次の方法で共有


Unity Catalog のワークスペースを有効にする

この記事では、Unity Catalog メタストアを割り当てることで Unity Catalog のワークスペースを有効にする方法について説明します。

重要

Databricks は、2023 年 11 月 9 日、順次ロールアウトする Unity Catalog の新しいワークスペースの自動有効化を開始しました。 Unity Catalog に対してワークスペースが自動的に有効になっている場合、この記事は当てはまりません。

ワークスペースで Unity Catalog が既に有効かどうかを確認するには、「手順 1: ワークスペースで Unity Catalog が有効になっていることを確認する」を参照してください。

Unity Catalog のワークスペースを有効にする方法について

ワークスペースに対して Unity Catalog を有効にすると、次のことが起こります。

  • そのワークスペースのユーザーは、アカウント内の他のワークスペースのユーザーがアクセスできるデータと同じデータにアクセスできる可能性があり、データ スチュワードはそのデータ アクセスをワークスペース間で一元的に管理できます
  • データ アクセスは自動的に監査されます
  • そのワークスペースで ID フェデレーションが有効になり、管理者はアカウント コンソールやその他のアカウントレベルのインターフェイスを使用して一元的に ID を管理できます。 これには、ワークスペースへのユーザーの割り当てが含まれます。

Unity Catalog に対して Azure Databricks ワークスペースを有効にするには、ワークスペースを Unity Catalog メタストアに割り当てます。 メタストアは、Unity Catalog 内のオブジェクトの最上位レベルのコンテナーです。 各メタストアでは、データを整理できる 3 レベルの名前空間 (catalog.schema.table) 公開されます。

1 つのメタストアを、アカウント内の複数の Azure Databricks ワークスペース間で共有できます。 リンクされた各ワークスペースには、メタストア内のデータの同じビューがあり、ワークスペース間でデータ アクセスの制御を管理できます。 リージョンごとに 1 つのメタストアを作成し、そのリージョン内の任意の数のワークスペースにアタッチできます。

Unity Catalog 用にワークスペースを有効にする前の考慮事項

Unity Catalog に対してワークスペースを有効にする前に、次の手順を実行する必要があります。

  • Unity Catalog に対して有効になっているワークスペースのワークスペース管理者の権限を確認し、既存のワークスペース管理者の割り当てを再検討します。

    ワークスペース管理者は、慎重に配布する必要がある特権ロールです。

    ワークスペース管理者は、ユーザーとサービス プリンシパルの追加、クラスターの作成、他のユーザーのワークスペース管理者への委任など、ワークスペースの操作を管理できます。 ワークスペースが Unity Catalog に対して自動的に有効にされた場合、ワークスペース管理者には、ほとんどの種類の Unity Catalog オブジェクトを作成し、自分が作成したものへのアクセスを許可する機能など、既定で多くの特権が追加されます。 Unity Catalog の管理者特権に関する記事を参照してください。

    ワークスペースが Unity Catalog に対して自動的に有効にされなかった場合、ワークスペース管理者は、Unity Catalog オブジェクトについて他のユーザーより多くのアクセス権を既定で付与されることはありませんが、ジョブの所有権の管理やノートブックの表示などのワークスペース管理タスクを実行でき、それによって、Unity Catalog に登録されているデータに間接的にアクセスできる可能性があります。

    アカウント管理者は、RestrictWorkspaceAdmins 設定を使用してワークスペース管理者特権を制限できます。 「ワークスペース管理者を制限する」をご覧ください。

    ワークスペースを使用してユーザー データ アクセスを分離する場合は、ワークスペース カタログ バインドを使用できます。 ワークスペース カタログ バインドを使用すると、ワークスペース境界でカタログ アクセスを制限できます。 たとえば、ワークスペース管理者とユーザーが、運用ワークスペース環境 (prod_workspace) から prod_catalog の運用データにのみアクセスできるようになります。 既定では、カタログは現在のメタストアにアタッチされているすべてのワークスペースと共有します。 同様に、外部の場所へのアクセスをバインドして、指定されたワークスペースからのみアクセスできるようにすることができます。 「特定のワークスペースにカタログ アクセスを制限する」と「(省略可能) 外部の場所を特定のワークスペースに割り当てる」を参照してください。

  • SCIM プロビジョニング コネクタや Terraform の自動化など、ユーザー、グループ、サービス プリンシパルを管理するように構成されている自動化を更新して、ワークスペース エンドポイントではなくアカウント エンドポイントが参照されるようにします。 「アカウント レベルとワークスペース レベルの SCIM プロビジョニング」を参照してください。

  • Unity Catalog のワークスペースは、有効にすると、取り消すことはできません。 ワークスペースを有効にしたら、アカウント レベルのインターフェイスを使用して、このワークスペースのユーザー、グループ、およびサービス プリンシパルを管理します。

必要条件

Unity Catalog のワークスペースを有効にするには、Azure Databricks アカウント用に構成された Unity Catalog メタストアが必要です。 「Unity Catalog メタストアを作成する」を参照してください。

Unity Catalog に対してワークスペースを有効にする

メタストアを作成する際、そのメタストアにワークスペースを割り当て、Unity Catalog に対してそれらのワークスペースを有効にするように求められます。 アカウント コンソールに戻り、Unity カタログのワークスペースをいつでも有効にすることもできます。

アカウント コンソールを使用して Unity Catalog の既存のワークスペースを有効にするには:

  1. アカウント管理者として、アカウント コンソールにログインします。
  2. カタログ アイコン [カタログ] をクリックします。
  3. メタストアの名前をクリックします。
  4. [ワークスペース] タブをクリックします。
  5. [ワークスペースに割り当てる] をクリックします。
  6. 1 つ以上のワークスペースを選択します。 ワークスペース名の一部を入力して、一覧をフィルター処理できます。
  7. ダイアログの下部までスクロールし、[割り当て] をクリックします。
  8. 確認のダイアログ ボックスで [有効化] をクリックします。

割り当てが完了すると、ワークスペースがメタストアの [ワークスペース] タブに表示され、メタストアがワークスペースの [構成] タブに表示されます。

次のステップ

メタストア内のデータに対するワークスペースのアクセス権を削除するには、ワークスペースからメタストアのリンクを解除します。

警告

ワークスペースと Unity Catalog メタストア間のリンクを解除する場合:

  • ワークスペース内のユーザーは、メタストア内のデータにアクセスできなくなります。
  • メタストアで管理されているデータを参照するすべてのノートブック、クエリ、またはジョブを中断することになります。
  1. アカウント管理者として、アカウント コンソールにログインします。
  2. カタログ アイコン [カタログ] をクリックします。
  3. メタストアの名前をクリックします。
  4. [ワークスペース] タブで、メタストアから削除するワークスペースを見つけます。
  5. ワークスペース行の右端にある 3 つのボタンメニューをクリックし、[このメタストアから削除] を選択します。
  6. 確認のダイアログ ボックスで [割り当て解除] をクリックします。

削除が完了すると、メタストアの [ワークスペース] タブにワークスペースが表示されなくなります。