必要なアクセス許可

このページでは、Google Cloud上でDatabricksワークスペースを作成および管理するために必要な権限について説明します。

Google Cloudでは、各ワークスペースは顧客所有のワークスペース プロジェクト内で実行されます。 Databricks は、ワークスペースを管理するために必要な最小限の権限を持つワークスペースごとのサービス アカウントを作成し、所有します。 Databricks は、ワークスペース作成者の資格情報を使用して、ワークスペース プロジェクトのサービス アカウントに権限を付与します。 ワークスペースを正常に作成するには、Databricks アカウント管理者がワークスペース プロジェクトに対する必要なアクセス許可を持っている必要があります。

ワークスペース作成者に必要な権限

Databricks は、ワークスペース作成者の資格情報を使用して、設定を検証し、権限を付与し、必要なサービスを有効にし、ワークスペースをプロビジョニングします。 このプロセス中、Databricks ではワークスペース プロジェクトとネットワーク プロジェクトに対する次のアクセス許可が必要です。

注:

ワークスペースの作成は、通常、完了するのに 1 分もかかりません。 Databricks は、ワークスペースの作成後にこれらのアクセス許可を保持したり使用したりしません。

Google の許可

目的

ユースケース

iam.roles.create

カスタムロールを作成します。

ワークスペースのサービス アカウントに権限を付与するためのカスタム ロールを作成および管理します。

iam.roles.delete

カスタムロールを削除します。

ワークスペースのサービス アカウントに権限を付与するためのカスタム ロールを作成および管理します。

iam.roles.get

カスタムロールを取得します。

ワークスペースのサービス アカウントに権限を付与するためのカスタム ロールを作成および管理します。

iam.roles.update

カスタムロールを更新します。

ワークスペースのサービス アカウントに権限を付与するためのカスタム ロールを作成および管理します。

iam.serviceAccounts.getIamPolicy

IAM ポリシーを取得します。

GKE クラスターを起動するために、ワークスペース サービス アカウント に Google Cloud コンピュート Engine (GCE) サービス アカウント のService Account Userロールを付与します。

iam.serviceAccounts.setIamPolicy

IAM ポリシーを設定します。

GKE クラスターを起動するために、ワークスペース サービス アカウント に Google Cloud コンピュート Engine (GCE) サービス アカウント のService Account Userロールを付与します。

resourcemanager.projects.get

プロジェクト ID からプロジェクト番号を取得します。

ワークスペース プロジェクトに関する基本情報を取得します。

resourcemanager.projects.getIamPolicy

IAM ポリシーを取得します。

ワークスペース プロジェクトに関する基本情報を取得します。

resourcemanager.projects.setIamPolicy

IAM ポリシーを設定します。

ワークスペース プロジェクトに関する基本情報を取得します。

serviceusage.services.get

顧客プロジェクトで必要な Google CloudAPIsが有効になっているかどうかを検証します。

Databricksワークロードに必要な Google Cloud サービスを有効にします。

serviceusage.services.list

顧客プロジェクトで必要な Google CloudAPIsが有効になっているかどうかを検証します。

Databricksワークロードに必要な Google Cloud サービスを有効にします。

serviceusage.services.enable

プロジェクトで必要な Google CloudAPIsまだ有効になっていない場合は、有効にします。

Databricksワークロードに必要な Google Cloud サービスを有効にします。

compute.networks.get

VPC ネットワークの存在を検証します。

ワークスペース プロジェクト以外のプロジェクトに属している可能性がある、顧客提供の VPC ネットワークのネットワーク リソースを検証します。

compute.projects.get

VPC ネットワークのホスト プロジェクトを取得します。

ワークスペース プロジェクト以外のプロジェクトに属している可能性がある、顧客提供の VPC ネットワークのネットワーク リソースを検証します。

compute.subnetworks.get

VPC ネットワークのサブネットを検証します。

ワークスペース プロジェクト以外のプロジェクトに属している可能性がある、顧客提供の VPC ネットワークのネットワーク リソースを検証します。

compute.forwardingRules.get

Private サービス Connect の転送ルールを一覧表示します。

プライベート サービス Connectを有効にする場合に必要です。

compute.forwardingRules.list

Private サービス Connect の転送ルールを取得します。

プライベート サービス Connectを有効にする場合に必要です。

cloudkms.cryptoKeys.getIamPolicy

クラウド KMS リソースのアクセス制御ポリシーを取得します。

クラウド KMS キーで必須 ( 顧客管理キーを有効にする場合)。

cloudkms.cryptoKeys.setIamPolicy

アクセス制御ポリシーをクラウド KMS リソースに設定します。

クラウド KMS キーで必須 ( 顧客管理キーを有効にする場合)。

ワークスペース サービス アカウントに必要な権限

ワークスペース サービス アカウント には、ワークスペースを操作および管理するために、ワークスペース プロジェクトに対する次の IAM ロールの権限が必要です。

  • GKE 管理者ロール: GKE 上で実行されている顧客のワークロードを操作および管理するために必要です。

  • GCE ストレージ管理者ロール: GKE ノードに関連付けられた Google コンピュート エンジン (GCE) 永続ストレージを操作および管理するために必要です。

  • Databricks Workspaceロール: ワークスペースを管理するために必要な追加の権限を付与するためのワークスペースごとのカスタム ロール。

権限

目的

ユースケース

compute.globalOperations.get

GCEの停止中にGCEの運用を可視化するための運用データを取得します。

ワークロードを実行するために Google Cloud コンピュート エンジン (GCE) リソースを管理します。

compute.instanceGroups.get

GCE のトラブルシューティングのためにインスタンス グループを取得します。 ワークロードを実行するために Google Cloud コンピュート エンジン (GCE) リソースを管理します。

ワークロードを実行するために Google Cloud コンピュート エンジン (GCE) リソースを管理します。

compute.instanceGroups.list

GCE のトラブルシューティングのためにインスタンス グループを一覧表示します。 ワークロードを実行するために Google Cloud コンピュート エンジン (GCE) リソースを管理します。

ワークロードを実行するために Google Cloud コンピュート エンジン (GCE) リソースを管理します。

compute.instances.get

コンピュートインスタンスを取得します。 ワークロードを実行するために Google Cloud コンピュート エンジン (GCE) リソースを管理します。

ワークロードを実行するために Google Cloud コンピュート エンジン (GCE) リソースを管理します。

compute.instances.list

GCE のトラブルシューティングのためにコンピュート インスタンスを一覧表示します。 ワークロードを実行するために Google Cloud コンピュート エンジン (GCE) リソースを管理します。

ワークロードを実行するために Google Cloud コンピュート エンジン (GCE) リソースを管理します。

compute.instances.setLabels

コンピュートインスタンスラベルを設定します。 ワークロードを実行するために Google Cloud コンピュート エンジン (GCE) リソースを管理します。

ワークロードを実行するために Google Cloud コンピュート エンジン (GCE) リソースを管理します。

compute.disks.get

ディスクを取得します。 ワークロードを実行するために Google Cloud コンピュート エンジン (GCE) リソースを管理します。

ワークロードを実行するために Google Cloud コンピュート エンジン (GCE) リソースを管理します。

compute.disks.setLabels

ディスクラベルを設定します。 ワークロードを実行するために Google Cloud コンピュート エンジン (GCE) リソースを管理します。

ワークロードを実行するために Google Cloud コンピュート エンジン (GCE) リソースを管理します。

compute.networks.access

ネットワーク リソースを管理します。

ワークロードを実行するために Google Cloud コンピュート エンジン (GCE) リソースを管理します。

compute.networks.create

ネットワーク リソースを管理します。 顧客管理 VPC を 使用する場合、この権限は、 Databricksサービス アカウントに付与するカスタム ロールには含ま れません 。

ワークロードを実行するために Google Cloud コンピュート エンジン (GCE) リソースを管理します。

compute.networks.delete

ネットワーク リソースを管理します。 顧客管理 VPC を 使用する場合、この権限は、 Databricksサービス アカウントに付与するカスタム ロールには含ま れません 。

ワークロードを実行するために Google Cloud コンピュート エンジン (GCE) リソースを管理します。

compute.networks.get

ネットワーク リソースを管理します。

ワークロードを実行するために Google Cloud コンピュート エンジン (GCE) リソースを管理します。

compute.networks.getEffectiveFirewalls

ネットワーク リソースを管理します。

ワークロードを実行するために Google Cloud コンピュート エンジン (GCE) リソースを管理します。

compute.networks.update

ネットワーク リソースを管理します。 顧客管理 VPC を 使用する場合、この権限は、 Databricksサービス アカウントに付与するカスタム ロールには含ま れません 。

ワークロードを実行するために Google Cloud コンピュート エンジン (GCE) リソースを管理します。

compute.networks.updatePolicy

ネットワーク リソースを管理します。 顧客管理 VPC を 使用する場合、この権限は、 Databricksサービス アカウントに付与するカスタム ロールには含ま れません 。

ワークロードを実行するために Google Cloud コンピュート エンジン (GCE) リソースを管理します。

compute.networks.use

ネットワーク リソースを管理します。

ワークロードを実行するために Google Cloud コンピュート エンジン (GCE) リソースを管理します。

compute.networks.useExternalIp

ネットワーク リソースを管理します。

ワークロードを実行するために Google Cloud コンピュート エンジン (GCE) リソースを管理します。

compute.regionOperations.get

GCE の停止中に Google コンピュート エンジン (GCE) の動作を可視化するためのリージョン操作を取得します。

ワークロードを実行するために Google Cloud コンピュート エンジン (GCE) リソースを管理します。

compute.routers.create

ネットワーク リソースを管理します。 顧客管理 VPC を 使用する場合、この権限は、 Databricksサービス アカウントに付与するカスタム ロールには含ま れません 。

ワークロードを実行するために Google Cloud コンピュート エンジン (GCE) リソースを管理します。

compute.routers.delete

ネットワーク リソースを管理します。 顧客管理 VPC を 使用する場合、この権限は、 Databricksサービス アカウントに付与するカスタム ロールには含ま れません 。

ワークロードを実行するために Google Cloud コンピュート エンジン (GCE) リソースを管理します。

compute.routers.get

ネットワーク リソースを管理します。

ワークロードを実行するために Google Cloud コンピュート エンジン (GCE) リソースを管理します。

compute.routers.update

ネットワーク リソースを管理します。 顧客管理 VPC を 使用する場合、この権限は、 Databricksサービス アカウントに付与するカスタム ロールには含ま れません 。

ワークロードを実行するために Google Cloud コンピュート エンジン (GCE) リソースを管理します。

compute.routers.use

ネットワーク リソースを管理します。

ワークロードを実行するために Google Cloud コンピュート エンジン (GCE) リソースを管理します。

compute.subnetworks.create

ネットワーク リソースを管理します。 顧客管理 VPC を 使用する場合、この権限は、 Databricksサービス アカウントに付与するカスタム ロールには含ま れません 。

ワークロードを実行するために Google Cloud コンピュート エンジン (GCE) リソースを管理します。

compute.subnetworks.delete

ネットワーク リソースを管理します。 顧客管理 VPC を 使用する場合、この権限は、 Databricksサービス アカウントに付与するカスタム ロールには含ま れません 。

ワークロードを実行するために Google Cloud コンピュート エンジン (GCE) リソースを管理します。

compute.subnetworks.expandIpCidrRange

ネットワーク リソースを管理します。 顧客管理 VPC を 使用する場合、この権限は、 Databricksサービス アカウントに付与するカスタム ロールには含ま れません 。

ワークロードを実行するために Google Cloud コンピュート エンジン (GCE) リソースを管理します。

compute.subnetworks.get

ネットワーク リソースを管理します。

ワークロードを実行するために Google Cloud コンピュート エンジン (GCE) リソースを管理します。

compute.subnetworks.getIamPolicy

ネットワーク リソースを管理します。

ワークロードを実行するために Google Cloud コンピュート エンジン (GCE) リソースを管理します。

compute.subnetworks.setIamPolicy

ネットワーク リソースを管理します。 顧客管理 VPC を 使用する場合、この権限は、 Databricksサービス アカウントに付与するカスタム ロールには含ま れません 。

ワークロードを実行するために Google Cloud コンピュート エンジン (GCE) リソースを管理します。

compute.subnetworks.setPrivateIpGoogleAccess

ネットワーク リソースを管理します。 顧客管理 VPC を 使用する場合、この権限は、 Databricksサービス アカウントに付与するカスタム ロールには含ま れません 。

ワークロードを実行するために Google Cloud コンピュート エンジン (GCE) リソースを管理します。

compute.subnetworks.update

ネットワーク リソースを管理します。 顧客管理 VPC を 使用する場合、この権限は、 Databricksサービス アカウントに付与するカスタム ロールには含ま れません 。

ワークロードを実行するために Google Cloud コンピュート エンジン (GCE) リソースを管理します。

compute.subnetworks.use

ネットワーク リソースを管理します。

ワークロードを実行するために Google Cloud コンピュート エンジン (GCE) リソースを管理します。

compute.subnetworks.useExternalIp

ネットワーク リソースを管理します。

ワークロードを実行するために Google Cloud コンピュート エンジン (GCE) リソースを管理します。

container.clusterRoleBindings.create

クラスター ロール バインディングを作成します。

Databricks ワークロードを実行するために GKE クラスターを管理します。

container.clusterRoleBindings.get

クラスターのロール バインディングを取得します。

Databricks ワークロードを実行するために GKE クラスターを管理します。

container.clusterRoles.bind

クラスター ロール バインディングをバインドします。

Databricks ワークロードを実行するために GKE クラスターを管理します。

container.clusterRoles.create

クラスター ロールを作成します。

Databricks ワークロードを実行するために GKE クラスターを管理します。

container.clusterRoles.get

クラスターのロールを取得します。

Databricks ワークロードを実行するために GKE クラスターを管理します。

container.clusters.create

クラスター ロールを作成します。

Databricks ワークロードを実行するために GKE クラスターを管理します。

container.clusters.delete

クラスターのロールを削除します。

Databricks ワークロードを実行するために GKE クラスターを管理します。

container.clusters.get

クラスターを取得します。

Databricks ワークロードを実行するために GKE クラスターを管理します。

container.clusters.getCredentials

クラスターの資格情報を取得します。

Databricks ワークロードを実行するために GKE クラスターを管理します。

container.clusters.list

クラスターを一覧表示します。

Databricks ワークロードを実行するために GKE クラスターを管理します。

container.clusters.update

クラスターを更新します。

Databricks ワークロードを実行するために GKE クラスターを管理します。

container.configMaps.create

configMap を作成します。

Databricks ワークロードを実行するために GKE クラスターを管理します。

container.configMaps.get

configMapsを入手してください。

Databricks ワークロードを実行するために GKE クラスターを管理します。

container.configMaps.update

configMap を更新します。

Databricks ワークロードを実行するために GKE クラスターを管理します。

container.customResourceDefinitions.create

カスタム リソース定義を作成します。

Databricks ワークロードを実行するために GKE クラスターを管理します。

container.customResourceDefinitions.get

カスタム リソース定義を取得します。

Databricks ワークロードを実行するために GKE クラスターを管理します。

container.customResourceDefinitions.update

カスタム リソース定義を更新します。

Databricks ワークロードを実行するために GKE クラスターを管理します。

container.daemonSets.create

デーモンセットを作成します。

Databricks ワークロードを実行するために GKE クラスターを管理します。

container.daemonSets.get

デーモンセットを取得します。

Databricks ワークロードを実行するために GKE クラスターを管理します。

container.daemonSets.update

デーモンセットを更新します。

Databricks ワークロードを実行するために GKE クラスターを管理します。

container.deployments.create

デプロイを作成します。

Databricks ワークロードを実行するために GKE クラスターを管理します。

container.deployments.get

デプロイを取得します。

Databricks ワークロードを実行するために GKE クラスターを管理します。

container.deployments.update

デプロイを更新します。

Databricks ワークロードを実行するために GKE クラスターを管理します。

container.jobs.create

ジョブを作成します。

Databricks ワークロードを実行するために GKE クラスターを管理します。

container.jobs.get

ジョブを取得。

Databricks ワークロードを実行するために GKE クラスターを管理します。

container.jobs.update

ジョブを更新します。

Databricks ワークロードを実行するために GKE クラスターを管理します。

container.namespaces.create

名前空間を作成します。

Databricks ワークロードを実行するために GKE クラスターを管理します。

container.namespaces.get

名前空間を取得します。

Databricks ワークロードを実行するために GKE クラスターを管理します。

container.namespaces.list

名前空間を一覧表示します。

Databricks ワークロードを実行するために GKE クラスターを管理します。

container.operations.get

操作を取得します。

Databricks ワークロードを実行するために GKE クラスターを管理します。

container.pods.get

ポッドを取得します。

Databricks ワークロードを実行するために GKE クラスターを管理します。

container.pods.getLogs

ポッド ログを取得します。

Databricks ワークロードを実行するために GKE クラスターを管理します。

container.pods.list

ポッドを一覧表示します。

Databricks ワークロードを実行するために GKE クラスターを管理します。

container.roleBindings.create

ロール・バインディングを作成します。

Databricks ワークロードを実行するために GKE クラスターを管理します。

container.roleBindings.get

ロール バインドを取得します。

Databricks ワークロードを実行するために GKE クラスターを管理します。

container.roles.bind

ロールをバインドします。

Databricks ワークロードを実行するために GKE クラスターを管理します。

container.roles.create

ロールを作成します。

Databricks ワークロードを実行するために GKE クラスターを管理します。

container.roles.get

ロールを取得します。

Databricks ワークロードを実行するために GKE クラスターを管理します。

container.secrets.create

シークレットを作成します。

Databricks ワークロードを実行するために GKE クラスターを管理します。

container.secrets.get

秘密を取得します。

Databricks ワークロードを実行するために GKE クラスターを管理します。

container.secrets.update

シークレットを更新します。

Databricks ワークロードを実行するために GKE クラスターを管理します。

container.serviceAccounts.create

サービス アカウントを作成します。

Databricks ワークロードを実行するために GKE クラスターを管理します。

container.serviceAccounts.get

サービス アカウントを取得します。

Databricks ワークロードを実行するために GKE クラスターを管理します。

container.services.create

サービスを作成します。

Databricks ワークロードを実行するために GKE クラスターを管理します。

container.services.get

サービスを受けましょう。

Databricks ワークロードを実行するために GKE クラスターを管理します。

container.thirdPartyObjects.create

サードパーティオブジェクトを作成します。

Databricks ワークロードを実行するために GKE クラスターを管理します。

container.thirdPartyObjects.delete

サードパーティオブジェクトを削除します。

Databricks ワークロードを実行するために GKE クラスターを管理します。

container.thirdPartyObjects.get

サードパーティのオブジェクトを取得します。

Databricks ワークロードを実行するために GKE クラスターを管理します。

container.thirdPartyObjects.list

サードパーティオブジェクトを一覧表示します。

Databricks ワークロードを実行するために GKE クラスターを管理します。

container.thirdPartyObjects.update

サードパーティオブジェクトを更新します。

Databricks ワークロードを実行するために GKE クラスターを管理します。

iam.serviceAccounts.getIamPolicy

サービス アカウントを検査するか、クラスターにバインドします。

クラスターのサービス アカウントがデータにアクセスできるように、GKE Workload Identityを構成します。

iam.serviceAccounts.setIamPolicy

サービス アカウントを検査するか、クラスターにバインドします。

クラスターのサービス アカウントがデータにアクセスできるように、GKE Workload Identityを構成します。

resourcemanager.projects.get

顧客プロジェクト ID をプロジェクト番号に変換します。

プロジェクトがライブかどうか、ワークスペース サービス アカウントに十分な権限があるかどうかなど、プロジェクトのステータスを検証します。

resourcemanager.projects.getIamPolicy

プロジェクトの IAM ポリシーが正しく設定されているかどうかを確認します。

プロジェクトがライブかどうか、ワークスペース サービス アカウントに十分な権限があるかどうかなど、プロジェクトのステータスを検証します。

storage.buckets.create

バケットを作成します。

これは、 DBFS用の GCS バケットを作成および管理するために必要です。

storage.buckets.delete

バケットを削除します。

これは、 DBFS用の GCS バケットを作成および管理するために必要です。

storage.buckets.get

バケツを入手してください。

これは、 DBFS用の GCS バケットを作成および管理するために必要です。

storage.buckets.getIamPolicy

ストレージ IAM ポリシーを取得します。

これは、 DBFS用の GCS バケットを作成および管理するために必要です。

storage.buckets.list

バケットを一覧表示します。

これは、 DBFS用の GCS バケットを作成および管理するために必要です。

storage.buckets.setIamPolicy

ストレージ IAM ポリシーを設定します。

これは、 DBFS用の GCS バケットを作成および管理するために必要です。

storage.buckets.update

ストレージ IAM ポリシーを更新します。

これは、 DBFS用の GCS バケットを作成および管理するために必要です。

storage.multipartUploads.abort

マルチパートアップロードを中止します。

DBFSオブジェクトの読み取りと書き込みを行います。

storage.multipartUploads.create

マルチパートアップロードを作成します。

DBFSオブジェクトの読み取りと書き込みを行います。

storage.multipartUploads.list

マルチパートアップロードを一覧表示します。

DBFSオブジェクトの読み取りと書き込みを行います。

storage.multipartUploads.listParts

マルチパートアップロードのパートを一覧表示します。

DBFSオブジェクトの読み取りと書き込みを行います。

storage.objects.create

ストレージ オブジェクトを作成します。

DBFSオブジェクトの読み取りと書き込みを行います。

storage.objects.delete

ストレージ オブジェクトを削除します。

DBFSオブジェクトの読み取りと書き込みを行います。

storage.objects.get

ストレージ オブジェクトを取得します。

DBFSオブジェクトの読み取りと書き込みを行います。

storage.objects.list

ストレージ・オブジェクトをリストします。

DBFSオブジェクトの読み取りと書き込みを行います。

storage.objects.update

ストレージ オブジェクトを更新します。

DBFSオブジェクトの読み取りと書き込みを行います。