Sdílet prostřednictvím


Oprávnění správce v katalogu Unity

Tento článek popisuje oprávnění, která mají správci účtu Azure Databricks, správci pracovních prostorů a správci metastoru pro správu katalogu Unity.

Poznámka:

Pokud byl váš pracovní prostor pro katalog Unity povolen automaticky, mají správci pracovního prostoru výchozí oprávnění k připojenému metastoru a katalogu pracovních prostorů, pokud byl zřízen katalog pracovních prostorů. Podívejte se na oprávnění správce pracovního prostoru, pokud jsou pracovní prostory povolené pro katalog Unity automaticky.

Správci metastoru

Správce metastoru je volitelný, ale vysoce privilegovaný uživatel nebo skupina v katalogu Unity. Správci metastoru mají ve výchozím nastavení následující oprávnění k metastoru:

Správci metastoru jsou také vlastníky metastoru, což jim uděluje následující oprávnění:

  • Spravujte oprávnění nebo přeneste vlastnictví libovolného objektu v metastoru, včetně přihlašovacích údajů k úložišti, externích umístění, připojení, sdílených složek, příjemců a poskytovatelů.

  • Udělte sobě přístup ke čtení a zápisu ke všem datům v metastoru.

    Správci metastoru mají tuto schopnost nepřímo prostřednictvím své schopnosti převést vlastnictví všech objektů. Ve výchozím nastavení neexistuje žádný přímý přístup. Udělení oprávnění je protokolováno auditem.

  • Můžou číst a aktualizovat metadata všech objektů v metastoru.

  • Můžou odstranit metastore.

Správci metastoru jsou jedinými uživateli, kteří můžou udělit oprávnění k samotnému metastoru.

Protože správci metastoru jsou jedinými uživateli, kteří mají tato oprávnění, musíte přiřadit správce metastoru, pokud chcete použít některou z následujících funkcí:

Kdo má oprávnění správce počátečního metastoru?

Pokud správce účtu metastore vytvoří ručně, správcem účtu je počáteční vlastník metastoru a správce metastoru. Všechny metastory vytvořené před 9. listopadem 2023 vytvořil správce účtu ručně.

Pokud bylo metastore zřízeno jako součást automatického povolení katalogu Unity, metastor se vytvořil bez správce metastoru. Správci pracovního prostoru v takovém případě mají automaticky udělená oprávnění, která správce metastoru zpřístupní jako volitelná. V případě potřeby můžou správci účtu přiřadit roli správce metastoru uživateli, instančnímu objektu nebo skupině. Skupiny se důrazně doporučují. Viz Automatická aktivace katalogu Unity.

Přiřazení správce metastoru

Správce metastoru je vysoce privilegovaná role, kterou byste měli pečlivě distribuovat. Zadání je volitelné.

Správci účtu můžou přiřadit roli správce metastoru. Databricks doporučuje jmenovat skupinu jako správce metastoru. Tímto způsobem je každý člen skupiny automaticky správcem metastoru.

Přiřazení role správce metastoru ke skupině:

  1. Jako správce účtu se přihlaste ke konzole účtu.
  2. Klikněte na Ikona katalogu Katalog.
  3. Kliknutím na název metastoru otevřete jeho vlastnosti.
  4. V části Správce metastoru klikněte na Upravit.
  5. V rozevíracím seznamu vyberte skupinu. Do pole můžete zadat text, který hledá možnosti.
  6. Klikněte na Uložit.

Důležité

Může trvat až 30 sekund, než se změna přiřazení správce metastoru projeví ve vašem účtu a může trvat déle, než se projeví v některých pracovních prostorech. Příčinou tohoto zpoždění jsou protokoly ukládání do mezipaměti.

Správci účtů

Správce účtu je vysoce privilegovaná role, kterou byste měli pečlivě distribuovat. Správci účtu mají následující oprávnění:

  • Můžou vytvářet metastory a ve výchozím nastavení se stát počátečními správci metastoru.
  • Může propojit metastory s pracovními prostory.
  • Může přiřadit roli správce metastoru.
  • Může u metastorů udělit oprávnění.
  • Můžou pro metastore povolit sdílení Delta.
  • Můžou nakonfigurovat přihlašovací údaje úložiště.
  • Může povolit systémové tabulky a delegovat přístup k nim.

Pokud chcete vytvořit svého prvního správce účtu Azure Databricks, přečtěte si téma Vytvoření prvního správce účtu.

Správci pracovního prostoru

Správce pracovního prostoru je vysoce privilegovaná role, kterou byste měli pečlivě distribuovat. Správci pracovního prostoru mají následující oprávnění:

  • Můžou do pracovního prostoru přidávat uživatele, instanční objekty a skupiny.
  • Můžou delegovat jiné správce pracovního prostoru.
  • Můžou spravovat vlastnictví úloh. Viz Řízení přístupu k úloze.
  • Může spravovat nastavení Spustit jako úlohu. Viz Konfigurace identity pro spuštění úloh.
  • Můžou zobrazit a spravovat poznámkové bloky, řídicí panely, dotazy a další objekty pracovního prostoru. Viz seznamy řízení přístupu.

Správci účtu můžou pomocí nastavení RestrictWorkspaceAdmins omezit oprávnění správce pracovního prostoru. Viz Omezení správců pracovního prostoru.

Oprávnění správce pracovního prostoru při automatickém povolení pracovních prostorů pro katalog Unity

Pokud byl váš pracovní prostor pro Katalog Unity povolen automaticky, pracovní prostor se ve výchozím nastavení připojí k metastoru. Další informace naleznete v tématu Automatické povolení katalogu Unity.

Pokud byl váš pracovní prostor pro katalog Unity povolen automaticky, správci pracovních prostorů mají ve výchozím nastavení následující oprávnění k připojenému metastoru:

  • CREATE CATALOG

  • CREATE CLEAN ROOM

  • CREATE EXTERNAL LOCATION

  • CREATE SERVICE CREDENTIAL

  • CREATE STORAGE CREDENTIAL

  • CREATE CONNECTION

  • CREATE SHARE

  • CREATE RECIPIENT

  • CREATE PROVIDER

  • CREATE MATERIALIZED VIEW

Správci pracovního prostoru jsou výchozími vlastníky katalogu pracovních prostorů, pokud byl pro váš pracovní prostor zřízen katalog pracovních prostorů. Vlastnictví tohoto katalogu uděluje následující oprávnění:

  • Umožňuje spravovat oprávnění pro vlastnictví libovolného objektu v katalogu pracovních prostorů nebo je převést.

    To zahrnuje možnost udělit sobě přístup ke čtení a zápisu ke všem datům v katalogu (ve výchozím nastavení není přímý přístup; udělení oprávnění je protokolováno auditem).

  • Přeneste vlastnictví samotného katalogu pracovních prostorů.

Všichni uživatelé pracovního prostoru obdrží USE CATALOG oprávnění v katalogu pracovních prostorů. Uživatelé pracovního prostoru také obdrží USE SCHEMAoprávnění , , CREATE TABLE, CREATE FUNCTIONCREATE VOLUMECREATE MODELa CREATE MATERIALIZED VIEW oprávnění ke schématu default v katalogu.

Poznámka:

Výchozí oprávnění udělená v připojeném metastoru a katalogu pracovních prostorů se neuchovávají mezi pracovními prostory (pokud je například katalog pracovních prostorů také vázán na jiný pracovní prostor).