必要なアクセス許可

このページでは、Google クラウドで Databricks ワークスペースを作成および管理するために必要な権限について説明します。

Google クラウドでは、各ワークスペースは顧客所有のワークスペース プロジェクト内で実行されます。 Databricks は、ワークスペースの管理に必要な最小限のアクセス許可を持つワークスペースごとのサービス アカウントを作成して所有します。 Databricks では、ワークスペース作成者の資格情報を使用して、ワークスペース プロジェクトのサービス アカウントにアクセス許可を付与します。 Databricks アカウント管理者は、ワークスペースを正常に作成するには、ワークスペース プロジェクトに対する必要なアクセス許可を持っている必要があります。

ワークスペース作成者に必要な権限

Databricks では、ワークスペース作成者の資格情報を使用して、設定の検証、アクセス許可の付与、必要なサービスの有効化、ワークスペースのプロビジョニングを行います。 このプロセス中、Databricks には、ワークスペース プロジェクトとネットワーク プロジェクトに対する次のアクセス許可が必要です。

Google の許可

目的

ユースケース

iam.roles.create

カスタムロールを作成します。

ワークスペースのサービスアカウントにアクセス許可を付与するためのカスタムロールを作成および管理します。

iam.roles.delete

カスタムロールを削除します。

ワークスペースのサービスアカウントにアクセス許可を付与するためのカスタムロールを作成および管理します。

iam.roles.get

カスタムロールを取得します。

ワークスペースのサービスアカウントにアクセス許可を付与するためのカスタムロールを作成および管理します。

iam.roles.update

カスタムロールを更新します。

ワークスペースのサービスアカウントにアクセス許可を付与するためのカスタムロールを作成および管理します。

iam.serviceAccounts.getIamPolicy

IAMポリシーを取得します。

ワークスペース サービス アカウントに、GKE クラスターを起動するための Google クラウド コンピュート エンジン(GCE)サービス アカウントの Service Account User ロールを付与します。

iam.serviceAccounts.setIamPolicy

IAMポリシーを設定します。

ワークスペース サービス アカウントに、GKE クラスターを起動するための Google クラウド コンピュート エンジン(GCE)サービス アカウントの Service Account User ロールを付与します。

resourcemanager.projects.get

プロジェクト ID からプロジェクト番号を取得します。

ワークスペース プロジェクトに関する基本情報を取得します。

resourcemanager.projects.getIamPolicy

IAMポリシーを取得します。

ワークスペース プロジェクトに関する基本情報を取得します。

resourcemanager.projects.setIamPolicy

IAMポリシーを設定します。

ワークスペース プロジェクトに関する基本情報を取得します。

serviceusage.services.get

顧客プロジェクトで必要な Google クラウド APIsが有効になっているかどうかを検証します。

Databricks ワークロードに必要な Google クラウド サービスを有効にします。

serviceusage.services.list

顧客プロジェクトで必要な Google クラウド APIsが有効になっているかどうかを検証します。

Databricks ワークロードに必要な Google クラウド サービスを有効にします。

serviceusage.services.enable

プロジェクトで必要な Google クラウド APIs がまだ有効になっていない場合は、有効にします。

Databricks ワークロードに必要な Google クラウド サービスを有効にします。

compute.networks.get

VPC ネットワークの存在を検証します。

顧客提供の VPC ネットワークのネットワーク リソースを検証し、ワークスペース プロジェクト以外のプロジェクトに属している可能性があります。

compute.projects.get

VPC ネットワークのホスト プロジェクトを取得します。

顧客提供の VPC ネットワークのネットワーク リソースを検証し、ワークスペース プロジェクト以外のプロジェクトに属している可能性があります。

compute.subnetworks.get

VPC ネットワークのサブネットを検証します。

顧客提供の VPC ネットワークのネットワーク リソースを検証し、ワークスペース プロジェクト以外のプロジェクトに属している可能性があります。

compute.forwardingRules.get

Private Service Connect の転送ルールを一覧表示します。

Private Service Connect を有効にする場合は必須です。

compute.forwardingRules.list

Private Service Connect の転送ルールを取得します。

Private Service Connect を有効にする場合は必須です。

ワークスペースサービスアカウントに必要な権限

ワークスペースサービスアカウントには、ワークスペースを運用および管理するために、ワークスペースプロジェクトに対する次のIAMロールのアクセス許可が必要です。

  • GKE 管理者ロール: GKE で実行されている顧客ワークロードを運用、管理するために必要です。

  • GCE Storage Admin Role: GKE ノードに関連付けられた Google コンピュート エンジン(GCE)永続ストレージを運用、管理するために必要です。

  • Databricks Workspace ロール: ワークスペースの管理に必要な追加の権限を付与するための、ワークスペースごとのカスタム ロール。

権限

目的

ユースケース

compute.globalOperations.get

GCEの停止中にGCEの運用を可視化するための運用データを取得します。

Google クラウド コンピュート エンジン (GCE) リソースを管理してワークロードを実行します。

compute.instanceGroups.get

GCE のトラブルシューティング用のインスタンスグループを取得します。 Google クラウド コンピュート エンジン (GCE) リソースを管理してワークロードを実行します。

Google クラウド コンピュート エンジン (GCE) リソースを管理してワークロードを実行します。

compute.instanceGroups.list

GCE のトラブルシューティング用のインスタンスグループを一覧表示します。 Google クラウド コンピュート エンジン (GCE) リソースを管理してワークロードを実行します。

Google クラウド コンピュート エンジン (GCE) リソースを管理してワークロードを実行します。

compute.instances.get

コンピュート・インスタンスを取得します。 Google クラウド コンピュート エンジン (GCE) リソースを管理してワークロードを実行します。

Google クラウド コンピュート エンジン (GCE) リソースを管理してワークロードを実行します。

compute.instances.list

GCE のトラブルシューティングのためにコンピュートインスタンスを一覧表示します。 Google クラウド コンピュート エンジン (GCE) リソースを管理してワークロードを実行します。

Google クラウド コンピュート エンジン (GCE) リソースを管理してワークロードを実行します。

compute.instances.setLabels

コンピュート・インスタンス・ラベルを設定します。 Google クラウド コンピュート エンジン (GCE) リソースを管理してワークロードを実行します。

Google クラウド コンピュート エンジン (GCE) リソースを管理してワークロードを実行します。

compute.disks.get

ディスクを取得します。 Google クラウド コンピュート エンジン (GCE) リソースを管理してワークロードを実行します。

Google クラウド コンピュート エンジン (GCE) リソースを管理してワークロードを実行します。

compute.disks.setLabels

ディスクラベルを設定します。 Google クラウド コンピュート エンジン (GCE) リソースを管理してワークロードを実行します。

Google クラウド コンピュート エンジン (GCE) リソースを管理してワークロードを実行します。

compute.networks.access

ネットワーク リソースを管理します。

Google クラウド コンピュート エンジン (GCE) リソースを管理してワークロードを実行します。

compute.networks.create

ネットワーク リソースを管理します。 顧客管理 VPC を使用する場合、このアクセス許可は、Databricks がサービス アカウントに付与するカスタム ロールにはありません

Google クラウド コンピュート エンジン (GCE) リソースを管理してワークロードを実行します。

compute.networks.delete

ネットワーク リソースを管理します。 顧客管理 VPC を使用する場合、このアクセス許可は、Databricks がサービス アカウントに付与するカスタム ロールにはありません

Google クラウド コンピュート エンジン (GCE) リソースを管理してワークロードを実行します。

compute.networks.get

ネットワーク リソースを管理します。

Google クラウド コンピュート エンジン (GCE) リソースを管理してワークロードを実行します。

compute.networks.getEffectiveFirewalls

ネットワーク リソースを管理します。

Google クラウド コンピュート エンジン (GCE) リソースを管理してワークロードを実行します。

compute.networks.update

ネットワーク リソースを管理します。 顧客管理 VPC を使用する場合、このアクセス許可は、Databricks がサービス アカウントに付与するカスタム ロールにはありません

Google クラウド コンピュート エンジン (GCE) リソースを管理してワークロードを実行します。

compute.networks.updatePolicy

ネットワーク リソースを管理します。 顧客管理 VPC を使用する場合、このアクセス許可は、Databricks がサービス アカウントに付与するカスタム ロールにはありません

Google クラウド コンピュート エンジン (GCE) リソースを管理してワークロードを実行します。

compute.networks.use

ネットワーク リソースを管理します。

Google クラウド コンピュート エンジン (GCE) リソースを管理してワークロードを実行します。

compute.networks.useExternalIp

ネットワーク リソースを管理します。

Google クラウド コンピュート エンジン (GCE) リソースを管理してワークロードを実行します。

compute.regionOperations.get

GCE の停止時に Google コンピュート エンジン(GCE)の操作を可視化するためのリージョン オペレーションを取得します。

Google クラウド コンピュート エンジン (GCE) リソースを管理してワークロードを実行します。

compute.routers.create

ネットワーク リソースを管理します。 顧客管理 VPC を使用する場合、このアクセス許可は、Databricks がサービス アカウントに付与するカスタム ロールにはありません

Google クラウド コンピュート エンジン (GCE) リソースを管理してワークロードを実行します。

compute.routers.delete

ネットワーク リソースを管理します。 顧客管理 VPC を使用する場合、このアクセス許可は、Databricks がサービス アカウントに付与するカスタム ロールにはありません

Google クラウド コンピュート エンジン (GCE) リソースを管理してワークロードを実行します。

compute.routers.get

ネットワーク リソースを管理します。

Google クラウド コンピュート エンジン (GCE) リソースを管理してワークロードを実行します。

compute.routers.update

ネットワーク リソースを管理します。 顧客管理 VPC を使用する場合、このアクセス許可は、Databricks がサービス アカウントに付与するカスタム ロールにはありません

Google クラウド コンピュート エンジン (GCE) リソースを管理してワークロードを実行します。

compute.routers.use

ネットワーク リソースを管理します。

Google クラウド コンピュート エンジン (GCE) リソースを管理してワークロードを実行します。

compute.subnetworks.create

ネットワーク リソースを管理します。 顧客管理 VPC を使用する場合、このアクセス許可は、Databricks がサービス アカウントに付与するカスタム ロールにはありません

Google クラウド コンピュート エンジン (GCE) リソースを管理してワークロードを実行します。

compute.subnetworks.delete

ネットワーク リソースを管理します。 顧客管理 VPC を使用する場合、このアクセス許可は、Databricks がサービス アカウントに付与するカスタム ロールにはありません

Google クラウド コンピュート エンジン (GCE) リソースを管理してワークロードを実行します。

compute.subnetworks.expandIpCidrRange

ネットワーク リソースを管理します。 顧客管理 VPC を使用する場合、このアクセス許可は、Databricks がサービス アカウントに付与するカスタム ロールにはありません

Google クラウド コンピュート エンジン (GCE) リソースを管理してワークロードを実行します。

compute.subnetworks.get

ネットワーク リソースを管理します。

Google クラウド コンピュート エンジン (GCE) リソースを管理してワークロードを実行します。

compute.subnetworks.getIamPolicy

ネットワーク リソースを管理します。

Google クラウド コンピュート エンジン (GCE) リソースを管理してワークロードを実行します。

compute.subnetworks.setIamPolicy

ネットワーク リソースを管理します。 顧客管理 VPC を使用する場合、このアクセス許可は、Databricks がサービス アカウントに付与するカスタム ロールにはありません

Google クラウド コンピュート エンジン (GCE) リソースを管理してワークロードを実行します。

compute.subnetworks.setPrivateIpGoogleAccess

ネットワーク リソースを管理します。 顧客管理 VPC を使用する場合、このアクセス許可は、Databricks がサービス アカウントに付与するカスタム ロールにはありません

Google クラウド コンピュート エンジン (GCE) リソースを管理してワークロードを実行します。

compute.subnetworks.update

ネットワーク リソースを管理します。 顧客管理 VPC を使用する場合、このアクセス許可は、Databricks がサービス アカウントに付与するカスタム ロールにはありません

Google クラウド コンピュート エンジン (GCE) リソースを管理してワークロードを実行します。

compute.subnetworks.use

ネットワーク リソースを管理します。

Google クラウド コンピュート エンジン (GCE) リソースを管理してワークロードを実行します。

compute.subnetworks.useExternalIp

ネットワーク リソースを管理します。

Google クラウド コンピュート エンジン (GCE) リソースを管理してワークロードを実行します。

container.clusterRoleBindings.create

クラスター ロール バインドを作成します。

Databricks ワークロードを実行するように GKE クラスターを管理します。

container.clusterRoleBindings.get

クラスター ロール バインドを取得します。

Databricks ワークロードを実行するように GKE クラスターを管理します。

container.clusterRoles.bind

クラスターの役割のバインドをバインドします。

Databricks ワークロードを実行するように GKE クラスターを管理します。

container.clusterRoles.create

クラスターの役割を作成します。

Databricks ワークロードを実行するように GKE クラスターを管理します。

container.clusterRoles.get

クラスター ロールを取得します。

Databricks ワークロードを実行するように GKE クラスターを管理します。

container.clusters.create

クラスターの役割を作成します。

Databricks ワークロードを実行するように GKE クラスターを管理します。

container.clusters.delete

クラスターの役割を削除します。

Databricks ワークロードを実行するように GKE クラスターを管理します。

container.clusters.get

クラスターを取得します。

Databricks ワークロードを実行するように GKE クラスターを管理します。

container.clusters.getCredentials

クラスターの資格情報を取得します。

Databricks ワークロードを実行するように GKE クラスターを管理します。

container.clusters.list

クラスターを一覧表示します。

Databricks ワークロードを実行するように GKE クラスターを管理します。

container.clusters.update

クラスターを更新します。

Databricks ワークロードを実行するように GKE クラスターを管理します。

container.configMaps.create

configMap を作成します。

Databricks ワークロードを実行するように GKE クラスターを管理します。

container.configMaps.get

configMapsを入手してください。

Databricks ワークロードを実行するように GKE クラスターを管理します。

container.configMaps.update

configMap を更新します。

Databricks ワークロードを実行するように GKE クラスターを管理します。

container.customResourceDefinitions.create

カスタム・リソース定義を作成します。

Databricks ワークロードを実行するように GKE クラスターを管理します。

container.customResourceDefinitions.get

カスタム リソース定義を取得します。

Databricks ワークロードを実行するように GKE クラスターを管理します。

container.customResourceDefinitions.update

カスタム・リソース定義を更新します。

Databricks ワークロードを実行するように GKE クラスターを管理します。

container.daemonSets.create

デーモンセットを作成します。

Databricks ワークロードを実行するように GKE クラスターを管理します。

container.daemonSets.get

デーモンセットを取得します。

Databricks ワークロードを実行するように GKE クラスターを管理します。

container.daemonSets.update

デーモンセットを更新します。

Databricks ワークロードを実行するように GKE クラスターを管理します。

container.deployments.create

デプロイを作成します。

Databricks ワークロードを実行するように GKE クラスターを管理します。

container.deployments.get

デプロイを取得します。

Databricks ワークロードを実行するように GKE クラスターを管理します。

container.deployments.update

デプロイを更新します。

Databricks ワークロードを実行するように GKE クラスターを管理します。

container.jobs.create

ジョブを作成します。

Databricks ワークロードを実行するように GKE クラスターを管理します。

container.jobs.get

Get ジョブ.

Databricks ワークロードを実行するように GKE クラスターを管理します。

container.jobs.update

ジョブを更新します。

Databricks ワークロードを実行するように GKE クラスターを管理します。

container.namespaces.create

名前空間を作成します。

Databricks ワークロードを実行するように GKE クラスターを管理します。

container.namespaces.get

名前空間を取得します。

Databricks ワークロードを実行するように GKE クラスターを管理します。

container.namespaces.list

名前空間を一覧表示します。

Databricks ワークロードを実行するように GKE クラスターを管理します。

container.operations.get

操作を取得します。

Databricks ワークロードを実行するように GKE クラスターを管理します。

container.pods.get

ポッドを取得します。

Databricks ワークロードを実行するように GKE クラスターを管理します。

container.pods.getLogs

ポッド ログを取得します。

Databricks ワークロードを実行するように GKE クラスターを管理します。

container.pods.list

ポッドを一覧表示します。

Databricks ワークロードを実行するように GKE クラスターを管理します。

container.roleBindings.create

ロール・バインディングを作成します。

Databricks ワークロードを実行するように GKE クラスターを管理します。

container.roleBindings.get

ロール バインドを取得します。

Databricks ワークロードを実行するように GKE クラスターを管理します。

container.roles.bind

ロールをバインドします。

Databricks ワークロードを実行するように GKE クラスターを管理します。

container.roles.create

ロールを作成します。

Databricks ワークロードを実行するように GKE クラスターを管理します。

container.roles.get

ロールを取得します。

Databricks ワークロードを実行するように GKE クラスターを管理します。

container.secrets.create

シークレットを作成します。

Databricks ワークロードを実行するように GKE クラスターを管理します。

container.secrets.get

秘密を取得します。

Databricks ワークロードを実行するように GKE クラスターを管理します。

container.secrets.update

シークレットを更新します。

Databricks ワークロードを実行するように GKE クラスターを管理します。

container.serviceAccounts.create

サービス アカウントを作成します。

Databricks ワークロードを実行するように GKE クラスターを管理します。

container.serviceAccounts.get

サービス アカウントを取得します。

Databricks ワークロードを実行するように GKE クラスターを管理します。

container.services.create

サービスを作成します。

Databricks ワークロードを実行するように GKE クラスターを管理します。

container.services.get

サービスを受ける。

Databricks ワークロードを実行するように GKE クラスターを管理します。

container.thirdPartyObjects.create

サードパーティオブジェクトを作成します。

Databricks ワークロードを実行するように GKE クラスターを管理します。

container.thirdPartyObjects.delete

サードパーティオブジェクトを削除します。

Databricks ワークロードを実行するように GKE クラスターを管理します。

container.thirdPartyObjects.get

サードパーティのオブジェクトを取得します。

Databricks ワークロードを実行するように GKE クラスターを管理します。

container.thirdPartyObjects.list

サードパーティオブジェクトを一覧表示します。

Databricks ワークロードを実行するように GKE クラスターを管理します。

container.thirdPartyObjects.update

サードパーティオブジェクトを更新します。

Databricks ワークロードを実行するように GKE クラスターを管理します。

iam.serviceAccounts.getIamPolicy

サービス アカウントを検査するか、クラスターにバインドします。

クラスターのサービス アカウントがデータにアクセスできるように GKE Workload Identity を構成します。

iam.serviceAccounts.setIamPolicy

サービス アカウントを検査するか、クラスターにバインドします。

クラスターのサービス アカウントがデータにアクセスできるように GKE Workload Identity を構成します。

resourcemanager.projects.get

顧客プロジェクト ID をプロジェクト番号に変換します。

プロジェクトがライブかどうか、ワークスペースサービスアカウントに十分な権限があるかどうかなど、プロジェクトのステータスを検証します。

resourcemanager.projects.getIamPolicy

プロジェクトのIAMポリシーが正しく設定されているかどうかを確認します。

プロジェクトがライブかどうか、ワークスペースサービスアカウントに十分な権限があるかどうかなど、プロジェクトのステータスを検証します。

storage.buckets.create

バケットを作成します。

これは、 DBFS用のGCSバケットを作成および管理するために必要です。

storage.buckets.delete

バケットを削除します。

これは、 DBFS用のGCSバケットを作成および管理するために必要です。

storage.buckets.get

バケツを入手してください。

これは、 DBFS用のGCSバケットを作成および管理するために必要です。

storage.buckets.getIamPolicy

ストレージIAMポリシーを取得します。

これは、 DBFS用のGCSバケットを作成および管理するために必要です。

storage.buckets.list

バケットを一覧表示します。

これは、 DBFS用のGCSバケットを作成および管理するために必要です。

storage.buckets.setIamPolicy

ストレージIAMポリシーを設定します。

これは、 DBFS用のGCSバケットを作成および管理するために必要です。

storage.buckets.update

ストレージIAMポリシーを更新します。

これは、 DBFS用のGCSバケットを作成および管理するために必要です。

storage.objects.create

ストレージ オブジェクトを作成します。

DBFS オブジェクトの読み取りと書き込み。

storage.objects.delete

ストレージ オブジェクトを削除します。

DBFS オブジェクトの読み取りと書き込み。

storage.objects.get

ストレージ オブジェクトを取得します。

DBFS オブジェクトの読み取りと書き込み。

storage.objects.list

ストレージ・オブジェクトをリストします。

DBFS オブジェクトの読み取りと書き込み。

storage.objects.update

ストレージ オブジェクトを更新します。

DBFS オブジェクトの読み取りと書き込み。