Unity Catalog の権限とセキュリティ保護可能なオブジェクト
この記事では、Unity Catalog のセキュリティ保護可能なオブジェクトとそのオブジェクトに適用される特権について説明します。 Unity Catalog で特権を付与する方法については、「特権を表示、付与、取り消す」を参照してください。
Note
この記事では、特権モデル バージョン 1.0 の Unity Catalog の特権と継承モデルについて説明します。 パブリック プレビュー中 (2022 年 8 月 25 日より前) に Unity Catalog メタストアを作成した場合は、現在の継承モデルをサポートしていない以前の特権モデルを使用している可能性があります。 特権モデル バージョン 1.0 にアップグレードして、特権の継承を取得できます。 「特権継承へのアップグレード」を参照してください。
Unity Catalog のセキュリティ保護可能なオブジェクト
セキュリティ保護可能なオブジェクトは、プリンシパル (ユーザー、サービス プリンシパル、またはグループ) に特権を付与できる Unity Catalog メタストアで定義されているオブジェクトです。 Unity Catalog のセキュリティ保護可能なオブジェクトは階層構造です。
セキュリティ保護可能なオブジェクトは次のとおりです。
METASTORE: メタデータの最上位のコンテナー。 各 Unity Catalog のメタストアでは、3 レベルの名前空間 (
catalog
.schema
.table
) が公開され、ここでデータが整理されます。メタストアの権限を管理する場合、SQL コマンドにメタストア名を含めないでください。 Unity Catalog は、ワークスペースにアタッチされているメタストアに対する権限を付与または取り消します。 たとえば、次のコマンドを実行すると、 エンジニアリング という名前のグループに、ワークスペースにアタッチされたメタストアにカタログを作成する機能が付与されます。
GRANT CREATE CATALOG ON METASTORE TO engineering
CATALOG: オブジェクト階層の最初のレイヤー。データ資産を整理するために使用されます。 外部カタログは、Lakehouse フェデレーション シナリオの外部データ システム内のデータベースをミラー化する特殊なカタログの種類です。
SCHEMA: データベースとも呼ばれ、スキーマはオブジェクト階層の 2 番目のレイヤーであり、テーブルとビューが含まれます。
TABLE: オブジェクト階層の最下位のレイヤーで、外部テーブル (選択したクラウド ストレージ内の外部の場所に保存される) またはマネージド テーブル (Azure Databricks 用に明示的に作成した、クラウド ストレージ内のストレージ コンテナーに保存される) のいずれかです。
VIEW: スキーマ内に含まれる 1 つ以上のテーブルへのクエリから作成された読み取り専用オブジェクト。
MATERIALIZED VIEW: スキーマ内に含まれる 1 つ以上のテーブルに対するクエリから作成されたオブジェクト。 その結果には、最後に更新されたときのデータの状態が反映されます。
VOLUME: ボリュームは、オブジェクト階層の最下位のレイヤーで、外部 (選択したクラウド ストレージ内の外部の場所に保存される) またはマネージド (Azure Databricks 用に明示的に作成した、クラウド ストレージ内のストレージ コンテナーに保存される) のいずれかです。
FUNCTION: スキーマ内に含まれる ユーザー定義関数 または MLflow 登録モデル。
モデル: MLflow 登録済みモデル は特定の種類の関数です。 モデルはカタログ エクスプローラーの他の関数とは別に一覧表示されますが、SQL を使用してモデルに対する権限を付与する場合は、
GRANT ON FUNCTION
を使用します。EXTERNAL LOCATION: Unity Catalog メタストア内に含まれるストレージ資格情報とクラウド ストレージ パスへの参照を含むオブジェクト。
サービス資格情報: 外部サービスへのアクセスを提供する長期的なクラウド資格情報をカプセル化するオブジェクト。 Unity カタログ メタストアに含まれています。
STORAGE CREDENTIAL: Unity Catalog メタストアに含まれるクラウド ストレージへのアクセスを提供する長期的なクラウド資格情報をカプセル化するオブジェクト。
CONNECTION: Lakehouse フェデレーション シナリオで外部データベース システムにアクセスするためのパスと資格情報を指定するオブジェクトです。
SHARE: Delta 共有を使用して共有する予定のテーブルの論理グループ。 共有は Unity Catalog メタストア内に含まれています。
RECIPIENT: Delta 共有を使用してデータを共有できるユーザーの組織またはグループを識別するオブジェクト。 これらのオブジェクトは、Unity Catalog メタストア内に含まれています。
PROVIDER: Delta 共有を使用してデータを共有できるようにする組織を表すオブジェクト。 これらのオブジェクトは、Unity Catalog メタストア内に含まれています。
クリーン ルーム: Databricks によって管理されている、セキュリティで保護され、プライバシーが保護された環境を表すオブジェクト。ここでは、複数の関係者が互いのデータに直接アクセスすることなく共同作業することができます。
Unity Catalog のセキュリティ保護可能オブジェクト別の特権の種類
次の表に、Unity Catalog のセキュリティ保護可能な各オブジェクトに適用される特権の種類の一覧を示します。 Unity Catalog で特権を付与する方法については、「特権を表示、付与、取り消す」を参照してください。
セキュリティ保護可能 | 特権 |
---|---|
メタストア | CREATE CATALOG 、 CREATE CLEAN ROOM 、 CREATE CONNECTION 、 CREATE EXTERNAL LOCATION 、 CREATE PROVIDER 、 CREATE RECIPIENT 、 CREATE SHARE 、CREATE SERVICE CREDENTIAL 、 CREATE STORAGE CREDENTIAL 、 SET SHARE PERMISSION 、 USE MARKETPLACE ASSETS 、 USE PROVIDER 、 USE RECIPIENT 、 USE SHARE |
カタログ | ALL PRIVILEGES 、 APPLY TAG 、 BROWSE 、 CREATE SCHEMA 、 USE CATALOG 既定では、すべてのユーザーの USE CATALOG カタログに main があります。カタログ内のセキュリティ保護可能なオブジェクトには、次の特権の種類が適用されます。 カタログ レベルでこれらの特権を付与して、カタログ内の現在と将来のオブジェクトに適用できます。 CREATE FUNCTION 、CREATE TABLE 、CREATE MATERIALIZED VIEW 、CREATE MODEL 、CREATE VOLUME 、EXTERNAL USE SCHEMA 、READ VOLUME 、REFRESH 、WRITE VOLUME 、EXECUTE 、MANAGE 、MODIFY 、SELECT 、USE SCHEMA |
[スキーマ] | ALL PRIVILEGES 、APPLY TAG 、CREATE FUNCTION 、CREATE TABLE 、CREATE MODEL 、CREATE VOLUME 、CREATE MATERIALIZED VIEW 、MANAGE 、EXTERNAL USE SCHEMA 、USE SCHEMA スキーマ内のセキュリティ保護可能なオブジェクトには、次の特権の種類が適用されます。 スキーマ レベルでこれらの特権を付与して、カタログ内の現在と将来のオブジェクトに適用できます。 EXECUTE 、 MODIFY 、 READ VOLUME 、 REFRESH 、 SELECT 、 WRITE VOLUME |
テーブル | ALL PRIVILEGES 、 APPLY TAG 、 MANAGE 、 MODIFY 、 SELECT |
具体化されたビュー | ALL PRIVILEGES 、 APPLY TAG 、 MANAGE 、 REFRESH 、 SELECT |
表示 | ALL PRIVILEGES 、 APPLY TAG 、 MANAGE 、 SELECT |
体積 | ALL PRIVILEGES 、 MANAGE 、 READ VOLUME 、 WRITE VOLUME |
外部の場所 | ALL PRIVILEGES 、 BROWSE 、 CREATE EXTERNAL TABLE 、 CREATE EXTERNAL VOLUME 、 CREATE FOREIGN SECURABLE 、 MANAGE 、 READ FILES 、 WRITE FILES 、 CREATE MANAGED STORAGE |
サービス資格情報 | ALL PRIVILEGES 、ACCESS 、CREATE CONNECTION 、MANAGE 。 |
ストレージの資格情報 | ALL PRIVILEGES 、 CREATE EXTERNAL LOCATION 、 CREATE EXTERNAL TABLE 、 MANAGE 、 READ FILES 、 WRITE FILES |
つながり | ALL PRIVILEGES 、 CREATE FOREIGN CATALOG 、 MANAGE 、 USE CONNECTION |
機能 | ALL PRIVILEGES 、APPLY TAG (モデルのみ)、EXECUTE 、MANAGE |
モデル | 登録済みモデルは機能の一種です。 |
共有 | SELECT (RECIPIENT に付与可能) |
Recipient | なし |
プロバイダー | なし |
クリーン ルーム | ALL PRIVILEGES 、 BROWSE 、 EXECUTE CLEAN ROOM TASK 、 MANAGE 、 MODIFY CLEAN ROOM |
一般的な Unity Catalog の権限の種類
このセクションでは、一般的に Unity Catalog に適用される特権の種類について詳しく説明します。 Unity Catalog で特権を付与する方法については、「特権を表示、付与、取り消す」を参照してください。
ALL PRIVILEGES
適用可能なオブジェクトの種類: CATALOG
、EXTERNAL LOCATION
、SERVICE CREDENTIAL
、STORAGE CREDENTIAL
、SCHEMA
、FUNCTION
(モデルを含む) TABLE
、MATERIALIZED VIEW
、VIEW,
VOLUME
セキュリティ保護可能なオブジェクトとその子オブジェクトに適用可能なすべての権限を、明示的に指定せずに許可または取り消すために使用されます。
オブジェクトで ALL PRIVILEGES
が許可されている場合、許可時に適用可能なそれぞれの権限をユーザーに個別に許可するわけではありません。 代わりに、アクセス許可のチェックが行われた時点で使用可能なすべての権限に拡張されます。 これは、Databricks が新しい特権と新しいセキュリティ保護可能なオブジェクトをリリースすると、既存の ALL PRIVILEGES
許可には、そのセキュリティ保護可能なオブジェクト、その既存の子オブジェクト、および新しい子オブジェクトに適用されるすべての新しい特権が自動的に含まれるようになることを意味します。
ALL PRIVILEGES
が取り消されると、ALL PRIVILEGES
権限は取り消され、オブジェクトでユーザーに許可された明示的な権限も取り消されます。
偶発的なデータ流出や特権のエスカレーションを回避するために、ALL PRIVILEGES
には EXTERNAL USE SCHEMA
特権や MANAGE
特権は含まれません。
Note
階層内の上位レベルで適用された場合、この特権は強力です。 たとえば、GRANT ALL PRIVILEGES ON CATALOG main TO analysts
は、カタログ内のすべての既存および将来のセキュリティ保護可能なオブジェクトに対するすべての既存および将来の特権をアナリスト チームに付与します。
ACCESS
該当するオブジェクトの種類: SERVICE CREDENTIAL
ユーザーがサービス資格情報を使用して外部サービスにアクセスできるようにします。
タグの適用
適用可能なオブジェクトのタイプ: CATALOG
として登録されているモデル SCHEMA
、TABLE
、VOLUME
、MATERIALIZED VIEW
、VIEW
、FUNCTION
ユーザーがオブジェクトのタグを追加および編集できるようにします。 テーブルまたはビューに APPLY TAG
を付与すると、列のタグ付けも有効になります。 登録済みモデルに APPLY TAG
を付与することで、モデル バージョンのタグ付けも有効になります。
ユーザーには、親カタログに対する USE CATALOG
特権と、親スキーマに対する USE SCHEMA
も必要です。
BROWSE
該当するオブジェクトの種類: CATALOG
、EXTERNAL LOCATION
、CLEAN ROOM
重要
この機能はパブリック プレビュー段階にあります。
ユーザーは、Catalog Explorer、スキーマ ブラウザー、検索結果、系列グラフ、information_schema
、REST API を使用してオブジェクトのメタデータを表示できます。
ユーザーには、親カタログに対する USE CATALOG
特権と親スキーマに対する USE SCHEMA
は必要ありません。
カタログ エクスプローラーを使用して作成された新しいカタログでは、既定ですべてのユーザーに BROWSE
特権が付与されます。 必要に応じて、特権を取り消すこともできます。 SQL ステートメント、REST API、または Databricks CLI を使用して作成されたカタログは、既定で BROWSE
特権は付与されません。 意図的に付与する必要があります。
CREATE CATALOG
適用可能なオブジェクトの種類: Unity Catalog メタストア
ユーザーが Unity Catalog メタストアにカタログを作成できるようにします。 外部カタログを作成するには、外部カタログを含む接続またはメタストアに対する CREATE FOREIGN CATALOG 特権も必要です。
クリーン ルームを作成する
適用可能なオブジェクトの種類: Unity Catalog メタストア
ユーザーは、基となるデータを共有せずに、他の組織とプロジェクトでセキュリティで保護された方法で共同作業するためのクリーン ルームを作成できます。
CREATE CONNECTION
適用可能なオブジェクトの種類: Unity Catalog メタストア、SERVICE CREDENTIAL
ユーザーが Lakehouse フェデレーション シナリオで外部データベースへの接続を作成できるようにします。 サービス資格情報を使用して接続を作成するには、metastore とサービス資格情報の両方に対してこの特権がユーザーに付与されている必要があります。
CREATE EXTERNAL LOCATION
適用可能なオブジェクトの種類: Unity Catalog メタストア、STORAGE CREDENTIAL
外部の場所を作成するには、ユーザーはメタストアと外部の場所で参照されるストレージの資格情報の両方でこの権限を持っている必要があります。
CREATE EXTERNAL TABLE
該当するオブジェクトの種類: EXTERNAL LOCATION
、STORAGE CREDENTIAL
外部の場所またはストレージ資格情報を使用して、ユーザーはクラウド テナントで外部テーブルを直接作成できます。 Databricks では、ストレージ資格情報ではなく外部の場所に対してこの権限を付与することを推奨しています (パスにスコープが設定されているため、ユーザーがクラウド テナントで外部テーブルを作成できる場所をより詳細に制御することができます)。
CREATE EXTERNAL VOLUME
該当するオブジェクトの種類: EXTERNAL LOCATION
ユーザーが外部の場所を使用して外部ボリュームを作成することを許可します。
CREATE FOREIGN CATALOG
該当するオブジェクトの種類: CONNECTION
ユーザーが Lakehouse フェデレーション シナリオで外部データベースへの接続を使用して外部カタログを作成できるようにします。
CREATE FOREIGN SECURABLE
該当するオブジェクトの種類: EXTERNAL LOCATION
外部カタログを作成しているユーザーが、外部の場所 対象となる承認されたパス を指定できるようにします。
また、ユーザーは Unity カタログメタストアで CREATE CATALOG
を持ち、接続には CREATE FOREIGN CATALOG
を持つ必要があります。
CREATE FUNCTION
該当するオブジェクトの種類: SCHEMA
ユーザーがスキーマに関数を作成できるようにします。 特権は継承されるため、 CREATE FUNCTION
はカタログに対して付与することもでき、これにより、ユーザーはカタログ内の既存または将来のスキーマで関数を作成できます。
ユーザーには、親カタログに対する USE CATALOG
特権と、親スキーマに対する USE SCHEMA
も必要です。
CREATE MODEL
該当するオブジェクトの種類: SCHEMA
ユーザーが MLflow 登録済みモデル (スキーマ内のFUNCTIONの一種) をスキーマに作成できるようにします。 特権は継承されるため、CREATE MODEL
はカタログに対して付与することもでき、これにより、ユーザーはカタログ内の既存または将来のスキーマに登録済みモデルを作成できます。
ユーザーには、親カタログに対する USE CATALOG
特権と、親スキーマに対する USE SCHEMA
も必要です。
CREATE MANAGED STORAGE
該当するオブジェクトの種類: EXTERNAL LOCATION
ユーザーがカタログまたはスキーマ レベルで、マネージド テーブルを格納する場所を指定できます。メタストアの既定のルート ストレージはオーバーライドされます。
CREATE SCHEMA
該当するオブジェクトの種類: CATALOG
ユーザーにスキーマ作成を許可します。 ユーザーには、カタログに対する USE CATALOG
特権も必要です。
サービス資格情報の作成
適用可能なオブジェクトの種類: Unity Catalog メタストア
ユーザーが Unity カタログ メタストアでサービス資格情報を作成できるようにします。
ストレージ資格情報を作成する
適用可能なオブジェクトの種類: Unity Catalog メタストア
ユーザーが Unity Catalog メタストアにストレージ資格情報を作成できるようにします。
CREATE TABLE
該当するオブジェクトの種類: SCHEMA
ユーザーがスキーマにテーブルまたはビューを作成できるようにします。 特権は継承されるため、CREATE TABLE
はカタログに対して付与することもでき、これにより、ユーザーはカタログ内の既存または将来のスキーマにテーブルまたはビューを作成できます。
ユーザーには、親カタログに対する USE CATALOG
特権と、親スキーマに対する USE SCHEMA
特権も必要です。
CREATE MATERIALIZED VIEW
該当するオブジェクトの種類: SCHEMA
ユーザーがスキーマに具体化されたビューを作成できるようにします。 特権は継承されるため、CREATE MATERIALIZED VIEW
はカタログに対して付与することもでき、これにより、ユーザーはカタログ内の既存または将来のスキーマにテーブルまたはビューを作成できます。
ユーザーには、親カタログに対する USE CATALOG
特権と、親スキーマに対する USE SCHEMA
特権も必要です。
CREATE VOLUME
該当するオブジェクトの種類: SCHEMA
ユーザーがスキーマにボリュームを作成できるようにします。 権限は継承されるため、CREATE VOLUME
カタログに許可することもでき、これにより、ユーザーはカタログ内の既存または将来のスキーマでボリュームを作成できます。
ユーザーには、ボリュームの親カタログに対する USE CATALOG
権限と、親スキーマに対する USE SCHEMA
権限も必要です。
EXECUTE
適用可能なオブジェクトのタイプ:FUNCTION
、モデル
ユーザーが親のカタログに対する USE CATALOG
と親スキームに対する USE SCHEMA
を持つ場合、そのユーザーはユーザー定義関数の呼び出し、または推論用のモデルの読み込みができます。 関数の場合、EXECUTE
は関数の定義とメタデータを表示する権限を付与します。 登録済みモデルの場合、EXECUTE
は登録済みモデルのすべてのバージョンのメタデータを表示し、モデル ファイルをダウンロードする権限を付与します。
権限は継承されるため、カタログまたはスキーマに対する EXECUTE
権限をユーザーに付与できます。この権限は、カタログまたはスキーマ内のすべての現在および将来の関数に対する EXECUTE
権限をユーザーに自動的に付与します。
クリーン ルーム タスクを実行する
該当するオブジェクトの種類: CLEAN ROOM
ユーザーがクリーン ルームでタスク (ノートブック) を実行できるようにします。 また、ユーザーはクリーン ルームの詳細を表示することもできます。
EXTERNAL USE SCHEMA
該当するオブジェクトの種類: SCHEMA
Unity Catalog オープン API または Iceberg REST API を使用して、外部処理エンジンから Unity Catalog テーブルにアクセスするための一時的な資格情報をユーザーに付与できるようにします。
この権限を付与できるのは、カタログ所有者のみです。
偶発的なデータ流出を回避するために、 ALL PRIVILEGES
には EXTERNAL USE SCHEMA
特権が含まれません。スキーマ所有者は、既定でこの権限を持ちません。
「Unity Catalog への外部データ アクセスを有効にする」を参照してください。
MANAGE
適用可能なオブジェクトの種類: CATALOG
、EXTERNAL LOCATION
、SERVICE CREDENTIAL
、STORAGE CREDENTIAL
、SCHEMA
、FUNCTION
(モデルを含む)、CONNECTION
、TABLE
、MATERIALIZED VIEW
、VIEW,
VOLUME
、CLEAN ROOM
重要
この機能はパブリック プレビュー段階にあります。
ユーザーが権限の表示と管理、所有権の譲渡、オブジェクトの削除、名前の変更を行えます。 MANAGE
はオブジェクトの所有権に似ていますが、MANAGE
特権を持つユーザーには、そのオブジェクトに対するすべての特権が自動的に付与されるわけではありません (ただし、自分自身に特権を付与することはできます)。
ユーザーには、オブジェクトの親カタログに対する USE CATALOG
権限と、その親スキーマに対する USE SCHEMA
権限も必要です。
ALL PRIVILEGES
には MANAGE
特権は含まれません
許可リストの管理
適用可能なオブジェクトの種類: Unity Catalog メタストア
ユーザーが共有アクセス モードで Unity Catalog 対応クラスターを管理する許可リストで init スクリプト、JAR、Maven 座標のパスを追加または変更できるようにします。 「共有コンピューティングでライブラリと init スクリプトを許可リストに載せる」を参照してください。
MODIFY
該当するオブジェクトの種類: TABLE
ユーザーがテーブルに SELECT
を持ち、親カタログに USE CATALOG
を持ち、親スキーマに USE SCHEMA
を持つ場合、ユーザーはテーブルに対してデータを追加、更新、および削除できます。
権限は継承されるため、カタログまたはスキーマに対する MODIFY
権限をユーザーに付与できます。この権限は、カタログまたはスキーマ内のすべての現在および将来のテーブルに対する MODIFY
権限をユーザーに自動的に付与します。
クリーン ルームを変更する
該当するオブジェクトの種類: CLEAN ROOM
データ資産の追加と削除、ノートブックの追加と削除、コメントの更新など、ユーザーがクリーン ルームを更新できるようにします。 また、ユーザーはクリーン ルームの詳細を表示することもできます。
READ FILES
該当するオブジェクトの種類: EXTERNAL LOCATION
Databrick では、ボリュームと READ VOLUME
特権を使用して、クラウド オブジェクト ストレージ内のデータへの読み取りアクセスを管理することをお勧めします。
READ FILES
を使用すると、ユーザーは外部の場所として構成されたクラウド オブジェクト ストレージから直接ファイルを読み取ることができます。 詳しいガイダンスについては、「外部の場所、外部テーブル、外部ボリュームを管理する」を参照してください。
READ VOLUME
該当するオブジェクトの種類: VOLUME
ユーザーが親のカタログに対する USE CATALOG
、および親スキーマに対する USE SCHEMA
も持っている場合、ユーザーがボリューム内に保存されているファイルとディレクトリを読み取ることを許可します。
権限は継承されます。 カタログまたはスキーマに対する READ VOLUME
権限をユーザーに許可する場合、カタログまたはスキーマ内のすべての現在および将来のボリュームに対する READ VOLUME
権限をユーザーに自動的に許可します。
REFRESH
該当するオブジェクトの種類: MATERIALIZED VIEW
ユーザーが親カタログに対する USE CATALOG
、および親スキーマに対する USE SCHEMA
を持っている場合、ユーザーが具体化されたビューを更新できるようにします。
権限は継承されます。 カタログまたはスキーマに対する REFRESH
権限をユーザーに付与すると、カタログまたはスキーマ内の現在および将来のすべての具体化されたビューに対する REFRESH
権限がユーザーに自動的に付与されます。
SELECT
該当するオブジェクトの種類: TABLE
、VIEW
、MATERIALIZED VIEW
、SHARE
テーブルまたはビューに適用された場合、ユーザーが親カタログに USE CATALOG
を持ち親スキーマに USE SCHEMA
を持っている場合、ユーザーはテーブルまたはビューから選択できます。 共有に適用する場合、受信者は共有から選択できるようになります。
権限は継承されるため、カタログまたはスキーマに対する SELECT
権限をユーザーに付与できます。この権限は、カタログまたはスキーマ内のすべての現在および将来のテーブルとビューに対するユーザー SELECT
権限を自動的に付与します。
USE CATALOG
該当するオブジェクトの種類: CATALOG
この権限は、カタログ自体へのアクセス権を付与するものではありませんが、ユーザーがカタログのオブジェクトを操作するために必要なものです。 たとえば、テーブルからデータを選ぶには、そのテーブルに対する SELECT
特権、親カタログに対する USE CATALOG
特権、および親スキーマに対する USE SCHEMA
特権が必要です。
これは、カタログの所有者が、個々のスキームとテーブル所有者が生成したデータを共有できる範囲を制限できるようにするのに役立ちます。 たとえば、SELECT
を別のユーザーに付与するテーブル所有者は、親カタログに対する USE CATALOG
特権と親スキーマに対する USE SCHEMA
特権も付与されていない限り、そのユーザーにテーブルへの読み取りアクセスを許可しません。
親カタログに対する USE CATALOG
特権は、ユーザーがそのカタログに対する BROWSE
特権を持っている場合、オブジェクトのメタデータを読み取るために必要ありません。
USE CONNECTION
該当するオブジェクトの種類: CONNECTION
ユーザーが Lakehouse フェデレーション シナリオで外部データベースへの接続に関する詳細を一覧表示および表示することを許可します。 接続の外部カタログを作成するには、接続または接続の所有権に対する CREATE FOREIGN CATALOG
が必要です。
USE SCHEMA
該当するオブジェクトの種類: SCHEMA
この権限は、スキーム自体へのアクセス権を付与するものではありませんが、ユーザーがスキームのオブジェクトを操作するために必要なものです。 たとえば、テーブルからデータを選択するには、ユーザーはそのテーブルに対する SELECT
権限、その親スキーマに対する USE SCHEMA
権限、およびその親カタログに対する USE CATALOG
権限を持っている必要があります。
権限は継承されるため、カタログに対する USE SCHEMA
権限をユーザーに付与できます。この権限は、カタログ内のすべての現在および将来のスキームに対する USE SCHEMA
権限をユーザーに自動的に付与します。
ユーザーがそのスキーマまたはその親カタログに対する USE SCHEMA
特権を持っている場合、オブジェクトのメタデータを読み取るために親スキーマに対する BROWSE
特権は必要ありません。
WRITE FILES
該当するオブジェクトの種類: EXTERNAL LOCATION
Databrick では、ボリュームと WRITE VOLUME
特権を使用して、クラウド オブジェクト ストレージ内のデータへの書き込みアクセスを管理することをお勧めします。
WRITE FILES
を使用すると、ユーザーは外部の場所として構成されたクラウド オブジェクト ストレージに直接ファイルを書き込みます。 詳しいガイダンスについては、「外部の場所、外部テーブル、外部ボリュームを管理する」を参照してください。
WRITE VOLUME
該当するオブジェクトの種類: VOLUME
ユーザーが親のカタログに対する USE CATALOG
、および親スキーマに対する USE SCHEMA
も持っている場合、ユーザーがボリューム内に保存されているファイルとディレクトリを読み取る、削除または変更することを許可します。
権限は継承されます。 カタログまたはスキーマに対する WRITE VOLUME
権限をユーザーに許可する場合、カタログまたはスキーマ内のすべての現在および将来のボリュームに対する WRITE VOLUME
権限をユーザーに自動的に許可します。
Delta Sharing または Databricks Marketplace にのみ適用される特権の種類
このセクションでは、Delta Sharing にのみ適用される特権の種類について詳しく説明します。
CREATE PROVIDER
適用可能なオブジェクトの種類: Unity Catalog メタストア
これを使用して、ユーザーはメタストア内に Delta Sharing プロバイダー オブジェクトを作成できます。 プロバイダーは、Delta Sharing 共有を使用して、共有データを持っている組織やユーザーのグループを識別します。 プロバイダーの作成は、受信者の Databricks アカウント内のユーザーによって実行されます。 「Delta Sharing とは」を参照してください。
CREATE RECIPIENT
適用可能なオブジェクトの種類: Unity Catalog メタストア
これを使用して、ユーザーはメタストア内に Delta Sharing 受信者オブジェクトを作成できます。 受信者は Delta 共有を使用してデータを共有できるユーザーの組織またはグループを識別します。 受信者の作成は、プロバイダーの Databricks アカウント内のユーザーによって実行されます。 「Delta Sharing とは」を参照してください。
CREATE SHARE
適用可能なオブジェクトの種類: Unity Catalog メタストア
ユーザーにメタストアでの共有の作成を許可します。 共有は Delta 共有を使用して共有する予定のテーブルの論理グループです。
SET SHARE PERMISSION
適用可能なオブジェクトの種類: Unity Catalog メタストア
Delta Sharing では、この権限を USE SHARE
と USE RECIPIENT
(または受信者の所有権) と組み合わせることで、プロバイダー ユーザーは受信者に共有へのアクセス権を付与できるようになります。 USE SHARE
と組み合わせることで、共有の所有権を別のユーザー、グループ、またはサービス プリンシパルに譲渡できます。
USE MARKETPLACE ASSETS
適用可能なオブジェクトの種類: Unity Catalog メタストア
すべての Unity Catalog メタストアに対して既定で有効になっています。 Databricks Marketplace では、この権限に権限によって Marketplace リストで共有されているデータ製品に関して、ユーザーはインスタント アクセスを取得したり、アクセスを要求したりできます。 また、プロバイダーがデータ製品を共有するときに作成される読み取り専用カタログにユーザーがアクセスすることもできます。 この特権がないと、ユーザーには CREATE CATALOG
および USE PROVIDER
特権またはメタストア管理者ロールが必要になります。 これにより、それらの強力なアクセス許可を持つユーザーの数を制限できます。
USE PROVIDER
適用可能なオブジェクトの種類: Unity Catalog メタストア
Delta Sharing では、受信者のユーザーに、受信者メタストア内のすべてのプロバイダーとその共有への読み取り専用アクセス権を付与します。 CREATE CATALOG
特権と組み合わせることで、メタストア管理者ではない受信者ユーザーは、共有をカタログとしてマウントできます。 これにより、強力なメタストア管理者ロールを持つユーザーの数を制限できます。
USE RECIPIENT
適用可能なオブジェクトの種類: Unity Catalog メタストア
Delta Sharing では、プロバイダー ユーザーに、プロバイダー メタストア内のすべての受信者とその共有への読み取り専用アクセス権を付与します。 これにより、メタストア管理者ではないプロバイダー ユーザーは、受信者の詳細、受信者の認証状態、プロバイダーが受信者と共有している共有の一覧を表示できます。
Databricks Marketplace では、プロバイダー ユーザーはプロバイダー コンソールで一覧とコンシューマー要求を表示できます。
USE SHARE
適用可能なオブジェクトの種類: Unity Catalog メタストア
Delta Sharing では、プロバイダーのユーザーに、プロバイダー メタストア内で定義されたすべての共有への読み取り専用アクセス権を付与します。 これにより、メタストア管理者ではないプロバイダー ユーザーは、共有を一覧表示し、共有内の資産 (テーブルとノートブック) を共有の受信者と共に一覧表示できます。
Databricks Marketplace では、これにより、プロバイダー ユーザーはリストで共有されているデータに関する詳細を表示できます。