Unity Catalog の管理者権限

この記事では、Databricks アカウント管理者、ワークスペース管理者、メタストア管理者が Unity Catalog を管理するために持つ特権について説明します。

注

ワークスペースで Unity Catalog が自動的に有効になった場合、ワークスペース カタログがプロビジョニングされている場合、ワークスペース管理者は、アタッチされたメタストアとワークスペース カタログに対する既定の特権を持ちます。 ワークスペースが Unity Catalog に対して自動的に有効になっている場合のワークスペース管理者特権に関する記事を参照してください。

メタストア管理者

メタストア管理者は、Unity Catalog 内のオプションですが、高度な権限を持つユーザーまたはグループです。 メタストア管理者は、デフォルトでメタストアに対して次の権限を持ちます。

• CREATE CATALOG: ユーザーがメタストアに カタログを作成 できるようにします。

• CREATE CLEAN ROOM: ユーザーは、基礎となるデータを共有せずに、他の組織と安全にプロジェクトで共同作業するための クリーンルーム を作成できます。

• CREATE CONNECTION: レイクハウスフェデレーションシナリオで外部データベース への接続を作成 できるようにします。

• CREATE EXTERNAL LOCATION: ユーザーは 外部ロケーションを作成できます。

• CREATE SERVICE CREDENTIAL: ユーザーは サービス資格情報を作成できます。

• CREATE STORAGE CREDENTIAL: ユーザーは ストレージ資格情報を作成できます。

• CREATE FOREIGN CATALOG: レイクハウスフェデレーションのシナリオで、外部データベースへの接続を使用して フォーリンカタログを作成できます 。

• CREATE SHARE: データ プロバイダー ユーザーがDelta Sharing で共有を作成できるようにします。

• CREATE RECIPIENT: データ プロバイダー ユーザーがDelta Sharing で受信者を作成できるようにします。

• CREATE PROVIDER: データ受信者ユーザーがDelta Sharing でプロバイダーを作成できるようにします。

• CREATE MATERIALIZED VIEW: マ テリアライズドビューの作成を許可します。

• MANAGE ALLOWLIST: ユーザーは、initスクリプトおよびライブラリへのクラスターアクセスを管理する 許可リストを更新 できます。

メタストア管理者はメタストアの所有者でもあり、次の権限が付与されます。

• メタストア内の任意のオブジェクト (ストレージ資格情報、外部ロケーション、接続、共有、受信者、プロバイダーなど) の特権を管理したり、所有権を譲渡したりします。

• メタストア内の任意のデータに対する読み取りおよび書き込みアクセス権を自分自身に付与します。

  メタストア管理者は、すべてのオブジェクトの所有権を譲渡する機能を通じて、間接的にこの機能を持っています。 デフォルトでは、直接アクセスはありません。 アクセス許可の付与は監査ログに記録されます。

• メタストア内のすべてのオブジェクトのメタデータを読み取って更新します。

• メタストアを削除します。

メタストア管理者は、メタストア自体に対する特権を付与できる唯一のユーザーです。

メタストア管理者はこれらの特権を持つ唯一のユーザーであるため、次のいずれかの機能を使用する場合は、メタストア管理者を割り当てる必要があります。

• 誰かが会社を辞めた後でカタログの所有権を変更します。

• init スクリプトおよび jar ホワイトリストのアクセス許可を管理および委任します。

• カタログやその他の最上位レベルの権限を作成する権限を、ワークスペース管理者以外のユーザーに委任します。

• Delta Sharingを通じて共有データを受信します。

• デフォルトのワークスペース管理者権限を削除します。

• 管理ストレージをメタストアに追加します (メタストアがない場合)。 「 既存のメタストアに管理ストレージを追加する」を参照してください。

メタストアの初期管理者権限を持つのは誰ですか?

アカウント管理者がメタストアを手動で作成した場合、そのアカウント管理者がメタストアの初期所有者およびメタストア管理者になります。 2023 年 11 月 8 日より前に作成されたメタストアはすべて、アカウント管理者によって手動で作成されました。

メタストアが Unity Catalog の自動有効化の一部としてプロビジョニングされた場合、メタストアはメタストア管理者なしで作成されました。 この場合、ワークスペース管理者には、メタストア管理者をオプションにする特権が自動的に付与されます。 必要に応じて、アカウント管理者はメタストア管理者ロールをユーザー、サービス プリンシパル、またはグループに割り当てることができます。 グループでのご利用を強くお勧めします。 「 Unity Catalog の自動有効化」を参照してください。

メタストア管理者を割り当てる

メタストア管理者は、慎重に分散する必要がある高い特権を持つロールです。 これはオプションです。

アカウント管理者は、メタストア管理者ロールを割り当てることができます。 Databricks では、グループをメタストア管理者として指名することをお勧めします。 これにより、グループのすべてのメンバーが自動的にメタストア管理者になります。

メタストア管理者ロールをグループに割り当てるには、次のようにします。

1. アカウント管理者として、アカウントコンソールにログインします。

2. 「 カタログ」 をクリックします 。

3. メタストアの名前をクリックして、そのプロパティを開きます。

4. [ Metastore Admin] で [Edit] をクリックします。

5. ドロップダウンからグループを選択します。 フィールドにテキストを入力して、オプションを検索できます。

6. [保存]をクリックします。

重要

メタストア管理者の割り当ての変更がアカウントに反映されるまでに最大 30 秒かかる場合があり、一部のワークスペースでは他のワークスペースよりも有効になるまでに時間がかかる場合があります。 この遅延は、キャッシュ プロトコルが原因です。

アカウント管理者

アカウント管理者は、慎重に分散する必要がある高い特権を持つロールです。 アカウント管理者には、次の権限があります。

• メタストアを作成し、デフォルトで最初のメタストア管理者になります。

• メタストアをワークスペースにリンクできます。

• メタストア管理者ロールを割り当てることができます。

• メタストアに対する権限を付与できます。

• メタストアの Delta Sharing を有効にできます。

• ストレージ資格情報を構成できます。

• システム・テーブルを有効にし、アクセスを委任できます。

ワークスペース管理者

ワークスペース管理者は、慎重に分散する必要がある高い特権を持つロールです。 ワークスペース管理者には、次の権限があります。

• ユーザー、サービスプリンシパル、およびグループをワークスペースに追加できます。

• 他のワークスペース管理者に委任できます。

• ジョブの所有権を管理できます。 ジョブへのアクセスの制御を参照してください。

• ジョブ の [別のユーザーとして実行 ] 設定を管理できます。 「ジョブ実行の ID を構成する」を参照してください。

• ノートブック、ダッシュボード、クエリ、その他のワークスペース オブジェクトを表示および管理できます。 アクセス制御リストを参照してください。

アカウント管理者は、 RestrictWorkspaceAdmins設定を使用してワークスペース管理者の権限を制限できます。 「ワークスペース管理者を制限する」を参照してください。

ワークスペースが Unity Catalog に対して自動的に有効になっている場合のワークスペース管理者特権

ワークスペースで Unity Catalog が自動的に有効になっていた場合、ワークスペースは既定でメタストアにアタッチされます。 詳細については、「 Unity Catalog の自動有効化」を参照してください。

ワークスペースで Unity Catalog が自動的に有効になった場合、ワークスペース管理者は、アタッチされたメタストアに対して、デフォルトで次の特権を持ちます。

• CREATE CATALOG

• CREATE CLEAN ROOM

• CREATE EXTERNAL LOCATION

• CREATE SERVICE CREDENTIAL

• CREATE STORAGE CREDENTIAL

• CREATE CONNECTION

• CREATE SHARE

• CREATE RECIPIENT

• CREATE PROVIDER

• CREATE MATERIALIZED VIEW

ワークスペース管理者は、ワークスペース カタログがワークスペース用にプロビジョニングされている場合、ワークスペース カタログの既定の所有者です。 このカタログの所有権は、次の特権を付与します。

• ワークスペース・カタログ内の任意のオブジェクトの権限を管理したり、所有権を譲渡したりします。

  これには、カタログ内のすべてのデータに対する読み取りおよび書き込みアクセス権を自分自身に付与する機能が含まれます (デフォルトによる直接アクセスは行われず、アクセス許可の付与は監査ログに記録されます)。

• ワークスペースカタログ自体の所有権を譲渡します。

すべてのワークスペース ユーザーに、ワークスペース カタログに対するUSE CATALOG権限が付与されます。 ワークスペース ユーザーには、カタログ内のdefaultスキーマに対するUSE SCHEMA 、 CREATE TABLE 、 CREATE VOLUME 、 CREATE MODEL 、 CREATE FUNCTION 、およびCREATE MATERIALIZED VIEW権限も付与されます。

注

アタッチされたメタストアとワークスペース カタログに付与された既定の特権は、ワークスペース間では保持されません (たとえば、ワークスペース カタログも別のワークスペースにバインドされている場合)。