背景・目的
以前、下記の記事でUnity Catalogのセットアップを行いました。
引き続き、Unity Catalogについて操作していきたいと思います。今回、実施する内容は下記のとおりです。
- (オプション)メタストアを追加のワークスペースにリンクする
- (推奨)メタストアの所有権をグループ に移行する
まとめ
- デフォルトではメタストアの管理者は作成者になるため、属人性を回避するためにグループに置き換えます。
概要
メタストア管理者を割り当てる
メタストア管理者は、 Unity Catalogの高度な特権を持つユーザーまたはグループです。 メタストア管理者には、次の権限があります。
- カタログ、外部ロケーション、共有、および受信者を作成します。
- メタストア内のオブジェクト (ストレージ資格情報、外部ロケーション、共有、受信者、プロバイダーなど) の特権を管理したり、所有権を譲渡したりできます。
- メタストア内のすべてのオブジェクトのメタデータを読み取って更新します。
- メタストアを削除します。
- メタストア内のすべてのデータに対する読み取りおよび書き込みアクセス権を自分自身に付与します (デフォルトによる直接アクセスはなく、アクセス許可の付与は監査ログに記録されます)。
メタストアを作成するアカウント管理者は、その初期所有者およびメタストア管理者です。 Databricks では、アカウント管理者がグループをメタストア管理者として指名することで、この責任を委任することをお勧めします。 これにより、グループのメンバーは自動的にメタストア管理者になります。
メタストア管理者のデフォルトは、メタストアを作成したアカウント管理者になりますが、
アカウント管理者をグループに委譲することで、属人性を排除できます。
実践
(オプション)メタストアを追加のワークスペースにリンクする
【Databricks】ワークスペースを作成してみたと同じ手順で、ワークスペースを作成します。
最終的には、下記のような構成にします。
ワークスペース用のS3バケットを作成
-
Databricksにサインインし、ナビゲーションペインで、「クラウドリソース」をクリックします。
-
「ストレージ設定」をクリックし、「ストレージ設定を追加」をクリックします。
-
ストレージ設定名と、バケット名を入力し、ポリシーを生成をクリック後、「追加」します。
-
AWSにログインし、S3バケットを作成します。
-
上記で作成したDatabricksのストレージ設定で表示されたバケットポリシーを設定します。
ワークスペースを作成
-
ナビゲーションペインでワークスペースを作成します。
-
「カスタムAWS構成」をクリックします。
-
下記を入力し、「保存」をクリックします。
- ワークスペース名:任意
- リージョン:ストレージと同様のリージョン
- 資格情報の設定:作成済みの資格情報
- ストレージ設定:上記で作成したストレージ設定
- Unity Catalog:作成したUnity Catalogを指定
Unity Catalog を有効化したところ、エラーになりました。
ワークスペース作成後に、あらためてUnity Catalogをアタッチすることで作成できました。
(推奨)メタストアの所有権をグループ に移行する
-
アカウントコンソールにログインします。
-
ナビゲーションペインで、「データ」をクリックします。
-
メタストア名をクリックします。
-
メタストア管理者の「編集」をクリックします。
-
メタストア管理者の編集がポップアップで表示されるので、グループを選択します。ここでは「admin」グループを指定しています。
考察
今回は、ワークスペースを新たに作成しメタストアに紐づけました。また、メタストアの管理者をグループに置き換えました。
今後は、AWSの別アカウントにワークスペースを紐づけて、複数アカウントで管理できるようにしたいと思います。
参考