Oprávnění správce v katalogu Unity
Tento článek popisuje oprávnění, která mají správci účtu Azure Databricks, správci pracovních prostorů a správci metastoru pro správu katalogu Unity.
Poznámka:
Pokud byl váš pracovní prostor pro katalog Unity povolen automaticky, mají správci pracovního prostoru výchozí oprávnění k připojenému metastoru a katalogu pracovních prostorů, pokud byl zřízen katalog pracovních prostorů. Podívejte se na oprávnění správce pracovního prostoru, pokud jsou pracovní prostory povolené pro katalog Unity automaticky.
Správci metastoru
Správce metastoru je volitelný, ale vysoce privilegovaný uživatel nebo skupina v katalogu Unity. Správci metastoru mají ve výchozím nastavení následující oprávnění k metastoru:
CREATE CATALOG
: Umožňuje uživateli vytvářet katalogy v metastoru.CREATE CLEAN ROOM
: Umožňuje uživateli vytvořit čistou místnost pro bezpečnou spolupráci na projektech s jinými organizacemi bez sdílení podkladových dat.CREATE CONNECTION
: Umožňuje uživateli vytvořit připojení k externí databázi ve scénáři federace Lakehouse.CREATE EXTERNAL LOCATION
: Umožňuje uživateli vytvářet externí umístění.CREATE SERVICE CREDENTIAL
: Umožňuje uživateli vytvořit přihlašovací údaje služby.CREATE STORAGE CREDENTIAL
: Umožňuje uživateli vytvořit přihlašovací údaje k úložišti.CREATE FOREIGN CATALOG
: Umožňuje uživateli vytvářet cizí katalogy pomocí připojení k externí databázi ve scénáři Federace Lakehouse.CREATE SHARE
: Umožňuje uživateli zprostředkovatele dat vytvořit sdílenou složku v rozdílovém sdílení.CREATE RECIPIENT
: Umožňuje uživateli poskytovatele dat vytvořit příjemce v rozdílovém sdílení.CREATE PROVIDER
: Umožňuje uživateli příjemce dat vytvořit zprostředkovatele v rozdílovém sdílení.CREATE MATERIALIZED VIEW
: Umožňuje uživateli vytvářet materializovaná zobrazení.MANAGE ALLOWLIST
: Umožňuje uživateli aktualizovat seznamy povolených, které spravují přístup clusteru k inicializačním skriptům a knihovnám.
Správci metastoru jsou také vlastníky metastoru, což jim uděluje následující oprávnění:
Spravujte oprávnění nebo přeneste vlastnictví libovolného objektu v metastoru, včetně přihlašovacích údajů k úložišti, externích umístění, připojení, sdílených složek, příjemců a poskytovatelů.
Udělte sobě přístup ke čtení a zápisu ke všem datům v metastoru.
Správci metastoru mají tuto schopnost nepřímo prostřednictvím své schopnosti převést vlastnictví všech objektů. Ve výchozím nastavení neexistuje žádný přímý přístup. Udělení oprávnění je protokolováno auditem.
Můžou číst a aktualizovat metadata všech objektů v metastoru.
Můžou odstranit metastore.
Správci metastoru jsou jedinými uživateli, kteří můžou udělit oprávnění k samotnému metastoru.
Protože správci metastoru jsou jedinými uživateli, kteří mají tato oprávnění, musíte přiřadit správce metastoru, pokud chcete použít některou z následujících funkcí:
- Změňte vlastnictví katalogů poté, co někdo opustí společnost.
- Umožňuje spravovat a delegovat oprávnění pro inicializační skript a seznam povolených souborů JAR.
- Delegujte možnost vytvářet katalogy a další oprávnění nejvyšší úrovně správcům mimo pracovní prostor.
- Přijímat sdílená data prostřednictvím rozdílového sdílení
- Odeberte výchozí oprávnění správce pracovního prostoru.
- Pokud nemá žádné úložiště, přidejte spravované úložiště do metastoru. Viz Přidání spravovaného úložiště do existujícího metastoru.
Kdo má oprávnění správce počátečního metastoru?
Pokud správce účtu metastore vytvoří ručně, správcem účtu je počáteční vlastník metastoru a správce metastoru. Všechny metastory vytvořené před 9. listopadem 2023 vytvořil správce účtu ručně.
Pokud bylo metastore zřízeno jako součást automatického povolení katalogu Unity, metastor se vytvořil bez správce metastoru. Správci pracovního prostoru v takovém případě mají automaticky udělená oprávnění, která správce metastoru zpřístupní jako volitelná. V případě potřeby můžou správci účtu přiřadit roli správce metastoru uživateli, instančnímu objektu nebo skupině. Skupiny se důrazně doporučují. Viz Automatická aktivace katalogu Unity.
Přiřazení správce metastoru
Správce metastoru je vysoce privilegovaná role, kterou byste měli pečlivě distribuovat. Zadání je volitelné.
Správci účtu můžou přiřadit roli správce metastoru. Databricks doporučuje jmenovat skupinu jako správce metastoru. Tímto způsobem je každý člen skupiny automaticky správcem metastoru.
Přiřazení role správce metastoru ke skupině:
- Jako správce účtu se přihlaste ke konzole účtu.
- Klikněte na Katalog.
- Kliknutím na název metastoru otevřete jeho vlastnosti.
- V části Správce metastoru klikněte na Upravit.
- V rozevíracím seznamu vyberte skupinu. Do pole můžete zadat text, který hledá možnosti.
- Klikněte na Uložit.
Důležité
Může trvat až 30 sekund, než se změna přiřazení správce metastoru projeví ve vašem účtu a může trvat déle, než se projeví v některých pracovních prostorech. Příčinou tohoto zpoždění jsou protokoly ukládání do mezipaměti.
Správci účtů
Správce účtu je vysoce privilegovaná role, kterou byste měli pečlivě distribuovat. Správci účtu mají následující oprávnění:
- Můžou vytvářet metastory a ve výchozím nastavení se stát počátečními správci metastoru.
- Může propojit metastory s pracovními prostory.
- Může přiřadit roli správce metastoru.
- Může u metastorů udělit oprávnění.
- Můžou pro metastore povolit sdílení Delta.
- Můžou nakonfigurovat přihlašovací údaje úložiště.
- Může povolit systémové tabulky a delegovat přístup k nim.
Pokud chcete vytvořit svého prvního správce účtu Azure Databricks, přečtěte si téma Vytvoření prvního správce účtu.
Správci pracovního prostoru
Správce pracovního prostoru je vysoce privilegovaná role, kterou byste měli pečlivě distribuovat. Správci pracovního prostoru mají následující oprávnění:
- Můžou do pracovního prostoru přidávat uživatele, instanční objekty a skupiny.
- Můžou delegovat jiné správce pracovního prostoru.
- Můžou spravovat vlastnictví úloh. Viz Řízení přístupu k úloze.
- Může spravovat nastavení Spustit jako úlohu. Viz Konfigurace identity pro spuštění úloh.
- Můžou zobrazit a spravovat poznámkové bloky, řídicí panely, dotazy a další objekty pracovního prostoru. Viz seznamy řízení přístupu.
Správci účtu můžou pomocí nastavení RestrictWorkspaceAdmins
omezit oprávnění správce pracovního prostoru. Viz Omezení správců pracovního prostoru.
Oprávnění správce pracovního prostoru při automatickém povolení pracovních prostorů pro katalog Unity
Pokud byl váš pracovní prostor pro Katalog Unity povolen automaticky, pracovní prostor se ve výchozím nastavení připojí k metastoru. Další informace naleznete v tématu Automatické povolení katalogu Unity.
Pokud byl váš pracovní prostor pro katalog Unity povolen automaticky, správci pracovních prostorů mají ve výchozím nastavení následující oprávnění k připojenému metastoru:
CREATE CATALOG
CREATE CLEAN ROOM
CREATE EXTERNAL LOCATION
CREATE SERVICE CREDENTIAL
CREATE STORAGE CREDENTIAL
CREATE CONNECTION
CREATE SHARE
CREATE RECIPIENT
CREATE PROVIDER
CREATE MATERIALIZED VIEW
Správci pracovního prostoru jsou výchozími vlastníky katalogu pracovních prostorů, pokud byl pro váš pracovní prostor zřízen katalog pracovních prostorů. Vlastnictví tohoto katalogu uděluje následující oprávnění:
Umožňuje spravovat oprávnění pro vlastnictví libovolného objektu v katalogu pracovních prostorů nebo je převést.
To zahrnuje možnost udělit sobě přístup ke čtení a zápisu ke všem datům v katalogu (ve výchozím nastavení není přímý přístup; udělení oprávnění je protokolováno auditem).
Přeneste vlastnictví samotného katalogu pracovních prostorů.
Všichni uživatelé pracovního prostoru obdrží USE CATALOG
oprávnění v katalogu pracovních prostorů. Uživatelé pracovního prostoru také obdrží USE SCHEMA
oprávnění , , CREATE TABLE
, CREATE FUNCTION
CREATE VOLUME
CREATE MODEL
a CREATE MATERIALIZED VIEW
oprávnění ke schématu default
v katalogu.
Poznámka:
Výchozí oprávnění udělená v připojeném metastoru a katalogu pracovních prostorů se neuchovávají mezi pracovními prostory (pokud je například katalog pracovních prostorů také vázán na jiný pracovní prostor).