Unity Catalog の管理者特権
この記事では、Azure Databricks アカウント管理者、ワークスペース管理者、メタストア管理者が Unity Catalog を管理するための特権について説明します。
Note
ワークスペースが Unity Catalog で自動的に有効になった場合、ワークスペース管理者には、アタッチされたメタストアとワークスペース カタログ (ワークスペース カタログがプロビジョニングされている場合) に対する既定の特権が付与されます。 「ワークスペースで Unity Catalog が自動的に有効になる場合のワークスペース管理特権」を参照してください。
メタストア管理者
メタストア管理者は省略できますが、Unity Catalog 内で高い特権が与えられているユーザーまたはグループです。 メタストア管理者は、既定でメタストアに対する次の特権が付与されています。
CREATE CATALOG
: ユーザーがメタストアでのカタログを作成できるようにします。CREATE CLEAN ROOM
:ユーザーは、基になるデータを共有することなく他の組織とプロジェクトで安全に共同作業するためのクリーンな部屋を作成できます。CREATE CONNECTION
: ユーザーが Lakehouse フェデレーション シナリオで外部データベースへの接続を作成できるようにします。CREATE EXTERNAL LOCATION
: ユーザーが外部の場所を作成できるようにします。CREATE SERVICE CREDENTIAL
: ユーザーがサービス資格情報を 作成できるようにします。CREATE STORAGE CREDENTIAL
: ユーザーがストレージの資格情報を作成できるようにします。CREATE FOREIGN CATALOG
: ユーザーが Lakehouse フェデレーション シナリオで外部データベースへの接続を使用して外部カタログを作成できるようにします。CREATE SHARE
: データ プロバイダー ユーザーに Delta Sharing での共有の作成を許可する。CREATE RECIPIENT
: データ プロバイダー ユーザーに Delta Sharing での受信者の作成を許可する。CREATE PROVIDER
: データ受信者ユーザーに Delta Sharing でのプロバイダーの作成を許可する。CREATE MATERIALIZED VIEW
: ユーザーが具体化されたビューを作成できるようにします。MANAGE ALLOWLIST
: ユーザーが init スクリプトとライブラリへのクラスター アクセスを管理する許可リストを更新できるようにします。
メタストア管理者はメタストアの所有者でもあり、次の特権が付与されます。
ストレージの資格情報、外部の場所、接続、共有、受信者、プロバイダーなど、メタストア内のオブジェクトの特権を管理したり所有権を移転したりします。
メタストア内のあらゆるデータへの読み取りと書き込みのアクセス権を自分自身に付与します。
メタストア管理者は、すべてのオブジェクトの所有権を移転する機能を通じて、間接的にこの機能があります。 既定では、直接アクセスはありません。 アクセス許可の付与は監査ログに記録されます。
メタストア内のすべてのオブジェクトのメタデータを読み取ったり更新したりします。
メタストアを削除します。
メタストア管理者は、メタストア自体に特権を付与できる唯一のユーザーです。
これらの権限を持つユーザーはメタストア管理者のみであるため、次のいずれかの機能を使用する場合は、メタストア管理者を割り当てる必要があります。
- 誰かが会社を辞めた後、カタログの所有権を変更する。
- init スクリプトと jar allowlist のアクセス許可を管理および委任する。
- ワークスペース管理者以外に、カタログを作成するアクセス許可やその他の最上位のアクセス許可を委任する。
- Delta 共有を通じて共有データを受け取る。
- 既定のワークスペース管理者のアクセス許可を削除する。
- マネージド ストレージが存在しない場合は、メタストアに追加します。 「既存のメタストアにマネージド ストレージを追加する」を参照してください。
最初のメタストア管理特権はどのユーザーに付与されますか。
アカウント管理者がメタストアを手動で作成した場合、そのアカウント管理者がメタストアの最初の所有者でかつメタストア管理者になります。2023 年 11 月 9 日以前に作成されたメタストアはすべて、アカウント管理者が手動で作成したものです。
メタストアが Unity Catalog の自動有効化の一環としてプロビジョニングされた場合、メタストアはメタストア管理者なしで作成されました。この場合、ワークスペース管理者には、メタストア管理者を省略可能にする特権が自動的に付与されます。 必要に応じて、アカウント管理者はメタストア管理者ロールをユーザー、サービス プリンシパル、またはグループに割り当てることができます。 グループが強く推奨されます。 「Unity Catalog の自動有効化」をご参照ください。
メタストア管理者を割り当てる
メタストア管理者は、慎重に配布する必要がある高度な特権ロールです。 これはオプションです。
アカウント管理者は、メタストア管理者ロールを割り当てることができます。 Databricks では、メタストア管理者としてグループを指名することをお勧めします。こうすることにより、グループのメンバーは自動的にメタストア管理者になります。
メタストア管理者ロールをグループに割り当てるには、次のようにします。
- アカウント管理者として、アカウント コンソールにログインします。
- [カタログ] をクリックします。
- メタストアの名前をクリックして、その詳細を開きます。
- [Metastore Admin](メタストア管理者)の下で、[編集]をクリックします。
- ドロップダウンからグループを選択します。 フィールドにテキストを入力して、オプションを検索できます。
- [保存] をクリックします。
重要
メタストア管理者の割り当ての変更がアカウントに反映されるまでに最大 30 秒かかる場合があり、他と比較して一部のワークスペースでは有効になるまでに長い時間がかかる場合があります。 この遅延は、キャッシュ プロトコルが原因です。
アカウント管理者
アカウント管理者は、慎重に配布する必要がある高度な特権ロールです。 アカウント管理者には、次の特権があります。
- メタストアを作成でき、既定では最初のメタストア管理者になります。
- メタストアとワークスペースをリンクできます。
- メタストア管理者ロールを割り当てることができます。
- メタストアに対する権限を付与できます。
- メタストアの Delta Sharing を有効化できます。
- ストレージ資格情報を構成できます。
- システム テーブルを有効にして、アクセスを委任できます。
最初の Azure Databricks アカウント管理者を設置するには、最初のアカウント管理者の設置に関するページを参照してください。
ワークスペース管理者
ワークスペース管理者は、慎重に配布する必要がある高度な特権ロールです。 ワークスペース管理者には、次の特権があります。
- ユーザー、サービス プリンシパル、グループをワークスペースに追加できます。
- 他のワークスペース管理者を委任できます。
- ジョブの所有権を管理できます。 「ジョブへのアクセスを制御する」を参照してください。
- ジョブ [実行するアカウント名] 設定を管理できます。 「ジョブ実行のための ID を設定する」をご覧ください。
- ノートブック、ダッシュボード、クエリ、およびその他のワークスペース オブジェクトを表示および管理できます。 「アクセス制御リスト」を参照してください。
アカウント管理者は、RestrictWorkspaceAdmins
設定を使用してワークスペース管理者特権を制限できます。 「ワークスペース管理者を制限する」をご覧ください。
ワークスペースで Unity Catalog が自動的に有効になる場合のワークスペース管理特権
Unity Catalog に対してワークスペースが自動的に有効になっている場合は、ワークスペースは既定でメタストアにアタッチされます。 詳細については、「Unity Catalog の自動有効化」を参照してください。
ワークスペースが Unity Catalog で自動的に有効になった場合、ワークスペース管理者には、アタッチされたメタストアに対する次の特権が既定で付与されます。
CREATE CATALOG
CREATE CLEAN ROOM
CREATE EXTERNAL LOCATION
CREATE SERVICE CREDENTIAL
CREATE STORAGE CREDENTIAL
CREATE CONNECTION
CREATE SHARE
CREATE RECIPIENT
CREATE PROVIDER
CREATE MATERIALIZED VIEW
ワークスペース カタログがワークスペース用にプロビジョニングされている場合、ワークスペース管理者はワークスペース カタログの既定の所有者になります。 このカタログの所有権は、次の特権を付与します。
ワークスペース カタログ内のオブジェクトの特権を管理するか、所有権を移転します。
これには、メタストア管理者自身に対してカタログ内のすべてのデータへの読み取りおよび書き込みアクセスを許可する機能が含まれます (既定では直接アクセス権はありません。アクセス許可の付与は監査ログに記録されます)。
ワークスペース カタログ自体の所有権を移転します。
すべてのワークスペース ユーザーは、ワークスペース カタログに対する USE CATALOG
特権を受け取ります。 ワークスペース ユーザーは、カタログ内の default
スキーマに対する USE SCHEMA
、CREATE TABLE
、CREATE VOLUME
、CREATE MODEL
、CREATE FUNCTION
、CREATE MATERIALIZED VIEW
特権も受け取ります。
Note
アタッチされたメタストアとワークスペース カタログに付与された既定の特権は、ワークスペース間では維持されません (ワークスペース カタログが別のワークスペースにもバインドされている場合など)。