Unity Catalog の権限とセキュリティ保護可能なオブジェクト
この記事では、Unity Catalog の特権モデルについて説明します。 このモデルと Hive メタストアの違いについては、「Unity Catalog と従来の Hive メタストアの使用」を参照してください。
注意
この記事では、特権モデル バージョン 1.0 の Unity Catalog の特権と継承モデルについて説明します。 パブリック プレビュー期間中 (2022 年 8 月 25 日より前) に Unity カタログ メタストアを作成した場合は、特権継承へのアップグレードの後、Privilege Model バージョン 1.0 にアップグレードできます
誰が権限を管理できますか?
特権を付与できるのは、メタストア管理者、オブジェクトの所有者、またはオブジェクトを含むカタログやスキーマの所有者のいずれかです。
ワークスペースで Unity Catalog が自動的に有効になっている場合、ワークスペースは既定でメタストアにアタッチされ、メタストア内のワークスペース用にワークスペース カタログが作成されます。 ワークスペース管理者は、ワークスペース カタログの既定の所有者です。 所有者は、ワークスペース カタログとすべての子オブジェクトに対する特権を管理できます。
すべてのワークスペース ユーザーは、ワークスペース カタログに対する USE CATALOG
特権を受け取ります。 ワークスペース ユーザーは、カタログ内の default
スキーマに対する USE SCHEMA
、CREATE TABLE
、CREATE VOLUME
、CREATE MODEL
、CREATE FUNCTION
、CREATE MATERIALIZED VIEW
特権も受け取ります。
詳細については、「Unity Catalog の自動有効化」を参照してください。
権限を管理する方法
メタストア オブジェクトの権限は、SQL コマンド、Databricks CLI、または Catalog Explorer を使用して管理できます。 Catalog Explorer を使用して権限を管理する方法については、「Catalog Explorer で Unity Catalog のアクセス許可を管理する」 を参照してください。
SQL で権限を管理するには、次の構文を使用して、ノートブックまたは Databricks SQL クエリ エディターで GRANT ステートメントと REVOKE ステートメントを使用します。
GRANT privilege_type ON securable_object TO principal
各値の説明:
privilege_type
は Unity Catalog の特権の種類ですsecurable_object
は Unity Catalog 内のセキュリティ保護可能なオブジェクトです。principal
は、ユーザー、サービス プリンシパル (applicationId 値で表される)、またはグループです。 特殊文字を含むユーザー、サービス プリンシパル、およびグループ名は、バックティック (` `
) で囲む必要があります。 「プリンシパル」を参照してください。
たとえば、次のコマンドは、finance-team という名前のグループに、main という名前の親カタログを使用して default という名前のスキーマにテーブルを作成するためのアクセス権を付与します。
GRANT CREATE TABLE ON SCHEMA main.default TO `finance-team`;
権限を許可するか取り消すほとんどのステートメントは、前の例で示した構文に従い、セキュリティ保護可能なオブジェクトの種類 (SCHEMA
) の後にセキュリティ保護可能なオブジェクトの名前 (main.default
) が続きます。 ただし、メタストアに対して権限を許可する場合は、ワークスペースにアタッチされているメタストアが想定されるため、メタストア名を含めることはできません。
GRANT CREATE CATALOG ON METASTORE TO `account users`;
SQL コマンドを使用した特権の付与の詳細については、「Unity Catalog の特権とセキュリティ保護可能なオブジェクト」を参照してください。
Databricks Terraform プロバイダーと databricks_grants を使用して権限を管理することもできます。
継承モデル
Unity カタログのセキュリティ保護可能なオブジェクトは階層構造であり、権限は下位に継承されます。 特権が継承される最上位レベルのオブジェクトは、カタログです。 つまり、カタログまたはスキーマに対する権限を付与すると、カタログまたはスキーマ内のすべての現在および将来のオブジェクトに権限が自動的に付与されます。 Unity Catalog メタストアで付与された特権は継承されません。
たとえば、次のコマンドは、カタログ SELECT
main のすべてのスキーマ内のすべてのテーブルとビューに対する特権をグループ finane に付与します。
GRANT SELECT ON CATALOG main TO finance;
同様に、アクセスのスコープを小さくするために、スキーマに対して次の許可を実行できます。
GRANT SELECT ON SCHEMA main.default TO finance;
継承モデルを使用すると、データの既定のアクセス規則を簡単に設定できます。 たとえば、次のコマンドを使用すると、機械学習チームはスキーマ内にテーブルを作成し、互いのテーブルを読み取ることができます。
CREATE CATALOG ml;
CREATE SCHEMA ml.team_sandbox;
GRANT USE_CATALOG ON CATALOG ml TO ml_team;
GRANT USE_SCHEMA ON SCHEMA ml.team_sandbox TO ml_team;
GRANT CREATE TABLE ON SCHEMA ml.team_sandbox TO ml_team;
GRANT SELECT ON SCHEMA ml.team_sandbox TO ml_team;
オブジェクトの所有者には、そのオブジェクに対するすべての特権が自動的に付与されます。 さらに、オブジェクト所有者は、オブジェクト自体とそのすべての子オブジェクトに特権を付与できます。 つまり、スキーマの所有者は、スキーマ内のテーブルに対するすべての権限を自動的に持つわけではありませんが、スキーマ内のテーブルに対する権限を自身に付与できます。
Unity Catalog のセキュリティ保護可能なオブジェクト
セキュリティ保護可能なオブジェクトは、プリンシパルに特権を付与できる Unity Catalog のメタストアで定義されているオブジェクトです。 Unity Catalog のセキュリティ保護可能なオブジェクトは階層構造です。
セキュリティ保護可能なオブジェクトは次のとおりです。
METASTORE: メタデータの最上位のコンテナー。 各 Unity Catalog のメタストアでは、3 レベルの名前空間 (
catalog
.schema
.table
) が公開され、ここでデータが整理されます。CATALOG: データ資産の整理に使用されるオブジェクト階層の最初のレイヤー。 外部カタログは、Lakehouse フェデレーション シナリオの外部データ システム内のデータベースをミラー化する特殊なカタログの種類です。
SCHEMA: データベースとも呼ばれる、オブジェクト階層の 2 番目のレイヤーで、テーブルとビューが含まれます。
TABLE: オブジェクト階層内で最下位です。外部 テーブル (選択したクラウド ストレージ内の外部の場所に保存される) またはマネージド テーブル (Azure Databricks 用に明示的に作成した、クラウド ストレージ内のストレージ コンテナーに保存される) のいずかです。
VIEW: スキーマ内に含まれる 1 つ以上のテーブルへのクエリから作成された読み取り専用オブジェクト。
MATERIALIZED VIEW: スキーマに含まれる 1 つ以上のテーブルに対するクエリから作成されたオブジェクト。 その結果には、最後に更新されたときのデータの状態が反映されます。
VOLUME: ボリュームは、オブジェクト階層の最下位のレイヤーで、外部 (選択したクラウド ストレージ内の外部の場所に保存される) またはマネージド (Azure Databricks 用に明示的に作成した、クラウド ストレージ内のストレージ コンテナーに保存される) のいずれかです。
REGISTERED MODEL: スキーマ内に含まれる MLflow 登録済みモデル。
FUNCTION: スキーマ内に含まれるユーザー定義関数。 「Unity Catalog のユーザー定義関数 (UDF)」を参照してください。
EXTERNAL LOCATION: Unity Catalog メタストア内に含まれるストレージ資格情報とクラウド ストレージ パスへの参照を含むオブジェクト。
STORAGE CREDENTIAL: Unity Catalog メタストアに含まれるクラウド ストレージへのアクセスを提供する長期的なクラウド資格情報をカプセル化するオブジェクト。
CONNECTION: Lakehouse フェデレーション シナリオで外部データベース システムにアクセスするためのパスと資格情報を指定するオブジェクトです。
SHARE: Delta 共有を使用して共有する予定のテーブルの論理グループ。 共有は Unity Catalog メタストア内に含まれています。
RECIPIENT: Delta 共有を使用してデータを共有できるユーザーの組織またはグループを識別するオブジェクト。 これらのオブジェクトは、Unity Catalog メタストア内に含まれています。
PROVIDER: Delta 共有を使用してデータを共有できるようにする組織を表すオブジェクト。 これらのオブジェクトは、Unity Catalog メタストア内に含まれています。
Unity Catalog のセキュリティ保護可能オブジェクト別の特権の種類
次の表に、Unity Catalog のセキュリティ保護可能な各オブジェクトに適用される特権の種類を示します。
セキュリティ保護可能 | 特権 |
---|---|
メタストア | CREATE CATALOG 、CREATE CONNECTION 、CREATE EXTERNAL LOCATION 、CREATE PROVIDER 、CREATE RECIPIENT 、CREATE SHARE 、CREATE STORAGE CREDENTIAL 、SET SHARE PERMISSION 、USE MARKETPLACE ASSETS 、USE PROVIDER 、USE RECIPIENT 、USE SHARE |
Catalog | ALL PRIVILEGES 、APPLY TAG 、BROWSE 、CREATE SCHEMA 、USE CATALOG 既定では、すべてのユーザーの main カタログに USE CATALOG があります。カタログ内のセキュリティ保護可能なオブジェクトには、次の特権の種類が適用されます。 カタログ レベルでこれらの権限を付与して、カタログ内の関連する現在および将来のオブジェクトに適用できます。 CREATE FUNCTION 、CREATE TABLE 、CREATE MODEL 、CREATE VOLUME 、CREATE FOREIGN CATALOG 、READ VOLUME 、REFRESH 、WRITE VOLUME 、EXECUTE 、MODIFY 、SELECT 、USE SCHEMA |
[スキーマ] | ALL PRIVILEGES , APPLY TAG , CREATE FUNCTION , CREATE TABLE , CREATE MODEL , CREATE VOLUME , CREATE MATERIALIZED VIEW , USE SCHEMA スキーマ内のセキュリティ保護可能なオブジェクトには、次の特権の種類が適用されます。 スキーマ レベルでこれらの権限を付与して、カタログ内の関連する現在および将来のオブジェクトに適用できます。 EXECUTE 、MODIFY 、SELECT 、READ VOLUME 、REFRESH 、WRITE VOLUME |
テーブル | ALL PRIVILEGES 、APPLY TAG 、MODIFY , SELECT |
具体化されたビュー | ALL PRIVILEGES 、APPLY TAG 、REFRESH , SELECT |
表示 | ALL PRIVILEGES 、APPLY TAG 、SELECT |
体積 | ALL PRIVILEGES 、READ VOLUME 、WRITE VOLUME |
外部の場所 | ALL PRIVILEGES 、BROWSE 、CREATE EXTERNAL TABLE 、CREATE EXTERNAL VOLUME 、READ FILES 、WRITE FILES 、CREATE MANAGED STORAGE |
ストレージの資格情報 | ALL PRIVILEGES 、CREATE EXTERNAL LOCATION 、CREATE EXTERNAL TABLE 、READ FILES 、WRITE FILES |
つながり | ALL PRIVILEGES 、CREATE FOREIGN CATALOG 、USE CONNECTION |
機能 | ALL PRIVILEGES 、EXECUTE |
登録済みのモデル | ALL PRIVILEGES 、APPLY TAG 、EXECUTE |
共有 | SELECT (RECIPIENT に付与可能) |
Recipient | なし |
プロバイダー | なし |
メタストアの権限を管理する場合、SQL コマンドにメタストア名を含めないでください。 Unity Catalog は、ワークスペースにアタッチされているメタストアに対する権限を付与または取り消します。 たとえば、次のコマンドを実行すると、 エンジニアリング という名前のグループに、ワークスペースにアタッチされたメタストアにカタログを作成する機能が付与されます。
GRANT CREATE CATALOG ON METASTORE TO engineering
一般的な Unity Catalog の権限の種類
このセクションでは、一般的に Unity Catalog に適用される特権の種類について詳しく説明します。
ALL PRIVILEGES
該当するオブジェクトの種類: CATALOG
、EXTERNAL LOCATION
、STORAGE CREDENTIAL
、SCHEMA
、FUNCTION
、REGISTERED MODEL
、TABLE
、MATERIALIZED VIEW
、VIEW,
VOLUME
セキュリティ保護可能なオブジェクトとその子オブジェクトに適用可能なすべての権限を、明示的に指定せずに許可または取り消すために使用されます。
オブジェクトで ALL PRIVILEGES
が許可されている場合、許可時に適用可能なそれぞれの権限をユーザーに個別に許可するわけではありません。 代わりに、アクセス許可のチェックが行われた時点で使用可能なすべての権限に拡張されます。
ALL PRIVILEGES
が取り消されると、ALL PRIVILEGES
権限は取り消され、オブジェクトでユーザーに許可された明示的な権限も取り消されます。
Note
階層内の上位レベルで適用された場合、この特権は強力です。 たとえば、GRANT ALL PRIVILEGES ON CATALOG main TO analysts
はカタログ内のすべてのオブジェクト (スキーマ、テーブル、ビュー、関数) に対するすべての権限がアナリスト チームに与えられます。
タグの適用
該当するオブジェクトの種類: CATALOG
、SCHEMA
、REGISTERED MODEL
、TABLE
、MATERIALIZED VIEW
、VIEW
ユーザーがオブジェクトのタグを追加および編集できるようにします。 テーブルまたはビューに APPLY TAG
を付与すると、列のタグ付けも有効になります。
ユーザーには、親カタログに対する USE CATALOG
特権と、親スキーマに対する USE SCHEMA
も必要です。
BROWSE
該当するオブジェクトの種類: CATALOG
、EXTERNAL LOCATION
重要
この機能はパブリック プレビュー段階にあります。
ユーザーは、Catalog Explorer、スキーマ ブラウザー、検索結果、系列グラフ、information_schema
、REST API を使用してオブジェクトのメタデータを表示できます。
ユーザーには、親カタログに対する USE CATALOG
特権と親スキーマに対する USE SCHEMA
は必要ありません。
CREATE CATALOG
適用可能なオブジェクトの種類: Unity Catalog メタストア
ユーザーが Unity Catalog メタストアにカタログを作成できるようにします。 外部カタログを作成するには、外部カタログを含む接続またはメタストアに対する CREATE FOREIGN CATALOG 権限も必要です。
CREATE CONNECTION
適用可能なオブジェクトの種類: Unity Catalog メタストア
ユーザーが Lakehouse フェデレーション シナリオで外部データベースへの接続を作成できるようにします。
CREATE EXTERNAL LOCATION
適用可能なオブジェクトの種類: Unity Catalog メタストア、STORAGE CREDENTIAL
外部の場所を作成するには、ユーザーはメタストアと外部の場所で参照されるストレージの資格情報の両方でこの権限を持っている必要があります。
CREATE EXTERNAL TABLE
該当するオブジェクトの種類: EXTERNAL LOCATION
、STORAGE CREDENTIAL
外部の場所またはストレージ資格情報を使用して、ユーザーはクラウド テナントで外部テーブルを直接作成できます。 Databricks では、ストレージ資格情報ではなく外部の場所に対してこの権限を付与することを推奨しています (パスにスコープが設定されているため、ユーザーがクラウド テナントで外部テーブルを作成できる場所をより詳細に制御することができます)。
CREATE EXTERNAL VOLUME
該当するオブジェクトの種類: EXTERNAL LOCATION
ユーザーが外部の場所を使用して外部ボリュームを作成することを許可します。
CREATE FOREIGN CATALOG
該当するオブジェクトの種類: CONNECTION
ユーザーが Lakehouse フェデレーション シナリオで外部データベースへの接続を使用して外部カタログを作成できるようにします。
CREATE FUNCTION
該当するオブジェクトの種類: SCHEMA
ユーザーがスキーマに関数を作成できるようにします。 特権は継承されるため、 CREATE FUNCTION
はカタログに対して付与することもでき、これにより、ユーザーはカタログ内の既存または将来のスキーマで関数を作成できます。
ユーザーには、親カタログに対する USE CATALOG
特権と、親スキーマに対する USE SCHEMA
も必要です。
CREATE MODEL
該当するオブジェクトの種類: SCHEMA
ユーザーが MLflow 登録済みモデルをスキーマに作成できるようにします。 特権は継承されるため、CREATE MODEL
はカタログに対して付与することもでき、これにより、ユーザーはカタログ内の既存または将来のスキーマに登録済みモデルを作成できます。
ユーザーには、親カタログに対する USE CATALOG
特権と、親スキーマに対する USE SCHEMA
も必要です。
CREATE MANAGED STORAGE
該当するオブジェクトの種類: EXTERNAL LOCATION
ユーザーがカタログまたはスキーマ レベルで、マネージド テーブルを格納する場所を指定できます。メタストアの既定のルート ストレージはオーバーライドされます。
CREATE SCHEMA
該当するオブジェクトの種類: CATALOG
ユーザーにスキーマ作成を許可します。 ユーザーには、カタログに対する USE CATALOG
特権も必要です。
ストレージ資格情報を作成する
適用可能なオブジェクトの種類: Unity Catalog メタストア
ユーザーが Unity Catalog メタストアにストレージ資格情報を作成できるようにします。
Microsoft Entra ID (旧称 Azure Active Directory) またはネイティブ Azure Databricks サービス プリンシパルのいずれであっても、サービス プリンシパルに付与できません。
CREATE TABLE
該当するオブジェクトの種類: SCHEMA
ユーザーがスキーマにテーブルまたはビューを作成できるようにします。 特権は継承されるため、CREATE TABLE
はカタログに対して付与することもでき、これにより、ユーザーはカタログ内の既存または将来のスキーマにテーブルまたはビューを作成できます。
ユーザーには、親カタログに対する USE CATALOG
特権と、親スキーマに対する USE SCHEMA
特権も必要です。
CREATE MATERIALIZED VIEW
重要
この機能はパブリック プレビュー段階にあります。 アクセスにサインアップするには、このフォームに入力します。
該当するオブジェクトの種類: SCHEMA
ユーザーがスキーマに具体化されたビューを作成できるようにします。 特権は継承されるため、CREATE MATERIALIZED VIEW
はカタログに対して付与することもでき、これにより、ユーザーはカタログ内の既存または将来のスキーマにテーブルまたはビューを作成できます。
ユーザーには、親カタログに対する USE CATALOG
特権と、親スキーマに対する USE SCHEMA
特権も必要です。
CREATE VOLUME
該当するオブジェクトの種類: SCHEMA
ユーザーがスキーマにボリュームを作成できるようにします。 権限は継承されるため、CREATE VOLUME
カタログに許可することもでき、これにより、ユーザーはカタログ内の既存または将来のスキーマでボリュームを作成できます。
ユーザーには、ボリュームの親カタログに対する USE CATALOG
権限と、親スキーマに対する USE SCHEMA
権限も必要です。
EXECUTE
該当するオブジェクトの種類: FUNCTION
、REGISTERED MODEL
ユーザーが親のカタログに対する USE CATALOG
と親スキームに対する USE SCHEMA
を持つ場合、そのユーザーはユーザー定義関数の呼び出し、または推論用のモデルの読み込みができます。 関数の場合、EXECUTE
は関数の定義とメタデータを表示する権限を付与します。 登録済みモデルの場合、EXECUTE
は登録済みモデルのすべてのバージョンのメタデータを表示し、モデル ファイルをダウンロードする権限を付与します。
権限は継承されるため、カタログまたはスキーマに対する EXECUTE
権限をユーザーに付与できます。この権限は、カタログまたはスキーマ内のすべての現在および将来の関数に対する EXECUTE
権限をユーザーに自動的に付与します。
許可リストの管理
適用可能なオブジェクトの種類: Unity Catalog メタストア
ユーザーが共有アクセス モードで Unity カタログ対応クラスターを管理する許可リストで init スクリプト、JAR、Maven 座標のパスを追加または変更できるようにします。 「共有コンピューティングでライブラリと init スクリプトを許可リストに載せる」を参照してください。
MODIFY
該当するオブジェクトの種類: TABLE
ユーザーがテーブルに SELECT
を持ち、親カタログに USE CATALOG
を持ち、親スキーマに USE SCHEMA
を持つ場合、ユーザーはテーブルに対してデータを追加、更新、および削除できます。
権限は継承されるため、カタログまたはスキーマに対する MODIFY
権限をユーザーに付与できます。この権限は、カタログまたはスキーマ内のすべての現在および将来のテーブルに対する MODIFY
権限をユーザーに自動的に付与します。
READ FILES
該当するオブジェクトの種類: VOLUME
、EXTERNAL LOCATION
ユーザーは、クラウド オブジェクト ストレージから直接ファイルを読み取ることができます。 Databricks では、ボリュームに対してこの権限を許可し、限られたユース ケースに対して外部の場所で許可することをお勧めします。 詳しいガイダンスについては、「外部の場所、外部テーブル、外部ボリュームを管理する」を参照してください。
READ VOLUME
該当するオブジェクトの種類: VOLUME
ユーザーが親のカタログに対する USE CATALOG
、および親スキーマに対する USE SCHEMA
も持っている場合、ユーザーがボリューム内に保存されているファイルとディレクトリを読み取ることを許可します。
権限は継承されます。 カタログまたはスキーマに対する READ VOLUME
権限をユーザーに許可する場合、カタログまたはスキーマ内のすべての現在および将来のボリュームに対する READ VOLUME
権限をユーザーに自動的に許可します。
選択
該当するオブジェクトの種類: TABLE
、VIEW
、MATERIALIZED VIEW
、SHARE
テーブルまたはビューに適用された場合、ユーザーが親カタログに USE CATALOG
を持ち親スキーマに USE SCHEMA
を持っている場合、ユーザーはテーブルまたはビューから選択できます。 共有に適用する場合、受信者は共有から選択できるようになります。
権限は継承されるため、カタログまたはスキーマに対する SELECT
権限をユーザーに付与できます。この権限は、カタログまたはスキーマ内のすべての現在および将来のテーブルとビューに対するユーザー SELECT
権限を自動的に付与します。
USE CATALOG
該当するオブジェクトの種類: CATALOG
この権限は、カタログ自体へのアクセス権を付与するものではありませんが、ユーザーがカタログのオブジェクトを操作するために必要なものです。 たとえば、テーブルからデータを選ぶには、そのテーブルに対する SELECT
特権、親カタログに対する USE CATALOG
特権、および親スキーマに対する USE SCHEMA
特権が必要です。
これは、カタログの所有者が、個々のスキームとテーブル所有者が生成したデータを共有できる範囲を制限できるようにするのに役立ちます。 たとえば、SELECT
を別のユーザーに付与するテーブル所有者は、親カタログに対する USE CATALOG
特権と親スキーマに対する USE SCHEMA
特権も付与されていない限り、そのユーザーにテーブルへの読み取りアクセスを許可しません。
親カタログに対する USE CATALOG
特権は、ユーザーがそのカタログに対する BROWSE
特権を持っている場合、オブジェクトのメタデータを読み取るために必要ありません。
USE CONNECTION
該当するオブジェクトの種類: CONNECTION
ユーザーが Lakehouse フェデレーション シナリオで外部データベースへの接続に関する詳細を一覧表示および表示することを許可します。 接続の外部カタログを作成するには、接続または接続の所有権に対する CREATE FOREIGN CATALOG
が必要です。
USE SCHEMA
該当するオブジェクトの種類: SCHEMA
この権限は、スキーム自体へのアクセス権を付与するものではありませんが、ユーザーがスキームのオブジェクトを操作するために必要なものです。 たとえば、テーブルからデータを選択するには、ユーザーはそのテーブルに対する SELECT
権限、その親スキーマに対する USE SCHEMA
権限、およびその親カタログに対する USE CATALOG
権限を持っている必要があります。
権限は継承されるため、カタログに対する USE SCHEMA
権限をユーザーに付与できます。この権限は、カタログ内のすべての現在および将来のスキームに対する USE SCHEMA
権限をユーザーに自動的に付与します。
ユーザーがそのスキーマまたはその親カタログに対する BROWSE
特権を持っている場合、オブジェクトのメタデータを読み取るために親スキーマに対する USE SCHEMA
特権は必要ありません。
WRITE FILES
該当するオブジェクトの種類: VOLUME
、EXTERNAL LOCATION
ユーザーは、クラウド オブジェクト ストレージに直接ファイルを書き込むことができます。 Databricks では、ボリュームに対してこの権限を許可することをお勧めします。 外部の場所に対してこの権限を控えめに付与します。 詳しいガイダンスについては、「外部の場所、外部テーブル、外部ボリュームを管理する」を参照してください。
WRITE VOLUME
該当するオブジェクトの種類: VOLUME
ユーザーが親のカタログに対する USE CATALOG
、および親スキーマに対する USE SCHEMA
も持っている場合、ユーザーがボリューム内に保存されているファイルとディレクトリを読み取る、削除または変更することを許可します。
権限は継承されます。 カタログまたはスキーマに対する WRITE VOLUME
権限をユーザーに許可する場合、カタログまたはスキーマ内のすべての現在および将来のボリュームに対する WRITE VOLUME
権限をユーザーに自動的に許可します。
REFRESH
該当するオブジェクトの種類: MATERIALIZED VIEW
ユーザーが親カタログに対する USE CATALOG
、および親スキーマに対する USE SCHEMA
を持っている場合、ユーザーが具体化されたビューを更新できるようにします。
権限は継承されます。 カタログまたはスキーマに対する REFRESH
権限をユーザーに付与すると、カタログまたはスキーマ内の現在および将来のすべての具体化されたビューに対する REFRESH
権限がユーザーに自動的に付与されます。
Delta Sharing または Databricks Marketplace にのみ適用される特権の種類
このセクションでは、Delta Sharing にのみ適用される特権の種類について詳しく説明します。
CREATE PROVIDER
適用可能なオブジェクトの種類: Unity Catalog メタストア
これを使用して、ユーザーはメタストア内に Delta Sharing プロバイダー オブジェクトを作成できます。 プロバイダーは、Delta Sharing 共有を使用して、共有データを持っている組織やユーザーのグループを識別します。 プロバイダーの作成は、受信者の Databricks アカウント内のユーザーによって実行されます。 「Delta Sharing を使用してデータと AI 資産を安全に共有する」を参照してください。
CREATE RECIPIENT
適用可能なオブジェクトの種類: Unity Catalog メタストア
これを使用して、ユーザーはメタストア内に Delta Sharing 受信者オブジェクトを作成できます。 受信者は Delta 共有を使用してデータを共有できるユーザーの組織またはグループを識別します。 受信者の作成は、プロバイダーの Databricks アカウント内のユーザーによって実行されます。 「Delta Sharing を使用してデータと AI 資産を安全に共有する」を参照してください。
CREATE SHARE
適用可能なオブジェクトの種類: Unity Catalog メタストア
ユーザーにメタストアでの共有の作成を許可します。 共有は Delta 共有を使用して共有する予定のテーブルの論理グループです。
SET SHARE PERMISSION
適用可能なオブジェクトの種類: Unity Catalog メタストア
Delta Sharing では、この権限を USE SHARE
と USE RECIPIENT
(または受信者の所有権) と組み合わせることで、プロバイダー ユーザーは受信者に共有へのアクセス権を付与できるようになります。 USE SHARE
と組み合わせることで、共有の所有権を別のユーザー、グループ、またはサービス プリンシパルに譲渡できます。
USE MARKETPLACE ASSETS
適用可能なオブジェクトの種類: Unity Catalog メタストア
すべての Unity Catalog メタストアに対して既定で有効になっています。 Databricks Marketplace では、この権限に権限によって Marketplace リストで共有されているデータ製品に関して、ユーザーはインスタント アクセスを取得したり、アクセスを要求したりできます。 また、プロバイダーがデータ製品を共有するときに作成される読み取り専用カタログにユーザーがアクセスすることもできます。 この特権がないと、ユーザーには CREATE CATALOG
および USE PROVIDER
特権またはメタストア管理者ロールが必要になります。 これにより、それらの強力なアクセス許可を持つユーザーの数を制限できます。
USE PROVIDER
適用可能なオブジェクトの種類: Unity Catalog メタストア
Delta Sharing では、受信者のユーザーに、受信者メタストア内のすべてのプロバイダーとその共有への読み取り専用アクセス権を付与します。 CREATE CATALOG
特権と組み合わせることで、メタストア管理者ではない受信者ユーザーは、共有をカタログとしてマウントできます。 これにより、強力なメタストア管理者ロールを持つユーザーの数を制限できます。
USE RECIPIENT
適用可能なオブジェクトの種類: Unity Catalog メタストア
Delta Sharing では、プロバイダー ユーザーに、プロバイダー メタストア内のすべての受信者とその共有への読み取り専用アクセス権を付与します。 これにより、メタストア管理者ではないプロバイダー ユーザーは、受信者の詳細、受信者の認証状態、プロバイダーが受信者と共有している共有の一覧を表示できます。
Databricks Marketplace では、プロバイダー ユーザーはプロバイダー コンソールで一覧とコンシューマー要求を表示できます。
USE SHARE
適用可能なオブジェクトの種類: Unity Catalog メタストア
Delta Sharing では、プロバイダーのユーザーに、プロバイダー メタストア内で定義されたすべての共有への読み取り専用アクセス権を付与します。 これにより、メタストア管理者ではないプロバイダー ユーザーは、共有を一覧表示し、共有内の資産 (テーブルとノートブック) を共有の受信者と共に一覧表示できます。
Databricks Marketplace では、これにより、プロバイダー ユーザーはリストで共有されているデータに関する詳細を表示できます。