必要なアクセス許可

このページでは、Google クラウド上でDatabricksワークスペースを作成および管理するために必要な権限について説明します。

Google クラウドでは、各ワークスペースは顧客所有のワークスペースプロジェクト内で実行されます。 Databricks は、ワークスペースを管理するために必要な最小限の権限を持つワークスペースごとのサービスアカウントを作成し、所有します。 Databricks は、ワークスペース作成者の資格情報を使用して、ワークスペースプロジェクトのサービスアカウントに権限を付与します。ワークスペースを正常に作成するには、Databricks アカウント管理者がワークスペースプロジェクトに対する必要なアクセス許可を持っている必要があります。

ワークスペース作成者に必要な権限

Databricks は、ワークスペース作成者の資格情報を使用して、設定を検証し、権限を付与し、必要なサービスを有効にし、ワークスペースをプロビジョニングします。このプロセス中、Databricks ではワークスペースプロジェクトとネットワークプロジェクトに対する次のアクセス許可が必要です。

Google の許可	目的	ユースケース
`iam.roles.create`	カスタムロールを作成します。	ワークスペースのサービスアカウントに権限を付与するためのカスタムロールを作成および管理します。
`iam.roles.delete`	カスタムロールを削除します。	ワークスペースのサービスアカウントに権限を付与するためのカスタムロールを作成および管理します。
`iam.roles.get`	カスタムロールを取得します。	ワークスペースのサービスアカウントに権限を付与するためのカスタムロールを作成および管理します。
`iam.roles.update`	カスタムロールを更新します。	ワークスペースのサービスアカウントに権限を付与するためのカスタムロールを作成および管理します。
`iam.serviceAccounts.getIamPolicy`	IAM ポリシーを取得します。	GKE クラスターを起動するために、ワークスペースサービスアカウントに Google クラウドコンピュート Engine (GCE) サービスアカウントの`Service Account User`ロールを付与します。
`iam.serviceAccounts.setIamPolicy`	IAM ポリシーを設定します。	GKE クラスターを起動するために、ワークスペースサービスアカウントに Google クラウドコンピュート Engine (GCE) サービスアカウントの`Service Account User`ロールを付与します。
`resourcemanager.projects.get`	プロジェクト ID からプロジェクト番号を取得します。	ワークスペースプロジェクトに関する基本情報を取得します。
`resourcemanager.projects.getIamPolicy`	IAM ポリシーを取得します。	ワークスペースプロジェクトに関する基本情報を取得します。
`resourcemanager.projects.setIamPolicy`	IAM ポリシーを設定します。	ワークスペースプロジェクトに関する基本情報を取得します。
`serviceusage.services.get`	顧客プロジェクトで必要な Google クラウドAPIsが有効になっているかどうかを検証します。	Databricksワークロードに必要な Google クラウドサービスを有効にします。
`serviceusage.services.list`	顧客プロジェクトで必要な Google クラウドAPIsが有効になっているかどうかを検証します。	Databricksワークロードに必要な Google クラウドサービスを有効にします。
`serviceusage.services.enable`	プロジェクトで必要な Google クラウドAPIsまだ有効になっていない場合は、有効にします。	Databricksワークロードに必要な Google クラウドサービスを有効にします。
`compute.networks.get`	VPC ネットワークの存在を検証します。	ワークスペースプロジェクト以外のプロジェクトに属している可能性がある、顧客提供の VPC ネットワークのネットワークリソースを検証します。
`compute.projects.get`	VPC ネットワークのホストプロジェクトを取得します。	ワークスペースプロジェクト以外のプロジェクトに属している可能性がある、顧客提供の VPC ネットワークのネットワークリソースを検証します。
`compute.subnetworks.get`	VPC ネットワークのサブネットを検証します。	ワークスペースプロジェクト以外のプロジェクトに属している可能性がある、顧客提供の VPC ネットワークのネットワークリソースを検証します。
`compute.forwardingRules.get`	Private サービス Connect の転送ルールを一覧表示します。	プライベートサービス Connectを有効にする場合に必要です。
`compute.forwardingRules.list`	Private サービス Connect の転送ルールを取得します。	プライベートサービス Connectを有効にする場合に必要です。

ワークスペースサービスアカウントに必要な権限

ワークスペースサービスアカウントには、ワークスペースを操作および管理するために、ワークスペースプロジェクトに対する次の IAM ロールの権限が必要です。

GKE 管理者ロール: GKE 上で実行されている顧客のワークロードを操作および管理するために必要です。
GCE ストレージ管理者ロール: GKE ノードに関連付けられた Google コンピュートエンジン (GCE) 永続ストレージを操作および管理するために必要です。
Databricks Workspaceロール: ワークスペースを管理するために必要な追加の権限を付与するためのワークスペースごとのカスタムロール。

権限	目的	ユースケース
`compute.globalOperations.get`	GCEの停止中にGCEの運用を可視化するための運用データを取得します。	ワークロードを実行するために Google クラウドコンピュートエンジン (GCE) リソースを管理します。
`compute.instanceGroups.get`	GCE のトラブルシューティングのためにインスタンスグループを取得します。ワークロードを実行するために Google クラウドコンピュートエンジン (GCE) リソースを管理します。	ワークロードを実行するために Google クラウドコンピュートエンジン (GCE) リソースを管理します。
`compute.instanceGroups.list`	GCE のトラブルシューティングのためにインスタンスグループを一覧表示します。ワークロードを実行するために Google クラウドコンピュートエンジン (GCE) リソースを管理します。	ワークロードを実行するために Google クラウドコンピュートエンジン (GCE) リソースを管理します。
`compute.instances.get`	コンピュートインスタンスを取得します。ワークロードを実行するために Google クラウドコンピュートエンジン (GCE) リソースを管理します。	ワークロードを実行するために Google クラウドコンピュートエンジン (GCE) リソースを管理します。
`compute.instances.list`	GCE のトラブルシューティングのためにコンピュートインスタンスを一覧表示します。ワークロードを実行するために Google クラウドコンピュートエンジン (GCE) リソースを管理します。	ワークロードを実行するために Google クラウドコンピュートエンジン (GCE) リソースを管理します。
`compute.instances.setLabels`	コンピュートインスタンスラベルを設定します。ワークロードを実行するために Google クラウドコンピュートエンジン (GCE) リソースを管理します。	ワークロードを実行するために Google クラウドコンピュートエンジン (GCE) リソースを管理します。
`compute.disks.get`	ディスクを取得します。ワークロードを実行するために Google クラウドコンピュートエンジン (GCE) リソースを管理します。	ワークロードを実行するために Google クラウドコンピュートエンジン (GCE) リソースを管理します。
`compute.disks.setLabels`	ディスクラベルを設定します。ワークロードを実行するために Google クラウドコンピュートエンジン (GCE) リソースを管理します。	ワークロードを実行するために Google クラウドコンピュートエンジン (GCE) リソースを管理します。
`compute.networks.access`	ネットワークリソースを管理します。	ワークロードを実行するために Google クラウドコンピュートエンジン (GCE) リソースを管理します。
`compute.networks.create`	ネットワークリソースを管理します。顧客管理 VPC を使用する場合、この権限は、 Databricksサービスアカウントに付与するカスタムロールには含まれません。	ワークロードを実行するために Google クラウドコンピュートエンジン (GCE) リソースを管理します。
`compute.networks.delete`	ネットワークリソースを管理します。顧客管理 VPC を使用する場合、この権限は、 Databricksサービスアカウントに付与するカスタムロールには含まれません。	ワークロードを実行するために Google クラウドコンピュートエンジン (GCE) リソースを管理します。
`compute.networks.get`	ネットワークリソースを管理します。	ワークロードを実行するために Google クラウドコンピュートエンジン (GCE) リソースを管理します。
`compute.networks.getEffectiveFirewalls`	ネットワークリソースを管理します。	ワークロードを実行するために Google クラウドコンピュートエンジン (GCE) リソースを管理します。
`compute.networks.update`	ネットワークリソースを管理します。顧客管理 VPC を使用する場合、この権限は、 Databricksサービスアカウントに付与するカスタムロールには含まれません。	ワークロードを実行するために Google クラウドコンピュートエンジン (GCE) リソースを管理します。
`compute.networks.updatePolicy`	ネットワークリソースを管理します。顧客管理 VPC を使用する場合、この権限は、 Databricksサービスアカウントに付与するカスタムロールには含まれません。	ワークロードを実行するために Google クラウドコンピュートエンジン (GCE) リソースを管理します。
`compute.networks.use`	ネットワークリソースを管理します。	ワークロードを実行するために Google クラウドコンピュートエンジン (GCE) リソースを管理します。
`compute.networks.useExternalIp`	ネットワークリソースを管理します。	ワークロードを実行するために Google クラウドコンピュートエンジン (GCE) リソースを管理します。
`compute.regionOperations.get`	GCE の停止中に Google コンピュートエンジン (GCE) の動作を可視化するためのリージョン操作を取得します。	ワークロードを実行するために Google クラウドコンピュートエンジン (GCE) リソースを管理します。
`compute.routers.create`	ネットワークリソースを管理します。顧客管理 VPC を使用する場合、この権限は、 Databricksサービスアカウントに付与するカスタムロールには含まれません。	ワークロードを実行するために Google クラウドコンピュートエンジン (GCE) リソースを管理します。
`compute.routers.delete`	ネットワークリソースを管理します。顧客管理 VPC を使用する場合、この権限は、 Databricksサービスアカウントに付与するカスタムロールには含まれません。	ワークロードを実行するために Google クラウドコンピュートエンジン (GCE) リソースを管理します。
`compute.routers.get`	ネットワークリソースを管理します。	ワークロードを実行するために Google クラウドコンピュートエンジン (GCE) リソースを管理します。
`compute.routers.update`	ネットワークリソースを管理します。顧客管理 VPC を使用する場合、この権限は、 Databricksサービスアカウントに付与するカスタムロールには含まれません。	ワークロードを実行するために Google クラウドコンピュートエンジン (GCE) リソースを管理します。
`compute.routers.use`	ネットワークリソースを管理します。	ワークロードを実行するために Google クラウドコンピュートエンジン (GCE) リソースを管理します。
`compute.subnetworks.create`	ネットワークリソースを管理します。顧客管理 VPC を使用する場合、この権限は、 Databricksサービスアカウントに付与するカスタムロールには含まれません。	ワークロードを実行するために Google クラウドコンピュートエンジン (GCE) リソースを管理します。
`compute.subnetworks.delete`	ネットワークリソースを管理します。顧客管理 VPC を使用する場合、この権限は、 Databricksサービスアカウントに付与するカスタムロールには含まれません。	ワークロードを実行するために Google クラウドコンピュートエンジン (GCE) リソースを管理します。
`compute.subnetworks.expandIpCidrRange`	ネットワークリソースを管理します。顧客管理 VPC を使用する場合、この権限は、 Databricksサービスアカウントに付与するカスタムロールには含まれません。	ワークロードを実行するために Google クラウドコンピュートエンジン (GCE) リソースを管理します。
`compute.subnetworks.get`	ネットワークリソースを管理します。	ワークロードを実行するために Google クラウドコンピュートエンジン (GCE) リソースを管理します。
`compute.subnetworks.getIamPolicy`	ネットワークリソースを管理します。	ワークロードを実行するために Google クラウドコンピュートエンジン (GCE) リソースを管理します。
`compute.subnetworks.setIamPolicy`	ネットワークリソースを管理します。顧客管理 VPC を使用する場合、この権限は、 Databricksサービスアカウントに付与するカスタムロールには含まれません。	ワークロードを実行するために Google クラウドコンピュートエンジン (GCE) リソースを管理します。
`compute.subnetworks.setPrivateIpGoogleAccess`	ネットワークリソースを管理します。顧客管理 VPC を使用する場合、この権限は、 Databricksサービスアカウントに付与するカスタムロールには含まれません。	ワークロードを実行するために Google クラウドコンピュートエンジン (GCE) リソースを管理します。
`compute.subnetworks.update`	ネットワークリソースを管理します。顧客管理 VPC を使用する場合、この権限は、 Databricksサービスアカウントに付与するカスタムロールには含まれません。	ワークロードを実行するために Google クラウドコンピュートエンジン (GCE) リソースを管理します。
`compute.subnetworks.use`	ネットワークリソースを管理します。	ワークロードを実行するために Google クラウドコンピュートエンジン (GCE) リソースを管理します。
`compute.subnetworks.useExternalIp`	ネットワークリソースを管理します。	ワークロードを実行するために Google クラウドコンピュートエンジン (GCE) リソースを管理します。
`container.clusterRoleBindings.create`	クラスターロールバインディングを作成します。	Databricks ワークロードを実行するために GKE クラスターを管理します。
`container.clusterRoleBindings.get`	クラスターのロールバインディングを取得します。	Databricks ワークロードを実行するために GKE クラスターを管理します。
`container.clusterRoles.bind`	クラスターロールバインディングをバインドします。	Databricks ワークロードを実行するために GKE クラスターを管理します。
`container.clusterRoles.create`	クラスターロールを作成します。	Databricks ワークロードを実行するために GKE クラスターを管理します。
`container.clusterRoles.get`	クラスターのロールを取得します。	Databricks ワークロードを実行するために GKE クラスターを管理します。
`container.clusters.create`	クラスターロールを作成します。	Databricks ワークロードを実行するために GKE クラスターを管理します。
`container.clusters.delete`	クラスターのロールを削除します。	Databricks ワークロードを実行するために GKE クラスターを管理します。
`container.clusters.get`	クラスターを取得します。	Databricks ワークロードを実行するために GKE クラスターを管理します。
`container.clusters.getCredentials`	クラスターの資格情報を取得します。	Databricks ワークロードを実行するために GKE クラスターを管理します。
`container.clusters.list`	クラスターを一覧表示します。	Databricks ワークロードを実行するために GKE クラスターを管理します。
`container.clusters.update`	クラスターを更新します。	Databricks ワークロードを実行するために GKE クラスターを管理します。
`container.configMaps.create`	configMap を作成します。	Databricks ワークロードを実行するために GKE クラスターを管理します。
`container.configMaps.get`	configMapsを入手してください。	Databricks ワークロードを実行するために GKE クラスターを管理します。
`container.configMaps.update`	configMap を更新します。	Databricks ワークロードを実行するために GKE クラスターを管理します。
`container.customResourceDefinitions.create`	カスタムリソース定義を作成します。	Databricks ワークロードを実行するために GKE クラスターを管理します。
`container.customResourceDefinitions.get`	カスタムリソース定義を取得します。	Databricks ワークロードを実行するために GKE クラスターを管理します。
`container.customResourceDefinitions.update`	カスタムリソース定義を更新します。	Databricks ワークロードを実行するために GKE クラスターを管理します。
`container.daemonSets.create`	デーモンセットを作成します。	Databricks ワークロードを実行するために GKE クラスターを管理します。
`container.daemonSets.get`	デーモンセットを取得します。	Databricks ワークロードを実行するために GKE クラスターを管理します。
`container.daemonSets.update`	デーモンセットを更新します。	Databricks ワークロードを実行するために GKE クラスターを管理します。
`container.deployments.create`	デプロイを作成します。	Databricks ワークロードを実行するために GKE クラスターを管理します。
`container.deployments.get`	デプロイを取得します。	Databricks ワークロードを実行するために GKE クラスターを管理します。
`container.deployments.update`	デプロイを更新します。	Databricks ワークロードを実行するために GKE クラスターを管理します。
`container.jobs.create`	ジョブを作成します。	Databricks ワークロードを実行するために GKE クラスターを管理します。
`container.jobs.get`	ジョブを取得。	Databricks ワークロードを実行するために GKE クラスターを管理します。
`container.jobs.update`	ジョブを更新します。	Databricks ワークロードを実行するために GKE クラスターを管理します。
`container.namespaces.create`	名前空間を作成します。	Databricks ワークロードを実行するために GKE クラスターを管理します。
`container.namespaces.get`	名前空間を取得します。	Databricks ワークロードを実行するために GKE クラスターを管理します。
`container.namespaces.list`	名前空間を一覧表示します。	Databricks ワークロードを実行するために GKE クラスターを管理します。
`container.operations.get`	操作を取得します。	Databricks ワークロードを実行するために GKE クラスターを管理します。
`container.pods.get`	ポッドを取得します。	Databricks ワークロードを実行するために GKE クラスターを管理します。
`container.pods.getLogs`	ポッドログを取得します。	Databricks ワークロードを実行するために GKE クラスターを管理します。
`container.pods.list`	ポッドを一覧表示します。	Databricks ワークロードを実行するために GKE クラスターを管理します。
`container.roleBindings.create`	ロール・バインディングを作成します。	Databricks ワークロードを実行するために GKE クラスターを管理します。
`container.roleBindings.get`	ロールバインドを取得します。	Databricks ワークロードを実行するために GKE クラスターを管理します。
`container.roles.bind`	ロールをバインドします。	Databricks ワークロードを実行するために GKE クラスターを管理します。
`container.roles.create`	ロールを作成します。	Databricks ワークロードを実行するために GKE クラスターを管理します。
`container.roles.get`	ロールを取得します。	Databricks ワークロードを実行するために GKE クラスターを管理します。
`container.secrets.create`	シークレットを作成します。	Databricks ワークロードを実行するために GKE クラスターを管理します。
`container.secrets.get`	秘密を取得します。	Databricks ワークロードを実行するために GKE クラスターを管理します。
`container.secrets.update`	シークレットを更新します。	Databricks ワークロードを実行するために GKE クラスターを管理します。
`container.serviceAccounts.create`	サービスアカウントを作成します。	Databricks ワークロードを実行するために GKE クラスターを管理します。
`container.serviceAccounts.get`	サービスアカウントを取得します。	Databricks ワークロードを実行するために GKE クラスターを管理します。
`container.services.create`	サービスを作成します。	Databricks ワークロードを実行するために GKE クラスターを管理します。
`container.services.get`	サービスを受けましょう。	Databricks ワークロードを実行するために GKE クラスターを管理します。
`container.thirdPartyObjects.create`	サードパーティオブジェクトを作成します。	Databricks ワークロードを実行するために GKE クラスターを管理します。
`container.thirdPartyObjects.delete`	サードパーティオブジェクトを削除します。	Databricks ワークロードを実行するために GKE クラスターを管理します。
`container.thirdPartyObjects.get`	サードパーティのオブジェクトを取得します。	Databricks ワークロードを実行するために GKE クラスターを管理します。
`container.thirdPartyObjects.list`	サードパーティオブジェクトを一覧表示します。	Databricks ワークロードを実行するために GKE クラスターを管理します。
`container.thirdPartyObjects.update`	サードパーティオブジェクトを更新します。	Databricks ワークロードを実行するために GKE クラスターを管理します。
`iam.serviceAccounts.getIamPolicy`	サービスアカウントを検査するか、クラスターにバインドします。	クラスターのサービスアカウントがデータにアクセスできるように、GKE Workload Identityを構成します。
`iam.serviceAccounts.setIamPolicy`	サービスアカウントを検査するか、クラスターにバインドします。	クラスターのサービスアカウントがデータにアクセスできるように、GKE Workload Identityを構成します。
`resourcemanager.projects.get`	顧客プロジェクト ID をプロジェクト番号に変換します。	プロジェクトがライブかどうか、ワークスペースサービスアカウントに十分な権限があるかどうかなど、プロジェクトのステータスを検証します。
`resourcemanager.projects.getIamPolicy`	プロジェクトの IAM ポリシーが正しく設定されているかどうかを確認します。	プロジェクトがライブかどうか、ワークスペースサービスアカウントに十分な権限があるかどうかなど、プロジェクトのステータスを検証します。
`storage.buckets.create`	バケットを作成します。	これは、 DBFS用の GCS バケットを作成および管理するために必要です。
`storage.buckets.delete`	バケットを削除します。	これは、 DBFS用の GCS バケットを作成および管理するために必要です。
`storage.buckets.get`	バケツを入手してください。	これは、 DBFS用の GCS バケットを作成および管理するために必要です。
`storage.buckets.getIamPolicy`	ストレージ IAM ポリシーを取得します。	これは、 DBFS用の GCS バケットを作成および管理するために必要です。
`storage.buckets.list`	バケットを一覧表示します。	これは、 DBFS用の GCS バケットを作成および管理するために必要です。
`storage.buckets.setIamPolicy`	ストレージ IAM ポリシーを設定します。	これは、 DBFS用の GCS バケットを作成および管理するために必要です。
`storage.buckets.update`	ストレージ IAM ポリシーを更新します。	これは、 DBFS用の GCS バケットを作成および管理するために必要です。
`storage.objects.create`	ストレージオブジェクトを作成します。	DBFSオブジェクトの読み取りと書き込みを行います。
`storage.objects.delete`	ストレージオブジェクトを削除します。	DBFSオブジェクトの読み取りと書き込みを行います。
`storage.objects.get`	ストレージオブジェクトを取得します。	DBFSオブジェクトの読み取りと書き込みを行います。
`storage.objects.list`	ストレージ・オブジェクトをリストします。	DBFSオブジェクトの読み取りと書き込みを行います。
`storage.objects.update`	ストレージオブジェクトを更新します。	DBFSオブジェクトの読み取りと書き込みを行います。

{ # 's' 変数は、ここの検索ページを表します。 TODO: 修正してください。 #}

DATA+AUサミット2024