必要なアクセス許可
このページでは、Google Cloud上でDatabricksワークスペースを作成および管理するために必要な権限について説明します。
Google Cloudでは、各ワークスペースは顧客所有のワークスペース プロジェクト内で実行されます。 Databricks は、ワークスペースを管理するために必要な最小限の権限を持つワークスペースごとのサービス アカウントを作成し、所有します。 Databricks は、ワークスペース作成者の資格情報を使用して、ワークスペース プロジェクトのサービス アカウントに権限を付与します。 ワークスペースを正常に作成するには、Databricks アカウント管理者がワークスペース プロジェクトに対する必要なアクセス許可を持っている必要があります。
ワークスペース作成者に必要な権限
Databricks は、ワークスペース作成者の資格情報を使用して、設定を検証し、権限を付与し、必要なサービスを有効にし、ワークスペースをプロビジョニングします。 このプロセス中、Databricks ではワークスペース プロジェクトとネットワーク プロジェクトに対する次のアクセス許可が必要です。
注:
ワークスペースの作成は、通常、完了するのに 1 分もかかりません。 Databricks は、ワークスペースの作成後にこれらのアクセス許可を保持したり使用したりしません。
Google の許可 |
目的 |
ユースケース |
---|---|---|
|
カスタムロールを作成します。 |
ワークスペースのサービス アカウントに権限を付与するためのカスタム ロールを作成および管理します。 |
|
カスタムロールを削除します。 |
ワークスペースのサービス アカウントに権限を付与するためのカスタム ロールを作成および管理します。 |
|
カスタムロールを取得します。 |
ワークスペースのサービス アカウントに権限を付与するためのカスタム ロールを作成および管理します。 |
|
カスタムロールを更新します。 |
ワークスペースのサービス アカウントに権限を付与するためのカスタム ロールを作成および管理します。 |
|
IAM ポリシーを取得します。 |
GKE クラスターを起動するために、ワークスペース サービス アカウント に Google Cloud コンピュート Engine (GCE) サービス アカウント の |
|
IAM ポリシーを設定します。 |
GKE クラスターを起動するために、ワークスペース サービス アカウント に Google Cloud コンピュート Engine (GCE) サービス アカウント の |
|
プロジェクト ID からプロジェクト番号を取得します。 |
ワークスペース プロジェクトに関する基本情報を取得します。 |
|
IAM ポリシーを取得します。 |
ワークスペース プロジェクトに関する基本情報を取得します。 |
|
IAM ポリシーを設定します。 |
ワークスペース プロジェクトに関する基本情報を取得します。 |
|
顧客プロジェクトで必要な Google CloudAPIsが有効になっているかどうかを検証します。 |
Databricksワークロードに必要な Google Cloud サービスを有効にします。 |
|
顧客プロジェクトで必要な Google CloudAPIsが有効になっているかどうかを検証します。 |
Databricksワークロードに必要な Google Cloud サービスを有効にします。 |
|
プロジェクトで必要な Google CloudAPIsまだ有効になっていない場合は、有効にします。 |
Databricksワークロードに必要な Google Cloud サービスを有効にします。 |
|
VPC ネットワークの存在を検証します。 |
ワークスペース プロジェクト以外のプロジェクトに属している可能性がある、顧客提供の VPC ネットワークのネットワーク リソースを検証します。 |
|
VPC ネットワークのホスト プロジェクトを取得します。 |
ワークスペース プロジェクト以外のプロジェクトに属している可能性がある、顧客提供の VPC ネットワークのネットワーク リソースを検証します。 |
|
VPC ネットワークのサブネットを検証します。 |
ワークスペース プロジェクト以外のプロジェクトに属している可能性がある、顧客提供の VPC ネットワークのネットワーク リソースを検証します。 |
|
Private サービス Connect の転送ルールを一覧表示します。 |
プライベート サービス Connectを有効にする場合に必要です。 |
|
Private サービス Connect の転送ルールを取得します。 |
プライベート サービス Connectを有効にする場合に必要です。 |
|
クラウド KMS リソースのアクセス制御ポリシーを取得します。 |
クラウド KMS キーで必須 ( 顧客管理キーを有効にする場合)。 |
|
アクセス制御ポリシーをクラウド KMS リソースに設定します。 |
クラウド KMS キーで必須 ( 顧客管理キーを有効にする場合)。 |
ワークスペース サービス アカウントに必要な権限
ワークスペース サービス アカウント には、ワークスペースを操作および管理するために、ワークスペース プロジェクトに対する次の IAM ロールの権限が必要です。
GKE 管理者ロール: GKE 上で実行されている顧客のワークロードを操作および管理するために必要です。
GCE ストレージ管理者ロール: GKE ノードに関連付けられた Google コンピュート エンジン (GCE) 永続ストレージを操作および管理するために必要です。
Databricks Workspaceロール: ワークスペースを管理するために必要な追加の権限を付与するためのワークスペースごとのカスタム ロール。
権限 |
目的 |
ユースケース |
---|---|---|
|
GCEの停止中にGCEの運用を可視化するための運用データを取得します。 |
ワークロードを実行するために Google Cloud コンピュート エンジン (GCE) リソースを管理します。 |
|
GCE のトラブルシューティングのためにインスタンス グループを取得します。 ワークロードを実行するために Google Cloud コンピュート エンジン (GCE) リソースを管理します。 |
ワークロードを実行するために Google Cloud コンピュート エンジン (GCE) リソースを管理します。 |
|
GCE のトラブルシューティングのためにインスタンス グループを一覧表示します。 ワークロードを実行するために Google Cloud コンピュート エンジン (GCE) リソースを管理します。 |
ワークロードを実行するために Google Cloud コンピュート エンジン (GCE) リソースを管理します。 |
|
コンピュートインスタンスを取得します。 ワークロードを実行するために Google Cloud コンピュート エンジン (GCE) リソースを管理します。 |
ワークロードを実行するために Google Cloud コンピュート エンジン (GCE) リソースを管理します。 |
|
GCE のトラブルシューティングのためにコンピュート インスタンスを一覧表示します。 ワークロードを実行するために Google Cloud コンピュート エンジン (GCE) リソースを管理します。 |
ワークロードを実行するために Google Cloud コンピュート エンジン (GCE) リソースを管理します。 |
|
コンピュートインスタンスラベルを設定します。 ワークロードを実行するために Google Cloud コンピュート エンジン (GCE) リソースを管理します。 |
ワークロードを実行するために Google Cloud コンピュート エンジン (GCE) リソースを管理します。 |
|
ディスクを取得します。 ワークロードを実行するために Google Cloud コンピュート エンジン (GCE) リソースを管理します。 |
ワークロードを実行するために Google Cloud コンピュート エンジン (GCE) リソースを管理します。 |
|
ディスクラベルを設定します。 ワークロードを実行するために Google Cloud コンピュート エンジン (GCE) リソースを管理します。 |
ワークロードを実行するために Google Cloud コンピュート エンジン (GCE) リソースを管理します。 |
|
ネットワーク リソースを管理します。 |
ワークロードを実行するために Google Cloud コンピュート エンジン (GCE) リソースを管理します。 |
|
ネットワーク リソースを管理します。 顧客管理 VPC を 使用する場合、この権限は、 Databricksサービス アカウントに付与するカスタム ロールには含ま れません 。 |
ワークロードを実行するために Google Cloud コンピュート エンジン (GCE) リソースを管理します。 |
|
ネットワーク リソースを管理します。 顧客管理 VPC を 使用する場合、この権限は、 Databricksサービス アカウントに付与するカスタム ロールには含ま れません 。 |
ワークロードを実行するために Google Cloud コンピュート エンジン (GCE) リソースを管理します。 |
|
ネットワーク リソースを管理します。 |
ワークロードを実行するために Google Cloud コンピュート エンジン (GCE) リソースを管理します。 |
|
ネットワーク リソースを管理します。 |
ワークロードを実行するために Google Cloud コンピュート エンジン (GCE) リソースを管理します。 |
|
ネットワーク リソースを管理します。 顧客管理 VPC を 使用する場合、この権限は、 Databricksサービス アカウントに付与するカスタム ロールには含ま れません 。 |
ワークロードを実行するために Google Cloud コンピュート エンジン (GCE) リソースを管理します。 |
|
ネットワーク リソースを管理します。 顧客管理 VPC を 使用する場合、この権限は、 Databricksサービス アカウントに付与するカスタム ロールには含ま れません 。 |
ワークロードを実行するために Google Cloud コンピュート エンジン (GCE) リソースを管理します。 |
|
ネットワーク リソースを管理します。 |
ワークロードを実行するために Google Cloud コンピュート エンジン (GCE) リソースを管理します。 |
|
ネットワーク リソースを管理します。 |
ワークロードを実行するために Google Cloud コンピュート エンジン (GCE) リソースを管理します。 |
|
GCE の停止中に Google コンピュート エンジン (GCE) の動作を可視化するためのリージョン操作を取得します。 |
ワークロードを実行するために Google Cloud コンピュート エンジン (GCE) リソースを管理します。 |
|
ネットワーク リソースを管理します。 顧客管理 VPC を 使用する場合、この権限は、 Databricksサービス アカウントに付与するカスタム ロールには含ま れません 。 |
ワークロードを実行するために Google Cloud コンピュート エンジン (GCE) リソースを管理します。 |
|
ネットワーク リソースを管理します。 顧客管理 VPC を 使用する場合、この権限は、 Databricksサービス アカウントに付与するカスタム ロールには含ま れません 。 |
ワークロードを実行するために Google Cloud コンピュート エンジン (GCE) リソースを管理します。 |
|
ネットワーク リソースを管理します。 |
ワークロードを実行するために Google Cloud コンピュート エンジン (GCE) リソースを管理します。 |
|
ネットワーク リソースを管理します。 顧客管理 VPC を 使用する場合、この権限は、 Databricksサービス アカウントに付与するカスタム ロールには含ま れません 。 |
ワークロードを実行するために Google Cloud コンピュート エンジン (GCE) リソースを管理します。 |
|
ネットワーク リソースを管理します。 |
ワークロードを実行するために Google Cloud コンピュート エンジン (GCE) リソースを管理します。 |
|
ネットワーク リソースを管理します。 顧客管理 VPC を 使用する場合、この権限は、 Databricksサービス アカウントに付与するカスタム ロールには含ま れません 。 |
ワークロードを実行するために Google Cloud コンピュート エンジン (GCE) リソースを管理します。 |
|
ネットワーク リソースを管理します。 顧客管理 VPC を 使用する場合、この権限は、 Databricksサービス アカウントに付与するカスタム ロールには含ま れません 。 |
ワークロードを実行するために Google Cloud コンピュート エンジン (GCE) リソースを管理します。 |
|
ネットワーク リソースを管理します。 顧客管理 VPC を 使用する場合、この権限は、 Databricksサービス アカウントに付与するカスタム ロールには含ま れません 。 |
ワークロードを実行するために Google Cloud コンピュート エンジン (GCE) リソースを管理します。 |
|
ネットワーク リソースを管理します。 |
ワークロードを実行するために Google Cloud コンピュート エンジン (GCE) リソースを管理します。 |
|
ネットワーク リソースを管理します。 |
ワークロードを実行するために Google Cloud コンピュート エンジン (GCE) リソースを管理します。 |
|
ネットワーク リソースを管理します。 顧客管理 VPC を 使用する場合、この権限は、 Databricksサービス アカウントに付与するカスタム ロールには含ま れません 。 |
ワークロードを実行するために Google Cloud コンピュート エンジン (GCE) リソースを管理します。 |
|
ネットワーク リソースを管理します。 顧客管理 VPC を 使用する場合、この権限は、 Databricksサービス アカウントに付与するカスタム ロールには含ま れません 。 |
ワークロードを実行するために Google Cloud コンピュート エンジン (GCE) リソースを管理します。 |
|
ネットワーク リソースを管理します。 顧客管理 VPC を 使用する場合、この権限は、 Databricksサービス アカウントに付与するカスタム ロールには含ま れません 。 |
ワークロードを実行するために Google Cloud コンピュート エンジン (GCE) リソースを管理します。 |
|
ネットワーク リソースを管理します。 |
ワークロードを実行するために Google Cloud コンピュート エンジン (GCE) リソースを管理します。 |
|
ネットワーク リソースを管理します。 |
ワークロードを実行するために Google Cloud コンピュート エンジン (GCE) リソースを管理します。 |
|
クラスター ロール バインディングを作成します。 |
Databricks ワークロードを実行するために GKE クラスターを管理します。 |
|
クラスターのロール バインディングを取得します。 |
Databricks ワークロードを実行するために GKE クラスターを管理します。 |
|
クラスター ロール バインディングをバインドします。 |
Databricks ワークロードを実行するために GKE クラスターを管理します。 |
|
クラスター ロールを作成します。 |
Databricks ワークロードを実行するために GKE クラスターを管理します。 |
|
クラスターのロールを取得します。 |
Databricks ワークロードを実行するために GKE クラスターを管理します。 |
|
クラスター ロールを作成します。 |
Databricks ワークロードを実行するために GKE クラスターを管理します。 |
|
クラスターのロールを削除します。 |
Databricks ワークロードを実行するために GKE クラスターを管理します。 |
|
クラスターを取得します。 |
Databricks ワークロードを実行するために GKE クラスターを管理します。 |
|
クラスターの資格情報を取得します。 |
Databricks ワークロードを実行するために GKE クラスターを管理します。 |
|
クラスターを一覧表示します。 |
Databricks ワークロードを実行するために GKE クラスターを管理します。 |
|
クラスターを更新します。 |
Databricks ワークロードを実行するために GKE クラスターを管理します。 |
|
configMap を作成します。 |
Databricks ワークロードを実行するために GKE クラスターを管理します。 |
|
configMapsを入手してください。 |
Databricks ワークロードを実行するために GKE クラスターを管理します。 |
|
configMap を更新します。 |
Databricks ワークロードを実行するために GKE クラスターを管理します。 |
|
カスタム リソース定義を作成します。 |
Databricks ワークロードを実行するために GKE クラスターを管理します。 |
|
カスタム リソース定義を取得します。 |
Databricks ワークロードを実行するために GKE クラスターを管理します。 |
|
カスタム リソース定義を更新します。 |
Databricks ワークロードを実行するために GKE クラスターを管理します。 |
|
デーモンセットを作成します。 |
Databricks ワークロードを実行するために GKE クラスターを管理します。 |
|
デーモンセットを取得します。 |
Databricks ワークロードを実行するために GKE クラスターを管理します。 |
|
デーモンセットを更新します。 |
Databricks ワークロードを実行するために GKE クラスターを管理します。 |
|
デプロイを作成します。 |
Databricks ワークロードを実行するために GKE クラスターを管理します。 |
|
デプロイを取得します。 |
Databricks ワークロードを実行するために GKE クラスターを管理します。 |
|
デプロイを更新します。 |
Databricks ワークロードを実行するために GKE クラスターを管理します。 |
|
ジョブを作成します。 |
Databricks ワークロードを実行するために GKE クラスターを管理します。 |
|
ジョブを取得。 |
Databricks ワークロードを実行するために GKE クラスターを管理します。 |
|
ジョブを更新します。 |
Databricks ワークロードを実行するために GKE クラスターを管理します。 |
|
名前空間を作成します。 |
Databricks ワークロードを実行するために GKE クラスターを管理します。 |
|
名前空間を取得します。 |
Databricks ワークロードを実行するために GKE クラスターを管理します。 |
|
名前空間を一覧表示します。 |
Databricks ワークロードを実行するために GKE クラスターを管理します。 |
|
操作を取得します。 |
Databricks ワークロードを実行するために GKE クラスターを管理します。 |
|
ポッドを取得します。 |
Databricks ワークロードを実行するために GKE クラスターを管理します。 |
|
ポッド ログを取得します。 |
Databricks ワークロードを実行するために GKE クラスターを管理します。 |
|
ポッドを一覧表示します。 |
Databricks ワークロードを実行するために GKE クラスターを管理します。 |
|
ロール・バインディングを作成します。 |
Databricks ワークロードを実行するために GKE クラスターを管理します。 |
|
ロール バインドを取得します。 |
Databricks ワークロードを実行するために GKE クラスターを管理します。 |
|
ロールをバインドします。 |
Databricks ワークロードを実行するために GKE クラスターを管理します。 |
|
ロールを作成します。 |
Databricks ワークロードを実行するために GKE クラスターを管理します。 |
|
ロールを取得します。 |
Databricks ワークロードを実行するために GKE クラスターを管理します。 |
|
シークレットを作成します。 |
Databricks ワークロードを実行するために GKE クラスターを管理します。 |
|
秘密を取得します。 |
Databricks ワークロードを実行するために GKE クラスターを管理します。 |
|
シークレットを更新します。 |
Databricks ワークロードを実行するために GKE クラスターを管理します。 |
|
サービス アカウントを作成します。 |
Databricks ワークロードを実行するために GKE クラスターを管理します。 |
|
サービス アカウントを取得します。 |
Databricks ワークロードを実行するために GKE クラスターを管理します。 |
|
サービスを作成します。 |
Databricks ワークロードを実行するために GKE クラスターを管理します。 |
|
サービスを受けましょう。 |
Databricks ワークロードを実行するために GKE クラスターを管理します。 |
|
サードパーティオブジェクトを作成します。 |
Databricks ワークロードを実行するために GKE クラスターを管理します。 |
|
サードパーティオブジェクトを削除します。 |
Databricks ワークロードを実行するために GKE クラスターを管理します。 |
|
サードパーティのオブジェクトを取得します。 |
Databricks ワークロードを実行するために GKE クラスターを管理します。 |
|
サードパーティオブジェクトを一覧表示します。 |
Databricks ワークロードを実行するために GKE クラスターを管理します。 |
|
サードパーティオブジェクトを更新します。 |
Databricks ワークロードを実行するために GKE クラスターを管理します。 |
|
サービス アカウントを検査するか、クラスターにバインドします。 |
クラスターのサービス アカウントがデータにアクセスできるように、GKE Workload Identityを構成します。 |
|
サービス アカウントを検査するか、クラスターにバインドします。 |
クラスターのサービス アカウントがデータにアクセスできるように、GKE Workload Identityを構成します。 |
|
顧客プロジェクト ID をプロジェクト番号に変換します。 |
プロジェクトがライブかどうか、ワークスペース サービス アカウントに十分な権限があるかどうかなど、プロジェクトのステータスを検証します。 |
|
プロジェクトの IAM ポリシーが正しく設定されているかどうかを確認します。 |
プロジェクトがライブかどうか、ワークスペース サービス アカウントに十分な権限があるかどうかなど、プロジェクトのステータスを検証します。 |
|
バケットを作成します。 |
これは、 DBFS用の GCS バケットを作成および管理するために必要です。 |
|
バケットを削除します。 |
これは、 DBFS用の GCS バケットを作成および管理するために必要です。 |
|
バケツを入手してください。 |
これは、 DBFS用の GCS バケットを作成および管理するために必要です。 |
|
ストレージ IAM ポリシーを取得します。 |
これは、 DBFS用の GCS バケットを作成および管理するために必要です。 |
|
バケットを一覧表示します。 |
これは、 DBFS用の GCS バケットを作成および管理するために必要です。 |
|
ストレージ IAM ポリシーを設定します。 |
これは、 DBFS用の GCS バケットを作成および管理するために必要です。 |
|
ストレージ IAM ポリシーを更新します。 |
これは、 DBFS用の GCS バケットを作成および管理するために必要です。 |
|
マルチパートアップロードを中止します。 |
DBFSオブジェクトの読み取りと書き込みを行います。 |
|
マルチパートアップロードを作成します。 |
DBFSオブジェクトの読み取りと書き込みを行います。 |
|
マルチパートアップロードを一覧表示します。 |
DBFSオブジェクトの読み取りと書き込みを行います。 |
|
マルチパートアップロードのパートを一覧表示します。 |
DBFSオブジェクトの読み取りと書き込みを行います。 |
|
ストレージ オブジェクトを作成します。 |
DBFSオブジェクトの読み取りと書き込みを行います。 |
|
ストレージ オブジェクトを削除します。 |
DBFSオブジェクトの読み取りと書き込みを行います。 |
|
ストレージ オブジェクトを取得します。 |
DBFSオブジェクトの読み取りと書き込みを行います。 |
|
ストレージ・オブジェクトをリストします。 |
DBFSオブジェクトの読み取りと書き込みを行います。 |
|
ストレージ オブジェクトを更新します。 |
DBFSオブジェクトの読み取りと書き込みを行います。 |