Unity Catalog権限リファレンス
このページは、 Unity Catalog権限と、それらが適用されるセキュリティ保護対象オブジェクトに関するリファレンスです。
各セキュリティ保護可能なオブジェクトタイプの詳細な説明については、 Unity Catalogセキュリティ保護可能なオブジェクトリファレンスを参照してください。 Unity Catalog で権限を付与する方法については、 「権限の表示、付与、および取り消し」を参照してください。
このページでは、Privilege Model バージョン 1.0 におけるUnity Catalog権限と継承モデルについて説明します。 Unity Catalogのメタストアをパブリックプレビュー期間中(2022年8月25日より前)に作成した場合、現在の継承モデルをサポートしていない以前の権限モデルを使用している可能性があります。特権継承を利用するには、特権モデルのバージョン1.0にアップグレードしてください。特権継承へのアップグレードを参照してください。
Unity Catalog内のセキュリティ保護可能なオブジェクト
セキュリティ保護可能なオブジェクトは、プリンシパル (ユーザー、サービスプリンシパル、またはグループ) に権限を付与できるUnity Catalogメタストアで定義されたオブジェクトです。 Unity Catalog のセキュリティ保護可能なオブジェクト は 階層構造になっており、最上位のメタストア からカタログ やスキーマ を経て、それらに含まれるデータオブジェクト (テーブル 、ビュー、ボリューム、関数 、 モデル) まで続きます。追加のセキュリティ保護可能なオブジェクトは、外部ストレージ、外部サービス、およびDelta Sharingへのアクセスを制御します。
各セキュリティ保護可能なオブジェクトタイプの詳細な説明については、 Unity Catalogセキュリティ保護可能なオブジェクトリファレンスを参照してください。
各セキュリティ保護対象オブジェクトには、どのような権限が適用されますか?
以下の表はUnity Catalog内の各セキュリティ保護対象オブジェクトに適用される権限を示しています。 Unity Catalog で権限を付与する方法については、 「権限の表示、付与、および取り消し」を参照してください。
セキュリティ保護可能 | 権限 |
|---|---|
| |
すべてのユーザーは、デフォルトで カタログ内のセキュリティ保護可能なオブジェクトには、以下の権限が適用されます。これらの権限はカタログレベルで付与することで、カタログ内の現在および将来のオブジェクトに適用できます。
| |
以下の権限は、スキーマ内のセキュリティ保護可能なオブジェクトに適用されます。これらの権限はスキーマレベルで付与することで、スキーマ内の現在および将来のオブジェクトに適用できます。
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
登録モデルは関数の一種です。 | |
| |
なし | |
なし | |
|
Unity Catalogにおける権限の概要
以下の表は、各Unity Catalog権限が付与する機能をまとめたものです。 詳細については、 Unity Catalog権限に関する詳細なリファレンス」を参照してください。
権限 | あなたに |
|---|---|
外部サービスにアクセスするには、サービス認証情報を使用します。 | |
オブジェクトとその子オブジェクトに対して、すべての機能を実行します。 | |
オブジェクトにタグを追加および編集します。テーブルとビューの場合、列のタグ付けも有効になります。登録済みモデルの場合、バージョンタグ付けも有効になります。 | |
オブジェクトを検出し、メタデータを表示し、 | |
基盤となるデータを共有することなく、複数者による共同作業のためのクリーンルームを作成する。 | |
レイクハウスフェデレーション用の外部データベースへの接続を作成します。 | |
クラウドストレージパスとストレージ認証情報 を関連付ける外部ロケーション を作成します。メタストアとストレージ認証情報の両方で必須です。 | |
カスタムデータリネージ構成で使用するための外部メタデータオブジェクトを作成します。 | |
外部 ロケーションを使用して外部 ボリューム を作成します。 | |
レイクハウスフェデレーション接続 を使用して外部 カタログ を作成します。 | |
外部カタログを作成する際に、承認済みのクラウドストレージパスを指定してください。 | |
スキーマ 内に関数 を作成します。 | |
カタログまたはスキーマレベルでマネージドテーブルのカスタム ストレージの場所を設定し、メタストアを確実にオーバーライドします。 | |
スキーマ 内にMLflowに登録されたモデル を作成します。 | |
既存のMLflow登録モデルの新しいバージョンを登録します。 | |
Delta Sharingメタストア に プロバイダ オブジェクトを作成します。 | |
Delta Sharingメタストア に 受信者 オブジェクトを作成します。 | |
カタログ にスキーマ を作成します。 | |
クリーンルームでノートブックを実行し、詳細を確認してください。 | |
外部処理エンジンからUnity Catalog外部ロケーションにアクセスするための一時的な認証情報を取得します。 | |
オープンAPIsまたはIceberg REST APIsを介して外部処理エンジンからUnity Catalogテーブルにアクセスするための一時的な認証情報を取得します。 | |
権限の管理、所有権の移転、名前の変更、オブジェクトの削除を行います。 | |
Unity カタログ対応クラスター上の init スクリプト、JAR、およびMaven座標の許可されたパスを追加または変更します。 | |
テーブル内のデータの挿入、更新、削除を行います。 | |
クリーンルームのデータ資産、ノートブック、およびコメントを更新します。 | |
外部ロケーションとして設定されたクラウドストレージパスからファイルを直接読み取ります。 | |
ボリューム内に保存されているファイルやディレクトリを読み取ります。 | |
マテリアライズドビューの更新を手動でトリガーします。 | |
table 、 view 、マテリアライズドビュー、またはDelta Sharing shareからデータをクエリします。 | |
カタログ内のオブジェクトを操作するために必要です。それ自体はデータへのアクセス権を付与するものではありません。 | |
接続の詳細を一覧表示および閲覧する。外部データベースに対して | |
Databricks Marketplaceで共有されているデータ製品へのアクセスを取得またはリクエストできます。 | |
メタストアでDelta Sharing プロバイダー を表示し、 受信者 ユーザーとして共有カタログ をマウントします。 | |
スキーマ内のオブジェクトとやり取りするために必要です。それ自体はデータへのアクセス権を付与するものではありません。 | |
プロバイダーユーザーとして、 Delta Sharing株式とその資産を閲覧できます。 | |
外部ロケーションとして設定されたクラウドストレージパスにファイルを直接書き込みます。 | |
ボリューム内のファイルを追加、変更、または削除します。 |
Unity Catalog権限に関する詳細なリファレンス
このセクションでは、Unity Catalogに一般的に適用される権限の詳細について説明します。Unity Catalog で権限を付与する方法については、 「権限の表示、付与、および取り消し」を参照してください。
ACCESS
- 適用可能なオブジェクトタイプ:
SERVICE CREDENTIAL
ユーザーがサービス資格情報を使用して外部サービスにアクセスできるようにします。
ALL PRIVILEGES
- 適用可能なオブジェクトタイプ:
CONNECTION、EXTERNAL LOCATION、EXTERNAL METADATA、FUNCTION(モデルを含む)、MATERIALIZED VIEW、SERVICE CREDENTIAL、STORAGE CREDENTIAL、TABLE、VIEW、VOLUME - 適用可能なコンテナオブジェクト:
SCHEMA、CATALOG
ALL PRIVILEGES これは、ユーザーが保護対象オブジェクトとその子オブジェクトに対してすべての機能を実行できるようにする特別な権限です。ALL PRIVILEGES 、特定のオブジェクトタイプに対して適用可能なすべての権限 を意味し 、Databricks は個々の権限を明示的に付与しません。
以下の表はUnity Catalog階層内のデータオブジェクトに関してALL PRIVILEGESが何を意味するかを示しています。
オブジェクトタイプ | 暗黙の特権 |
|---|---|
カタログレベルのすべての権限を意味します* | |
スキーマレベルのすべての権限を意味します* | |
| |
| |
| |
| |
機能(モデルを含む) |
|
以下の表は、データ保護対象外のオブジェクトに対してALL PRIVILEGESが意味する内容を示しています。
オブジェクトタイプ | 暗黙の特権 |
|---|---|
| |
| |
| |
| |
|
*偶発的なデータ漏洩や権限昇格を防ぐため、 ALL PRIVILEGESはEXTERNAL USE SCHEMA 、 EXTERNAL USE LOCATION 、 MANAGE権限は含まれません。
Databricks API を使用したり、 SHOW GRANTSコマンドを使用してALL PRIVILEGESを持つユーザーの権限を一覧表示する場合、 ALL PRIVILEGESのみが返され、 SELECTやMODIFYのような個々の暗黙の権限は返されません。
ALL PRIVILEGESが取り消されると、 ALL PRIVILEGESの付与と、それによって暗示される個々の特権の両方が削除されます。EXTERNAL USE SCHEMA 、 EXTERNAL USE LOCATION 、およびMANAGE権限は影響を受けません。
後方互換性を維持するため、権限チェックが行われる時点でALL PRIVILEGESが評価されます。これは、Databricks が新しい権限とセキュリティ保護可能なオブジェクトをリリースすると、既存のALL PRIVILEGES付与には、セキュリティ保護可能なオブジェクトに適用可能な新しい権限、およびすべての新規および既存の子オブジェクトが自動的に含まれることを意味します。
APPLY TAG
- 適用可能なオブジェクトタイプ:
FUNCTION(登録モデルのみ)、MATERIALIZED VIEW、TABLE、VIEW、VOLUME - 適用可能なコンテナオブジェクト:
SCHEMA、CATALOG
ユーザーがセキュリティ保護可能なオブジェクトにタグを追加および編集できるようにします。加えて:
ユーザーは、親カタログにUSE CATALOG 、親スキーマにUSE SCHEMAを持っている必要があります。
管理タグを適用するには、管理タグに対するASSIGN権限も必要です。「管理タグの権限の管理」を参照してください。
BROWSE
- 適用可能なオブジェクトタイプ:
CLEAN ROOM、EXTERNAL LOCATION、EXTERNAL METADATA - 適用可能なコンテナオブジェクト:
CATALOG
BROWSE権限は、基となるデータへのアクセス権を付与することなく、オブジェクトに関するメタデータを検出および表示することを可能にする特別な権限です。BROWSEのユーザーは以下のことができます。
- オブジェクトが存在することを確認する
- 名前、説明、タグを表示する
- アクセスを要求する
データオブジェクト(テーブル、ビュー、ボリューム、関数)の場合、 BROWSEカタログレベルでのみ付与できます。これにより、そのカタログ内のすべてのオブジェクトを検出して表示できますが、カタログエクスプローラーでスキーマや子オブジェクトのアクセス許可を表示する際には、継承された権限として明示的に表示されません。
外部ロケーション、外部メタデータ、クリーンルームについては、オブジェクト自体に直接BROWSE付与できます。
BROWSEのユーザーは、メタデータの検出と表示のためにUSE CATALOGやUSE SCHEMAのような使用権限を必要としません。
Databricksは、組織全体でデータを検索可能にするために、カタログに対してBROWSE All account usersグループに付与することを推奨します。これにより、管理者が事前に権限を付与する必要なく、ユーザーはデータを見つけてアクセスを要求できるようになります。
CREATE CATALOG
- 適用可能なコンテナオブジェクト: Unity Catalogメタストア
ユーザーがUnity Catalogメタストア に カタログ を作成できるようにします。フォーリンカタログを作成するには、フォーリンカタログを含む接続 またはメタ ストアに対する CREATE フォーリンカタログ 権限も必要です。
CREATE CLEAN ROOM
- 適用可能なコンテナオブジェクト: Unity Catalogメタストア
ユーザーがクリーンルームを作成し、基盤となるデータを共有することなく、他の組織と安全にプロジェクトで共同作業を行うことを可能にします。
CREATE CONNECTION
- 適用可能なオブジェクトタイプ:
SERVICE CREDENTIAL - 適用可能なコンテナオブジェクト: Unity Catalogメタストア
ユーザーがレイクハウスフェデレーション シナリオで外部データベースへの接続を作成できるようにします。 サービス認証情報を使用して接続を作成するには、ユーザーはメタストアとサービス認証情報の両方に対してこの権限を持っている必要があります。
CREATE EXTERNAL LOCATION
- 適用可能なオブジェクトタイプ:
STORAGE CREDENTIAL - 適用可能なコンテナオブジェクト: Unity Catalogメタストア
外部ロケーションを作成するには、ユーザーはメタストアと、外部ロケーションで参照されるストレージ認証情報の両方に対して、この権限を持っている必要があります。
CREATE EXTERNAL METADATA
- 適用可能なコンテナオブジェクト: Unity Catalogメタストア
ユーザーがカスタムリネージで使用するための外部メタデータオブジェクトを作成できるようにします。 外部メタデータオブジェクトにリネージ関係を追加するには、ユーザーは外部メタデータオブジェクトに対するMODIFY権限と、関係を指定するUnity Catalogオブジェクトに対する権限の両方を持っている必要があります。
CREATE EXTERNAL TABLE
- 適用可能なオブジェクトタイプ:
EXTERNAL LOCATION、STORAGE CREDENTIAL
ユーザーは、外部ロケーションまたはストレージ資格情報を使用して、クラウド テナントに外部テーブルを直接作成できます。 Databricks 、この権限はパスにスコープされているため、ストレージ資格情報ではなく外部ロケーションに対してこの権限を付与することをお勧めします。これにより、ユーザーがクラウド テナントで外部テーブルを作成できる場所をより詳細に制御できるようになります。
CREATE EXTERNAL VOLUME
- 適用可能なオブジェクトタイプ:
EXTERNAL LOCATION
ユーザーが外部ロケーションを使用して外部ボリュームを作成できるようにします。
CREATE FOREIGN CATALOG
- 適用可能なオブジェクトタイプ:
CONNECTION
ユーザーがレイクハウスフェデレーション シナリオで外部データベースへの接続を使用してフォーリンカタログを作成できるようにします。
CREATE FOREIGN SECURABLE
- 適用可能なオブジェクトタイプ:
EXTERNAL LOCATION
フォーリンカタログを作成しているユーザーが、外部ロケーション の対象となる 承認されたパス を指定できるようにします。
ユーザーはメタストアにCREATE CATALOG 、接続にCREATE FOREIGN CATALOGを持っている必要があります。
CREATE FUNCTION
- 適用可能なコンテナオブジェクト:
SCHEMA、CATALOG
ユーザーが関数を作成できるようにします。最小権限の原則に従い、Databricks はスキーマ レベルでCREATE FUNCTIONを付与することを推奨しています。これにより、ユーザーはそのスキーマ内で関数を作成できます。カタログに対してCREATE FUNCTION付与することで、ユーザーがカタログ内の既存または将来のスキーマに関数を作成できるようにすることもできます。
ユーザーは親カタログ上でUSE CATALOG権限、親スキーマ上でUSE SCHEMA権限も持っている必要があります。
CREATE MANAGED STORAGE
- 適用可能なオブジェクトタイプ:
EXTERNAL LOCATION
カタログ または スキーマ を作成する際に、ユーザーが外部ロケーション 内にカスタム管理ストレージロケーションを構成できるようにします。カタログ作成時に使用した場合、指定された場所は、そのカタログ内のすべてのスキーマのデフォルトの管理ストレージになります(メタストアのデフォルト設定を上書きします)。スキーマ作成時に使用した場合、指定された場所はそのスキーマのみに適用されます(カタログレベルのデフォルト値を上書きします)。
CREATE MATERIALIZED VIEW
- 適用可能なコンテナオブジェクト:
SCHEMA、CATALOG
ユーザーは、 が付与されているスキーマ 内にマテリアライズドビュー を作成できます。CREATE MATERIALIZED VIEW最小権限の原則に従い、Databricks はスキーマ レベルでCREATE MATERIALIZED VIEWを付与することを推奨します。カタログに対してCREATE MATERIALIZED VIEW付与することで、ユーザーがカタログ内の既存または将来のスキーマでマテリアライズドビューを作成できるようにすることもできます。
ユーザーは親カタログ上でUSE CATALOG権限、親スキーマ上でUSE SCHEMA権限も持っている必要があります。
CREATE MODEL
- 適用可能なコンテナオブジェクト:
SCHEMA、CATALOG
ユーザーが、 が付与されているスキーマ に MLflow 登録 モデル(関数 の一種)CREATE MODELを作成できるようにします。最小権限の原則に従い、Databricks はスキーマ レベルでCREATE MODELを付与することを推奨します。カタログに対してCREATE MODEL付与することで、ユーザーがカタログ内の既存または将来のスキーマに登録済みモデルを作成できるようにすることもできます。
ユーザーは親カタログ上でUSE CATALOG権限、親スキーマ上でUSE SCHEMA権限も持っている必要があります。
CREATE MODEL VERSION
- 適用可能なオブジェクトタイプ:
MODEL
ユーザーがMLflow登録モデル(関数の一種) の新しいバージョンを登録できるようにします。 モデルバージョンを実行、変更、またはタグを追加する権限は付与されません。
ユーザーは親カタログ上でUSE CATALOG権限、親スキーマ上でUSE SCHEMA権限も持っている必要があります。
CREATE SCHEMA
- 適用可能なコンテナオブジェクト:
CATALOG
ユーザーが、 が付与されたカタログ 内にスキーマCREATE SCHEMA を作成できるようにします。ユーザーはカタログに対してUSE CATALOG権限も持っている必要があります。
CREATE SERVICE CREDENTIAL
- 適用可能なコンテナオブジェクト: Unity Catalogメタストア
ユーザーがUnity Catalogメタストア に サービス認証情報 を作成できるようにします。
CREATE STORAGE CREDENTIAL
- 適用可能なコンテナオブジェクト: Unity Catalogメタストア
ユーザーがUnity Catalogメタストア に ストレージ認証情報 を作成できるようにします。
CREATE TABLE
- 適用可能なコンテナオブジェクト:
SCHEMA、CATALOG
ユーザーが、 権限が付与されているスキーマ 内にテーブル または ビューCREATE TABLE を作成できるようにします。最小権限の原則に従い、Databricks はスキーマ レベルでCREATE TABLEを付与することを推奨します。カタログに対してCREATE TABLE付与することで、ユーザーがカタログ内の既存または将来のスキーマにテーブルやビューを作成できるようにすることもできます。
ユーザーは、親カタログに対するUSE CATALOG権限と、親スキーマに対するUSE SCHEMA権限も持っている必要があります。
CREATE VOLUME
- 適用可能なコンテナオブジェクト:
SCHEMA、CATALOG
ユーザーが、 が付与されているスキーマ 内にボリュームCREATE VOLUME を作成できるようにします。最小権限の原則に従い、Databricks はスキーマ レベルでCREATE VOLUMEを付与することを推奨します。カタログに対してCREATE VOLUME付与することで、ユーザーがカタログ内の既存または将来のスキーマにボリュームを作成できるようにすることもできます。
ユーザーは、親カタログに対するUSE CATALOG権限と、親スキーマに対するUSE SCHEMA権限も持っている必要があります。
EXECUTE
- 適用可能なオブジェクトタイプ:
FUNCTION - 適用可能なコンテナオブジェクト:
SCHEMA、CATALOG
ユーザーが関数を呼び出したり、推論のために登録済みのモデルをロードしたりすることを可能にします。関数に関しては、 EXECUTE関数定義とメタデータを表示する機能も提供します。登録済みのモデルの場合、 EXECUTEでは、すべてのモデルバージョンのメタデータを表示したり、モデルファイルをダウンロードしたりする機能も提供されます。
最小権限の原則に従い、Databricksは個々の関数に対してEXECUTEを付与することを推奨します。スキーマまたはカタログに対してEXECUTE付与することで、ユーザーがそのスキーマまたはカタログ内の現在および将来のすべての関数を実行できるようにすることもできます。
ユーザーは、親カタログにUSE CATALOG 、親スキーマにUSE SCHEMAを持っている必要があります。
EXECUTE CLEAN ROOM TASK
- 適用可能なオブジェクトタイプ:
CLEAN ROOM
ユーザーがクリーンルーム内でタスク(ノートブック)を実行できるようにする。また、クリーンルームの詳細情報も閲覧できます。
EXTERNAL USE LOCATION
- 適用可能なオブジェクトタイプ:
EXTERNAL LOCATION
ユーザーはUnity CatalogオープンAPIsまたはApache Sparkを使用して、外部処理エンジンから外部ロケーションにアクセスするための一時的な認証情報を取得できます。
意図しないデータ漏洩を防ぐため、 ALL PRIVILEGESはEXTERNAL USE LOCATION権限は含まれておらず、外部ロケーションの所有者はデフォルトではこの権限を持っていません。これは、外部ロケーションでMANAGE権限を持つユーザーのみがこの権限を付与できることを意味します。
Unity Catalogへの外部データアクセスを有効にする」を参照してください。
EXTERNAL USE SCHEMA
プレビュー
この機能は パブリック プレビュー段階です。
- 適用可能なコンテナオブジェクト:
SCHEMA
Unity CatalogオープンAPIまたはIceberg REST APIを使用して、外部処理エンジンからUnity Catalogテーブルにアクセスするための一時的な資格情報をユーザーに付与できます。
意図しないデータ漏洩を防ぐため、 ALL PRIVILEGESはEXTERNAL USE SCHEMA権限は含まれておらず、スキーマ所有者はデフォルトではこの権限を持っていません。この権限を付与できるのはカタログ所有者のみです。
Unity Catalogへの外部データアクセスを有効にする」を参照してください。
管理
- 適用可能なオブジェクトタイプ:
CLEAN ROOM、CONNECTION、EXTERNAL LOCATION、EXTERNAL METADATA、FUNCTION(モデルを含む)、MATERIALIZED VIEW、SERVICE CREDENTIAL、STORAGE CREDENTIAL、TABLE、VIEW、VOLUME - 適用可能なコンテナオブジェクト:
SCHEMA、CATALOG
ユーザーが所有者でなくても、オブジェクトに対する権限を管理したり、所有権を移転したり、オブジェクトを削除したりできるようにします。MANAGEはオブジェクトの所有権に似ていますが、重要な違いがいくつかあります。所有権とMANAGE特権の比較を参照してください。
権限がMANAGEのユーザーには、オブジェクトに対するすべての権限が自動的に付与されるわけではありません。それぞれの特定の権限は個別に付与する必要がありますが、 MANAGEのユーザーは明示的にこれらの権限を自分自身に付与できます。
MANAGEを実行するには、ユーザーはオブジェクトおよびそのすべての親オブジェクトに対する適切な使用権限も持っている必要があります。例えば、スキーマに対してMANAGEを実行するには、ユーザーはスキーマに対してUSE SCHEMA 、親カタログに対してUSE CATALOGも必要とします。
コンテナオブジェクトに対してMANAGEが付与されている場合、ユーザーはすべての子オブジェクトに対してもMANAGEを取得します。例えば、カタログに対してMANAGE付与すると、すべての子スキーマとテーブルに対してMANAGEも明示的に付与されます。
ALL PRIVILEGES MANAGE権限は含まれません。
MANAGE ALLOWLIST
- 適用可能なコンテナオブジェクト: Unity Catalogメタストア
ユーザーは、標準アクセス モードで構成された Unity カタログ対応クラスター上でどの init スクリプト、 JARファイル、およびMaven座標を実行できるかを制御する許可リストのエントリを追加、変更、削除できます。 デフォルトでは、許可リストは空です。
MANAGE ALLOWLISTを持つユーザーは標準アクセス モード コンピュートでどのコードを実行するかを制御できるため、 Databricksこの権限をメタストア管理者と信頼できるプラットフォーム管理者にのみ付与することをお勧めします。
標準アクセスモード (旧称 Shared Access Mode)のコンピュートにおけるライブラリとinitスクリプトの許可リストを参照してください。
MODIFY
- 適用可能なオブジェクトタイプ:
EXTERNAL METADATA、TABLE - 適用可能なコンテナオブジェクト:
SCHEMA、CATALOG
テーブルに適用すると、ユーザーはテーブル内のデータを挿入、更新、削除できるようになります。ユーザーは、テーブルにSELECT 、親スキーマにUSE SCHEMA 、親カタログにUSE CATALOGを持っている必要があります。
権限の継承により、スキーマに対してMODIFYを付与すると、そのスキーマ内の現在および将来のすべてのテーブルに対してMODIFY自動的に付与されます。同様に、カタログに対してMODIFY付与すると、カタログ内のすべての現在および将来のテーブルに対してMODIFY自動的に付与されます。
外部メタデータオブジェクトに適用すると、ユーザーはそのオブジェクトにリネージ関係を追加できます。
MODIFY フォーリンテーブルは読み取り専用であるため、フォーリンテーブルには付与できません。
MODIFY CLEAN ROOM
- 適用可能なオブジェクトタイプ:
CLEAN ROOM
ユーザーがクリーンルームを更新できるようにする機能で、データ資産の追加と削除、ノートブックの追加と削除、コメントの更新などが可能です。また、クリーンルームの詳細情報も閲覧できます。
READ FILES
- 適用可能なオブジェクトタイプ:
EXTERNAL LOCATION
外部ロケーションとして構成されたクラウドオブジェクトストレージから、ユーザーがファイルを直接読み取れるようにします。Databricksは、クラウドオブジェクトストレージからファイルを直接読み込むことを推奨していません。代わりに、ボリュームとREAD VOLUME権限を使用して、クラウドオブジェクトストレージ内のデータへの読み取りアクセスを管理します。See 外部ロケーション.
READ FILES 外部ロケーションへの書き込み操作にも必要です。外部ロケーションでのみWRITE FILES権限を持つプリンシパルは、ファイルへの書き込みを試みるとPERMISSION_DENIEDエラーを受け取ります。ファイルの書き込みを参照してください。
READ VOLUME
- 適用可能なオブジェクトタイプ:
VOLUME - 適用可能なコンテナオブジェクト:
SCHEMA、CATALOG
ボリューム内に保存されているファイルやディレクトリをユーザーが読み取れるようにします。ユーザーは、親スキーマにUSE SCHEMA 、親カタログにUSE CATALOGを持っている必要があります。
権限の継承により、スキーマに対してREAD VOLUMEを付与すると、そのスキーマ内の現在および将来のすべてのボリュームに対してREAD VOLUME自動的に付与されます。同様に、カタログに対してREAD VOLUME付与すると、カタログ内のすべての現在および将来のボリュームに対してREAD VOLUME自動的に付与されます。
REFRESH
- 適用可能なオブジェクトタイプ:
MATERIALIZED VIEW - 適用可能なコンテナオブジェクト:
SCHEMA、CATALOG
ユーザーがマテリアライズドビューを更新できるようにします。ユーザーは、親スキーマにUSE SCHEMA 、親カタログにUSE CATALOGを持っている必要があります。
権限の継承により、スキーマにREFRESHを付与すると、スキーマ内の現在および将来のすべてのマテリアライズドビューにREFRESHが自動的に付与されます。 同様に、カタログに対してREFRESH付与すると、カタログ内のすべての現在および将来のマテリアライズドビューに対してREFRESH自動的に付与されます。
選択
- 適用可能なオブジェクトタイプ:
MATERIALIZED VIEW、SHARE、TABLE、VIEW - 適用可能なコンテナオブジェクト:
SCHEMA、CATALOG
テーブル、ビュー、またはマテリアライズドビューに適用すると、ユーザーがオブジェクトから選択できるようになります。ユーザーは、親カタログにUSE CATALOG 、親スキーマにUSE SCHEMAも持っている必要があります。共有に適用すると、受取人が共有の中から選択できるようになります。
権限の継承により、スキーマに対してSELECTを付与すると、そのスキーマ内の現在および将来のすべてのテーブルとビューに対してSELECT自動的に付与されます。同様に、カタログに対してSELECT付与すると、カタログ内のすべての現在および将来のテーブルとビューに対して自動的にSELECTが付与されます。
USE CATALOG
- 適用可能なコンテナオブジェクト:
CATALOG
USE CATALOG 使用権限です。一般的に、ユーザーはカタログ内のあらゆるオブジェクトを操作するためにこの権限を必要とします。USE CATALOGカタログ自体、またはその中の特定のオブジェクトへのアクセスを許可しません。
例えば、テーブルから読み取るには、ユーザーはテーブルに対してSELECT 、親カタログに対してUSE CATALOG 、親スキーマに対してUSE SCHEMA権限が必要です。
USE CATALOG また、カタログ所有者にとって重要なアクセス制御境界を提供する。テーブル所有者がテーブルに対してSELECT他のユーザーに付与した場合でも、そのユーザーは親カタログに対してUSE CATALOG持っていない限り、そのテーブルにアクセスすることはできません。カタログの所有者またはカタログ上でMANAGEを持つユーザーのみがUSE CATALOGを付与できるため、カタログの所有者は、個々のテーブルまたはスキーマの所有者が何を付与するかに関係なく、どのユーザーがオブジェクトにアクセスできるかを制御します。
USE CATALOG ユーザーがそのカタログに対してBROWSE権限を持っている場合、オブジェクトのメタデータを検出または読み取る必要はありません。
USE CONNECTION
- 適用可能なオブジェクトタイプ:
CONNECTION
ユーザーは、アレイクハウスフェデレーション シナリオでの外部データベースへの 接続 に関する詳細を一覧表示して表示できます。USE CONNECTION 、 remote_query関数を使用して外部データベースでSQLクエリを直接実行するためにも必要です。
USE SCHEMA
- 適用可能なコンテナオブジェクト:
SCHEMA、CATALOG
USE SCHEMA 使用権限です。一般的に、ユーザーはスキーマ内のオブジェクトとやり取りするためにこの権限を必要とします。USE SCHEMA 、スキーマ自体、またはその中の特定のオブジェクトへのアクセスを許可しません。
例えば、テーブルから読み取るには、ユーザーはテーブルに対してSELECT 、親スキーマに対してUSE SCHEMA 、親カタログに対してUSE CATALOG権限が必要です。
USE SCHEMA また、スキーマ所有者にとって重要なアクセス制御境界を提供する。テーブルの所有者が別のユーザーにテーブルに対する権限をSELECT付与した場合でも、そのユーザーは親スキーマに対する権限もUSE SCHEMA付与していない限り、そのテーブルにアクセスすることはできません。スキーマの所有者、またはスキーマに対してMANAGE権限を持つユーザーのみがUSE SCHEMAを付与できるため、個々のテーブル所有者が何を付与するかに関わらず、スキーマ所有者はどのユーザーがオブジェクトにアクセスできるかを制御し続けます。
権限の継承により、カタログに対してUSE SCHEMAを付与すると、カタログ内の現在および将来のすべてのスキーマに対してUSE SCHEMA自動的に付与されます。
USE SCHEMA ユーザーが親カタログに対してBROWSE権限を持っている場合、オブジェクトのメタデータを検出または読み取る必要はありません。
WRITE FILES
- 適用可能なオブジェクトタイプ:
EXTERNAL LOCATION
ユーザーが外部ロケーションとして構成されたクラウドオブジェクトストレージにファイルを直接書き込むことを可能にします。Databricksは、クラウドオブジェクトストレージにファイルを直接書き込むことを推奨していません。代わりに、ボリュームとWRITE VOLUME権限を使用して、クラウドオブジェクトストレージ内のデータへの書き込みアクセスを管理します。詳細なガイダンスについては、 「管理ボリュームと外部ボリューム」を参照してください。
WRITE FILES 同じ外部ロケーションでREAD FILESも許可されている必要があります。クラウドオブジェクトストレージへの書き込み操作には、メタデータチェックとパス検証が含まれ、読み取りアクセス権限が必要となります。
WRITE VOLUME
- 適用可能なオブジェクトタイプ:
VOLUME - 適用可能なコンテナオブジェクト:
SCHEMA、CATALOG
ボリューム内に保存されているファイルやディレクトリをユーザーが追加、削除、または変更できるようにします。ユーザーは、親カタログにUSE CATALOG 、親スキーマにUSE SCHEMAを持っている必要があります。
権限の継承により、スキーマに対してWRITE VOLUMEを付与すると、そのスキーマ内の現在および将来のすべてのボリュームに対してWRITE VOLUME自動的に付与されます。同様に、カタログに対してWRITE VOLUME付与すると、カタログ内のすべての現在および将来のボリュームに対してWRITE VOLUME自動的に付与されます。
Delta SharingまたはDatabricks Marketplaceのみに適用される特権
このセクションではDelta Sharingにのみ適用される特権の詳細について説明します。
CREATE PROVIDER
- 適用可能なコンテナオブジェクト: Unity Catalogメタストア
ユーザーがDelta Sharingメタストア 内にプロバイダー オブジェクトを作成できるようにします。プロバイダーは、Delta Sharingを使用してデータを共有する組織またはユーザーグループを特定します。プロバイダー オブジェクトは、受信者のDatabricksアカウントでユーザーによって作成されます。 Delta Sharingとは何かをご覧ください。
CREATE RECIPIENT
- 適用可能なコンテナオブジェクト: Unity Catalogメタストア
ユーザーがDelta Sharingメタストア 内に 受信者 オブジェクトを作成できるようにします。受信者は、Delta Sharingを使用して共有データを受け取る組織またはユーザーグループを指定します。受信者オブジェクトは、プロバイダーのDatabricksアカウントでユーザーによって作成されます。 Delta Sharingとは何かをご覧ください。
CREATE SHARE
- 適用可能なコンテナオブジェクト: Unity Catalogメタストア
ユーザーがメタストア 内に 共有 を作成できるようにします。共有とは、プロバイダーが使用して共有することを意図している テーブルDelta Sharing やその他のアセットの論理的なグループのことです。
SET SHARE PERMISSION
- 適用可能なコンテナオブジェクト: Unity Catalogメタストア
Delta Sharingでは、 SET SHARE PERMISSION使用すると、プロバイダーユーザーが共有に対するアクセス許可を設定できます。これには、受信者へのアクセス権の付与や所有権の移転などが含まれます。受信者に共有へのアクセスを許可するには、ユーザーはUSE SHARE持っていなければならず、さらにUSE RECIPIENTまたは受信者オブジェクトの所有権のいずれかを持っている必要があります。株式の所有権を移転するには、ユーザーはまたUSE SHAREを持っている必要があります。
USE MARKETPLACE ASSETS
- 適用可能なコンテナオブジェクト: Unity Catalogメタストア
すべてのUnity Catalogメタストアに対して安心により有効化されます。 Databricks Marketplaceでは、 USE MARKETPLACE ASSETSにより、ユーザーはMarketplaceリストにあるデータ製品へのアクセスを取得またはリクエストできます。また、 プロバイダーが データ製品を共有する際に作成される読み取り専用カタログに ユーザーがアクセスすることも可能になります。
この権限がない場合、ユーザーはCREATE CATALOGとUSE PROVIDER権限、またはメタストア管理者ロールを持っている必要があります。代わりにUSE MARKETPLACE ASSETSを付与することで、管理者はより強力な権限を持つユーザーの数を制限できます。
USE PROVIDER
- 適用可能なコンテナオブジェクト: Unity Catalogメタストア
Delta Sharingでは、 使用すると、USE PROVIDER 受信側 ユーザーはメタストア 内のすべてのプロバイダー とそれらに関連付けられた共有 (読み取り専用)を表示できます。CREATE CATALOGと組み合わせることで、 USE PROVIDERメタストア管理者ではない受信者ユーザーが共有をカタログとしてマウントすることも可能にします。これにより、管理者はメタストア管理者ロールを持つユーザー数を制限できます。
USE RECIPIENT
- 適用可能なコンテナオブジェクト: Unity Catalogメタストア
Delta Sharingでは、 使用すると、USE RECIPIENT プロバイダ ユーザーは メタストア 内のすべての受信者 (読み取り専用)を表示できます。これには、受信者の詳細、認証ステータス、プロバイダが 各受信者 と共有した 共有 が含まれます。プロバイダーユーザーは、この権限を使用するためにメタストア管理者である必要はありません。
Databricks Marketplaceでは、 USE RECIPIENTプロバイダーユーザーはプロバイダーコンソールでリストと消費者のリクエストを表示できます。
USE SHARE
- 適用可能なコンテナオブジェクト: Unity Catalogメタストア
Delta Sharingでは、 使用すると、USE SHARE プロバイダー ユーザーはメタストア 内のすべての共有 (読み取り専用)を表示できます。これには、各共有 内のアセット(テーブル とノートブック)と共有 の 受信者が 含まれます。プロバイダーユーザーは、この権限を使用するためにメタストア管理者である必要はありません。
Databricks Marketplaceでは、 USE SHAREによってプロバイダーのユーザーはリストで共有されているデータの詳細を表示できます。