必要なアクセス許可

このページでは、Google Cloud上でDatabricksワークスペースを作成および管理するために必要な権限について説明します。

Google Cloudでは、各ワークスペースは顧客所有のワークスペースプロジェクト内で実行されます。 Databricks は、ワークスペースを管理するために必要な最小限の権限を持つワークスペースごとのサービスアカウントを作成し、所有します。 Databricks は、ワークスペース作成者の資格情報を使用して、ワークスペースプロジェクトのサービスアカウントに権限を付与します。ワークスペースを正常に作成するには、Databricks アカウント管理者がワークスペースプロジェクトに対する必要なアクセス許可を持っている必要があります。

この記事の「従来の権限」セクションには、 Databricks が GKE でコンピュートを起動するために以前に必要だった権限のリストが含まれています。 GKE から GCE への移行の詳細については、 GCE コンピュートデプロイの権限を更新するをご覧ください。

ワークスペース作成者に必要な権限

Databricks は、ワークスペース作成者の資格情報を使用して、設定の検証、アクセス許可の付与、必要なサービスの有効化、ワークスペースのプロビジョニングを行います。

以下は、ワークスペースとネットワークプロジェクトに必要な最小限の権限セットです。 Databricks では、ワークスペース作成者がワークスペースプロジェクトと VPC プロジェクトの両方で roles/owner ロールを持つことをお勧めします。

注：

ワークスペースの作成は、通常、完了するのに 1 分もかかりません。 Databricks は、ワークスペースの作成後にこれらのアクセス許可を保持したり使用したりしません。

Google の許可	目的	ワークスペースプロジェクトに必要	VPC プロジェクトに必要	ユースケース
`iam.roles.create`	カスタムロールを作成します。	✓	✓	ワークスペースのサービスアカウントに権限を付与するためのカスタムロールを作成および管理します。
`iam.roles.delete`	カスタムロールを削除します。	✓		ワークスペースのサービスアカウントに権限を付与するためのカスタムロールを作成および管理します。
`iam.roles.get`	カスタムロールを取得します。	✓	✓	ワークスペースのサービスアカウントに権限を付与するためのカスタムロールを作成および管理します。
`iam.roles.update`	カスタムロールを更新します。	✓	✓	ワークスペースのサービスアカウントに権限を付与するためのカスタムロールを作成および管理します。
`iam.serviceAccounts.create`	Databricks-コンピュートサービスアカウントを作成します。	✓		カスタムサービスアカウントがアタッチされていないワークスペース内のすべてのクラスターで使用される Databricks-コンピュートサービスアカウントを作成します。このサービスアカウントには、ログ記録とメトリクスに限定された最小限の権限があります。
`iam.serviceAccounts.get`	Get the Databricks-コンピュートサービスアカウント.	✓		ワークスペース内のすべてのクラスターで使用される必要な Databricks-コンピュートサービスアカウントが存在するかどうかを確認するために使用されます。
`iam.serviceAccounts.getIamPolicy`	IAM ポリシーを取得します。	✓		GKE クラスターを起動するための Google コンピュート Engine (GCE) サービスアカウントのサービスアカウント User role をワークスペースサービスアカウントに付与します。
`iam.serviceAccounts.setIamPolicy`	IAM ポリシーを設定します。	✓		GKE クラスターを起動するための Google コンピュート Engine (GCE) サービスアカウントのサービスアカウント User role をワークスペースサービスアカウントに付与します。
`resourcemanager.projects.get`	プロジェクト ID からプロジェクト番号を取得します。	✓	✓	ワークスペースプロジェクトに関する基本情報を取得します。
`resourcemanager.projects.getIamPolicy`	IAM ポリシーを取得します。	✓	✓	ワークスペースプロジェクトに関する基本情報を取得します。
`resourcemanager.projects.setIamPolicy`	IAM ポリシーを設定します。	✓		ワークスペースプロジェクトに関する基本情報を取得します。
`serviceusage.services.get`	顧客プロジェクトで必要な Google CloudAPIsが有効になっているかどうかを検証します。	✓	✓	Databricksワークロードに必要な Google Cloud サービスを有効にします。
`serviceusage.services.list`	顧客プロジェクトで必要な Google CloudAPIsが有効になっているかどうかを検証します。	✓	✓	Databricksワークロードに必要な Google Cloud サービスを有効にします。
`serviceusage.services.enable`	プロジェクトで必要な Google CloudAPIsまだ有効になっていない場合は、有効にします。	✓		Databricksワークロードに必要な Google Cloud サービスを有効にします。
`compute.networks.get`	VPC ネットワークの存在を検証します。		✓	ワークスペースプロジェクト以外のプロジェクトに属している可能性がある、顧客提供の VPC ネットワークのネットワークリソースを検証します。
`compute.networks.updatePolicy`	VPC ネットワーク上のファイアウォールポリシーを更新します。		✓	顧客提供の VPC ネットワーク上のファイアウォールポリシー (ワークスペースプロジェクト以外のプロジェクトに属している可能性があります) を更新します。
`compute.projects.get`	VPC ネットワークのホストプロジェクトを取得します。		✓	ワークスペースプロジェクト以外のプロジェクトに属している可能性がある、顧客提供の VPC ネットワークのネットワークリソースを検証します。
`compute.subnetworks.get`	VPC ネットワークのサブネットを検証します。		✓	顧客提供の VPC ネットワークのネットワークリソースを検証します。ネットワーク・リソースは、ワークスペース・プロジェクト以外のプロジェクトに属している可能性があります。顧客管理のVPCを使用する場合は必須です。
`compute.subnetworks.getIamPolicy`	VPC サブネットの IAM ポリシーを取得します。		✓	顧客提供の VPC ネットワーク (ワークスペースプロジェクト以外のプロジェクトに属している可能性がある) のサブネットワーク上の権限を検証します。顧客管理のVPCを使用する場合は必須です。
`compute.subnetworks.setIamPolicy`	VPC サブネットに IAM ポリシーを設定します。		✓	IAM顧客提供のVPC ネットワーク (ワークスペースプロジェクト以外のプロジェクトに属している可能性がある) のサブネットワークにポリシーを設定します。顧客管理のVPCを使用する場合は必須です。
`compute.forwardingRules.get`	Private サービス Connect の転送ルールを一覧表示します。		✓	Private サービス Connectを有効にする場合は必須です。
`compute.forwardingRules.list`	Private サービス Connect の転送ルールを取得します。		✓	Private サービス Connectを有効にする場合は必須です。
`compute.firewalls.get`	ファイアウォールルールを取得します。		✓	顧客提供の VPC ネットワークで必要なファイアウォールルールを取得して、存在するかどうかを確認します。
`compute.firewalls.create`	ファイアウォールルールを作成します。		✓	顧客提供の VPC ネットワークにファイアウォールルールを作成します。ファイアウォールルールは、ワークスペースプロジェクト以外のプロジェクトに属している可能性があります。

ワークスペースサービスアカウントに必要な権限

ワークスペースサービスアカウントでは、ワークスペースを操作および管理するために、ワークスペースプロジェクトの次の IAMロールのアクセス許可が必要です。

Databricks プロジェクトロール v2: このロールは、Databricks によって管理されるインスタンス、ディスク、クラウド操作、サービスアカウントなどのプロジェクトレベルのリソースを運用および管理するために必要です。これは、プロジェクトレベルでワークスペースサービスアカウントに付与されます。
Databricks リソースロール v2: これは、Google コンピュートエンジン (GCE) インスタンス、ストレージディスク、および Databricksによって管理されるその他のワークスペースレベルのリソースを運用および管理するために必要です。このロールは、プロジェクトレベルでワークスペースサービスアカウントに付与されます。ワークスペースレベルのスコープは、ワークスペース ID の IAM 条件を使用して適用されます。次の例では、実際のワークスペース ID の代わりに 1234567890 を使用しています。
```
resource.name.extract("{x}databricks”) != "" &&
resource.name.extract("{x}1234567890”) != ""
```
Databricks ネットワークロール v2: これは、顧客管理VPC ネットワークでサブネットワークリソースを使用するために必要です。これは、特定のサブネット上のワークスペースサービスアカウントに付与されます。

Databricks プロジェクトロール v2 のアクセス許可

権限	目的	ユースケース
`compute.disks.list`	ディスクの一覧表示	Google コンピュートエンジン (GCE) リソースを管理してワークロードを実行
`compute.globalOperations.list`	クラウド操作の一覧表示	Google コンピュートエンジン (GCE) リソースを管理してワークロードを実行
`compute.regionOperations.list`	リージョンクラウド運用を一覧表示する	Google コンピュートエンジン (GCE) リソースを管理してワークロードを実行
`compute.zoneOperations.list`	ゾーンクラウド操作の一覧表示	Google コンピュートエンジン (GCE) リソースを管理してワークロードを実行
`compute.instances.list`	GCE インスタンスの一覧表示	Google コンピュートエンジン (GCE) リソースを管理してワークロードを実行
`compute.zones.list`	利用可能なゾーンを一覧表示する	Google コンピュートエンジン (GCE) リソースを管理してワークロードを実行
`compute.zones.get`	ゾーンの説明を取得する	Google コンピュートエンジン (GCE) リソースを管理してワークロードを実行
`compute.regions.get`	地域の説明を取得する	Google コンピュートエンジン (GCE) リソースを管理してワークロードを実行
`resourcemanager.projects.get`	クォータの詳細を取得する	Google コンピュートエンジン (GCE) リソースを管理してワークロードを実行
`serviceusage.quotas.get`	クォータの詳細を取得する	Google コンピュートエンジン (GCE) リソースを管理してワークロードを実行
`storage.buckets.list`	Databricks で管理されている GCS バケットを一覧表示する	Google コンピュートエンジン (GCE) リソースを管理してワークロードを実行
`compute.instances.recommendLocations`	オンデマンドの容量に関する推奨事項を取得する	リージョンの使用可能な容量に基づいてオンデマンドインスタンスのゾーン/マシンタイプの推奨事項を取得する
`compute.spotAssistants.get`	スポット容量の推奨事項を取得する	リージョンの使用可能な容量に基づいてスポットインスタンスのゾーン/マシンタイプの推奨事項を取得する
`compute.reservations.get`	GCE予約の詳細を取得する	ゾーン/マシンの種類の選択で使用する GCE 予約の詳細を取得する
`compute.reservations.list`	すべてのGCE予約を一覧表示する	ゾーン/マシンタイプ選択で使用するすべてのGCE予約の詳細を一覧表示します

Databricks リソースロール v2 のアクセス許可

権限	目的	ユースケース
`compute.disks.create`	Databricks マネージドディスクを作成する	Google コンピュートエンジン (GCE) リソースを管理してワークロードを実行
`compute.disks.delete`	Databricks マネージドディスクを削除する	Google コンピュートエンジン (GCE) リソースを管理してワークロードを実行
`compute.disks.get`	Databricks で管理されているディスク情報を取得する	Google コンピュートエンジン (GCE) リソースを管理してワークロードを実行
`compute.disks.resize`	Databricks マネージドディスクのサイズを変更する	Google コンピュートエンジン (GCE) リソースを管理してワークロードを実行
`compute.disks.setLabels`	Databricks マネージドディスクにラベルを設定する	Google コンピュートエンジン (GCE) リソースを管理してワークロードを実行
`compute.disks.update`	Databricks マネージドディスクを更新する	Google コンピュートエンジン (GCE) リソースを管理してワークロードを実行
`compute.disks.use`	Databricks マネージドディスクを VM に接続する	Google コンピュートエンジン (GCE) リソースを管理してワークロードを実行
`compute.disks.useReadOnly`	Databricks マネージドディスクを読み取り専用モードで VM に接続する	Google コンピュートエンジン (GCE) リソースを管理してワークロードを実行
`compute.instances.create`	Databricks で管理されるインスタンスを作成する	Google コンピュートエンジン (GCE) リソースを管理してワークロードを実行
`compute.instances.delete`	Databricks で管理されているインスタンスを削除する	Google コンピュートエンジン (GCE) リソースを管理してワークロードを実行
`compute.instances.attachDisk`	Databricks マネージドインスタンスにディスクをアタッチする	Google コンピュートエンジン (GCE) リソースを管理してワークロードを実行
`compute.instances.detachDisk`	Databricks マネージドインスタンスからディスクをデタッチする	Google コンピュートエンジン (GCE) リソースを管理してワークロードを実行
`compute.instances.get`	インスタンスの詳細を取得する	Google コンピュートエンジン (GCE) リソースを管理してワークロードを実行
`compute.instances.getGuestAttributes`	インスタンスのゲスト属性を取得する	Google コンピュートエンジン (GCE) リソースを管理してワークロードを実行
`compute.instances.getSerialPortOutput`	インスタンスのシリアルポートログを取得する	Debug failed Google コンピュートエンジン (GCE) リソース
`compute.instances.setLabels`	インスタンスにラベルを設定する	Google コンピュートエンジン (GCE) リソースを管理してワークロードを実行
`compute.instances.setTags`	インスタンスにタグを設定する	Google コンピュートエンジン (GCE) リソースを管理してワークロードを実行
`compute.instances.update`	インスタンスを更新する	Google コンピュートエンジン (GCE) リソースを管理してワークロードを実行
`compute.instances.setMetadata`	インスタンスにメタデータを設定する	Google コンピュートエンジン (GCE) リソースを管理してワークロードを実行
`compute.instances.setServiceAccount`	インスタンスにサービスアカウントを設定する	Google コンピュートエンジン (GCE) リソースを管理してワークロードを実行
`storage.multipartUploads.abort`	Databricks マネージド GCS バケットへのマルチパートアップロードを取り消す	大きなファイルをアップロードするときに Google Cloud Storage (GCS) アップロードセッションを管理する
`storage.multipartUploads.create`	Databricks マネージド GCS バケットへのマルチパートアップロードを作成する	大きなファイルをアップロードするときに Google Cloud Storage (GCS) アップロードセッションを管理する
`storage.multipartUploads.list`	Databricks マネージド GCS バケットへのマルチパートアップロードを一覧表示する	大きなファイルをアップロードするときに Google Cloud Storage (GCS) アップロードセッションを管理する
`storage.multipartUploads.listParts`	特定のマルチパートアップロード用にアップロードされたパートを Databricks マネージド GCS バケットに一覧表示する	大きなファイルをアップロードするときに Google Cloud Storage (GCS) アップロードセッションを管理する
`storage.buckets.create`	Databricks で管理される GCS バケットを作成する	Google コンピュートエンジン (GCE) リソースを管理してワークロードを実行
`storage.buckets.delete`	Databricks で管理されている GCS バケットを削除する	Google コンピュートエンジン (GCE) リソースを管理してワークロードを実行
`storage.buckets.get`	Databricks で管理される GCS バケットの詳細を取得する	Google コンピュートエンジン (GCE) リソースを管理してワークロードを実行
`storage.buckets.getIamPolicy`	Databricks で管理されている GCS バケットの IAM ポリシーを取得する	Google コンピュートエンジン (GCE) リソースを管理してワークロードを実行
`storage.buckets.setIamPolicy`	Databricks で管理される GCS バケットの IAM ポリシーを設定する	Google コンピュートエンジン (GCE) リソースを管理してワークロードを実行
`storage.buckets.update`	Databricks で管理される GCS バケットを更新する	Google コンピュートエンジン (GCE) リソースを管理してワークロードを実行
`storage.objects.create`	Databricks で管理される GCS バケットを作成する	Google コンピュートエンジン (GCE) リソースを管理してワークロードを実行
`storage.objects.delete`	Databricks で管理されている GCS バケットを削除する	Google コンピュートエンジン (GCE) リソースを管理してワークロードを実行
`storage.objects.get`	Databricks で管理される GCS バケットの詳細を取得する	Google コンピュートエンジン (GCE) リソースを管理してワークロードを実行
`storage.objects.list`	Databricks で管理される GCS バケット内のオブジェクトを一覧表示する	Google コンピュートエンジン (GCE) リソースを管理してワークロードを実行
`storage.objects.update`	Databricks で管理される GCS バケット内のオブジェクトを更新する	Google コンピュートエンジン (GCE) リソースを管理してワークロードを実行

Databricks マネージド VPC ネットワーク上のワークスペースに対する追加のアクセス許可

Databricks マネージド VPC ネットワークを使用するワークスペースには、次のアクセス許可も必要です。

権限	目的	ユースケース
`compute.networks.access`	Databricks マネージド VPC で VM を起動する	Google コンピュートエンジン (GCE) リソースを管理してワークロードを実行
`compute.networks.get`	Databricks マネージド VPC の詳細を取得する	Google コンピュートエンジン (GCE) リソースを管理してワークロードを実行
`compute.networks.use`	Databricks マネージド VPC で VM を起動する	Google コンピュートエンジン (GCE) リソースを管理してワークロードを実行
`compute.networks.useExternalIp`	Databricks マネージド VPC で VM を起動する	Google コンピュートエンジン (GCE) リソースを管理してワークロードを実行
`compute.routers.get`	Databricks マネージドルーターの詳細を取得する	Google コンピュートエンジン (GCE) リソースを管理してワークロードを実行
`compute.subnetworks.get`	Databricks マネージドサブネットの詳細を取得する	Google コンピュートエンジン (GCE) リソースを管理してワークロードを実行
`compute.subnetworks.use`	Databricks マネージド VPC で VM を起動する	Google コンピュートエンジン (GCE) リソースを管理してワークロードを実行
`compute.routers.use`	Databricks マネージド VPC で VM を起動する	Google コンピュートエンジン (GCE) リソースを管理してワークロードを実行
`compute.subnetworks.getIamPolicy`	Databricks で管理されるサブネットの IAM ポリシーを取得する	Google コンピュートエンジン (GCE) リソースを管理してワークロードを実行
`compute.subnetworks.useExternalIp`	Databricks マネージド VPC で VM を起動する	Google コンピュートエンジン (GCE) リソースを管理してワークロードを実行
`compute.networks.create`	Databricks マネージド VPC を作成する	Google コンピュートエンジン (GCE) リソースを管理してワークロードを実行
`compute.networks.delete`	Databricks マネージド VPC を削除する	Google コンピュートエンジン (GCE) リソースを管理してワークロードを実行
`compute.networks.update`	Databricks マネージド VPC を更新する	Google コンピュートエンジン (GCE) リソースを管理してワークロードを実行
`compute.networks.updatePolicy`	Databricks マネージド VPC を更新する	Google コンピュートエンジン (GCE) リソースを管理してワークロードを実行
`compute.subnetworks.create`	Databricks で管理されるサブネットを作成する	Google コンピュートエンジン (GCE) リソースを管理してワークロードを実行
`compute.subnetworks.delete`	Databricks で管理されているサブネットを削除する	Google コンピュートエンジン (GCE) リソースを管理してワークロードを実行
`compute.subnetworks.expandIpCidrRange`	Databricks マネージドサブネットの CIDR 範囲を拡張する	Google コンピュートエンジン (GCE) リソースを管理してワークロードを実行
`compute.subnetworks.setIamPolicy`	Databricks で管理されるサブネットに IAM ポリシーを設定するSet IAM policy on the Databricks-managed subnet	Google コンピュートエンジン (GCE) リソースを管理してワークロードを実行
`compute.subnetworks.setPrivateIpGoogleAccess`	Databricks で管理されているサブネットでプライベート Google API アクセスを構成する	Google コンピュートエンジン (GCE) リソースを管理してワークロードを実行
`compute.subnetworks.update`	Databricks で管理されるサブネットを更新する	Google コンピュートエンジン (GCE) リソースを管理してワークロードを実行
`compute.routers.create`	Databricks で管理されるルーターを作成する	Google コンピュートエンジン (GCE) リソースを管理してワークロードを実行
`compute.routers.delete`	Databricks で管理されているルーターを削除する	Google コンピュートエンジン (GCE) リソースを管理してワークロードを実行
`compute.routers.update`	Databricks マネージドルーターを更新する	Google コンピュートエンジン (GCE) リソースを管理してワークロードを実行
`compute.firewalls.create`	Databricks VM が通信できるようにするイングレスファイアウォール規則を作成します	Google コンピュートエンジン (GCE) リソースを管理してワークロードを実行
`compute.firewalls.delete`	VPC をクリーンアップするために、ワークスペースのティアダウンでイングレスファイアウォールルールを削除します	Google コンピュートエンジン (GCE) リソースを管理してワークロードを実行
`compute.firewalls.get`	イングレスファイアウォールルールの詳細を取得する	Google コンピュートエンジン (GCE) リソースを管理してワークロードを実行
`compute.firewalls.update`	イングレスファイアウォールルールの詳細を更新する	Google コンピュートエンジン (GCE) リソースを管理してワークロードを実行

Databricks ネットワークロール v2 のアクセス許可

権限	目的	ユースケース
`compute.subnetworks.use`	顧客管理ネットワーク内のサブネットを使用する	Google コンピュートエンジン (GCE) リソースを管理してワークロードを実行
`compute.subnetworks.get`	顧客管理ネットワーク内のサブネットの情報を取得する	Google コンピュートエンジン (GCE) リソースを管理してワークロードを実行

従来のアクセス許可

次の権限は従来のもので Databricks GKE クラスターの起動時に必要でした。リストを参照するのは、アカウントにGCEコンピュートのデプロイメントに対する更新された権限がない場合のみです。「GCE コンピュートデプロイのアクセス許可を更新する」を参照してください。

ワークスペース作成者に必要な権限

Google の許可	目的	ユースケース
`iam.roles.create`	カスタムロールを作成します。	ワークスペースのサービスアカウントに権限を付与するためのカスタムロールを作成および管理します。
`iam.roles.delete`	カスタムロールを削除します。	ワークスペースのサービスアカウントに権限を付与するためのカスタムロールを作成および管理します。
`iam.roles.get`	カスタムロールを取得します。	ワークスペースのサービスアカウントに権限を付与するためのカスタムロールを作成および管理します。
`iam.roles.update`	カスタムロールを更新します。	ワークスペースのサービスアカウントに権限を付与するためのカスタムロールを作成および管理します。
`iam.serviceAccounts.getIamPolicy`	IAM ポリシーを取得します。	Grant ワークスペースサービスアカウントに Google コンピュート Engine (GCE) サービスアカウントの `Service Account User` ロールを付与して、GKE クラスターを起動します。
`iam.serviceAccounts.setIamPolicy`	IAM ポリシーを設定します。	Grant ワークスペースサービスアカウントに Google コンピュート Engine (GCE) サービスアカウントの `Service Account User` ロールを付与して、GKE クラスターを起動します。
`resourcemanager.projects.get`	プロジェクト ID からプロジェクト番号を取得します。	ワークスペースプロジェクトに関する基本情報を取得します。
`resourcemanager.projects.getIamPolicy`	IAM ポリシーを取得します。	ワークスペースプロジェクトに関する基本情報を取得します。
`resourcemanager.projects.setIamPolicy`	IAM ポリシーを設定します。	ワークスペースプロジェクトに関する基本情報を取得します。
`serviceusage.services.get`	顧客プロジェクトで必要な Google CloudAPIsが有効になっているかどうかを検証します。	Databricksワークロードに必要な Google Cloud サービスを有効にします。
`serviceusage.services.list`	顧客プロジェクトで必要な Google CloudAPIsが有効になっているかどうかを検証します。	Databricksワークロードに必要な Google Cloud サービスを有効にします。
`serviceusage.services.enable`	プロジェクトで必要な Google CloudAPIsまだ有効になっていない場合は、有効にします。	Databricksワークロードに必要な Google Cloud サービスを有効にします。
`compute.networks.get`	VPC ネットワークの存在を検証します。	ワークスペースプロジェクト以外のプロジェクトに属している可能性がある、顧客提供の VPC ネットワークのネットワークリソースを検証します。
`compute.projects.get`	VPC ネットワークのホストプロジェクトを取得します。	ワークスペースプロジェクト以外のプロジェクトに属している可能性がある、顧客提供の VPC ネットワークのネットワークリソースを検証します。
`compute.subnetworks.get`	VPC ネットワークのサブネットを検証します。	ワークスペースプロジェクト以外のプロジェクトに属している可能性がある、顧客提供の VPC ネットワークのネットワークリソースを検証します。
`compute.forwardingRules.get`	Private サービス Connect の転送ルールを一覧表示します。	プライベートサービス Connectを有効にする場合に必要です。
`compute.forwardingRules.list`	Private サービス Connect の転送ルールを取得します。	プライベートサービス Connectを有効にする場合に必要です。
`cloudkms.cryptoKeys.getIamPolicy`	クラウド KMS リソースのアクセス制御ポリシーを取得します。	クラウド KMS キーで必須 ( 顧客管理キーを有効にする場合)。
`cloudkms.cryptoKeys.setIamPolicy`	アクセス制御ポリシーをクラウド KMS リソースに設定します。	クラウド KMS キーで必須 ( 顧客管理キーを有効にする場合)。

ワークスペースサービスアカウントに必要な権限

ワークスペースサービスアカウントでは、ワークスペースを操作および管理するために、ワークスペースプロジェクトの次の IAMロールのアクセス許可が必要です。

GKE 管理者ロール: GKE 上で実行されている顧客のワークロードを操作および管理するために必要です。
GCE ストレージ管理者ロール: GKE ノードに関連付けられた Google コンピュートエンジン (GCE) 永続ストレージを操作および管理するために必要です。
Databricks Workspaceロール: ワークスペースを管理するために必要な追加の権限を付与するためのワークスペースごとのカスタムロール。

権限	目的	ユースケース
`compute.globalOperations.get`	GCEの停止中にGCEの運用を可視化するための運用データを取得します。	Google コンピュートエンジン (GCE) リソースを管理してワークロードを実行します。
`compute.instanceGroups.get`	GCE のトラブルシューティング用のインスタンスグループを取得します。 Google コンピュートエンジン (GCE) リソースを管理してワークロードを実行します。	Google コンピュートエンジン (GCE) リソースを管理してワークロードを実行します。
`compute.instanceGroups.list`	GCE のトラブルシューティングのためのインスタンスグループを一覧表示します。 Google コンピュートエンジン (GCE) リソースを管理してワークロードを実行します。	Google コンピュートエンジン (GCE) リソースを管理してワークロードを実行します。
`compute.instances.get`	Get コンピュートインスタンス。 Google コンピュートエンジン (GCE) リソースを管理してワークロードを実行します。	Google コンピュートエンジン (GCE) リソースを管理してワークロードを実行します。
`compute.instances.list`	GCE のトラブルシューティングのためのコンピュートインスタンスを一覧表示します。 Google コンピュートエンジン (GCE) リソースを管理してワークロードを実行します。	Google コンピュートエンジン (GCE) リソースを管理してワークロードを実行します。
`compute.instances.setLabels`	コンピュート・インスタンス・ラベルを設定します。 Google コンピュートエンジン (GCE) リソースを管理してワークロードを実行します。	Google コンピュートエンジン (GCE) リソースを管理してワークロードを実行します。
`compute.disks.get`	ディスクを取得します。 Google コンピュートエンジン (GCE) リソースを管理してワークロードを実行します。	Google コンピュートエンジン (GCE) リソースを管理してワークロードを実行します。
`compute.disks.setLabels`	ディスクラベルを設定します。 Google コンピュートエンジン (GCE) リソースを管理してワークロードを実行します。	Google コンピュートエンジン (GCE) リソースを管理してワークロードを実行します。
`compute.networks.access`	ネットワークリソースを管理します。	Google コンピュートエンジン (GCE) リソースを管理してワークロードを実行します。
`compute.networks.create`	ネットワークリソースを管理します。顧客管理 VPC を使用する場合、この権限は、 Databricksサービスアカウントに付与するカスタムロールには含まれません。	Google コンピュートエンジン (GCE) リソースを管理してワークロードを実行します。
`compute.networks.delete`	ネットワークリソースを管理します。顧客管理 VPC を使用する場合、この権限は、 Databricksサービスアカウントに付与するカスタムロールには含まれません。	Google コンピュートエンジン (GCE) リソースを管理してワークロードを実行します。
`compute.networks.get`	ネットワークリソースを管理します。	Google コンピュートエンジン (GCE) リソースを管理してワークロードを実行します。
`compute.networks.getEffectiveFirewalls`	ネットワークリソースを管理します。	Google コンピュートエンジン (GCE) リソースを管理してワークロードを実行します。
`compute.networks.update`	ネットワークリソースを管理します。顧客管理 VPC を使用する場合、この権限は、 Databricksサービスアカウントに付与するカスタムロールには含まれません。	Google コンピュートエンジン (GCE) リソースを管理してワークロードを実行します。
`compute.networks.updatePolicy`	ネットワークリソースを管理します。顧客管理 VPC を使用する場合、この権限は、 Databricksサービスアカウントに付与するカスタムロールには含まれません。	Google コンピュートエンジン (GCE) リソースを管理してワークロードを実行します。
`compute.networks.use`	ネットワークリソースを管理します。	Google コンピュートエンジン (GCE) リソースを管理してワークロードを実行します。
`compute.networks.useExternalIp`	ネットワークリソースを管理します。	Google コンピュートエンジン (GCE) リソースを管理してワークロードを実行します。
`compute.regionOperations.get`	GCE の停止中に Google コンピュートエンジン (GCE) の動作を可視化するためのリージョン操作を取得します。	Google コンピュートエンジン (GCE) リソースを管理してワークロードを実行します。
`compute.routers.create`	ネットワークリソースを管理します。顧客管理 VPC を使用する場合、この権限は、 Databricksサービスアカウントに付与するカスタムロールには含まれません。	Google コンピュートエンジン (GCE) リソースを管理してワークロードを実行します。
`compute.routers.delete`	ネットワークリソースを管理します。顧客管理 VPC を使用する場合、この権限は、 Databricksサービスアカウントに付与するカスタムロールには含まれません。	Google コンピュートエンジン (GCE) リソースを管理してワークロードを実行します。
`compute.routers.get`	ネットワークリソースを管理します。	Google コンピュートエンジン (GCE) リソースを管理してワークロードを実行します。
`compute.routers.update`	ネットワークリソースを管理します。顧客管理 VPC を使用する場合、この権限は、 Databricksサービスアカウントに付与するカスタムロールには含まれません。	Google コンピュートエンジン (GCE) リソースを管理してワークロードを実行します。
`compute.routers.use`	ネットワークリソースを管理します。	Google コンピュートエンジン (GCE) リソースを管理してワークロードを実行します。
`compute.subnetworks.create`	ネットワークリソースを管理します。顧客管理 VPC を使用する場合、この権限は、 Databricksサービスアカウントに付与するカスタムロールには含まれません。	Google コンピュートエンジン (GCE) リソースを管理してワークロードを実行します。
`compute.subnetworks.delete`	ネットワークリソースを管理します。顧客管理 VPC を使用する場合、この権限は、 Databricksサービスアカウントに付与するカスタムロールには含まれません。	Google コンピュートエンジン (GCE) リソースを管理してワークロードを実行します。
`compute.subnetworks.expandIpCidrRange`	ネットワークリソースを管理します。顧客管理 VPC を使用する場合、この権限は、 Databricksサービスアカウントに付与するカスタムロールには含まれません。	Google コンピュートエンジン (GCE) リソースを管理してワークロードを実行します。
`compute.subnetworks.get`	ネットワークリソースを管理します。	Google コンピュートエンジン (GCE) リソースを管理してワークロードを実行します。
`compute.subnetworks.getIamPolicy`	ネットワークリソースを管理します。	Google コンピュートエンジン (GCE) リソースを管理してワークロードを実行します。
`compute.subnetworks.setIamPolicy`	ネットワークリソースを管理します。顧客管理 VPC を使用する場合、この権限は、 Databricksサービスアカウントに付与するカスタムロールには含まれません。	Google コンピュートエンジン (GCE) リソースを管理してワークロードを実行します。
`compute.subnetworks.setPrivateIpGoogleAccess`	ネットワークリソースを管理します。顧客管理 VPC を使用する場合、この権限は、 Databricksサービスアカウントに付与するカスタムロールには含まれません。	Google コンピュートエンジン (GCE) リソースを管理してワークロードを実行します。
`compute.subnetworks.update`	ネットワークリソースを管理します。顧客管理 VPC を使用する場合、この権限は、 Databricksサービスアカウントに付与するカスタムロールには含まれません。	Google コンピュートエンジン (GCE) リソースを管理してワークロードを実行します。
`compute.subnetworks.use`	ネットワークリソースを管理します。	Google コンピュートエンジン (GCE) リソースを管理してワークロードを実行します。
`compute.subnetworks.useExternalIp`	ネットワークリソースを管理します。	Google コンピュートエンジン (GCE) リソースを管理してワークロードを実行します。
`container.clusterRoleBindings.create`	クラスターロールバインディングを作成します。	Databricks ワークロードを実行するために GKE クラスターを管理します。
`container.clusterRoleBindings.get`	クラスターのロールバインディングを取得します。	Databricks ワークロードを実行するために GKE クラスターを管理します。
`container.clusterRoles.bind`	クラスターロールバインディングをバインドします。	Databricks ワークロードを実行するために GKE クラスターを管理します。
`container.clusterRoles.create`	クラスターロールを作成します。	Databricks ワークロードを実行するために GKE クラスターを管理します。
`container.clusterRoles.get`	クラスターのロールを取得します。	Databricks ワークロードを実行するために GKE クラスターを管理します。
`container.clusters.create`	クラスターロールを作成します。	Databricks ワークロードを実行するために GKE クラスターを管理します。
`container.clusters.delete`	クラスターのロールを削除します。	Databricks ワークロードを実行するために GKE クラスターを管理します。
`container.clusters.get`	クラスターを取得します。	Databricks ワークロードを実行するために GKE クラスターを管理します。
`container.clusters.getCredentials`	クラスターの資格情報を取得します。	Databricks ワークロードを実行するために GKE クラスターを管理します。
`container.clusters.list`	クラスターを一覧表示します。	Databricks ワークロードを実行するために GKE クラスターを管理します。
`container.clusters.update`	クラスターを更新します。	Databricks ワークロードを実行するために GKE クラスターを管理します。
`container.configMaps.create`	configMap を作成します。	Databricks ワークロードを実行するために GKE クラスターを管理します。
`container.configMaps.get`	configMapsを入手してください。	Databricks ワークロードを実行するために GKE クラスターを管理します。
`container.configMaps.update`	configMap を更新します。	Databricks ワークロードを実行するために GKE クラスターを管理します。
`container.customResourceDefinitions.create`	カスタムリソース定義を作成します。	Databricks ワークロードを実行するために GKE クラスターを管理します。
`container.customResourceDefinitions.get`	カスタムリソース定義を取得します。	Databricks ワークロードを実行するために GKE クラスターを管理します。
`container.customResourceDefinitions.update`	カスタムリソース定義を更新します。	Databricks ワークロードを実行するために GKE クラスターを管理します。
`container.daemonSets.create`	デーモンセットを作成します。	Databricks ワークロードを実行するために GKE クラスターを管理します。
`container.daemonSets.get`	デーモンセットを取得します。	Databricks ワークロードを実行するために GKE クラスターを管理します。
`container.daemonSets.update`	デーモンセットを更新します。	Databricks ワークロードを実行するために GKE クラスターを管理します。
`container.deployments.create`	デプロイを作成します。	Databricks ワークロードを実行するために GKE クラスターを管理します。
`container.deployments.get`	デプロイを取得します。	Databricks ワークロードを実行するために GKE クラスターを管理します。
`container.deployments.update`	デプロイを更新します。	Databricks ワークロードを実行するために GKE クラスターを管理します。
`container.jobs.create`	ジョブを作成します。	Databricks ワークロードを実行するために GKE クラスターを管理します。
`container.jobs.get`	ジョブを取得。	Databricks ワークロードを実行するために GKE クラスターを管理します。
`container.jobs.update`	ジョブを更新します。	Databricks ワークロードを実行するために GKE クラスターを管理します。
`container.namespaces.create`	名前空間を作成します。	Databricks ワークロードを実行するために GKE クラスターを管理します。
`container.namespaces.get`	名前空間を取得します。	Databricks ワークロードを実行するために GKE クラスターを管理します。
`container.namespaces.list`	名前空間を一覧表示します。	Databricks ワークロードを実行するために GKE クラスターを管理します。
`container.operations.get`	操作を取得します。	Databricks ワークロードを実行するために GKE クラスターを管理します。
`container.pods.get`	ポッドを取得します。	Databricks ワークロードを実行するために GKE クラスターを管理します。
`container.pods.getLogs`	ポッドログを取得します。	Databricks ワークロードを実行するために GKE クラスターを管理します。
`container.pods.list`	ポッドを一覧表示します。	Databricks ワークロードを実行するために GKE クラスターを管理します。
`container.roleBindings.create`	ロール・バインディングを作成します。	Databricks ワークロードを実行するために GKE クラスターを管理します。
`container.roleBindings.get`	ロールバインドを取得します。	Databricks ワークロードを実行するために GKE クラスターを管理します。
`container.roles.bind`	ロールをバインドします。	Databricks ワークロードを実行するために GKE クラスターを管理します。
`container.roles.create`	ロールを作成します。	Databricks ワークロードを実行するために GKE クラスターを管理します。
`container.roles.get`	ロールを取得します。	Databricks ワークロードを実行するために GKE クラスターを管理します。
`container.secrets.create`	シークレットを作成します。	Databricks ワークロードを実行するために GKE クラスターを管理します。
`container.secrets.get`	秘密を取得します。	Databricks ワークロードを実行するために GKE クラスターを管理します。
`container.secrets.update`	シークレットを更新します。	Databricks ワークロードを実行するために GKE クラスターを管理します。
`container.serviceAccounts.create`	サービスアカウントを作成します。	Databricks ワークロードを実行するために GKE クラスターを管理します。
`container.serviceAccounts.get`	サービスアカウントを取得します。	Databricks ワークロードを実行するために GKE クラスターを管理します。
`container.services.create`	サービスを作成します。	Databricks ワークロードを実行するために GKE クラスターを管理します。
`container.services.get`	サービスを受けましょう。	Databricks ワークロードを実行するために GKE クラスターを管理します。
`container.thirdPartyObjects.create`	サードパーティオブジェクトを作成します。	Databricks ワークロードを実行するために GKE クラスターを管理します。
`container.thirdPartyObjects.delete`	サードパーティオブジェクトを削除します。	Databricks ワークロードを実行するために GKE クラスターを管理します。
`container.thirdPartyObjects.get`	サードパーティのオブジェクトを取得します。	Databricks ワークロードを実行するために GKE クラスターを管理します。
`container.thirdPartyObjects.list`	サードパーティオブジェクトを一覧表示します。	Databricks ワークロードを実行するために GKE クラスターを管理します。
`container.thirdPartyObjects.update`	サードパーティオブジェクトを更新します。	Databricks ワークロードを実行するために GKE クラスターを管理します。
`iam.serviceAccounts.getIamPolicy`	サービスアカウントを検査するか、クラスターにバインドします。	クラスターのサービスアカウントがデータにアクセスできるように、GKE Workload Identityを構成します。
`iam.serviceAccounts.setIamPolicy`	サービスアカウントを検査するか、クラスターにバインドします。	クラスターのサービスアカウントがデータにアクセスできるように、GKE Workload Identityを構成します。
`resourcemanager.projects.get`	顧客プロジェクト ID をプロジェクト番号に変換します。	プロジェクトがライブかどうか、ワークスペースサービスアカウントに十分な権限があるかどうかなど、プロジェクトのステータスを検証します。
`resourcemanager.projects.getIamPolicy`	プロジェクトの IAM ポリシーが正しく設定されているかどうかを確認します。	プロジェクトがライブかどうか、ワークスペースサービスアカウントに十分な権限があるかどうかなど、プロジェクトのステータスを検証します。
`storage.buckets.create`	バケットを作成します。	これは、 DBFS用の GCS バケットを作成および管理するために必要です。
`storage.buckets.delete`	バケットを削除します。	これは、 DBFS用の GCS バケットを作成および管理するために必要です。
`storage.buckets.get`	バケツを入手してください。	これは、 DBFS用の GCS バケットを作成および管理するために必要です。
`storage.buckets.getIamPolicy`	ストレージ IAM ポリシーを取得します。	これは、 DBFS用の GCS バケットを作成および管理するために必要です。
`storage.buckets.list`	バケットを一覧表示します。	これは、 DBFS用の GCS バケットを作成および管理するために必要です。
`storage.buckets.setIamPolicy`	ストレージ IAM ポリシーを設定します。	これは、 DBFS用の GCS バケットを作成および管理するために必要です。
`storage.buckets.update`	ストレージ IAM ポリシーを更新します。	これは、 DBFS用の GCS バケットを作成および管理するために必要です。
`storage.multipartUploads.abort`	マルチパートアップロードを中止します。	DBFSオブジェクトの読み取りと書き込みを行います。
`storage.multipartUploads.create`	マルチパートアップロードを作成します。	DBFSオブジェクトの読み取りと書き込みを行います。
`storage.multipartUploads.list`	マルチパートアップロードを一覧表示します。	DBFSオブジェクトの読み取りと書き込みを行います。
`storage.multipartUploads.listParts`	マルチパートアップロードのパートを一覧表示します。	DBFSオブジェクトの読み取りと書き込みを行います。
`storage.objects.create`	ストレージオブジェクトを作成します。	DBFSオブジェクトの読み取りと書き込みを行います。
`storage.objects.delete`	ストレージオブジェクトを削除します。	DBFSオブジェクトの読み取りと書き込みを行います。
`storage.objects.get`	ストレージオブジェクトを取得します。	DBFSオブジェクトの読み取りと書き込みを行います。
`storage.objects.list`	ストレージ・オブジェクトをリストします。	DBFSオブジェクトの読み取りと書き込みを行います。
`storage.objects.update`	ストレージオブジェクトを更新します。	DBFSオブジェクトの読み取りと書き込みを行います。

必要なアクセス許可

ワークスペース作成者に必要な権限

ワークスペース サービス アカウントに必要な権限

Databricks プロジェクト ロール v2 のアクセス許可

Databricks リソース ロール v2 のアクセス許可

Databricks マネージド VPC ネットワーク上のワークスペースに対する追加のアクセス許可

Databricks ネットワーク ロール v2 のアクセス許可

従来のアクセス許可

ワークスペース作成者に必要な権限

ワークスペース サービス アカウントに必要な権限

ワークスペースサービスアカウントに必要な権限

Databricks プロジェクトロール v2 のアクセス許可

Databricks リソースロール v2 のアクセス許可

Databricks ネットワークロール v2 のアクセス許可

ワークスペースサービスアカウントに必要な権限