ワークスペースの Unity Catalog を有効にする
この記事では、 Unity Catalog メタストアを割り当てることでワークスペースの Unity Catalog を有効にする方法について説明します。
重要
2024 年 3 月 6 日、Databricks は Unity Catalog の新しいワークスペースを自動的に有効にし始め、ロールアウトは段階的に進みました。 ワークスペースでUnity Catalog自動的に有効になっている場合、この記事は適用されません。
ワークスペースが Unity Catalog に対して既に有効になっているかどうかを確認するには、「 ステップ 1: ワークスペースが Unity Catalog に対して有効になっていることを確認する」を参照してください。
ワークスペースの Unity Catalog の有効化について
ワークスペースの Unity Catalog を有効にすると、次のようになります。
そのワークスペースのユーザーは、アカウント内の他のワークスペースのユーザーがアクセスできるのと同じデータにアクセスできる可能性があり、データスチュワードはワークスペース全体でそのデータアクセスを一元的に管理できます。
データ アクセスは自動的に監査されます。
ワークスペースでは ID フェデレーションが有効になっているため、管理者はアカウント コンソールやその他のアカウント レベルのインターフェースを使用してID を集中管理できます。 これには、ワークスペースへのユーザーの割り当てが含まれます。
Databricks ワークスペースを Unity Catalogに対して有効にするには、ワークスペースを Unity Catalog メタストアに割り当てます。メタストアは、 Unity Catalogのデータの最上位コンテナです。 各メタストアは、データを整理できる 3 レベルの名前空間 (catalog
.schema
.table
) を公開します。
1 つのメタストアをアカウント内の複数の Databricks ワークスペースで共有できます。 リンクされた各ワークスペースには、メタストア内のデータの同じビューがあり、ワークスペース間でデータ アクセス制御を管理できます。 リージョンごとに 1 つのメタストアを作成し、そのリージョン内の任意の数のワークスペースにアタッチできます。
ワークスペースの Unity Catalog を有効にする前の考慮事項
ワークスペースの Unity Catalogを有効にする前に、次のことを行う必要があります。
Unity Catalog が有効になっているワークスペース内のワークスペース管理者の特権を理解し、既存のワークスペース管理者の割り当てを確認します。
ワークスペース管理者は特権ロールであり、慎重に配置する必要があります。
ワークスペース管理者は、ユーザーやサービスプリンシパルの追加、クラスターの作成、他のユーザーをワークスペース管理者に委任するなど、ワークスペースの操作を管理できます。 ワークスペースが Unity Catalog に対して自動的に有効になっている場合、ワークスペース管理者には、ほとんどの Unity Catalog オブジェクト タイプを作成したり、作成したオブジェクトへのアクセスを許可したりする機能など、デフォルトでいくつかの追加権限も付与されます。 Unity Catalog の管理者権限を参照してください。
ワークスペースで Unity Catalog が自動的に有効になっていなかった場合、ワークスペース管理者はデフォルトで他のユーザーよりも Unity Catalog オブジェクトにアクセスできませんが、ジョブの所有権の管理やノートブックの表示などのワークスペース管理タスクを実行する権限があり、Unity Catalog に登録されているデータに間接的にアクセスできる可能性があります。
アカウント管理者は、
RestrictWorkspaceAdmins
設定を使用してワークスペース管理者の権限を制限できます。 「ワークスペース管理者を制限する」を参照してください。ワークスペースを使用してユーザーデータアクセスを分離する場合は、ワークスペースとカタログのバインディングを使用できます。 ワークスペースとカタログのバインディングを使用すると、ワークスペースの境界によってカタログへのアクセスを制限できます。 たとえば、ワークスペースの管理者とユーザーが、
prod_catalog
の本番運用データにのみ、本番運用 ワークスペース環境prod_workspace
からアクセスできるようにすることができます。 デフォルトは、現在のメタストアに接続されているすべてのワークスペースとカタログを共有することです。 同様に、指定したワークスペースからのみアクセスできるように、外部ロケーションへのアクセスをバインドできます。 「 カタログへのアクセスを特定のワークスペースに制限 する」および 「(オプション)特定のワークスペースに外部ロケーションを割り当てる」を参照してください。SCIMコネクタやTerraform自動化など、ユーザー、グループ、およびサービス プリンシパルを管理するように構成されている自動化を更新して、ワークスペース エンドポイントではなくアカウント エンドポイントを参照するようにします。 アカウント レベルおよびワークスペース レベルの SCIM プロビジョニングを参照してください。
ワークスペースの Unity Catalog の有効化は元に戻すことができないことに注意してください。 ワークスペースを有効にすると、アカウントレベルのインターフェイスを使用して、このワークスペースのユーザー、グループ、およびサービスプリンシパルを管理します。
要件
ワークスペースで Unity Catalogを有効にする前に、Databricks アカウント用に構成された Unity Catalog メタストアが必要です。 「 Unity Catalog メタストアの作成」を参照してください。
ワークスペースの Unity Catalog を有効にする
メタストアを作成すると、そのメタストアにワークスペースを割り当てるように求められ、Unity Catalog でそれらのワークスペースが有効になります。 また、アカウント コンソールを使用してワークスペースを作成するときを含め、いつでもアカウント コンソールに戻ってUnity Catalogのワークスペースを有効にすることもできます。 ほとんどのワークスペースは、作成時に Unity Catalog に対して自動的に有効になることに注意してください。 Unity Catalog の自動有効化を参照してください。
アカウント コンソールを使用して Unity Catalog の既存のワークスペースを有効にするには:
アカウント管理者として、アカウントコンソールにログインします。
「 カタログ」 をクリックします 。
メタストア名をクリックします。
[ワークスペース] タブをクリックします。
「ワークスペースに割り当てる」をクリックします。
1 つ以上のワークスペースを選択します。 ワークスペース名の一部を入力して、リストをフィルター処理できます。
ダイアログの一番下までスクロールし、「 割り当て」をクリックします。
確認ダイアログで、[ 有効にする] をクリックします。
アカウント コンソールを使用してワークスペースを作成するときに Unity Catalog を有効にするには:
アカウント管理者として、アカウントコンソールにログインします。
[ワークスペース] をクリックします 。
「ワークスペースの作成」をクリックします。
「ワークスペースの作成」ページで、 Unity Catalogを有効にする」トグルをクリックします。
確認ダイアログで、[ 有効にする] をクリックします。
メタストアを選択します。
ワークスペース作成の構成を完了し、[ 保存] をクリックします。
割り当てが完了すると、ワークスペースがメタストアの [ワークスペース ] タブに表示され、メタストアがワークスペースの [ 構成 ] タブに表示されます。
次のステップ
Unity Catalog についてもっと知る : Unity Catalog とは何ですか ?
ワークスペースからメタストア リンクを削除する
メタストア内のデータへのワークスペースのアクセスを削除するには、ワークスペースからメタストアのリンクを解除します。
警告
ワークスペースと Unity Catalog メタストアの間のリンクを解除した場合:
ワークスペース内のユーザーは、メタストア内のデータにアクセスできなくなります。
メタストアで管理されているデータを参照するノートブック、クエリー、またはジョブはすべて破損します。
アカウント管理者として、アカウントコンソールにログインします。
「 カタログ」 をクリックします 。
メタストア名をクリックします。
[ワークスペース] タブで、メタストアから削除するワークスペースを見つけます。
ワークスペース行の右端にある 3 ボタン メニューをクリックし、[ このメタストアから削除] を選択します。
確認ダイアログで、[ 割り当て解除] をクリックします。
削除が完了すると、ワークスペースはメタストアの [ワークスペース] タブに表示されなくなります。