ワークスペースの Unity Catalog を有効にする

この記事では、 Unity Catalog メタストアを割り当てることでワークスペースの Unity Catalog を有効にする方法について説明します。

重要

2023 年 11 月 8 日、Databricks は Unity Catalog の新しいワークスペースを自動的に有効にし、ロールアウトを段階的に進めました。 ワークスペースで Unity Catalog が自動的に有効になっている場合、この記事は適用されません。

ワークスペースが Unity Catalog に対して既に有効になっているかどうかを確認するには、「 ステップ 1: ワークスペースが Unity Catalog に対して有効になっていることを確認する」を参照してください。

ワークスペースの Unity Catalog の有効化について

ワークスペースの Unity Catalog を有効にすると、次のようになります。

  • そのワークスペースのユーザーは、アカウント内の他のワークスペースのユーザーがアクセスできるのと同じデータにアクセスできる可能性があり、データスチュワードはワークスペース全体でそのデータアクセスを一元的に管理できます。

  • データ アクセスは自動的に監査されます。

  • ワークスペースでは ID フェデレーションが有効になっているため、管理者はアカウント コンソールやその他のアカウント レベルのインターフェースを使用してID を集中管理できます。 これには、ワークスペースへのユーザーの割り当てが含まれます。

Databricks ワークスペースを Unity Catalogに対して有効にするには、ワークスペースを Unity Catalog メタストアに割り当てます。メタストアは、 Unity Catalogのデータの最上位コンテナです。 各メタストアは、データを整理できる 3 レベルの名前空間 (catalog.schema.table) を公開します。

1 つのメタストアをアカウント内の複数の Databricks ワークスペースで共有できます。 リンクされた各ワークスペースには、メタストア内のデータの同じビューがあり、ワークスペース間でデータ アクセス制御を管理できます。 リージョンごとに 1 つのメタストアを作成し、そのリージョン内の任意の数のワークスペースにアタッチできます。

ワークスペースの Unity Catalog を有効にする前の考慮事項

ワークスペースの Unity Catalogを有効にする前に、次のことを行う必要があります。

  • Unity Catalog が有効になっているワークスペース内のワークスペース管理者の特権を理解し、既存のワークスペース管理者の割り当てを確認します。

    ワークスペース管理者は特権ロールであり、慎重に配置する必要があります。

    ワークスペース管理者は、ユーザーやサービスプリンシパルの追加、クラスターの作成、他のユーザーをワークスペース管理者に委任するなど、ワークスペースの操作を管理できます。 ワークスペースが Unity Catalog に対して自動的に有効になっている場合、ワークスペース管理者には、ほとんどの Unity Catalog オブジェクト タイプを作成したり、作成したオブジェクトへのアクセスを許可したりする機能など、デフォルトでいくつかの追加権限も付与されます。 Unity Catalog の管理者権限を参照してください。

    ワークスペースで Unity Catalog が自動的に有効になっていなかった場合、ワークスペース管理者はデフォルトで他のユーザーよりも Unity Catalog オブジェクトにアクセスできませんが、ジョブの所有権の管理やノートブックの表示などのワークスペース管理タスクを実行する権限があり、Unity Catalog に登録されているデータに間接的にアクセスできる可能性があります。

    アカウント管理者は、 RestrictWorkspaceAdmins設定を使用してワークスペース管理者の権限を制限できます。 「ワークスペース管理者を制限する」を参照してください。

    ワークスペースを使用してユーザーデータアクセスを分離する場合は、ワークスペースとカタログのバインディングを使用できます。 ワークスペースとカタログのバインディングを使用すると、ワークスペースの境界によってカタログへのアクセスを制限できます。 たとえば、ワークスペースの管理者とユーザーが、 prod_catalog の本番運用データにのみ、本番運用 ワークスペース環境 prod_workspaceからアクセスできるようにすることができます。 デフォルトは、現在のメタストアに接続されているすべてのワークスペースとカタログを共有することです。 同様に、指定したワークスペースからのみアクセスできるように、外部ロケーションへのアクセスをバインドできます。 「 カタログへのアクセスを特定のワークスペースに制限 する」および 「(オプション)特定のワークスペースに外部ロケーションを割り当てる」を参照してください。

  • SCIMコネクタやTerraform自動化など、ユーザー、グループ、およびサービス プリンシパルを管理するように構成されている自動化を更新して、ワークスペース エンドポイントではなくアカウント エンドポイントを参照するようにします。 アカウント レベルおよびワークスペース レベルの SCIM プロビジョニングを参照してください。

  • ワークスペースの Unity Catalog の有効化は元に戻すことができないことに注意してください。 ワークスペースを有効にすると、アカウントレベルのインターフェイスを使用して、このワークスペースのユーザー、グループ、およびサービスプリンシパルを管理します。

要件

ワークスペースで Unity Catalogを有効にする前に、Databricks アカウント用に構成された Unity Catalog メタストアが必要です。 「 Unity Catalog メタストアの作成」を参照してください。

ワークスペースの Unity Catalog を有効にする

メタストアを作成すると、そのメタストアにワークスペースを割り当てるように求められ、Unity Catalog でそれらのワークスペースが有効になります。 また、アカウント コンソールを使用してワークスペースを作成するときを含め、いつでもアカウント コンソールに戻ってUnity Catalogのワークスペースを有効にすることもできます。 ほとんどのワークスペースは、作成時に Unity Catalog に対して自動的に有効になることに注意してください。 Unity Catalog の自動有効化を参照してください。

アカウント コンソールを使用して Unity Catalog の既存のワークスペースを有効にするには:

  1. アカウント管理者として、アカウントコンソールにログインします。

  2. カタログ アイコン カタログ」 をクリックします

  3. メタストア名をクリックします。

  4. [ワークスペース] タブをクリックします。

  5. 「ワークスペースに割り当てる」をクリックします。

  6. 1 つ以上のワークスペースを選択します。 ワークスペース名の一部を入力して、リストをフィルター処理できます。

  7. ダイアログの一番下までスクロールし、「 割り当て」をクリックします。

  8. 確認ダイアログで、[ 有効にする] をクリックします。

アカウント コンソールを使用してワークスペースを作成するときに Unity Catalog を有効にするには:

  1. アカウント管理者として、アカウントコンソールにログインします。

  2. [ワークスペース] をクリックします 。 ワークスペースアイコン

  3. 「ワークスペースの作成」をクリックします。

  4. 「ワークスペースの作成」ページで、 Unity Catalogを有効にする」トグルをクリックします。

  5. 確認ダイアログで、[ 有効にする] をクリックします。

  6. メタストアを選択します。

  7. ワークスペース作成の構成を完了し、[ 保存] をクリックします。

割り当てが完了すると、ワークスペースがメタストアの [ワークスペース ] タブに表示され、メタストアがワークスペースの [ 構成 ] タブに表示されます。