにする特権が自動的に付与されます。 必要に応じて、アカウント管理者は、ユーザー、サービスプリンシパル、またはグループにメタストア管理者ロールを割り当てることができます。 グループを強くお勧めします。 Unity Catalog の自動有効化を参照してください。
メタストア管理者を割り当てる
メタストア管理者は、慎重に配布する必要がある高い特権ロールです。 これはオプションです。
アカウント管理者は、メタストア管理者ロールを割り当てることができます。 Databricks では、グループをメタストア管理者として指名することをお勧めします。 これにより、グループのすべてのメンバーが自動的にメタストア管理者になります。
メタストア管理者ロールをグループに割り当てるには:
- アカウント管理者として、アカウントコンソールにログインします。
[カタログ] をクリックします。- メタストアの名前をクリックして、そのプロパティを開きます。
- メタストア管理者 で、 編集 をクリックします。
- ドロップダウンからグループを選択します。 フィールドにテキストを入力して、オプションを検索できます。
- [ 保存 ]をクリックします。
メタストア管理者の割り当ての変更がアカウントに反映されるまでに最大 30 秒かかる場合があり、一部のワークスペースでは他のワークスペースよりも有効になるまでに時間がかかる場合があります。 この遅延は、キャッシングプロトコルによるものです。