次の方法で共有


Unity Catalog の権限とセキュリティ保護可能なオブジェクト

この記事では、Unity Catalog のセキュリティ保護可能なオブジェクトとそのオブジェクトに適用される特権について説明します。 Unity Catalog で特権を付与する方法については、「特権を表示、付与、取り消す」を参照してください。

Note

この記事では、特権モデル バージョン 1.0 の Unity Catalog の特権と継承モデルについて説明します。 パブリック プレビュー中 (2022 年 8 月 25 日より前) に Unity Catalog メタストアを作成した場合は、現在の継承モデルをサポートしていない以前の特権モデルを使用している可能性があります。 特権モデル バージョン 1.0 にアップグレードして、特権の継承を取得できます。 「特権継承へのアップグレード」を参照してください。

Unity Catalog のセキュリティ保護可能なオブジェクト

セキュリティ保護可能なオブジェクトは、プリンシパル (ユーザー、サービス プリンシパル、またはグループ) に特権を付与できる Unity Catalog メタストアで定義されているオブジェクトです。 Unity Catalog のセキュリティ保護可能なオブジェクトは階層構造です。

Unity Catalog のオブジェクト階層

セキュリティ保護可能なオブジェクトは次のとおりです。

  • METASTORE: メタデータの最上位のコンテナー。 各 Unity Catalog のメタストアでは、3 レベルの名前空間 (catalog.schema.table) が公開され、ここでデータが整理されます。

    メタストアの権限を管理する場合、SQL コマンドにメタストア名を含めないでください。 Unity Catalog は、ワークスペースにアタッチされているメタストアに対する権限を付与または取り消します。 たとえば、次のコマンドを実行すると、 エンジニアリング という名前のグループに、ワークスペースにアタッチされたメタストアにカタログを作成する機能が付与されます。

    GRANT CREATE CATALOG ON METASTORE TO engineering
    
  • CATALOG: データ資産の整理に使用されるオブジェクト階層の最初のレイヤー。 外部カタログは、Lakehouse フェデレーション シナリオの外部データ システム内のデータベースをミラー化する特殊なカタログの種類です。

  • SCHEMA: データベースとも呼ばれる、オブジェクト階層の 2 番目のレイヤーで、テーブルとビューが含まれます。

  • TABLE: オブジェクト階層内で最下位です。外部 テーブル (選択したクラウド ストレージ内の外部の場所に保存される) またはマネージド テーブル (Azure Databricks 用に明示的に作成した、クラウド ストレージ内のストレージ コンテナーに保存される) のいずかです。

  • VIEW: スキーマ内に含まれる 1 つ以上のテーブルへのクエリから作成された読み取り専用オブジェクト。

  • MATERIALIZED VIEW: スキーマに含まれる 1 つ以上のテーブルに対するクエリから作成されたオブジェクト。 その結果には、最後に更新されたときのデータの状態が反映されます。

  • VOLUME: ボリュームは、オブジェクト階層の最下位のレイヤーで、外部 (選択したクラウド ストレージ内の外部の場所に保存される) またはマネージド (Azure Databricks 用に明示的に作成した、クラウド ストレージ内のストレージ コンテナーに保存される) のいずれかです。

  • FUNCTION: スキーマ内に含まれる ユーザー定義関数 または MLflow 登録モデル

  • モデル: MLflow 登録済みモデル は特定の種類の関数です。 モデルはカタログ エクスプローラーの他の関数とは別に一覧表示されますが、SQL を使用してモデルに対する権限を付与する場合は、GRANT ON FUNCTIONを使用します。

  • EXTERNAL LOCATION: Unity Catalog メタストア内に含まれるストレージ資格情報とクラウド ストレージ パスへの参照を含むオブジェクト。

  • サービス資格情報: 外部サービスへのアクセスを提供する長期的なクラウド資格情報をカプセル化するオブジェクト。 Unity カタログ メタストアに含まれています。

  • STORAGE CREDENTIAL: Unity Catalog メタストアに含まれるクラウド ストレージへのアクセスを提供する長期的なクラウド資格情報をカプセル化するオブジェクト。

  • CONNECTION: Lakehouse フェデレーション シナリオで外部データベース システムにアクセスするためのパスと資格情報を指定するオブジェクトです。

  • SHARE: Delta 共有を使用して共有する予定のテーブルの論理グループ。 共有は Unity Catalog メタストア内に含まれています。

  • RECIPIENT: Delta 共有を使用してデータを共有できるユーザーの組織またはグループを識別するオブジェクト。 これらのオブジェクトは、Unity Catalog メタストア内に含まれています。

  • PROVIDER: Delta 共有を使用してデータを共有できるようにする組織を表すオブジェクト。 これらのオブジェクトは、Unity Catalog メタストア内に含まれています。

  • クリーン ルーム: Databricks によって管理されている、セキュリティで保護され、プライバシーが保護された環境を表すオブジェクト。ここでは、複数の関係者が互いのデータに直接アクセスすることなく共同作業することができます。

Unity Catalog のセキュリティ保護可能オブジェクト別の特権の種類

次の表に、Unity Catalog のセキュリティ保護可能な各オブジェクトに適用される特権の種類の一覧を示します。 Unity Catalog で特権を付与する方法については、「特権を表示、付与、取り消す」を参照してください。

セキュリティ保護可能 特権
メタストア CREATE CATALOGCREATE CLEAN ROOMCREATE CONNECTIONCREATE EXTERNAL LOCATIONCREATE PROVIDERCREATE RECIPIENTCREATE SHARECREATE SERVICE CREDENTIALCREATE STORAGE CREDENTIALSET SHARE PERMISSIONUSE MARKETPLACE ASSETSUSE PROVIDERUSE RECIPIENTUSE SHARE
カタログ ALL PRIVILEGESAPPLY TAGBROWSECREATE SCHEMAUSE CATALOG

既定では、すべてのユーザーの main カタログに USE CATALOG があります。

カタログ内のセキュリティ保護可能なオブジェクトには、次の特権の種類が適用されます。 カタログ レベルでこれらの特権を付与して、カタログ内の現在と将来のオブジェクトに適用できます。

CREATE FUNCTIONCREATE TABLECREATE MATERIALIZED VIEWCREATE MODELCREATE VOLUMEEXTERNAL USE SCHEMAREAD VOLUMEREFRESHWRITE VOLUMEEXECUTEMODIFYSELECTUSE SCHEMA
[スキーマ] ALL PRIVILEGESAPPLY TAGCREATE FUNCTIONCREATE TABLECREATE MODELCREATE VOLUMECREATE MATERIALIZED VIEWEXTERNAL USE SCHEMAUSE SCHEMA

スキーマ内のセキュリティ保護可能なオブジェクトには、次の特権の種類が適用されます。 スキーマ レベルでこれらの特権を付与して、カタログ内の現在と将来のオブジェクトに適用できます。

EXECUTEMODIFYREAD VOLUMEREFRESHSELECTWRITE VOLUME
テーブル ALL PRIVILEGESAPPLY TAGMODIFYSELECT
具体化されたビュー ALL PRIVILEGESAPPLY TAGREFRESHSELECT
表示 ALL PRIVILEGESAPPLY TAGSELECT
体積 ALL PRIVILEGESREAD VOLUMEWRITE VOLUME
外部の場所 ALL PRIVILEGESBROWSECREATE EXTERNAL TABLECREATE EXTERNAL VOLUMEREAD FILESWRITE FILESCREATE MANAGED STORAGE
サービス資格情報 ALL PRIVILEGESACCESSCREATE CONNECTION
ストレージの資格情報 ALL PRIVILEGESCREATE EXTERNAL LOCATIONCREATE EXTERNAL TABLEREAD FILESWRITE FILES
つながり ALL PRIVILEGESCREATE FOREIGN CATALOGUSE CONNECTION
機能 ALL PRIVILEGESAPPLY TAG (モデルのみ)、EXECUTE
モデル 登録済みモデルは機能の一種です。
共有 SELECT (RECIPIENT に付与可能)
Recipient なし
プロバイダー なし
クリーン ルーム ALL PRIVILEGESBROWSEEXECUTE CLEAN ROOM TASKMODIFY CLEAN ROOM

一般的な Unity Catalog の権限の種類

このセクションでは、一般的に Unity Catalog に適用される特権の種類について詳しく説明します。 Unity Catalog で特権を付与する方法については、「特権を表示、付与、取り消す」を参照してください。

ALL PRIVILEGES

適用可能なオブジェクトのタイプ: CATALOGEXTERNAL LOCATIONSTORAGE CREDENTIALSCHEMAFUNCTION (モデルを含む)TABLEMATERIALIZED VIEWVIEW,VOLUME

セキュリティ保護可能なオブジェクトとその子オブジェクトに適用可能なすべての権限を、明示的に指定せずに許可または取り消すために使用されます。

オブジェクトで ALL PRIVILEGES が許可されている場合、許可時に適用可能なそれぞれの権限をユーザーに個別に許可するわけではありません。 代わりに、アクセス許可のチェックが行われた時点で使用可能なすべての権限に拡張されます。 これは、Databricks が新しい特権と新しいセキュリティ保護可能なオブジェクトをリリースすると、既存の ALL PRIVILEGES 許可には、そのセキュリティ保護可能なオブジェクト、その既存の子オブジェクト、および新しい子オブジェクトに適用されるすべての新しい特権が自動的に含まれるようになることを意味します。

ALL PRIVILEGES が取り消されると、ALL PRIVILEGES 権限は取り消され、オブジェクトでユーザーに許可された明示的な権限も取り消されます。

偶発的なデータ流出を回避するために、 ALL PRIVILEGES には EXTERNAL USE SCHEMA 特権は含まれていません。

Note

階層内の上位レベルで適用された場合、この特権は強力です。 たとえば、GRANT ALL PRIVILEGES ON CATALOG main TO analysts は、カタログ内のすべての既存および将来のセキュリティ保護可能なオブジェクトに対するすべての既存および将来の特権をアナリスト チームに付与します。

ACCESS

該当するオブジェクトの種類: SERVICE CREDENTIAL

ユーザーがサービス資格情報を使用して外部サービスにアクセスできるようにします。

タグの適用

適用可能なオブジェクトのタイプ: FUNCTIONとして登録されているモデル CATALOGSCHEMATABLEVOLUMEMATERIALIZED VIEWVIEW

ユーザーがオブジェクトのタグを追加および編集できるようにします。 テーブルまたはビューに APPLY TAG を付与すると、列のタグ付けも有効になります。 登録済みモデルに APPLY TAG を付与することで、モデル バージョンのタグ付けも有効になります。

ユーザーには、親カタログに対する USE CATALOG 特権と、親スキーマに対する USE SCHEMA も必要です。

BROWSE

該当するオブジェクトの種類: CATALOGEXTERNAL LOCATIONCLEAN ROOM

重要

この機能はパブリック プレビュー段階にあります。

ユーザーは、Catalog Explorer、スキーマ ブラウザー、検索結果、系列グラフ、information_schema、REST API を使用してオブジェクトのメタデータを表示できます。

ユーザーには、親カタログに対する USE CATALOG 特権と親スキーマに対する USE SCHEMA は必要ありません。

カタログ エクスプローラーを使用して作成された新しいカタログでは、既定ですべてのユーザーに BROWSE 特権が付与されます。 必要に応じて、特権を取り消すこともできます。 SQL ステートメント、REST API、または Databricks CLI を使用して作成されたカタログは、既定で BROWSE 特権は付与されません。 意図的に付与する必要があります。

CREATE CATALOG

適用可能なオブジェクトの種類: Unity Catalog メタストア

ユーザーが Unity Catalog メタストアにカタログを作成できるようにします。 外部カタログを作成するには、外部カタログを含む接続またはメタストアに対する CREATE FOREIGN CATALOG 権限も必要です。

クリーン ルームを作成する

適用可能なオブジェクトの種類: Unity Catalog メタストア

ユーザーは、基となるデータを共有せずに、他の組織とプロジェクトでセキュリティで保護された方法で共同作業するためのクリーン ルームを作成できます。

CREATE CONNECTION

適用可能なオブジェクトの種類: Unity Catalog メタストア、SERVICE CREDENTIAL

ユーザーが Lakehouse フェデレーション シナリオで外部データベースへの接続を作成できるようにします。 サービス資格情報を使用して接続を作成するには、metastore とサービス資格情報の両方に対してこの特権がユーザーに付与されている必要があります。

CREATE EXTERNAL LOCATION

適用可能なオブジェクトの種類: Unity Catalog メタストア、STORAGE CREDENTIAL

外部の場所を作成するには、ユーザーはメタストアと外部の場所で参照されるストレージの資格情報の両方でこの権限を持っている必要があります。

CREATE EXTERNAL TABLE

該当するオブジェクトの種類: EXTERNAL LOCATIONSTORAGE CREDENTIAL

外部の場所またはストレージ資格情報を使用して、ユーザーはクラウド テナントで外部テーブルを直接作成できます。 Databricks では、ストレージ資格情報ではなく外部の場所に対してこの権限を付与することを推奨しています (パスにスコープが設定されているため、ユーザーがクラウド テナントで外部テーブルを作成できる場所をより詳細に制御することができます)。

CREATE EXTERNAL VOLUME

該当するオブジェクトの種類: EXTERNAL LOCATION

ユーザーが外部の場所を使用して外部ボリュームを作成することを許可します。

CREATE FOREIGN CATALOG

該当するオブジェクトの種類: CONNECTION

ユーザーが Lakehouse フェデレーション シナリオで外部データベースへの接続を使用して外部カタログを作成できるようにします。

CREATE FUNCTION

該当するオブジェクトの種類: SCHEMA

ユーザーがスキーマに関数を作成できるようにします。 特権は継承されるため、 CREATE FUNCTION はカタログに対して付与することもでき、これにより、ユーザーはカタログ内の既存または将来のスキーマで関数を作成できます。

ユーザーには、親カタログに対する USE CATALOG 特権と、親スキーマに対する USE SCHEMA も必要です。

CREATE MODEL

該当するオブジェクトの種類: SCHEMA

ユーザーが MLflow 登録済みモデル (スキーマ内のFUNCTIONの一種) をスキーマに作成できるようにします。 特権は継承されるため、CREATE MODEL はカタログに対して付与することもでき、これにより、ユーザーはカタログ内の既存または将来のスキーマに登録済みモデルを作成できます。

ユーザーには、親カタログに対する USE CATALOG 特権と、親スキーマに対する USE SCHEMA も必要です。

CREATE MANAGED STORAGE

該当するオブジェクトの種類: EXTERNAL LOCATION

ユーザーがカタログまたはスキーマ レベルで、マネージド テーブルを格納する場所を指定できます。メタストアの既定のルート ストレージはオーバーライドされます。

CREATE SCHEMA

該当するオブジェクトの種類: CATALOG

ユーザーにスキーマ作成を許可します。 ユーザーには、カタログに対する USE CATALOG 特権も必要です。

サービス資格情報の作成

適用可能なオブジェクトの種類: Unity Catalog メタストア

ユーザーが Unity カタログ メタストアでサービス資格情報を作成できるようにします。

ストレージ資格情報を作成する

適用可能なオブジェクトの種類: Unity Catalog メタストア

ユーザーが Unity Catalog メタストアにストレージ資格情報を作成できるようにします。

Microsoft Entra ID またはネイティブ Azure Databricks サービス プリンシパルのいずれであっても、サービス プリンシパルに付与できません。

CREATE TABLE

該当するオブジェクトの種類: SCHEMA

ユーザーがスキーマにテーブルまたはビューを作成できるようにします。 特権は継承されるため、CREATE TABLE はカタログに対して付与することもでき、これにより、ユーザーはカタログ内の既存または将来のスキーマにテーブルまたはビューを作成できます。

ユーザーには、親カタログに対する USE CATALOG 特権と、親スキーマに対する USE SCHEMA 特権も必要です。

CREATE MATERIALIZED VIEW

該当するオブジェクトの種類: SCHEMA

ユーザーがスキーマに具体化されたビューを作成できるようにします。 特権は継承されるため、CREATE MATERIALIZED VIEW はカタログに対して付与することもでき、これにより、ユーザーはカタログ内の既存または将来のスキーマにテーブルまたはビューを作成できます。

ユーザーには、親カタログに対する USE CATALOG 特権と、親スキーマに対する USE SCHEMA 特権も必要です。

CREATE VOLUME

該当するオブジェクトの種類: SCHEMA

ユーザーがスキーマにボリュームを作成できるようにします。 権限は継承されるため、CREATE VOLUME カタログに許可することもでき、これにより、ユーザーはカタログ内の既存または将来のスキーマでボリュームを作成できます。

ユーザーには、ボリュームの親カタログに対する USE CATALOG 権限と、親スキーマに対する USE SCHEMA 権限も必要です。

EXECUTE

適用可能なオブジェクトのタイプ:FUNCTION、モデル

ユーザーが親のカタログに対する USE CATALOG と親スキームに対する USE SCHEMA を持つ場合、そのユーザーはユーザー定義関数の呼び出し、または推論用のモデルの読み込みができます。 関数の場合、EXECUTE は関数の定義とメタデータを表示する権限を付与します。 登録済みモデルの場合、EXECUTE は登録済みモデルのすべてのバージョンのメタデータを表示し、モデル ファイルをダウンロードする権限を付与します。

権限は継承されるため、カタログまたはスキーマに対する EXECUTE 権限をユーザーに付与できます。この権限は、カタログまたはスキーマ内のすべての現在および将来の関数に対する EXECUTE 権限をユーザーに自動的に付与します。

クリーン ルーム タスクを実行する

該当するオブジェクトの種類: CLEAN ROOM

ユーザーがクリーン ルームでタスク (ノートブック) を実行できるようにします。 また、ユーザーはクリーン ルームの詳細を表示することもできます。

EXTERNAL USE SCHEMA

該当するオブジェクトの種類: SCHEMA

Unity Catalog オープン API または Iceberg REST API を使用して、外部処理エンジンから Unity Catalog テーブルにアクセスするための一時的な資格情報をユーザーに付与できるようにします。

この権限を付与できるのは、カタログ所有者のみです。

偶発的なデータ流出を回避するために、 ALL PRIVILEGES には EXTERNAL USE SCHEMA 特権が含まれません。スキーマ所有者は、既定でこの権限を持ちません。

Unity Catalog 内のデータへの外部アクセス制御に関する記事を参照してください。

許可リストの管理

適用可能なオブジェクトの種類: Unity Catalog メタストア

ユーザーが共有アクセス モードで Unity Catalog 対応クラスターを管理する許可リストで init スクリプト、JAR、Maven 座標のパスを追加または変更できるようにします。 「共有コンピューティングでライブラリと init スクリプトを許可リストに載せる」を参照してください。

MODIFY

該当するオブジェクトの種類: TABLE

ユーザーがテーブルに SELECT を持ち、親カタログに USE CATALOG を持ち、親スキーマに USE SCHEMA を持つ場合、ユーザーはテーブルに対してデータを追加、更新、および削除できます。

権限は継承されるため、カタログまたはスキーマに対する MODIFY 権限をユーザーに付与できます。この権限は、カタログまたはスキーマ内のすべての現在および将来のテーブルに対する MODIFY 権限をユーザーに自動的に付与します。

クリーン ルームを変更する

該当するオブジェクトの種類: CLEAN ROOM

データ資産の追加と削除、ノートブックの追加と削除、コメントの更新など、ユーザーがクリーン ルームを更新できるようにします。 また、ユーザーはクリーン ルームの詳細を表示することもできます。

READ FILES

該当するオブジェクトの種類: VOLUMEEXTERNAL LOCATION

ユーザーは、クラウド オブジェクト ストレージから直接ファイルを読み取ることができます。 Databricks では、ボリュームに対してこの権限を許可し、限られたユース ケースに対して外部の場所で許可することをお勧めします。 詳しいガイダンスについては、「外部の場所、外部テーブル、外部ボリュームを管理する」を参照してください。

READ VOLUME

該当するオブジェクトの種類: VOLUME

ユーザーが親のカタログに対する USE CATALOG、および親スキーマに対する USE SCHEMA も持っている場合、ユーザーがボリューム内に保存されているファイルとディレクトリを読み取ることを許可します。

権限は継承されます。 カタログまたはスキーマに対する READ VOLUME 権限をユーザーに許可する場合、カタログまたはスキーマ内のすべての現在および将来のボリュームに対する READ VOLUME 権限をユーザーに自動的に許可します。

REFRESH

該当するオブジェクトの種類: MATERIALIZED VIEW

ユーザーが親カタログに対する USE CATALOG、および親スキーマに対する USE SCHEMA を持っている場合、ユーザーが具体化されたビューを更新できるようにします。

権限は継承されます。 カタログまたはスキーマに対する REFRESH 権限をユーザーに付与すると、カタログまたはスキーマ内の現在および将来のすべての具体化されたビューに対する REFRESH 権限がユーザーに自動的に付与されます。

選択

該当するオブジェクトの種類: TABLEVIEWMATERIALIZED VIEWSHARE

テーブルまたはビューに適用された場合、ユーザーが親カタログに USE CATALOG を持ち親スキーマに USE SCHEMA を持っている場合、ユーザーはテーブルまたはビューから選択できます。 共有に適用する場合、受信者は共有から選択できるようになります。

権限は継承されるため、カタログまたはスキーマに対する SELECT 権限をユーザーに付与できます。この権限は、カタログまたはスキーマ内のすべての現在および将来のテーブルとビューに対するユーザー SELECT 権限を自動的に付与します。

USE CATALOG

該当するオブジェクトの種類: CATALOG

この権限は、カタログ自体へのアクセス権を付与するものではありませんが、ユーザーがカタログのオブジェクトを操作するために必要なものです。 たとえば、テーブルからデータを選ぶには、そのテーブルに対する SELECT 特権、親カタログに対する USE CATALOG 特権、および親スキーマに対する USE SCHEMA 特権が必要です。

これは、カタログの所有者が、個々のスキームとテーブル所有者が生成したデータを共有できる範囲を制限できるようにするのに役立ちます。 たとえば、SELECT を別のユーザーに付与するテーブル所有者は、親カタログに対する USE CATALOG 特権と親スキーマに対する USE SCHEMA 特権も付与されていない限り、そのユーザーにテーブルへの読み取りアクセスを許可しません。

親カタログに対する USE CATALOG 特権は、ユーザーがそのカタログに対する BROWSE 特権を持っている場合、オブジェクトのメタデータを読み取るために必要ありません。

USE CONNECTION

該当するオブジェクトの種類: CONNECTION

ユーザーが Lakehouse フェデレーション シナリオで外部データベースへの接続に関する詳細を一覧表示および表示することを許可します。 接続の外部カタログを作成するには、接続または接続の所有権に対する CREATE FOREIGN CATALOG が必要です。

USE SCHEMA

該当するオブジェクトの種類: SCHEMA

この権限は、スキーム自体へのアクセス権を付与するものではありませんが、ユーザーがスキームのオブジェクトを操作するために必要なものです。 たとえば、テーブルからデータを選択するには、ユーザーはそのテーブルに対する SELECT 権限、その親スキーマに対する USE SCHEMA 権限、およびその親カタログに対する USE CATALOG 権限を持っている必要があります。

権限は継承されるため、カタログに対する USE SCHEMA 権限をユーザーに付与できます。この権限は、カタログ内のすべての現在および将来のスキームに対する USE SCHEMA 権限をユーザーに自動的に付与します。

ユーザーがそのスキーマまたはその親カタログに対する BROWSE 特権を持っている場合、オブジェクトのメタデータを読み取るために親スキーマに対する USE SCHEMA 特権は必要ありません。

WRITE FILES

該当するオブジェクトの種類: VOLUMEEXTERNAL LOCATION

ユーザーは、クラウド オブジェクト ストレージに直接ファイルを書き込むことができます。 Databricks では、ボリュームに対してこの権限を許可することをお勧めします。 外部の場所に対してこの権限を控えめに付与します。 詳しいガイダンスについては、「外部の場所、外部テーブル、外部ボリュームを管理する」を参照してください。

WRITE VOLUME

該当するオブジェクトの種類: VOLUME

ユーザーが親のカタログに対する USE CATALOG、および親スキーマに対する USE SCHEMA も持っている場合、ユーザーがボリューム内に保存されているファイルとディレクトリを読み取る、削除または変更することを許可します。

権限は継承されます。 カタログまたはスキーマに対する WRITE VOLUME 権限をユーザーに許可する場合、カタログまたはスキーマ内のすべての現在および将来のボリュームに対する WRITE VOLUME 権限をユーザーに自動的に許可します。

Delta Sharing または Databricks Marketplace にのみ適用される特権の種類

このセクションでは、Delta Sharing にのみ適用される特権の種類について詳しく説明します。

CREATE PROVIDER

適用可能なオブジェクトの種類: Unity Catalog メタストア

これを使用して、ユーザーはメタストア内に Delta Sharing プロバイダー オブジェクトを作成できます。 プロバイダーは、Delta Sharing 共有を使用して、共有データを持っている組織やユーザーのグループを識別します。 プロバイダーの作成は、受信者の Databricks アカウント内のユーザーによって実行されます。 「Delta Sharing とは」を参照してください。

CREATE RECIPIENT

適用可能なオブジェクトの種類: Unity Catalog メタストア

これを使用して、ユーザーはメタストア内に Delta Sharing 受信者オブジェクトを作成できます。 受信者は Delta 共有を使用してデータを共有できるユーザーの組織またはグループを識別します。 受信者の作成は、プロバイダーの Databricks アカウント内のユーザーによって実行されます。 「Delta Sharing とは」を参照してください。

CREATE SHARE

適用可能なオブジェクトの種類: Unity Catalog メタストア

ユーザーにメタストアでの共有の作成を許可します。 共有は Delta 共有を使用して共有する予定のテーブルの論理グループです。

SET SHARE PERMISSION

適用可能なオブジェクトの種類: Unity Catalog メタストア

Delta Sharing では、この権限を USE SHAREUSE RECIPIENT (または受信者の所有権) と組み合わせることで、プロバイダー ユーザーは受信者に共有へのアクセス権を付与できるようになります。 USE SHARE と組み合わせることで、共有の所有権を別のユーザー、グループ、またはサービス プリンシパルに譲渡できます。

USE MARKETPLACE ASSETS

適用可能なオブジェクトの種類: Unity Catalog メタストア

すべての Unity Catalog メタストアに対して既定で有効になっています。 Databricks Marketplace では、この権限に権限によって Marketplace リストで共有されているデータ製品に関して、ユーザーはインスタント アクセスを取得したり、アクセスを要求したりできます。 また、プロバイダーがデータ製品を共有するときに作成される読み取り専用カタログにユーザーがアクセスすることもできます。 この特権がないと、ユーザーには CREATE CATALOG および USE PROVIDER 特権またはメタストア管理者ロールが必要になります。 これにより、それらの強力なアクセス許可を持つユーザーの数を制限できます。

USE PROVIDER

適用可能なオブジェクトの種類: Unity Catalog メタストア

Delta Sharing では、受信者のユーザーに、受信者メタストア内のすべてのプロバイダーとその共有への読み取り専用アクセス権を付与します。 CREATE CATALOG 特権と組み合わせることで、メタストア管理者ではない受信者ユーザーは、共有をカタログとしてマウントできます。 これにより、強力なメタストア管理者ロールを持つユーザーの数を制限できます。

USE RECIPIENT

適用可能なオブジェクトの種類: Unity Catalog メタストア

Delta Sharing では、プロバイダー ユーザーに、プロバイダー メタストア内のすべての受信者とその共有への読み取り専用アクセス権を付与します。 これにより、メタストア管理者ではないプロバイダー ユーザーは、受信者の詳細、受信者の認証状態、プロバイダーが受信者と共有している共有の一覧を表示できます。

Databricks Marketplace では、プロバイダー ユーザーはプロバイダー コンソールで一覧とコンシューマー要求を表示できます。

USE SHARE

適用可能なオブジェクトの種類: Unity Catalog メタストア

Delta Sharing では、プロバイダーのユーザーに、プロバイダー メタストア内で定義されたすべての共有への読み取り専用アクセス権を付与します。 これにより、メタストア管理者ではないプロバイダー ユーザーは、共有を一覧表示し、共有内の資産 (テーブルとノートブック) を共有の受信者と共に一覧表示できます。

Databricks Marketplace では、これにより、プロバイダー ユーザーはリストで共有されているデータに関する詳細を表示できます。