次の方法で共有


Unity Catalog の管理者特権

この記事では、Azure Databricks アカウント管理者、ワークスペース管理者、メタストア管理者が Unity Catalog を管理するための特権について説明します。

Note

ワークスペースが Unity Catalog で自動的に有効になった場合、ワークスペース管理者には、アタッチされたメタストアとワークスペース カタログ (ワークスペース カタログがプロビジョニングされている場合) に対する既定の特権が付与されます。 「ワークスペースで Unity Catalog が自動的に有効になる場合のワークスペース管理特権」を参照してください。

メタストア管理者

メタストア管理者は省略できますが、Unity Catalog 内で高い特権が与えられているユーザーまたはグループです。 メタストア管理者は、既定でメタストアに対する次の特権が付与されています。

メタストア管理者はメタストアの所有者でもあり、次の特権が付与されます。

  • ストレージの資格情報、外部の場所、接続、共有、受信者、プロバイダーなど、メタストア内のオブジェクトの特権を管理したり所有権を移転したりします。

  • メタストア内のあらゆるデータへの読み取りと書き込みのアクセス権を自分自身に付与します。

    メタストア管理者は、すべてのオブジェクトの所有権を移転する機能を通じて、間接的にこの機能があります。 既定では、直接アクセスはありません。 アクセス許可の付与は監査ログに記録されます。

  • メタストア内のすべてのオブジェクトのメタデータを読み取ったり更新したりします。

  • メタストアを削除します。

メタストア管理者は、メタストア自体に特権を付与できる唯一のユーザーです。

これらの権限を持つユーザーはメタストア管理者のみであるため、次のいずれかの機能を使用する場合は、メタストア管理者を割り当てる必要があります。

最初のメタストア管理特権はどのユーザーに付与されますか。

アカウント管理者がメタストアを手動で作成した場合、そのアカウント管理者がメタストアの最初の所有者でかつメタストア管理者になります。2023 年 11 月 9 日以前に作成されたメタストアはすべて、アカウント管理者が手動で作成したものです。

メタストアが Unity Catalog の自動有効化の一環としてプロビジョニングされた場合、メタストアはメタストア管理者なしで作成されました。この場合、ワークスペース管理者には、メタストア管理者を省略可能にする特権が自動的に付与されます。 必要に応じて、アカウント管理者はメタストア管理者ロールをユーザー、サービス プリンシパル、またはグループに割り当てることができます。 グループが強く推奨されます。 「Unity Catalog の自動有効化」をご参照ください。

メタストア管理者を割り当てる

メタストア管理者は、慎重に配布する必要がある高度な特権ロールです。 これはオプションです。

アカウント管理者は、メタストア管理者ロールを割り当てることができます。 Databricks では、メタストア管理者としてグループを指名することをお勧めします。こうすることにより、グループのメンバーは自動的にメタストア管理者になります。

メタストア管理者ロールをグループに割り当てるには、次のようにします。

  1. アカウント管理者として、アカウント コンソールにログインします。
  2. カタログ アイコン [カタログ] をクリックします。
  3. メタストアの名前をクリックして、その詳細を開きます。
  4. [Metastore Admin](メタストア管理者)の下で、[編集]をクリックします。
  5. ドロップダウンからグループを選択します。 フィールドにテキストを入力して、オプションを検索できます。
  6. [保存] をクリックします。

重要

メタストア管理者の割り当ての変更がアカウントに反映されるまでに最大 30 秒かかる場合があり、他と比較して一部のワークスペースでは有効になるまでに長い時間がかかる場合があります。 この遅延は、キャッシュ プロトコルが原因です。

アカウント管理者

アカウント管理者は、慎重に配布する必要がある高度な特権ロールです。 アカウント管理者には、次の特権があります。

  • メタストアを作成でき、既定では最初のメタストア管理者になります。
  • メタストアとワークスペースをリンクできます。
  • メタストア管理者ロールを割り当てることができます。
  • メタストアに対する権限を付与できます。
  • メタストアの Delta Sharing を有効化できます。
  • ストレージ資格情報を構成できます。
  • システム テーブルを有効にして、アクセスを委任できます。

最初の Azure Databricks アカウント管理者を設置するには、最初のアカウント管理者の設置に関するページを参照してください。

ワークスペース管理者

ワークスペース管理者は、慎重に配布する必要がある高度な特権ロールです。 ワークスペース管理者には、次の特権があります。

  • ユーザー、サービス プリンシパル、グループをワークスペースに追加できます。
  • 他のワークスペース管理者を委任できます。
  • ジョブの所有権を管理できます。 「ジョブへのアクセスを制御する」を参照してください。
  • ジョブ [実行するアカウント名] 設定を管理できます。 「ジョブ実行のための ID を設定する」をご覧ください。
  • ノートブック、ダッシュボード、クエリ、およびその他のワークスペース オブジェクトを表示および管理できます。 「アクセス制御リスト」を参照してください。

アカウント管理者は、RestrictWorkspaceAdmins 設定を使用してワークスペース管理者特権を制限できます。 「ワークスペース管理者を制限する」をご覧ください。

ワークスペースで Unity Catalog が自動的に有効になる場合のワークスペース管理特権

Unity Catalog に対してワークスペースが自動的に有効になっている場合は、ワークスペースは既定でメタストアにアタッチされます。 詳細については、「Unity Catalog の自動有効化」を参照してください。

ワークスペースが Unity Catalog で自動的に有効になった場合、ワークスペース管理者には、アタッチされたメタストアに対する次の特権が既定で付与されます。

  • CREATE CATALOG

  • CREATE CLEAN ROOM

  • CREATE EXTERNAL LOCATION

  • CREATE SERVICE CREDENTIAL

  • CREATE STORAGE CREDENTIAL

  • CREATE CONNECTION

  • CREATE SHARE

  • CREATE RECIPIENT

  • CREATE PROVIDER

  • CREATE MATERIALIZED VIEW

ワークスペース カタログがワークスペース用にプロビジョニングされている場合、ワークスペース管理者はワークスペース カタログの既定の所有者になります。 このカタログの所有権は、次の特権を付与します。

  • ワークスペース カタログ内のオブジェクトの特権を管理するか、所有権を移転します。

    これには、メタストア管理者自身に対してカタログ内のすべてのデータへの読み取りおよび書き込みアクセスを許可する機能が含まれます (既定では直接アクセス権はありません。アクセス許可の付与は監査ログに記録されます)。

  • ワークスペース カタログ自体の所有権を移転します。

すべてのワークスペース ユーザーは、ワークスペース カタログに対する USE CATALOG 特権を受け取ります。 ワークスペース ユーザーは、カタログ内の default スキーマに対する USE SCHEMACREATE TABLECREATE VOLUMECREATE MODELCREATE FUNCTIONCREATE MATERIALIZED VIEW 特権も受け取ります。

Note

アタッチされたメタストアとワークスペース カタログに付与された既定の特権は、ワークスペース間では維持されません (ワークスペース カタログが別のワークスペースにもバインドされている場合など)。