必要なアクセス許可
このページでは、Google クラウドで Databricks ワークスペースを作成および管理するために必要な権限について説明します。
Google クラウドでは、各ワークスペースは顧客所有のワークスペース プロジェクト内で実行されます。 Databricks は、ワークスペースの管理に必要な最小限のアクセス許可を持つワークスペースごとのサービス アカウントを作成して所有します。 Databricks では、ワークスペース作成者の資格情報を使用して、ワークスペース プロジェクトのサービス アカウントにアクセス許可を付与します。 Databricks アカウント管理者は、ワークスペースを正常に作成するには、ワークスペース プロジェクトに対する必要なアクセス許可を持っている必要があります。
ワークスペース作成者に必要な権限
Databricks では、ワークスペース作成者の資格情報を使用して、設定の検証、アクセス許可の付与、必要なサービスの有効化、ワークスペースのプロビジョニングを行います。 このプロセス中、Databricks には、ワークスペース プロジェクトとネットワーク プロジェクトに対する次のアクセス許可が必要です。
Google の許可 |
目的 |
ユースケース |
---|---|---|
|
カスタムロールを作成します。 |
ワークスペースのサービスアカウントにアクセス許可を付与するためのカスタムロールを作成および管理します。 |
|
カスタムロールを削除します。 |
ワークスペースのサービスアカウントにアクセス許可を付与するためのカスタムロールを作成および管理します。 |
|
カスタムロールを取得します。 |
ワークスペースのサービスアカウントにアクセス許可を付与するためのカスタムロールを作成および管理します。 |
|
カスタムロールを更新します。 |
ワークスペースのサービスアカウントにアクセス許可を付与するためのカスタムロールを作成および管理します。 |
|
IAMポリシーを取得します。 |
ワークスペース サービス アカウントに、GKE クラスターを起動するための Google クラウド コンピュート エンジン(GCE)サービス アカウントの |
|
IAMポリシーを設定します。 |
ワークスペース サービス アカウントに、GKE クラスターを起動するための Google クラウド コンピュート エンジン(GCE)サービス アカウントの |
|
プロジェクト ID からプロジェクト番号を取得します。 |
ワークスペース プロジェクトに関する基本情報を取得します。 |
|
IAMポリシーを取得します。 |
ワークスペース プロジェクトに関する基本情報を取得します。 |
|
IAMポリシーを設定します。 |
ワークスペース プロジェクトに関する基本情報を取得します。 |
|
顧客プロジェクトで必要な Google クラウド APIsが有効になっているかどうかを検証します。 |
Databricks ワークロードに必要な Google クラウド サービスを有効にします。 |
|
顧客プロジェクトで必要な Google クラウド APIsが有効になっているかどうかを検証します。 |
Databricks ワークロードに必要な Google クラウド サービスを有効にします。 |
|
プロジェクトで必要な Google クラウド APIs がまだ有効になっていない場合は、有効にします。 |
Databricks ワークロードに必要な Google クラウド サービスを有効にします。 |
|
VPC ネットワークの存在を検証します。 |
顧客提供の VPC ネットワークのネットワーク リソースを検証し、ワークスペース プロジェクト以外のプロジェクトに属している可能性があります。 |
|
VPC ネットワークのホスト プロジェクトを取得します。 |
顧客提供の VPC ネットワークのネットワーク リソースを検証し、ワークスペース プロジェクト以外のプロジェクトに属している可能性があります。 |
|
VPC ネットワークのサブネットを検証します。 |
顧客提供の VPC ネットワークのネットワーク リソースを検証し、ワークスペース プロジェクト以外のプロジェクトに属している可能性があります。 |
|
Private Service Connect の転送ルールを一覧表示します。 |
Private Service Connect を有効にする場合は必須です。 |
|
Private Service Connect の転送ルールを取得します。 |
Private Service Connect を有効にする場合は必須です。 |
ワークスペースサービスアカウントに必要な権限
ワークスペースサービスアカウントには、ワークスペースを運用および管理するために、ワークスペースプロジェクトに対する次のIAMロールのアクセス許可が必要です。
GKE 管理者ロール: GKE で実行されている顧客ワークロードを運用、管理するために必要です。
GCE Storage Admin Role: GKE ノードに関連付けられた Google コンピュート エンジン(GCE)永続ストレージを運用、管理するために必要です。
Databricks Workspace ロール: ワークスペースの管理に必要な追加の権限を付与するための、ワークスペースごとのカスタム ロール。
権限 |
目的 |
ユースケース |
---|---|---|
|
GCEの停止中にGCEの運用を可視化するための運用データを取得します。 |
Google クラウド コンピュート エンジン (GCE) リソースを管理してワークロードを実行します。 |
|
GCE のトラブルシューティング用のインスタンスグループを取得します。 Google クラウド コンピュート エンジン (GCE) リソースを管理してワークロードを実行します。 |
Google クラウド コンピュート エンジン (GCE) リソースを管理してワークロードを実行します。 |
|
GCE のトラブルシューティング用のインスタンスグループを一覧表示します。 Google クラウド コンピュート エンジン (GCE) リソースを管理してワークロードを実行します。 |
Google クラウド コンピュート エンジン (GCE) リソースを管理してワークロードを実行します。 |
|
コンピュート・インスタンスを取得します。 Google クラウド コンピュート エンジン (GCE) リソースを管理してワークロードを実行します。 |
Google クラウド コンピュート エンジン (GCE) リソースを管理してワークロードを実行します。 |
|
GCE のトラブルシューティングのためにコンピュートインスタンスを一覧表示します。 Google クラウド コンピュート エンジン (GCE) リソースを管理してワークロードを実行します。 |
Google クラウド コンピュート エンジン (GCE) リソースを管理してワークロードを実行します。 |
|
コンピュート・インスタンス・ラベルを設定します。 Google クラウド コンピュート エンジン (GCE) リソースを管理してワークロードを実行します。 |
Google クラウド コンピュート エンジン (GCE) リソースを管理してワークロードを実行します。 |
|
ディスクを取得します。 Google クラウド コンピュート エンジン (GCE) リソースを管理してワークロードを実行します。 |
Google クラウド コンピュート エンジン (GCE) リソースを管理してワークロードを実行します。 |
|
ディスクラベルを設定します。 Google クラウド コンピュート エンジン (GCE) リソースを管理してワークロードを実行します。 |
Google クラウド コンピュート エンジン (GCE) リソースを管理してワークロードを実行します。 |
|
ネットワーク リソースを管理します。 |
Google クラウド コンピュート エンジン (GCE) リソースを管理してワークロードを実行します。 |
|
ネットワーク リソースを管理します。 顧客管理 VPC を使用する場合、このアクセス許可は、Databricks がサービス アカウントに付与するカスタム ロールにはありません。 |
Google クラウド コンピュート エンジン (GCE) リソースを管理してワークロードを実行します。 |
|
ネットワーク リソースを管理します。 顧客管理 VPC を使用する場合、このアクセス許可は、Databricks がサービス アカウントに付与するカスタム ロールにはありません。 |
Google クラウド コンピュート エンジン (GCE) リソースを管理してワークロードを実行します。 |
|
ネットワーク リソースを管理します。 |
Google クラウド コンピュート エンジン (GCE) リソースを管理してワークロードを実行します。 |
|
ネットワーク リソースを管理します。 |
Google クラウド コンピュート エンジン (GCE) リソースを管理してワークロードを実行します。 |
|
ネットワーク リソースを管理します。 顧客管理 VPC を使用する場合、このアクセス許可は、Databricks がサービス アカウントに付与するカスタム ロールにはありません。 |
Google クラウド コンピュート エンジン (GCE) リソースを管理してワークロードを実行します。 |
|
ネットワーク リソースを管理します。 顧客管理 VPC を使用する場合、このアクセス許可は、Databricks がサービス アカウントに付与するカスタム ロールにはありません。 |
Google クラウド コンピュート エンジン (GCE) リソースを管理してワークロードを実行します。 |
|
ネットワーク リソースを管理します。 |
Google クラウド コンピュート エンジン (GCE) リソースを管理してワークロードを実行します。 |
|
ネットワーク リソースを管理します。 |
Google クラウド コンピュート エンジン (GCE) リソースを管理してワークロードを実行します。 |
|
GCE の停止時に Google コンピュート エンジン(GCE)の操作を可視化するためのリージョン オペレーションを取得します。 |
Google クラウド コンピュート エンジン (GCE) リソースを管理してワークロードを実行します。 |
|
ネットワーク リソースを管理します。 顧客管理 VPC を使用する場合、このアクセス許可は、Databricks がサービス アカウントに付与するカスタム ロールにはありません。 |
Google クラウド コンピュート エンジン (GCE) リソースを管理してワークロードを実行します。 |
|
ネットワーク リソースを管理します。 顧客管理 VPC を使用する場合、このアクセス許可は、Databricks がサービス アカウントに付与するカスタム ロールにはありません。 |
Google クラウド コンピュート エンジン (GCE) リソースを管理してワークロードを実行します。 |
|
ネットワーク リソースを管理します。 |
Google クラウド コンピュート エンジン (GCE) リソースを管理してワークロードを実行します。 |
|
ネットワーク リソースを管理します。 顧客管理 VPC を使用する場合、このアクセス許可は、Databricks がサービス アカウントに付与するカスタム ロールにはありません。 |
Google クラウド コンピュート エンジン (GCE) リソースを管理してワークロードを実行します。 |
|
ネットワーク リソースを管理します。 |
Google クラウド コンピュート エンジン (GCE) リソースを管理してワークロードを実行します。 |
|
ネットワーク リソースを管理します。 顧客管理 VPC を使用する場合、このアクセス許可は、Databricks がサービス アカウントに付与するカスタム ロールにはありません。 |
Google クラウド コンピュート エンジン (GCE) リソースを管理してワークロードを実行します。 |
|
ネットワーク リソースを管理します。 顧客管理 VPC を使用する場合、このアクセス許可は、Databricks がサービス アカウントに付与するカスタム ロールにはありません。 |
Google クラウド コンピュート エンジン (GCE) リソースを管理してワークロードを実行します。 |
|
ネットワーク リソースを管理します。 顧客管理 VPC を使用する場合、このアクセス許可は、Databricks がサービス アカウントに付与するカスタム ロールにはありません。 |
Google クラウド コンピュート エンジン (GCE) リソースを管理してワークロードを実行します。 |
|
ネットワーク リソースを管理します。 |
Google クラウド コンピュート エンジン (GCE) リソースを管理してワークロードを実行します。 |
|
ネットワーク リソースを管理します。 |
Google クラウド コンピュート エンジン (GCE) リソースを管理してワークロードを実行します。 |
|
ネットワーク リソースを管理します。 顧客管理 VPC を使用する場合、このアクセス許可は、Databricks がサービス アカウントに付与するカスタム ロールにはありません。 |
Google クラウド コンピュート エンジン (GCE) リソースを管理してワークロードを実行します。 |
|
ネットワーク リソースを管理します。 顧客管理 VPC を使用する場合、このアクセス許可は、Databricks がサービス アカウントに付与するカスタム ロールにはありません。 |
Google クラウド コンピュート エンジン (GCE) リソースを管理してワークロードを実行します。 |
|
ネットワーク リソースを管理します。 顧客管理 VPC を使用する場合、このアクセス許可は、Databricks がサービス アカウントに付与するカスタム ロールにはありません。 |
Google クラウド コンピュート エンジン (GCE) リソースを管理してワークロードを実行します。 |
|
ネットワーク リソースを管理します。 |
Google クラウド コンピュート エンジン (GCE) リソースを管理してワークロードを実行します。 |
|
ネットワーク リソースを管理します。 |
Google クラウド コンピュート エンジン (GCE) リソースを管理してワークロードを実行します。 |
|
クラスター ロール バインドを作成します。 |
Databricks ワークロードを実行するように GKE クラスターを管理します。 |
|
クラスター ロール バインドを取得します。 |
Databricks ワークロードを実行するように GKE クラスターを管理します。 |
|
クラスターの役割のバインドをバインドします。 |
Databricks ワークロードを実行するように GKE クラスターを管理します。 |
|
クラスターの役割を作成します。 |
Databricks ワークロードを実行するように GKE クラスターを管理します。 |
|
クラスター ロールを取得します。 |
Databricks ワークロードを実行するように GKE クラスターを管理します。 |
|
クラスターの役割を作成します。 |
Databricks ワークロードを実行するように GKE クラスターを管理します。 |
|
クラスターの役割を削除します。 |
Databricks ワークロードを実行するように GKE クラスターを管理します。 |
|
クラスターを取得します。 |
Databricks ワークロードを実行するように GKE クラスターを管理します。 |
|
クラスターの資格情報を取得します。 |
Databricks ワークロードを実行するように GKE クラスターを管理します。 |
|
クラスターを一覧表示します。 |
Databricks ワークロードを実行するように GKE クラスターを管理します。 |
|
クラスターを更新します。 |
Databricks ワークロードを実行するように GKE クラスターを管理します。 |
|
configMap を作成します。 |
Databricks ワークロードを実行するように GKE クラスターを管理します。 |
|
configMapsを入手してください。 |
Databricks ワークロードを実行するように GKE クラスターを管理します。 |
|
configMap を更新します。 |
Databricks ワークロードを実行するように GKE クラスターを管理します。 |
|
カスタム・リソース定義を作成します。 |
Databricks ワークロードを実行するように GKE クラスターを管理します。 |
|
カスタム リソース定義を取得します。 |
Databricks ワークロードを実行するように GKE クラスターを管理します。 |
|
カスタム・リソース定義を更新します。 |
Databricks ワークロードを実行するように GKE クラスターを管理します。 |
|
デーモンセットを作成します。 |
Databricks ワークロードを実行するように GKE クラスターを管理します。 |
|
デーモンセットを取得します。 |
Databricks ワークロードを実行するように GKE クラスターを管理します。 |
|
デーモンセットを更新します。 |
Databricks ワークロードを実行するように GKE クラスターを管理します。 |
|
デプロイを作成します。 |
Databricks ワークロードを実行するように GKE クラスターを管理します。 |
|
デプロイを取得します。 |
Databricks ワークロードを実行するように GKE クラスターを管理します。 |
|
デプロイを更新します。 |
Databricks ワークロードを実行するように GKE クラスターを管理します。 |
|
ジョブを作成します。 |
Databricks ワークロードを実行するように GKE クラスターを管理します。 |
|
Get ジョブ. |
Databricks ワークロードを実行するように GKE クラスターを管理します。 |
|
ジョブを更新します。 |
Databricks ワークロードを実行するように GKE クラスターを管理します。 |
|
名前空間を作成します。 |
Databricks ワークロードを実行するように GKE クラスターを管理します。 |
|
名前空間を取得します。 |
Databricks ワークロードを実行するように GKE クラスターを管理します。 |
|
名前空間を一覧表示します。 |
Databricks ワークロードを実行するように GKE クラスターを管理します。 |
|
操作を取得します。 |
Databricks ワークロードを実行するように GKE クラスターを管理します。 |
|
ポッドを取得します。 |
Databricks ワークロードを実行するように GKE クラスターを管理します。 |
|
ポッド ログを取得します。 |
Databricks ワークロードを実行するように GKE クラスターを管理します。 |
|
ポッドを一覧表示します。 |
Databricks ワークロードを実行するように GKE クラスターを管理します。 |
|
ロール・バインディングを作成します。 |
Databricks ワークロードを実行するように GKE クラスターを管理します。 |
|
ロール バインドを取得します。 |
Databricks ワークロードを実行するように GKE クラスターを管理します。 |
|
ロールをバインドします。 |
Databricks ワークロードを実行するように GKE クラスターを管理します。 |
|
ロールを作成します。 |
Databricks ワークロードを実行するように GKE クラスターを管理します。 |
|
ロールを取得します。 |
Databricks ワークロードを実行するように GKE クラスターを管理します。 |
|
シークレットを作成します。 |
Databricks ワークロードを実行するように GKE クラスターを管理します。 |
|
秘密を取得します。 |
Databricks ワークロードを実行するように GKE クラスターを管理します。 |
|
シークレットを更新します。 |
Databricks ワークロードを実行するように GKE クラスターを管理します。 |
|
サービス アカウントを作成します。 |
Databricks ワークロードを実行するように GKE クラスターを管理します。 |
|
サービス アカウントを取得します。 |
Databricks ワークロードを実行するように GKE クラスターを管理します。 |
|
サービスを作成します。 |
Databricks ワークロードを実行するように GKE クラスターを管理します。 |
|
サービスを受ける。 |
Databricks ワークロードを実行するように GKE クラスターを管理します。 |
|
サードパーティオブジェクトを作成します。 |
Databricks ワークロードを実行するように GKE クラスターを管理します。 |
|
サードパーティオブジェクトを削除します。 |
Databricks ワークロードを実行するように GKE クラスターを管理します。 |
|
サードパーティのオブジェクトを取得します。 |
Databricks ワークロードを実行するように GKE クラスターを管理します。 |
|
サードパーティオブジェクトを一覧表示します。 |
Databricks ワークロードを実行するように GKE クラスターを管理します。 |
|
サードパーティオブジェクトを更新します。 |
Databricks ワークロードを実行するように GKE クラスターを管理します。 |
|
サービス アカウントを検査するか、クラスターにバインドします。 |
クラスターのサービス アカウントがデータにアクセスできるように GKE Workload Identity を構成します。 |
|
サービス アカウントを検査するか、クラスターにバインドします。 |
クラスターのサービス アカウントがデータにアクセスできるように GKE Workload Identity を構成します。 |
|
顧客プロジェクト ID をプロジェクト番号に変換します。 |
プロジェクトがライブかどうか、ワークスペースサービスアカウントに十分な権限があるかどうかなど、プロジェクトのステータスを検証します。 |
|
プロジェクトのIAMポリシーが正しく設定されているかどうかを確認します。 |
プロジェクトがライブかどうか、ワークスペースサービスアカウントに十分な権限があるかどうかなど、プロジェクトのステータスを検証します。 |
|
バケットを作成します。 |
これは、 DBFS用のGCSバケットを作成および管理するために必要です。 |
|
バケットを削除します。 |
これは、 DBFS用のGCSバケットを作成および管理するために必要です。 |
|
バケツを入手してください。 |
これは、 DBFS用のGCSバケットを作成および管理するために必要です。 |
|
ストレージIAMポリシーを取得します。 |
これは、 DBFS用のGCSバケットを作成および管理するために必要です。 |
|
バケットを一覧表示します。 |
これは、 DBFS用のGCSバケットを作成および管理するために必要です。 |
|
ストレージIAMポリシーを設定します。 |
これは、 DBFS用のGCSバケットを作成および管理するために必要です。 |
|
ストレージIAMポリシーを更新します。 |
これは、 DBFS用のGCSバケットを作成および管理するために必要です。 |
|
ストレージ オブジェクトを作成します。 |
DBFS オブジェクトの読み取りと書き込み。 |
|
ストレージ オブジェクトを削除します。 |
DBFS オブジェクトの読み取りと書き込み。 |
|
ストレージ オブジェクトを取得します。 |
DBFS オブジェクトの読み取りと書き込み。 |
|
ストレージ・オブジェクトをリストします。 |
DBFS オブジェクトの読み取りと書き込み。 |
|
ストレージ オブジェクトを更新します。 |
DBFS オブジェクトの読み取りと書き込み。 |