Oprávnění a zabezpečitelné objekty v katalogu Unity
Platí pro:
Pouze katalog Unity Pro Databricks SQL Databricks
Oprávnění je právo udělené objektu zabezpečení pro provoz na zabezpečitelném objektu v metastoru. Model oprávnění a zabezpečitelné objekty se liší v závislosti na tom, jestli používáte metastore katalogu Unity nebo starší metastore Hive. Tento článek popisuje model oprávnění pro katalog Unity. Pokud používáte metastore Hive, přečtěte si téma Oprávnění a zabezpečitelné objekty v metastoru Hive.
Podrobné informace o správě oprávnění v katalogu Unity najdete v tématu Správa oprávnění v katalogu Unity.
Poznámka:
Tento článek se týká oprávnění katalogu Unity a modelu dědičnosti v modelu oprávnění verze 1.0. Pokud jste metastore katalogu Unity vytvořili ve verzi Public Preview (před 25. srpnem 2022), možná jste na modelu dřívějších oprávnění, který aktuální model dědičnosti nepodporuje. Pokud chcete získat dědičnost oprávnění, můžete upgradovat na Model oprávnění verze 1.0. Viz Upgrade na dědičnost oprávnění.
Zabezpečitelné objekty
Zabezpečitelný objekt je objekt definovaný v metastoru katalogu Unity, ke kterému je možné udělit oprávnění objektu zabezpečení. Úplný seznam zabezpečitelných objektů katalogu Unity a oprávnění, která je možné u nich udělit, najdete v tématu Oprávnění katalogu Unity a zabezpečitelné objekty.
Pokud chcete spravovat oprávnění u libovolného objektu, musíte být jeho vlastníkem.
Syntaxe
securable_object
{ CATALOG [ catalog_name ] |
CONNECTION connection_name |
CLEAN ROOM clean_room_name |
EXTERNAL LOCATION location_name |
FUNCTION function_name |
METASTORE |
SCHEMA schema_name |
SHARE share_name |
[ STORAGE | SERVICE ] CREDENTIAL credential_name |
[ TABLE ] table_name |
MATERIALIZED VIEW view_name |
VIEW view_name |
VOLUME volume_name
}
Můžete také zadat SERVER místo CONNECTION a DATABASE místo SCHEMA.
Parametry
CATALOGcatalog_nameŘídí přístup k celému katalogu dat.
CLEAN ROOMclean_room_nameŘídí přístup k čisté místnosti.
CONNECTIONconnection_nameŘídí přístup k připojení.
EXTERNAL LOCATIONlocation_nameŘídí přístup k externímu umístění.
FUNCTIONfunction_nameŘídí přístup k uživatelem definované funkci nebo registrovanému modelu MLflow.
MATERIALIZED VIEWview_nameŘídí přístup k materializovanému zobrazení.
METASTOREŘídí přístup k metastoru katalogu Unity připojenému k pracovnímu prostoru. Při správě oprávnění k metastoru nezahrnete název metastoru do příkazu SQL. Katalog Unity udělí nebo odvolá oprávnění k metastoru připojenému k vašemu pracovnímu prostoru.
SCHEMAschema_nameŘídí přístup ke schématu.
[ STORAGE | SERVICE ] CREDENTIALcredential_nameŘídí přístup k přihlašovacím údajům.
Klíčová slova
STORAGEaSERVICE( Databricks Runtime 15.4 a novější) jsou volitelné.SHAREshare_nameTABLEtable_nameŘídí přístup ke spravované nebo externí tabulce. Pokud tabulku nenajdete, Azure Databricks vyvolá TABLE_OR_VIEW_NOT_FOUND chybu.
VIEWview_nameŘídí přístup k zobrazení. Pokud se zobrazení nenašlo, Azure Databricks vyvolá chybu TABLE_OR_VIEW_NOT_FOUND .
VOLUMEvolume_nameŘídí přístup ke svazku. Pokud se svazek nepodařilo najít, Azure Databricks vyvolá chybu.
Typy oprávnění
Seznam typů oprávnění najdete v tématu Oprávnění katalogu Unity a zabezpečitelné objekty.
Příklady
-- Grant a privilege to the user alf@melmak.et
> GRANT SELECT ON TABLE t TO `alf@melmak.et`;
-- Revoke a privilege from the general public group.
> REVOKE USE SCHEMA ON SCHEMA some_schema FROM `alf@melmak.et`;