oprávnění Správa v katalogu Unity

Tento článek popisuje oprávnění, která mají správci účtu Azure Databricks, správci pracovních prostorů a správci metastoru pro správu katalogu Unity.

Poznámka:

Pokud byl váš pracovní prostor pro katalog Unity povolen automaticky, mají správci pracovního prostoru výchozí oprávnění k připojenému metastoru a katalogu pracovních prostorů, pokud byl zřízen katalog pracovních prostorů. Podívejte se na oprávnění správce pracovního prostoru, pokud jsou pracovní prostory povolené pro katalog Unity automaticky.

Správci metastoru

Správce metastoru je vysoce privilegovaný uživatel nebo skupina v katalogu Unity. Správci metastoru mají ve výchozím nastavení následující oprávnění k metastoru:

• CREATE CATALOG: Umožňuje uživateli vytvářet katalogy v metastoru.

• CREATE CONNECTION: Umožňuje uživateli vytvořit připojení k externí databázi ve scénáři federace Lakehouse.

• CREATE EXTERNAL LOCATION: Umožňuje uživateli vytvářet externí umístění.

• CREATE STORAGE CREDENTIAL: Umožňuje uživateli vytvořit přihlašovací údaje k úložišti.

• CREATE FOREIGN CATALOG: Umožňuje uživateli vytvářet cizí katalogy pomocí připojení k externí databázi ve scénáři Federace Lakehouse.

• CREATE SHARE: Umožňuje uživateli zprostředkovatele dat vytvořit sdílenou složku v rozdílovém sdílení.

• CREATE RECIPIENT: Umožňuje uživateli poskytovatele dat vytvořit příjemce v rozdílovém sdílení.

• CREATE PROVIDER: Umožňuje uživateli příjemce dat vytvořit zprostředkovatele v rozdílovém sdílení.

• MANAGE ALLOWLIST: Umožňuje uživateli aktualizovat seznamy povolených, které spravují přístup clusteru k inicializačním skriptům a knihovnám.

• CREATE MATERIALIZED VIEW: Umožňuje uživateli vytvářet materializovaná zobrazení.

Správci metastoru jsou také vlastníky metastoru, což jim uděluje následující oprávnění:

• Spravujte oprávnění nebo přeneste vlastnictví libovolného objektu v metastoru, včetně přihlašovacích údajů k úložišti, externích umístění, připojení, sdílených složek, příjemců a poskytovatelů.

• Udělte sobě přístup ke čtení a zápisu ke všem datům v metastoru.

  Správci metastoru mají tuto schopnost nepřímo prostřednictvím své schopnosti převést vlastnictví všech objektů. Ve výchozím nastavení neexistuje žádný přímý přístup. Udělení oprávnění je protokolováno auditem.

• Můžou číst a aktualizovat metadata všech objektů v metastoru.

• Můžou odstranit metastore.

Správci metastoru jsou jedinými uživateli, kteří můžou udělit oprávnění k samotnému metastoru.

Kdo má oprávnění správce metastoru?

Pokud správce účtu metastore vytvoří ručně, správcem účtu je počáteční vlastník metastoru a správce metastoru. Všechny metastory vytvořené před 9. listopadem 2023 vytvořil správce účtu ručně.

Pokud bylo metastore zřízeno jako součást automatického povolení katalogu Unity, metastor se vytvořil bez správce metastoru. Správci pracovního prostoru v takovém případě mají automaticky udělená oprávnění, která správce metastoru zpřístupní jako volitelná. V případě potřeby můžou správci účtu přiřadit roli správce metastoru uživateli, instančnímu objektu nebo skupině. Skupiny se důrazně doporučují. Viz Automatické povolení katalogu Unity.

Přiřazení správce metastoru

Správce metastoru je vysoce privilegovaná role, kterou byste měli pečlivě distribuovat. Zadání je volitelné.

Správci účtu můžou přiřadit roli správce metastoru. Databricks doporučuje jmenovat skupinu jako správce metastoru. Tímto způsobem je každý člen skupiny automaticky správcem metastoru.

Přiřazení role správce metastoru ke skupině:

1. Jako správce účtu se přihlaste ke konzole účtu.
2. Klikněte na Katalog.
3. Kliknutím na název metastoru otevřete jeho vlastnosti.
4. V části Metastore Správa klepněte na tlačítko Upravit.
5. V rozevíracím seznamu vyberte skupinu. Do pole můžete zadat text, který hledá možnosti.
6. Klikněte na Uložit.

Důležité

Může trvat až 30 sekund, než se změna přiřazení správce metastoru projeví ve vašem účtu a může trvat déle, než se projeví v některých pracovních prostorech. Příčinou tohoto zpoždění jsou protokoly ukládání do mezipaměti.

Správci účtů

Správce účtu je vysoce privilegovaná role, kterou byste měli pečlivě distribuovat. Správci účtu mají následující oprávnění:

• Můžou vytvářet metastory a ve výchozím nastavení se stát počátečními správci metastoru.
• Může propojit metastory s pracovními prostory.
• Může přiřadit roli správce metastoru.
• Můžou pro metastore povolit sdílení Delta.
• Můžou nakonfigurovat přihlašovací údaje úložiště.
• Může povolit systémové tabulky a delegovat přístup k nim.

Správci pracovního prostoru

Správce pracovního prostoru je vysoce privilegovaná role, kterou byste měli pečlivě distribuovat. Správci pracovního prostoru mají následující oprávnění:

• Můžou do pracovního prostoru přidávat uživatele, instanční objekty a skupiny.
• Můžou delegovat jiné správce pracovního prostoru.
• Můžou spravovat vlastnictví úloh. Viz Řízení přístupu k úloze.
• Může spravovat nastavení Spustit jako úlohu. Viz Spuštění úlohy jako instančního objektu.
• Můžou zobrazit a spravovat poznámkové bloky, řídicí panely, dotazy a další objekty pracovního prostoru. Viz seznamy řízení přístupu.

Správci účtu můžou pomocí nastavení RestrictWorkspaceAdmins omezit oprávnění správce pracovního prostoru. Viz Omezení správců pracovního prostoru.

Oprávnění správce pracovního prostoru při automatickém povolení pracovních prostorů pro katalog Unity

Pokud byl váš pracovní prostor pro Katalog Unity povolen automaticky, pracovní prostor se ve výchozím nastavení připojí k metastoru. Další informace naleznete v tématu Automatické povolení katalogu Unity.

Pokud byl váš pracovní prostor pro katalog Unity povolen automaticky, správci pracovních prostorů mají ve výchozím nastavení následující oprávnění k připojenému metastoru:

• CREATE CATALOG

• CREATE EXTERNAL LOCATION

• CREATE STORAGE CREDENTIAL

• CREATE CONNECTION

• CREATE SHARE

• CREATE RECIPIENT

• CREATE PROVIDER

• CREATE MATERIALIZED VIEW

Správci pracovního prostoru jsou výchozími vlastníky katalogu pracovních prostorů, pokud byl pro váš pracovní prostor zřízen katalog pracovních prostorů. Vlastnictví tohoto katalogu uděluje následující oprávnění:

• Umožňuje spravovat oprávnění pro vlastnictví libovolného objektu v katalogu pracovních prostorů nebo je převést.

  To zahrnuje možnost udělit sobě přístup ke čtení a zápisu ke všem datům v katalogu (ve výchozím nastavení není přímý přístup; udělení oprávnění je protokolováno auditem).

• Přeneste vlastnictví samotného katalogu pracovních prostorů.

Všichni uživatelé pracovního prostoru obdrží USE CATALOG oprávnění v katalogu pracovních prostorů. Uživatelé pracovního prostoru také obdrží USE SCHEMAoprávnění , , CREATE TABLE, CREATE FUNCTIONCREATE VOLUMECREATE MODELa CREATE MATERIALIZED VIEW oprávnění ke schématu default v katalogu.

Poznámka:

Výchozí oprávnění udělená v připojeném metastoru a katalogu pracovních prostorů se neuchovávají mezi pracovními prostory (pokud je například katalog pracovních prostorů také vázán na jiný pracovní prostor).