このページでは、Unity カタログのセキュリティ保護可能なオブジェクトとそのオブジェクトに適用される権限について説明します。 Unity Catalog で権限を付与する方法については、「権限の表示、付与、削除」をご覧ください。
Note
この記事では、権限モデル バージョン 1.0 の Unity Catalog の権限と継承モデルについて説明します。 パブリック プレビュー中 (2022 年 8 月 25 日より前) に Unity カタログメタストアを作成した場合は、現在の継承モデルをサポートしていない以前の特権モデルを使用している可能性があります。 Privilege Model バージョン 1.0 にアップグレードすると、権限の継承を取得できます。 「権限継承へのアップグレード」を参照してください。
Unity Catalog のセキュリティ保護可能なオブジェクト
セキュリティ保護可能なオブジェクトは、プリンシパル (ユーザー、サービス プリンシパル、またはグループ) に権限を付与でき、Unity Catalog メタストアで定義されているオブジェクトです。 Unity Catalog のセキュリティ保護可能なオブジェクトは階層構造です。
セキュリティ保護可能なオブジェクトは次のとおりです。
METASTORE: メタデータの最上位のコンテナー。 各 Unity Catalog のメタストアでは、3 レベルの名前空間 (
catalog.schema.table) が公開され、ここでデータが整理されます。メタストアの権限を管理する場合、SQL コマンドにメタストア名を含めないでください。 Unity Catalog は、ワークスペースにアタッチされているメタストアに対する権限を付与または取り消します。 たとえば、次のコマンドを実行すると、 エンジニアリング という名前のグループに、ワークスペースにアタッチされたメタストアにカタログを作成する機能が付与されます。
GRANT CREATE CATALOG ON METASTORE TO engineeringCATALOG: オブジェクト階層の最初のレイヤー。データ資産を整理するために使用されます。 外部カタログは、Lakehouse フェデレーション シナリオの外部データ システム内のデータベースをミラー化する、特殊なカタログの種類です。
SCHEMA: データベースとも呼ばれ、スキーマはオブジェクト階層の 2 番目のレイヤーであり、テーブルとビューが含まれます。
TABLE: オブジェクト階層内の最下位レベルでは、管理されたテーブル、外部テーブル、フォーリンテーブル、ストリーミング テーブル、オンライン テーブル、およびフィーチャーテーブルが含まれます。 Azure Databricks テーブルを参照してください。
VIEW: スキーマ内に含まれる 1 つ以上のテーブルから作成された読み取り専用オブジェクト。
MATERIALIZED VIEW: スキーマ内に含まれる 1 つ以上のテーブルに対するクエリから作成されたオブジェクト。 その結果には、最後に更新されたときのデータの状態が反映されます。
メトリック ビュー: 1 つ以上のデータ ソース (テーブル、ビュー、または SQL クエリ) に基づいて、ディメンションとメジャーを含む一連のメトリック定義を定義する読み取り専用オブジェクト。 Unity カタログのメトリック ビューを参照してください。
VOLUME: 非構造化データの論理ボリューム。 外部 (任意のクラウド ストレージ内の外部の場所に格納) または管理 (Azure Databricks 用に明示的に作成するクラウド ストレージ内のストレージ コンテナーに格納) できます。
FUNCTION: スキーマ内に含まれる ユーザー定義関数 または MLflow 登録モデル。
モデル: MLflow 登録済みモデル は特定の種類の関数です。 モデルはカタログ エクスプローラーの他の関数とは別に一覧表示されますが、SQL を使用してモデルに対する権限を付与する場合は、
GRANT ON FUNCTIONを使用します。EXTERNAL LOCATION: Unity Catalog メタストア内に含まれるストレージ資格情報とクラウド ストレージ パスへの参照を含むオブジェクト。
EXTERNAL METADATA: Tableau ダッシュボードや Salesforce オブジェクトなど、外部システム内のエンティティのメタデータを含むオブジェクト。これにより、カスタム データ系列構成に追加できます。 「 独自のデータ系列を持ち込む」を参照してください。
SERVICE CREDENTIAL: 外部サービスへのアクセスを提供する長期的なクラウド資格情報をカプセル化するオブジェクト。 Unity Catalog メタストアに含まれています。
STORAGE CREDENTIAL: Unity Catalog メタストアに含まれるクラウド ストレージへのアクセスを提供する長期的なクラウド資格情報をカプセル化するオブジェクト。
CONNECTION: Lakehouse フェデレーション シナリオで外部データベース システムにアクセスするためのパスと資格情報を指定するオブジェクト。
SHARE: Delta 共有を使用して共有する予定のテーブルの論理グループ。 共有は Unity Catalog メタストア内に含まれています。
RECIPIENT: Delta 共有を使用してデータを共有できるユーザーの組織またはグループを識別するオブジェクト。 これらのオブジェクトは、Unity Catalog メタストア内に含まれています。
PROVIDER: Delta 共有を使用してデータを共有できるようにする組織を表すオブジェクト。 これらのオブジェクトは、Unity Catalog メタストア内に含まれています。
CLEAN ROOM: Databricks によって管理される、セキュリティで保護されたプライバシー保護環境を表すオブジェクト。複数の関係者が互いのデータに直接アクセスすることなく共同作業を行うことができます。
Unity Catalog のセキュリティ保護可能なオブジェクト別の権限の種類
次の表に、Unity Catalog のセキュリティ保護可能な各オブジェクトに適用される権限の種類を示します。 Unity Catalog で権限を付与する方法については、「権限の表示、付与、削除」をご覧ください。
| Securable | Privileges |
|---|---|
| Metastore |
CREATE CATALOG、 CREATE CLEAN ROOM、 CREATE CONNECTION、 CREATE EXTERNAL LOCATION、 CREATE EXTERNAL METADATA、 CREATE PROVIDER、 CREATE RECIPIENT、 CREATE SHARE、CREATE SERVICE CREDENTIAL、 CREATE STORAGE CREDENTIAL、 SET SHARE PERMISSION、 USE MARKETPLACE ASSETS、 USE PROVIDER、 USE RECIPIENT、 USE SHARE |
| Catalog |
ALL PRIVILEGES、APPLY TAG、BROWSE、CREATE SCHEMA、USE CATALOG既定では、すべてのユーザーが USE CATALOG カタログでの main を持ちます。カタログ内のセキュリティ保護可能なオブジェクトには、次の権限の種類が適用されます。 カタログ レベルでこれらの権限を付与して、カタログ内の現在と将来のオブジェクトに適用できます。 CREATE FUNCTION、CREATE TABLE、CREATE MATERIALIZED VIEW、CREATE MODEL、CREATE VOLUME、EXTERNAL USE SCHEMA、READ VOLUME、REFRESH、WRITE VOLUME、EXECUTE、MANAGE、MODIFY、SELECT、USE SCHEMA |
| Schema |
ALL PRIVILEGES、APPLY TAG、CREATE FUNCTION、CREATE TABLE、CREATE MODEL、CREATE VOLUME、CREATE MATERIALIZED VIEW、MANAGE、EXTERNAL USE SCHEMA、USE SCHEMAスキーマ内のセキュリティ保護可能なオブジェクトには、次の権限の種類が適用されます。 スキーマ レベルでこれらの権限を付与して、スキーマ内の現在と将来のオブジェクトに適用できます。 EXECUTE、MODIFY、READ VOLUME、REFRESH、SELECT、WRITE VOLUME |
| Table |
ALL PRIVILEGES、APPLY TAG、MANAGE、MODIFY、SELECT |
| マテリアライズド・ビュー |
ALL PRIVILEGES、APPLY TAG、MANAGE、REFRESH、SELECT |
| View |
ALL PRIVILEGES、APPLY TAG、MANAGE、SELECT |
| Volume |
ALL PRIVILEGES、MANAGE、READ VOLUME、WRITE VOLUME |
| 外部の場所 |
ALL PRIVILEGES、BROWSE、CREATE EXTERNAL TABLE、CREATE EXTERNAL VOLUME、CREATE FOREIGN SECURABLE、CREATE MANAGED STORAGE、EXTERNAL USE LOCATION、MANAGE、READ FILES、WRITE FILES |
| 外部メタデータ |
ALL PRIVILEGES、BROWSE、MANAGE、MODIFY |
| サービス資格情報 |
ALL PRIVILEGES、ACCESS、CREATE CONNECTION、MANAGE。 |
| ストレージの資格情報 |
ALL PRIVILEGES、CREATE EXTERNAL LOCATION、CREATE EXTERNAL TABLE、MANAGE、READ FILES、WRITE FILES |
| Connection |
ALL PRIVILEGES、CREATE FOREIGN CATALOG、MANAGE、USE CONNECTION |
| Function |
ALL PRIVILEGES、 APPLY TAG (モデルのみ)、 CREATE MODEL VERSION (モデルのみ)、 EXECUTE、 MANAGE |
| Procedure |
ALL PRIVILEGES、 EXECUTE、 MANAGE |
| Model | 登録済みモデルは機能の一種です。 |
| Share |
SELECT (RECIPIENT に付与可能) |
| Recipient | None |
| Provider | None |
| クリーン ルーム |
ALL PRIVILEGES、BROWSE、EXECUTE CLEAN ROOM TASK、MANAGE、MODIFY CLEAN ROOM |
一般的な Unity Catalog の権限の種類
このセクションでは、一般的に Unity Catalog に適用される権限の種類について詳しく説明します。 Unity Catalog で権限を付与する方法については、「権限の表示、付与、削除」をご覧ください。
すべての特権
適用可能なオブジェクトの種類: CATALOG、 EXTERNAL LOCATION、 EXTERNAL METADATA、 SERVICE CREDENTIAL、 STORAGE CREDENTIAL、 SCHEMA、 FUNCTION (モデルを含む)、 PROCEDURE、 TABLE、 MATERIALIZED VIEW、 VIEW,VOLUME
セキュリティ保護可能なオブジェクトとその子オブジェクトに適用可能なすべての権限を、明示的に指定せずに許可または取り消すために使用されます。
オブジェクトで ALL PRIVILEGES が許可されている場合、許可時に適用可能なそれぞれの権限をユーザーに個別に許可するわけではありません。 代わりに、アクセス許可のチェックが行われた時点で使用可能なすべての権限に拡張されます。 これは、Databricks が新しい権限と新しいセキュリティ保護可能なオブジェクトをリリースすると、既存の ALL PRIVILEGES 許可には、そのセキュリティ保護可能なオブジェクト、その既存の子オブジェクト、および新しい子オブジェクトに適用されるすべての新しい権限が自動的に含まれるようになることを意味します。
偶発的なデータ流出や特権のエスカレーションを回避するために、 ALL PRIVILEGES には EXTERNAL USE SCHEMA、 EXTERNAL USE LOCATION、または MANAGE の特権は含まれません。
ALL PRIVILEGESが取り消されると、ALL PRIVILEGESの付与と、それに暗黙的に示される個々の特権の両方が削除されます。
ALL PRIVILEGES、MANAGE、EXTERNAL USE LOCATIONなど、EXTERNAL USE SCHEMAに含まれていない特権は影響を受けません。
Note
階層内の上位レベルで適用された場合、この権限は強力です。 たとえば、GRANT ALL PRIVILEGES ON CATALOG main TO analysts は、カタログ内のすべての既存および将来のセキュリティ保護可能なオブジェクトに対するすべての既存および将来の権限をアナリスト チームに付与します。
ACCESS
該当するオブジェクトの種類: SERVICE CREDENTIAL
ユーザーがサービス資格情報を使用して外部サービスにアクセスできるようにします。
タグの適用
適用可能なオブジェクトのタイプ: CATALOG、SCHEMA、TABLE、VOLUME、MATERIALIZED VIEW、VIEW、FUNCTIONとして登録されているモデル
ユーザーがオブジェクトのタグを追加および編集できるようにします。 テーブルまたはビューに APPLY TAG を付与すると、列のタグ付けも有効になります。 登録済みモデルに APPLY TAG を付与することで、モデル バージョンのタグ付けも有効になります。
ユーザーには、親カタログに対する USE CATALOG 権限と、親スキーマに対する USE SCHEMA も必要です。
管理タグを Unity カタログのセキュリティ保護可能なオブジェクトに適用するには、管理タグに対する ASSIGN アクセス許可も必要です。 管理タグのアクセス許可の管理を参照してください。
BROWSE
該当するオブジェクトの種類: CATALOG、CLEAN ROOM、EXTERNAL METADATA、EXTERNAL LOCATION
ユーザーがカタログ エクスプローラー、スキーマ ブラウザー、検索結果、系列グラフ、 information_schema、REST API を使用してオブジェクトのメタデータを表示できるようにします。 この可視性により、ユーザーはオブジェクトを検出し、オブジェクトへのアクセスを要求できます。
ユーザーには、親カタログに対する USE CATALOG 権限と親スキーマに対する USE SCHEMA は必要ありません。
カタログ エクスプローラーを使用して作成された新しいカタログでは、既定ですべてのユーザーに BROWSE 権限が付与されます。 必要に応じて、権限を取り消すこともできます。 SQL ステートメント、REST API、または Databricks CLI を使用して作成されたカタログは、既定で BROWSE 権限は付与されません。 意図的に許可する必要があります。
Databricks では、オブジェクトを検出可能にし、すべてのユーザーがオブジェクトへのアクセスを要求できるように、カタログの BROWSE を All account users グループに付与することをお勧めします。
Note
オブジェクトに対する BROWSE 権限のみを持つユーザーは、SQL を使用してメタデータを探索する機能が制限されています。
CREATE CATALOG
適用可能なオブジェクトの種類: Unity Catalog メタストア
ユーザーが Unity Catalog メタストアにカタログを作成できるようにします。 外部カタログを作成するには、外部カタログを含む接続またはメタストアに対する CREATE FOREIGN CATALOG 特権も必要です。
クリーン ルームを作成する
適用可能なオブジェクトの種類: Unity Catalog メタストア
ユーザーは、基となるデータを共有せずに、他の組織とプロジェクトでセキュリティで保護された方法で共同作業するためのクリーン ルームを作成できます。
CREATE CONNECTION
適用可能なオブジェクトの種類: Unity Catalog メタストア、SERVICE CREDENTIAL
ユーザーが Lakehouse フェデレーション シナリオで外部データベースへの接続を作成できるようにします。 サービス資格情報を使用して接続を作成するには、metastore とサービス資格情報の両方に対してこの権限がユーザーに付与されている必要があります。
CREATE EXTERNAL LOCATION
適用可能なオブジェクトの種類: Unity Catalog メタストア、STORAGE CREDENTIAL
外部の場所を作成するには、ユーザーはメタストアと外部の場所で参照されるストレージの資格情報の両方でこの権限を持っている必要があります。
外部メタデータを作成
適用可能なオブジェクトの種類: Unity Catalog メタストア
ユーザーがカスタム系列で使用するためにセキュリティ保護可能な外部メタデータを作成できるようにします。 外部メタデータ オブジェクトに系列リレーションシップを追加するには、外部メタデータ オブジェクトに対する MODIFY 権限と、リレーションシップを指定する Unity Catalog オブジェクトに対する権限が必要です。
外部 TABLE の作成
該当するオブジェクトの種類: EXTERNAL LOCATION、STORAGE CREDENTIAL
外部の場所またはストレージ資格情報を使用して、ユーザーはクラウド テナントで外部テーブルを直接作成できます。 Databricks では、ストレージ資格情報ではなく外部の場所に対してこの特権を付与することをお勧めします (パスにスコープが設定されているため、ユーザーがクラウド テナントで外部テーブルを作成できる場所をより詳細に制御できます)。
外部ディスク容量を作成
該当するオブジェクトの種類: EXTERNAL LOCATION
ユーザーが外部の場所を使用して外部ボリュームを作成することを許可します。
CREATE FOREIGN CATALOG
該当するオブジェクトの種類: CONNECTION
ユーザーが Lakehouse フェデレーション シナリオで、外部データベースへの接続を使用して、外部カタログを作成できるようにします。
外部のセキュリティ保護可能なリソースを作成する
該当するオブジェクトの種類: EXTERNAL LOCATION
外部カタログを作成しているユーザーが、外部の場所 対象となる承認されたパス を指定できるようにします。
また、ユーザーは Unity カタログメタストアで CREATE CATALOG を持ち、接続には CREATE FOREIGN CATALOG を持つ必要があります。
CREATE FUNCTION
該当するオブジェクトの種類: SCHEMA
ユーザーがスキーマで関数またはプロシージャを作成できるようにします。 権限は継承されるため、 CREATE FUNCTION カタログに付与することもできます。これにより、ユーザーはカタログ内の既存または将来のスキーマで関数またはプロシージャを作成できます。
ユーザーには、親カタログに対する USE CATALOG 権限と、親スキーマに対する USE SCHEMA も必要です。
モデルを作成
該当するオブジェクトの種類: SCHEMA
ユーザーが MLflow 登録済みモデル (スキーマ内のFUNCTIONの一種) をスキーマに作成できるようにします。 権限は継承されるため、CREATE MODEL はカタログに対して付与することもでき、これにより、ユーザーはカタログ内の既存または将来のスキーマに登録済みモデルまたはビューを作成できます。
ユーザーには、親カタログに対する USE CATALOG 権限と、親スキーマに対する USE SCHEMA も必要です。
モデルバージョンを作成
該当するオブジェクトの種類: MODEL
ユーザーが MLflow 登録済みモデル (FUNCTION の一種) の新しいバージョンを登録できるようにします。 モデル バージョンにタグを実行、変更、または追加するためのアクセス許可をユーザーに付与しません。
ユーザーには、親カタログに対する USE CATALOG 権限と、親スキーマに対する USE SCHEMA も必要です。
マネージド ストレージを作成する
該当するオブジェクトの種類: EXTERNAL LOCATION
ユーザーがカタログまたはスキーマ レベルで、マネージド テーブルを格納する場所を指定できます。メタストアの既定のルート ストレージはオーバーライドされます。
CREATE SCHEMA
該当するオブジェクトの種類: CATALOG
ユーザーにスキーマ作成を許可します。 ユーザーには、カタログに対する USE CATALOG 権限も必要です。
サービス資格情報の作成
適用可能なオブジェクトの種類: Unity Catalog メタストア
ユーザーが Unity Catalog メタストアでサービス資格情報を作成できるようにします。
ストレージの資格情報を作成する
適用可能なオブジェクトの種類: Unity Catalog メタストア
ユーザーが Unity Catalog メタストアでストレージ資格情報を作成できるようにします。
CREATE TABLE
該当するオブジェクトの種類: SCHEMA
ユーザーがスキーマにテーブルまたはビューを作成できるようにします。 権限は継承されるため、CREATE TABLE はカタログに対して付与することもでき、これにより、ユーザーはカタログ内の既存または将来のスキーマにテーブルまたはビューを作成できます。
ユーザーには、親カタログに対する USE CATALOG 権限と、親スキーマに対する USE SCHEMA 権限も必要です。
CREATE MATERIALIZED VIEW
該当するオブジェクトの種類: SCHEMA
ユーザーがスキーマに具体化されたビューを作成できるようにします。 権限は継承されるため、CREATE MATERIALIZED VIEW はカタログに対して付与することもでき、これにより、ユーザーはカタログ内の既存または将来のスキーマにテーブルまたはビューを作成できます。
ユーザーには、親カタログに対する USE CATALOG 権限と、親スキーマに対する USE SCHEMA 権限も必要です。
CREATE VOLUME
該当するオブジェクトの種類: SCHEMA
ユーザーがスキーマにボリュームを作成できるようにします。 権限は継承されるため、CREATE VOLUME はカタログに対して付与することもでき、これにより、ユーザーはカタログ内の既存または将来のスキーマにボリュームを作成できます。
ユーザーには、ボリュームの親カタログに対する USE CATALOG 権限と、その親スキーマに対する USE SCHEMA 権限も必要です。
EXECUTE
適用可能なオブジェクトのタイプ: FUNCTION、モデル
ユーザーが親のカタログに対する USE CATALOG と親スキームに対する USE SCHEMA を持つ場合、そのユーザーはユーザー定義関数の呼び出し、または推論用のモデルの読み込みができます。 関数の場合、EXECUTE は関数の定義とメタデータを表示する権限を付与します。 登録済みモデルの場合、EXECUTE は登録済みモデルのすべてのバージョンのメタデータを表示し、モデル ファイルをダウンロードする権限を付与します。
権限は継承されるため、カタログまたはスキーマに対する EXECUTE 権限をユーザーに付与できます。この権限は、カタログまたはスキーマ内のすべての現在および将来の関数に対する EXECUTE 権限をユーザーに自動的に付与します。
クリーン ルーム タスクを実行する
該当するオブジェクトの種類: CLEAN ROOM
ユーザーがクリーン ルームでタスク (ノートブック) を実行できるようにします。 また、ユーザーはクリーン ルームの詳細を表示することもできます。
外部の使用場所
該当するオブジェクトの種類: EXTERNAL LOCATION
Unity カタログオープン API または Apache Spark を使用して、外部処理エンジンから Unity カタログの外部の場所にアクセスするための一時的な資格情報をユーザーに付与できるようにします。
この権限を付与できるのは、外部の場所に対する MANAGE 特権を持つユーザーだけです。
偶発的なデータ流出を回避するために、 ALL PRIVILEGES には EXTERNAL USE LOCATION 特権は含まれません。外部の場所の所有者には既定でこの権限がありません。
「Unity Catalog への外部データ アクセスを有効にする」を参照してください。
外部 USE SCHEMA
Important
この機能はパブリック プレビュー段階にあります。
該当するオブジェクトの種類: SCHEMA
Unity Catalog オープン API または Iceberg REST API を使用して、外部処理エンジンから Unity Catalog テーブルにアクセスするための一時的な資格情報をユーザーに付与できるようにします。
この権限を付与できるのは、カタログ所有者のみです。
偶発的なデータ流出を回避するために、ALL PRIVILEGES には EXTERNAL USE SCHEMA 権限が含まれません。スキーマ所有者は、既定でこの権限を持ちません。
「Unity Catalog への外部データ アクセスを有効にする」を参照してください。
MANAGE
適用可能なオブジェクトの種類: CATALOG、 EXTERNAL LOCATION、 EXTERNAL METADATA、 SERVICE CREDENTIAL、 STORAGE CREDENTIAL、 SCHEMA、 FUNCTION (モデルを含む)、 CONNECTION、 TABLE、 MATERIALIZED VIEW、 VIEW,VOLUME、 CLEAN ROOM
Important
この機能はパブリック プレビュー段階にあります。
ユーザーが権限の表示と管理、所有権の譲渡、オブジェクトの削除、名前の変更を行えます。
MANAGE はオブジェクトの所有権に似ていますが、MANAGE 特権を持つユーザーには、そのオブジェクトに対するすべての特権が自動的に付与されるわけではありません (ただし、自分自身に特権を付与することはできます)。
ユーザーには、オブジェクトの親カタログに対する USE CATALOG 権限と、その親スキーマに対する USE SCHEMA 権限も必要です。
ALL PRIVILEGES には MANAGE 特権は含まれません
ALLOWLIST の管理
適用可能なオブジェクトの種類: Unity Catalog メタストア
ユーザーは、標準アクセス モードで Unity カタログ対応クラスターを管理する許可リストで、init スクリプト、JAR、Maven 座標のパスを追加または変更できます。 標準アクセス モード (以前の共有アクセス モード) を使用したコンピューティングでの許可リスト ライブラリと init スクリプトを参照してください。
MODIFY
該当するオブジェクトの種類: EXTERNAL METADATA、TABLE
ユーザーがテーブルに SELECT を持ち、親カタログに USE CATALOG を持ち、親スキーマに USE SCHEMA を持つ場合、ユーザーはテーブルに対してデータを追加、更新、および削除できます。
権限は継承されるため、カタログまたはスキーマに対する MODIFY 権限をユーザーに付与できます。この権限は、カタログまたはスキーマ内のすべての現在および将来のテーブルに対する MODIFY 権限をユーザーに自動的に付与します。
Note
外部テーブルは読み取り専用であるため、MODIFY に権限を付与することはできません。
クリーン ルームを変更する
該当するオブジェクトの種類: CLEAN ROOM
データ資産の追加と削除、ノートブックの追加と削除、コメントの更新など、ユーザーがクリーン ルームを更新できるようにします。 また、ユーザーはクリーン ルームの詳細を表示することもできます。
ファイルの読み取り
該当するオブジェクトの種類: EXTERNAL LOCATION
READ FILES を使用すると、ユーザーは外部の場所として構成されたクラウド オブジェクト ストレージから直接ファイルを読み取ることができます。 Databricks では、この方法は推奨されません。 代わりに、ボリュームと READ VOLUME 特権を使用して、クラウド オブジェクト ストレージ内のデータへの読み取りアクセスを管理する必要があります。 詳細については、「 外部の場所」を参照してください。
読み取りボリューム
該当するオブジェクトの種類: VOLUME
ユーザーが親のカタログに対する USE CATALOG、および親スキーマに対する USE SCHEMA も持っている場合、ユーザーがボリューム内に保存されているファイルとディレクトリを読み取ることを許可します。
権限は継承されます。 カタログまたはスキーマに対する READ VOLUME 権限をユーザーに許可する場合、カタログまたはスキーマ内のすべての現在および将来のボリュームに対する READ VOLUME 権限をユーザーに自動的に許可します。
REFRESH
該当するオブジェクトの種類: MATERIALIZED VIEW
ユーザーが親カタログに対する USE CATALOG、および親スキーマに対する USE SCHEMA を持っている場合、ユーザーが具体化されたビューを更新できるようにします。
権限は継承されます。 カタログまたはスキーマに対する REFRESH 権限をユーザーに付与すると、カタログまたはスキーマ内の現在および将来のすべての具体化されたビューに対する REFRESH 権限がユーザーに自動的に付与されます。
SELECT
該当するオブジェクトの種類: TABLE、VIEW、MATERIALIZED VIEW、SHARE
テーブルまたはビューに適用された場合、ユーザーが親カタログに USE CATALOG を持ち親スキーマに USE SCHEMA を持っている場合、ユーザーはテーブルまたはビューから選択できます。 共有に適用する場合、受信者は共有から選択できるようになります。
権限は継承されるため、カタログまたはスキーマに対する SELECT 権限をユーザーに付与できます。この権限は、カタログまたはスキーマ内のすべての現在および将来のテーブルとビューに対するユーザー SELECT 権限を自動的に付与します。
USE CATALOG
該当するオブジェクトの種類: CATALOG
この権限は、カタログ自体へのアクセス権を付与するものではありませんが、ユーザーがカタログのオブジェクトを操作するために必要なものです。 たとえば、テーブルからデータを選ぶには、そのテーブルに対する SELECT 権限、親カタログに対する USE CATALOG 権限、および親スキーマに対する USE SCHEMA 権限が必要です。
これは、カタログの所有者が、個々のスキームとテーブル所有者が生成したデータを共有できる範囲を制限できるようにするのに役立ちます。 たとえば、SELECT を別のユーザーに付与するテーブル所有者は、親カタログに対する USE CATALOG 権限と親スキーマに対する USE SCHEMA 権限も付与されていない限り、そのユーザーにテーブルへの読み取りアクセスを許可しません。
親カタログに対する USE CATALOG 権限は、ユーザーがそのカタログに対する BROWSE 権限を持っている場合、オブジェクトのメタデータを読み取る必要はありません。
接続を利用する
該当するオブジェクトの種類: CONNECTION
ユーザーが Lakehouse フェデレーション シナリオで外部データベースへの接続に関する詳細を一覧表示および表示することを許可します。 接続の外部カタログを作成するには、接続または接続の所有権に対する CREATE FOREIGN CATALOG が必要です。
USE SCHEMA
該当するオブジェクトの種類: SCHEMA
この権限は、スキーム自体へのアクセス権を付与するものではありませんが、ユーザーがスキームのオブジェクトを操作するために必要なものです。 たとえば、テーブルからデータを選択するには、ユーザーはそのテーブルに対する SELECT 権限、その親スキーマに対する USE SCHEMA 権限、およびその親カタログに対する USE CATALOG 権限を持っている必要があります。
権限は継承されるため、カタログに対する USE SCHEMA 権限をユーザーに付与できます。この権限は、カタログ内のすべての現在および将来のスキームに対する USE SCHEMA 権限をユーザーに自動的に付与します。
これは、スキーマ所有者が生成するデータを個々のテーブル所有者が共有できる距離を制限するのに役立ちます。 たとえば、別のユーザーに SELECT を付与するテーブル所有者は、親スキーマに対する USE SCHEMA 権限と親カタログに対する USE CATALOG 権限も付与されていない限り、そのユーザーにテーブルへの読み取りアクセスを許可しません。
ユーザーがそのスキーマの親カタログに対するUSE SCHEMA権限を持っている場合、親スキーマに対するBROWSE権限はオブジェクトのメタデータを読み取る必要はありません。
ファイルを作成
該当するオブジェクトの種類: EXTERNAL LOCATION
Databricks では、ボリュームと WRITE VOLUME 特権を使用して、クラウド オブジェクト ストレージ内のデータへの書き込みアクセスを管理することをお勧めします。
WRITE FILES を使用すると、ユーザーは外部の場所として構成されたクラウド オブジェクト ストレージに直接ファイルを書き込みます。 詳細については、「 マネージド ボリュームと外部ボリューム」を参照してください。
書き込みボリューム
該当するオブジェクトの種類: VOLUME
ユーザーが親のカタログに対する USE CATALOG、および親スキーマに対する USE SCHEMA も持っている場合、ユーザーがボリューム内に保存されているファイルとディレクトリを追加、削除、または変更すことを許可します。
権限は継承されます。 カタログまたはスキーマに対する WRITE VOLUME 権限をユーザーに許可する場合、カタログまたはスキーマ内のすべての現在および将来のボリュームに対する WRITE VOLUME 権限をユーザーに自動的に許可します。
Delta Sharing または Databricks Marketplace にのみ適用される権限の種類
このセクションでは、Delta Sharing にのみ適用される権限の種類について詳しく説明します。
プロバイダーを作成
適用可能なオブジェクトの種類: Unity Catalog メタストア
これを使用して、ユーザーはメタストア内に Delta Sharing プロバイダー オブジェクトを作成できます。 プロバイダーは、Delta Sharing 共有を使用して、共有データを持っている組織やユーザーのグループを識別します。 プロバイダーの作成は、受信者の Databricks アカウントのユーザーによって実行されます。 「Delta Sharing とは ?」をご覧ください。
CREATE RECIPIENT
適用可能なオブジェクトの種類: Unity Catalog メタストア
これを使用して、ユーザーはメタストア内に Delta Sharing 受信者オブジェクトを作成できます。 受信者は Delta 共有を使用してデータを共有できるユーザーの組織またはグループを識別します。 受信者の作成は、プロバイダーの Databricks アカウントのユーザーによって実行されます。 「Delta Sharing とは ?」をご覧ください。
CREATE SHARE
適用可能なオブジェクトの種類: Unity Catalog メタストア
ユーザーにメタストアでの共有の作成を許可します。 共有は Delta 共有を使用して共有する予定のテーブルの論理グループです。
SET 共有アクセス許可
適用可能なオブジェクトの種類: Unity Catalog メタストア
Delta Sharing では、この権限を USE SHARE と USE RECIPIENT (または受信者の所有権) と組み合わせることで、プロバイダー ユーザーは受信者に共有へのアクセス権を付与できるようになります。
USE SHARE と組み合わせることで、共有の所有権を別のユーザー、グループ、またはサービス プリンシパルに譲渡できます。
MARKETPLACE アセットを使用する
適用可能なオブジェクトの種類: Unity Catalog メタストア
すべての Unity Catalog メタストアに対して既定で有効になっています。 Databricks Marketplace では、この権限に権限によって Marketplace リストで共有されているデータ製品に関して、ユーザーはインスタント アクセスを取得したり、アクセスを要求したりできます。 また、プロバイダーがデータ製品を共有するときに作成される読み取り専用カタログに、ユーザーがアクセスすることもできます。 この権限がないと、ユーザーには CREATE CATALOG および USE PROVIDER 権限またはメタストア管理者ロールが必要になります。 これにより、それらの強力なアクセス許可を持つユーザーの数を制限できます。
プロバイダーを使用する
適用可能なオブジェクトの種類: Unity Catalog メタストア
Delta Sharing では、受信者のユーザーに、受信者メタストア内のすべてのプロバイダーとその共有への読み取り専用アクセス権を付与します。 この権限を CREATE CATALOG 権限と組み合わせることで、メタストア管理者ではない受信者ユーザーは、共有をカタログとしてマウントできます。 これにより、強力なメタストア管理者ロールを持つユーザーの数を制限できます。
受信者を使用する
適用可能なオブジェクトの種類: Unity Catalog メタストア
Delta Sharing では、プロバイダー ユーザーに、プロバイダー メタストア内のすべての受信者とその共有への読み取り専用アクセス権を付与します。 これにより、メタストア管理者ではないプロバイダー ユーザーは、受信者の詳細、受信者の認証ステータス、プロバイダーが受信者と共有している共有の一覧を表示できます。
Databricks Marketplace では、プロバイダー ユーザーはプロバイダー コンソールで一覧とコンシューマー要求を表示できます。
SHARE を使用する
適用可能なオブジェクトの種類: Unity Catalog メタストア
Delta Sharing では、プロバイダーのユーザーに、プロバイダー メタストア内で定義されたすべての共有への読み取り専用アクセス権を付与します。 これにより、メタストア管理者ではないプロバイダー ユーザーは、共有を一覧表示し、共有内の資産 (テーブルとノートブック) を共有の受信者と共に一覧表示できます。
Databricks Marketplace では、これにより、プロバイダー ユーザーはリストで共有されているデータに関する詳細を表示できます。