Unity Catalog の管理者権限

この記事では、Databricks アカウント管理者、ワークスペース管理者、メタストア管理者が Unity Catalog を管理するために持つ特権について説明します。

注

ワークスペースで Unity Catalog が自動的に有効になった場合、ワークスペース カタログがプロビジョニングされている場合、ワークスペース管理者は、アタッチされたメタストアとワークスペース カタログに対する既定の特権を持ちます。 ワークスペースが Unity Catalog に対して自動的に有効になっている場合のワークスペース管理者特権に関する記事を参照してください。

メタストア管理者

メタストア管理者は、Unity Catalog の高い特権を持つユーザーまたはグループです。 メタストア管理者は、メタストアに対して次の権限を持ちます。

• CREATE CATALOG: ユーザーがメタストアに カタログを作成 できるようにします。

• CREATE CONNECTION: レイクハウスフェデレーションシナリオで外部データベース への接続を作成 できるようにします。

• CREATE EXTERNAL LOCATION: ユーザーが 外部ロケーションを作成できるようにします。

• CREATE STORAGE CREDENTIAL: ユーザーが ストレージ資格情報を作成できるようにします。

• CREATE FOREIGN CATALOG: レイクハウスフェデレーションのシナリオで、外部データベースへの接続を使用して 外部カタログを作成できます 。

• CREATE SHARE: データ プロバイダー ユーザーが Delta Sharing で共有を作成できるようにします。

• CREATE RECIPIENT: データ プロバイダー ユーザーが Delta Sharing で受信者を作成できるようにします。

• CREATE PROVIDER: データ受信者ユーザーが Delta Sharing でプロバイダーを作成できるようにします。

• MANAGE ALLOWLIST: ユーザーは、initスクリプトおよびライブラリへのクラスターアクセスを管理する 許可リストを更新 できます。

• CREATE MATERIALIZED VIEW: マ テリアライズドビューの作成を許可します。

メタストア管理者はメタストアの所有者でもあり、次の権限が付与されます。

• メタストア内の任意のオブジェクト (ストレージ資格情報、外部ロケーション、接続、共有、受信者、プロバイダーなど) の特権を管理したり、所有権を譲渡したりします。

• メタストア内の任意のデータに対する読み取りおよび書き込みアクセス権を自分自身に付与します。

  メタストア管理者は、すべてのオブジェクトの所有権を譲渡する機能を通じて、間接的にこの機能を持っています。 デフォルトでは、直接アクセスはありません。 アクセス許可の付与は監査ログに記録されます。

• メタストア内のすべてのオブジェクトのメタデータを読み取って更新します。

• メタストアを削除します。

メタストア管理者は、メタストア自体に対する特権を付与できる唯一のユーザーです。

メタストア管理者権限を持っているのは誰ですか?

アカウント管理者がメタストアを手動で作成した場合、そのアカウント管理者がメタストアの初期所有者およびメタストア管理者になります。 2023 年 11 月 8 日より前に作成されたメタストアはすべて、アカウント管理者によって手動で作成されました。

メタストアが Unity Catalog の自動有効化の一部としてプロビジョニングされた場合、メタストアはメタストア管理者なしで作成されました。 この場合、ワークスペース管理者には、メタストア管理者をオプションにする特権が自動的に付与されます。 必要に応じて、アカウント管理者はメタストア管理者ロールをユーザー、サービス プリンシパル、またはグループに割り当てることができます。 グループでのご利用を強くお勧めします。 「 Unity Catalog の自動有効化」を参照してください。

メタストア管理者を割り当てる

メタストア管理者は、慎重に分散する必要がある高い特権を持つロールです。 これはオプションです。

アカウント管理者は、メタストア管理者ロールを割り当てることができます。 Databricks では、グループをメタストア管理者として指名することをお勧めします。 これにより、グループのすべてのメンバーが自動的にメタストア管理者になります。

メタストア管理者ロールをグループに割り当てるには、次のようにします。

1. アカウント管理者として、アカウントコンソールにログインします。

2. 「 カタログ」 をクリックします 。

3. メタストアの名前をクリックして、そのプロパティを開きます。

4. [ Metastore Admin] で [Edit] をクリックします。

5. ドロップダウンからグループを選択します。 フィールドにテキストを入力して、オプションを検索できます。

6. [保存]をクリックします。

重要

メタストア管理者の割り当ての変更がアカウントに反映されるまでに最大 30 秒かかる場合があり、一部のワークスペースでは他のワークスペースよりも有効になるまでに時間がかかる場合があります。 この遅延は、キャッシュ プロトコルが原因です。

アカウント管理者

アカウント管理者は、慎重に分散する必要がある高い特権を持つロールです。 アカウント管理者には、次の権限があります。

• メタストアを作成し、デフォルトによって最初のメタストア管理者になります。

• メタストアをワークスペースにリンクできます。

• メタストア管理者ロールを割り当てることができます。

• メタストアの Delta Sharing を有効にできます。

• ストレージ資格情報を構成できます。

• システム・テーブルを有効にし、アクセスを委任できます。

ワークスペース管理者

ワークスペース管理者は、慎重に分散する必要がある高い特権を持つロールです。 ワークスペース管理者には、次の権限があります。

• ユーザー、サービスプリンシパル、およびグループをワークスペースに追加できます。

• 他のワークスペース管理者に委任できます。

• ジョブの所有権を管理できます。 「ジョブへのアクセスの制御」を参照してください。

• ジョブの [実行] 設定を管理できます。 「サービスプリンシパルとしてジョブを実行する」を参照してください。

• ノートブック、ダッシュボード、クエリ、その他のワークスペース オブジェクトを表示および管理できます。 アクセス制御リストを参照してください。

アカウント管理者は、 RestrictWorkspaceAdmins設定を使用してワークスペース管理者権限を制限できます。 「ワークスペース管理者の制限」を参照してください。

ワークスペースが Unity Catalog に対して自動的に有効になっている場合のワークスペース管理者特権

ワークスペースで Unity Catalog が自動的に有効になっていた場合、ワークスペースは既定でメタストアにアタッチされます。 詳細については、「 Unity Catalog の自動有効化」を参照してください。

ワークスペースで Unity Catalog が自動的に有効になった場合、ワークスペース管理者は、アタッチされたメタストアに対して、デフォルトによって次の特権を持ちます。

• CREATE CATALOG

• CREATE EXTERNAL LOCATION

• CREATE STORAGE CREDENTIAL

• CREATE CONNECTION

• CREATE SHARE

• CREATE RECIPIENT

• CREATE PROVIDER

• CREATE MATERIALIZED VIEW

ワークスペース管理者は、ワークスペース カタログがワークスペース用にプロビジョニングされている場合、ワークスペース カタログの既定の所有者です。 このカタログの所有権は、次の特権を付与します。

• ワークスペース・カタログ内の任意のオブジェクトの権限を管理したり、所有権を譲渡したりします。

  これには、カタログ内のすべてのデータに対する読み取りおよび書き込みアクセス権を自分自身に付与する機能が含まれます (デフォルトによる直接アクセスは行われず、アクセス許可の付与は監査ログに記録されます)。

• ワークスペースカタログ自体の所有権を譲渡します。

すべてのワークスペース ユーザーに、ワークスペース カタログに対するUSE CATALOG権限が付与されます。 ワークスペース ユーザーには、カタログ内のdefaultスキーマに対するUSE SCHEMA 、 CREATE TABLE 、 CREATE VOLUME 、 CREATE MODEL 、 CREATE FUNCTION 、およびCREATE MATERIALIZED VIEW権限も付与されます。

注

アタッチされたメタストアとワークスペース カタログに付与された既定の特権は、ワークスペース間では保持されません (たとえば、ワークスペース カタログも別のワークスペースにバインドされている場合)。