Unity Catalog の管理者特権

[アーティクル]
04/16/2024

この記事では、Azure Databricks アカウント管理者、ワークスペース管理者、メタストア管理者が Unity Catalog を管理するための特権について説明します。

Note

ワークスペースが Unity Catalog で自動的に有効になった場合、ワークスペース管理者には、アタッチされたメタストアとワークスペースカタログ (ワークスペースカタログがプロビジョニングされている場合) に対する既定の特権が付与されます。「ワークスペースで Unity Catalog が自動的に有効になる場合のワークスペース管理特権」を参照してください。

メタストア管理者

メタストア管理者は、Unity Catalog 内で高い特権が与えられているユーザーまたはグループです。メタストア管理者は、既定でメタストアに対する次の特権が付与されています。

CREATE CATALOG: ユーザーがメタストアでのカタログを作成できるようにします。
CREATE CONNECTION: ユーザーが Lakehouse フェデレーションシナリオで外部データベースへの接続を作成できるようにします。
CREATE EXTERNAL LOCATION: ユーザーが外部の場所を作成できるようにします。
CREATE STORAGE CREDENTIAL: ユーザーがストレージの資格情報を作成できるようにします。
CREATE FOREIGN CATALOG: ユーザーが Lakehouse フェデレーションシナリオで外部データベースへの接続を使用して外部カタログを作成できるようにします。
CREATE SHARE: データプロバイダーユーザーに Delta Sharing での共有の作成を許可する。
CREATE RECIPIENT: データプロバイダーユーザーに Delta Sharing での受信者の作成を許可する。
CREATE PROVIDER: データ受信者ユーザーに Delta Sharing でのプロバイダーの作成を許可する。
MANAGE ALLOWLIST: ユーザーが init スクリプトとライブラリへのクラスターアクセスを管理する許可リストを更新できるようにします。
CREATE MATERIALIZED VIEW: ユーザーが具体化されたビューを作成できるようにします。

メタストア管理者はメタストアの所有者でもあり、次の特権が付与されます。

ストレージの資格情報、外部の場所、接続、共有、受信者、プロバイダーなど、メタストア内のオブジェクトの特権を管理したり所有権を移転したりします。
メタストア内のあらゆるデータへの読み取りと書き込みのアクセス権を自分自身に付与します。

メタストア管理者は、すべてのオブジェクトの所有権を移転する機能を通じて、間接的にこの機能があります。既定では、直接アクセスはありません。アクセス許可の付与は監査ログに記録されます。
メタストア内のすべてのオブジェクトのメタデータを読み取ったり更新したりします。
メタストアを削除します。

メタストア管理者は、メタストア自体に特権を付与できる唯一のユーザーです。

メタストア管理特権はどのユーザーに付与されますか?

アカウント管理者がメタストアを手動で作成した場合、そのアカウント管理者がメタストアの最初の所有者でかつメタストア管理者になります。2023 年 11 月 9 日以前に作成されたメタストアはすべて、アカウント管理者が手動で作成したものです。

メタストアが Unity Catalog の自動有効化の一環としてプロビジョニングされた場合、メタストアはメタストア管理者なしで作成されました。この場合、ワークスペース管理者には、メタストア管理者を省略可能にする特権が自動的に付与されます。必要に応じて、アカウント管理者はメタストア管理者ロールをユーザー、サービスプリンシパル、またはグループに割り当てることができます。グループが強く推奨されます。「Unity Catalog の自動有効化」をご参照ください。

メタストア管理者を割り当てる

メタストア管理者は、慎重に配布する必要がある高度な特権ロールです。これはオプションです。

アカウント管理者は、メタストア管理者ロールを割り当てることができます。 Databricks では、メタストア管理者としてグループを指名することをお勧めします。こうすることにより、グループのメンバーは自動的にメタストア管理者になります。

メタストア管理者ロールをグループに割り当てるには、次のようにします。

アカウント管理者として、アカウントコンソールにログインします。
カタログ をクリックします。
メタストアの名前をクリックして、その詳細を開きます。
[Metastore Admin](メタストア管理者)の下で、[編集]をクリックします。
ドロップダウンからグループを選択します。フィールドにテキストを入力して、オプションを検索できます。
[保存] をクリックします。

重要

メタストア管理者の割り当ての変更がアカウントに反映されるまでに最大 30 秒かかる場合があり、他と比較して一部のワークスペースでは有効になるまでに長い時間がかかる場合があります。この遅延は、キャッシュプロトコルが原因です。

アカウント管理者

アカウント管理者は、慎重に配布する必要がある高度な特権ロールです。アカウント管理者には、次の特権があります。

メタストアを作成でき、既定では最初のメタストア管理者になります。
メタストアとワークスペースをリンクできます。
メタストア管理者ロールを割り当てることができます。
メタストアの Delta Sharing を有効化できます。
ストレージ資格情報を構成できます。
システムテーブルを有効にして、アクセスを委任できます。

ワークスペース管理者

ワークスペース管理者は、慎重に配布する必要がある高度な特権ロールです。ワークスペース管理者には、次の特権があります。

ユーザー、サービスプリンシパル、グループをワークスペースに追加できます。
他のワークスペース管理者を委任できます。
ジョブの所有権を管理できます。「ジョブへのアクセスを制御する」を参照してください。
ジョブ [実行するアカウント名] 設定を管理できます。「サービスプリンシパルとしてジョブを実行する」を参照してください。
ノートブック、ダッシュボード、クエリ、およびその他のワークスペースオブジェクトを表示および管理できます。「アクセス制御リスト」を参照してください。

アカウント管理者は、RestrictWorkspaceAdmins 設定を使用してワークスペース管理者特権を制限できます。「ワークスペース管理者を制限する」をご覧ください。

ワークスペースで Unity Catalog が自動的に有効になる場合のワークスペース管理特権

Unity Catalog に対してワークスペースが自動的に有効になっている場合は、ワークスペースは既定でメタストアにアタッチされます。詳細については、「Unity Catalog の自動有効化」を参照してください。

ワークスペースが Unity Catalog で自動的に有効になった場合、ワークスペース管理者には、アタッチされたメタストアに対する次の特権が既定で付与されます。

CREATE CATALOG
CREATE EXTERNAL LOCATION
CREATE STORAGE CREDENTIAL
CREATE CONNECTION
CREATE SHARE
CREATE RECIPIENT
CREATE PROVIDER
CREATE MATERIALIZED VIEW

ワークスペースカタログがワークスペース用にプロビジョニングされている場合、ワークスペース管理者はワークスペースカタログの既定の所有者になります。このカタログの所有権は、次の特権を付与します。

ワークスペースカタログ内のオブジェクトの特権を管理するか、所有権を移転します。

これには、メタストア管理者自身に対してカタログ内のすべてのデータへの読み取りおよび書き込みアクセスを許可する機能が含まれます (既定では直接アクセス権はありません。アクセス許可の付与は監査ログに記録されます)。
ワークスペースカタログ自体の所有権を移転します。

すべてのワークスペースユーザーは、ワークスペースカタログに対する USE CATALOG 特権を受け取ります。ワークスペースユーザーは、カタログ内の default スキーマに対する USE SCHEMA、CREATE TABLE、CREATE VOLUME、CREATE MODEL、CREATE FUNCTION、CREATE MATERIALIZED VIEW 特権も受け取ります。