こちらのアップデートです。
Unity Catalogにおけるアクセスリクエスト(Public Preview)
セキュリティ保護可能オブジェクトに対するアクセスリクエストの宛先を設定することで、Unity Catalogにおけるセルフサービスのアクセス要求を可能にします。ユーザは、彼らが発見するUnity Catalogのオブジェクトへのアクセスをリクエストすることができます。これらのリクエストは、メールやSlack、Microsoft Teamsのチャネルのような設定された宛先に送信されたり、内部のアクセス管理システムにリダイレクトされます。
また、デフォルトのメール宛先を有効化することで、他の宛先が設定されていない場合は自動でカタログやオブジェクト所有者のメールに自動でリクエストが送信されるようにすることができます。これによって、あるオブジェクトに手動で宛先が設定されていない場合であっても、アクセルリクエストが送信されることを確実にします。
アクセスリクエスト宛先の管理をご覧ください。
マニュアルはこちらになります。
Unity Catalogのアクセス要求機能は、データガバナンスを維持しながら、ユーザーが必要なデータへのアクセスを効率的に要求・承認できる仕組みです。ユーザーが権限のないテーブルやビューにアクセスしようとした際、管理者やデータ所有者に自動的にアクセス要求を送信できます。要求はメール、Slack、Teams、Webhookなど様々な宛先に送信可能で、承認者は専用のリンクから簡単に権限付与が行えます。デフォルトメール宛先を有効にすることで、設定していないオブジェクトでも自動的に所有者に通知が届くため、組織全体でスムーズな権限管理が実現できます。
機能概要
Unity Catalogのアクセス要求機能は、データへのアクセス権限を効率的に管理するための仕組みです。主な特徴を以下の表にまとめました。
| 機能要素 | 説明 |
|---|---|
| 対象オブジェクト | テーブル、ビュー、カタログ、スキーマ、外部ロケーションなど |
| 宛先タイプ | メール、Slack、Microsoft Teams、Webhook、リダイレクトURL |
| 要求者 | 自分自身、サービスプリンシパル、他のユーザー、グループ |
| 継承機能 | 親オブジェクトの設定が子オブジェクトに自動継承 |
| デフォルト設定 | デフォルトメール宛先を有効化可能 |
アクセス要求の基本的な流れは次の通りです:
- ユーザーがアクセス権限のないデータオブジェクトを参照しようとする
- アクセス要求フォームが表示される (またはリダイレクトURLに遷移)
- 要求内容を入力して送信
- 設定された宛先に通知が届く
- 承認者がリンクから権限を付与
メリット、嬉しさ
1. セルフサービス型の権限管理を実現
従来の権限管理では、ユーザーが管理者にメールやチャットで個別に連絡を取る必要がありました。この機能により、システム上で直接要求を送信でき、承認プロセスが標準化されます。
2. 複数チャネルへの同時通知
| 通知チャネル | 利用シーン |
|---|---|
| メール | 基本的な通知手段として全員が利用可能 |
| Slack/Teams | チーム内での迅速な対応が必要な場合 |
| Webhook | 外部システムとの連携や自動化 |
| リダイレクトURL | 既存の承認システムとの統合 |
3. 承認作業の簡素化
承認者は通知内のリンクをクリックするだけで、専用のモーダルダイアログから権限付与が可能です。「グループへの追加」または「直接権限を付与」を選択でき、データリーダーなどのプリセット権限も利用できます。
4. ガバナンスの維持
アクセス要求の履歴が記録され、誰がいつどのデータへのアクセスを要求し、誰が承認したかが明確になります。これにより、コンプライアンス要件を満たしながら、柔軟なデータアクセスが可能になります。
使い方の流れ
ステップ1: デフォルトメール宛先の有効化 (推奨)
まず、組織全体でアクセス要求を確実に受信できるよう、デフォルトメール宛先を有効にします。
- ワークスペース右上のプロフィール写真をクリック
- 「設定」を選択
- 「通知」をクリック
- 「UCでのアクセス要求のデフォルト宛先を有効にする」をオン
ステップ2: 個別オブジェクトへの宛先設定
特定のカタログやスキーマに対して、カスタム宛先を設定します。
-
Databricksワークスペースで「カタログ」をクリック
-
対象のオブジェクトを選択
-
ケバブメニュー (⋮) から「アクセスリクエストの宛先の管理」を選択
-
宛先を追加:
- メールアドレスを入力
- 外部宛先 (Slack/Teams/Webhook) を選択
- またはリダイレクトURLを設定
-
「更新」をクリック
ステップ3: アクセスのリクエスト
-
アクセスしたいオブジェクトの右上の権限をリクエストをクリックします。
-
必要な権限を選択してリクエストをクリックします。
ステップ4: アクセスリクエストの承認
承認者側の操作フローは以下の通りです:
通知受信 → リンククリック → モーダルダイアログ表示 → 承認方法選択 → 権限付与完了
-
メールの宛先を設定しているのでメールが届きます。
-
リクエスト内容を確認します。
承認方法は2種類から選択可能:
- グループに追加: 既存グループのメンバーにする
- 直接権限付与: オブジェクトに対して直接権限を付与
-
権限を付与します。
これでリクエスト元のユーザーはスキーマにアクセスできるようになりました。
注意点
1. 権限要件
| 操作 | 必要な権限 |
|---|---|
| デフォルト宛先の有効化 | メタストア管理者 AND ワークスペース管理者 |
| カタログ/スキーマの宛先設定 | メタストア管理者 OR オブジェクト所有者 |
| スキーマの宛先設定 | 親カタログへのUSE CATALOG権限も必要 |
2. 制限事項
- リダイレクトURLは1オブジェクトにつき1つのみ設定可能
- リダイレクトURL設定時は他の宛先タイプを併用不可
- 宛先が未設定の場合、ユーザーはアクセス要求を送信できない
- 現在パブリックプレビュー段階のため、仕様変更の可能性あり
3. メール送信元
アクセス要求メールは noreply@databricks.com から送信されるため、受信設定やスパムフィルタの確認が必要です。
4. Webhook利用時の考慮点
Webhook利用時はJSON形式でデータが送信されます。受信側システムで適切にパースし、処理する必要があります。
{
"requesterName": "<first-name> <last-name> (<email>)",
"objectName": "<catalog>.<schema>.<table>",
"objectType": "Table",
"privileges": "SELECT",
"principalName": "<group-name>",
"onBehalfOf": "<group-name>",
"onBehalfOfType": "Group",
"comment": "My team needs access to run queries on this table.",
"databricksWorkspaceUrl": "https:/<account>.databricks.com/..."
}
まとめ
Unity Catalogのアクセス要求機能は、データガバナンスとユーザビリティのバランスを取りながら、効率的な権限管理を実現する重要な機能です。デフォルトメール宛先を有効にすることで、設定なしでも基本的な要求フローが動作し、必要に応じてSlackやTeamsなどの外部システムと連携することで、組織のワークフローに合わせた柔軟な運用が可能になります。
承認プロセスが標準化され、履歴が残ることで、コンプライアンス要件を満たしながら、ユーザーが必要なデータに迅速にアクセスできる環境を構築できます。パブリックプレビュー段階ですが、データ活用を促進しながらセキュリティを維持したい組織にとって、導入を検討する価値のある機能といえるでしょう。