Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Tato stránka popisuje zabezpečitelné objekty katalogu Unity a oprávnění, která se na ně vztahují. Informace o udělení oprávnění v katalogu Unity najdete v tématu Zobrazení, udělení a odvolání oprávnění.
Note
Tento článek se týká oprávnění katalogu Unity a modelu dědičnosti v modelu oprávnění verze 1.0. Pokud jste metastore katalogu Unity vytvořili ve verzi Public Preview (před 25. srpnem 2022), možná jste na modelu dřívějších oprávnění, který aktuální model dědičnosti nepodporuje. Pokud chcete získat dědičnost oprávnění, můžete upgradovat na Model oprávnění verze 1.0. Podívejte se na Upgrade na dědění oprávnění.
Zabezpečitelné objekty v katalogu Unity
Zabezpečitelný objekt je objekt definovaný v metastoru katalogu Unity, ke kterému lze přidělit oprávnění entitě (uživatel, služební principál nebo skupina). Zabezpečitelné objekty v katalogu Unity jsou hierarchické.
Zabezpečitelné objekty jsou:
METASTORE: Kontejner nejvyšší úrovně pro metadata. Každý metastore katalogu Unity zveřejňuje tříúrovňový obor názvů (
catalog.schema.table), který organizuje vaše data.Při správě oprávnění k metastoru nezahrnete název metastoru do příkazu SQL. Katalog Unity uděluje nebo odvolá oprávnění k metastoru připojenému k vašemu pracovnímu prostoru. Například následující příkaz udělí skupině s názvem engineering možnost vytvořit katalog v metastoru připojeném k pracovnímu prostoru:
GRANT CREATE CATALOG ON METASTORE TO engineeringCATALOG: První vrstva hierarchie objektů, která slouží k uspořádání datových prostředků. Cizí katalog je speciální typ katalogu, který zrcadlí databázi v externím datovém systému ve scénáři Federace Lakehouse.
SCHEMA: Označuje se také jako databáze, schémata jsou druhou vrstvou hierarchie objektů a obsahují tabulky a zobrazení.
TABLE: Na nejnižší úrovni v hierarchii objektů jsou tabulky spravované tabulky, externí tabulky, cizí tabulky, streamované tabulky, online tabulky a tabulky funkcí. Viz tabulky Azure Databricks.
VIEW: Objekt jen pro čtení vytvořený z dotazu na jednu nebo více tabulek obsažených ve schématu.
MATERIALIZED VIEW: Objekt vytvořený z dotazu na jednu nebo více tabulek obsažených ve schématu. Jeho výsledky odrážejí stav dat při poslední aktualizaci.
ZOBRAZENÍ METRIKY: Objekt jen pro čtení, který definuje sadu definic metrik, včetně dimenzí a měr, na základě jednoho nebo více zdrojů dat, které mohou být tabulky, zobrazení nebo dotazy SQL. Viz zobrazení metrik katalogu Unity.
VOLUME: Logický svazek nestrukturovaných dat. Může být externí (uložená v externích umístěních ve zvoleném cloudovém úložišti) nebo spravovaná (uložená v kontejneru úložiště ve vašem cloudovém úložišti, které vytvoříte výslovně pro Azure Databricks).
FUNKCE: Uživatelem definovaná funkce nebo registrovaný model MLflow, který je součástí schématu.
Model: Registrovaný model MLflow je konkrétní typ funkce. Modely jsou uvedeny odděleně od ostatních funkcí v Průzkumníku katalogu, ale když udělíte oprávnění k modelu pomocí SQL, použijete
GRANT ON FUNCTION.EXTERNÍ UMÍSTĚNÍ: Objekt, který obsahuje odkaz na přihlašovací údaje úložiště a cestu cloudového úložiště obsaženou v metastore katalogu Unity.
EXTERNÍ METADATA: Objekt, který obsahuje metadata pro entitu v externím systému, například řídicí panel Tableau nebo objekt Salesforce, aby se mohl přidat do vlastních konfigurací rodokmenu dat. Viz Sledování vlastních dat.
SERVICE CREDENTIAL: Objekt, který zapouzdřuje dlouhodobé cloudové přihlašovací údaje, které poskytují přístup k externí službě. Obsaženo v úložišti metadat katalogu Unity.
STORAGE CREDENTIAL: Objekt, který zapouzdřuje dlouhodobé cloudové přihlašovací údaje, které poskytují přístup ke cloudovému úložišti obsaženému v metastore katalogu Unity.
CONNECTION: Objekt, který určuje cestu a přihlašovací údaje pro přístup k externímu databázovému systému ve scénáři federace Lakehouse.
SDÍLENÍ: Logické seskupení pro tabulky, které chcete sdílet pomocí Delta Sharing. Sdílený objekt je obsažen v metastoru katalogu Unity.
PŘÍJEMCE: Objekt, který identifikuje organizaci nebo skupinu uživatelů, s nimiž lze sdílet data pomocí funkce Delta Sharing. Tyto objekty jsou obsaženy v metastoru katalogu Unity.
POSKYTOVATEL: Objekt, který představuje organizaci, která zpřístupňuje data pro sdílení pomocí Delta Sharing. Tyto objekty jsou obsaženy v metastoru katalogu Unity.
ČISTÁ MÍSTNOST: Objekt, který představuje zabezpečené a chráněné prostředí ochrany osobních údajů spravované službou Databricks, kde může spolupracovat více stran bez přímého přístupu k datům ostatních.
Typy oprávnění podle zabezpečitelného objektu v katalogu Unity
Následující tabulka uvádí typy oprávnění, které se vztahují na každý zabezpečitelný objekt v katalogu Unity. Informace o udělení oprávnění v katalogu Unity najdete v tématu Zobrazení, udělení a odvolání oprávnění.
| Securable | Privileges |
|---|---|
| Metastore |
CREATE CATALOG, CREATE CLEAN ROOM, CREATE CONNECTION, CREATE EXTERNAL LOCATION, CREATE EXTERNAL METADATA, CREATE PROVIDER, CREATE RECIPIENT, CREATE SHARE, CREATE SERVICE CREDENTIAL, CREATE STORAGE CREDENTIAL, SET SHARE PERMISSION, USE MARKETPLACE ASSETS, USE PROVIDER, USE RECIPIENT, USE SHARE |
| Catalog |
ALL PRIVILEGES, APPLY TAG, BROWSE, , CREATE SCHEMAUSE CATALOGVšichni uživatelé mají USE CATALOG k katalogu ve výchozím nastavení.Následující typy oprávnění platí pro zabezpečitelné objekty v katalogu. Tato oprávnění můžete udělit na úrovni katalogu, abyste je mohli použít pro aktuální a budoucí objekty v katalogu. CREATE FUNCTION, CREATE TABLE, , CREATE MATERIALIZED VIEW, CREATE MODELCREATE VOLUME, EXTERNAL USE SCHEMAREAD VOLUMEREFRESHWRITE VOLUMEEXECUTEMANAGEMODIFYSELECTUSE SCHEMA |
| Schema |
ALL PRIVILEGES, APPLY TAG, , CREATE FUNCTION, CREATE TABLECREATE MODEL, CREATE VOLUMECREATE MATERIALIZED VIEWMANAGE, , EXTERNAL USE SCHEMAUSE SCHEMANásledující typy oprávnění platí pro zabezpečitelné objekty v rámci schématu. Tato oprávnění můžete udělit na úrovni schématu, abyste je mohli použít pro aktuální a budoucí objekty v rámci schématu. EXECUTE, MODIFY, READ VOLUME, REFRESH, , SELECTWRITE VOLUME |
| Table |
ALL PRIVILEGES, APPLY TAG, MANAGE, , MODIFYSELECT |
| Materializované zobrazení |
ALL PRIVILEGES, APPLY TAG, MANAGE, , REFRESHSELECT |
| View |
ALL PRIVILEGES, APPLY TAG, , MANAGESELECT |
| Volume |
ALL PRIVILEGES, MANAGE, , READ VOLUMEWRITE VOLUME |
| Externí umístění |
ALL PRIVILEGES, BROWSE, , CREATE EXTERNAL TABLE, CREATE EXTERNAL VOLUMECREATE FOREIGN SECURABLE, CREATE MANAGED STORAGEEXTERNAL USE LOCATIONMANAGE, , READ FILESWRITE FILES |
| Externí metadata |
ALL PRIVILEGES, BROWSE, , MANAGEMODIFY |
| Přihlašovací údaje služby |
ALL PRIVILEGES, ACCESS, CREATE CONNECTION. MANAGE |
| Přihlašovací údaje úložiště |
ALL PRIVILEGES, CREATE EXTERNAL LOCATION, CREATE EXTERNAL TABLE, MANAGE, , READ FILESWRITE FILES |
| Connection |
ALL PRIVILEGES, CREATE FOREIGN CATALOG, , MANAGEUSE CONNECTION |
| Function |
ALL PRIVILEGES, APPLY TAG (pouze modely), CREATE MODEL VERSION (pouze modely), EXECUTE, MANAGE |
| Procedure |
ALL PRIVILEGES, , EXECUTEMANAGE |
| Model | Registrované modely jsou typem funkce. |
| Share |
SELECT (Může být uděleno RECIPIENT) |
| Recipient | None |
| Provider | None |
| Čistý pokoj |
ALL PRIVILEGES, BROWSE, EXECUTE CLEAN ROOM TASK, , MANAGEMODIFY CLEAN ROOM |
Obecné typy oprávnění katalogu Unity
Tato část obsahuje podrobnosti o typech oprávnění, které se obecně vztahují na katalog Unity. Informace o udělení oprávnění v katalogu Unity najdete v tématu Zobrazení, udělení a odvolání oprávnění.
VŠECHNA OPRÁVNĚNÍ
Použitelné typy objektů: CATALOG, EXTERNAL LOCATION, EXTERNAL METADATA, SERVICE CREDENTIAL, STORAGE CREDENTIAL, , SCHEMA( FUNCTION včetně modelů), PROCEDURE, TABLE, , MATERIALIZED VIEWVIEW,VOLUME
Slouží k udělení nebo odvolání všech oprávnění vztahujících se k zabezpečitelnému objektu a jeho podřízeným objektům bez jejich explicitního zadání.
Pokud ALL PRIVILEGES je u objektu udělena, neuděluje uživateli jednotlivá oprávnění v době udělení. Místo toho se rozšiřuje na všechna dostupná privilegia v době, kdy se provádějí kontroly oprávnění. To znamená, že vzhledem k tomu, že Databricks uvolní nová oprávnění a nové zabezpečitelné objekty, stávající ALL PRIVILEGES udělení automaticky zahrnuje všechna nová oprávnění použitelná pro zabezpečitelný objekt, jeho existující podřízené objekty a všechny nové podřízené objekty.
Aby nedošlo k náhodné exfiltraci dat nebo eskalaci oprávnění, ALL PRIVILEGES nezahrnuje EXTERNAL USE SCHEMA oprávnění, EXTERNAL USE LOCATION ani MANAGE oprávnění.
Když je ALL PRIVILEGES odvolán, odstraní se ALL PRIVILEGES povolení a všechny jednotlivé přednosti, které z toho vyplývají. Oprávnění, která nejsou součástí ALL PRIVILEGES, například MANAGE, EXTERNAL USE LOCATIONa EXTERNAL USE SCHEMA, nejsou ovlivněna.
Note
Tato oprávnění je výkonná při použití na vyšších úrovních v hierarchii. Například GRANT VŠECHNA OPRÁVNĚNÍ NA CATALOG hlavní TO analysts udělí analytickému týmu všechna existující a budoucí oprávnění ke všem existujícím a budoucím zabezpečitelným objektům v katalogu.
ACCESS
Příslušné typy objektů: SERVICE CREDENTIAL
Umožňuje uživateli používat přihlašovací údaje služby pro přístup k externí službě nebo službám.
POUŽÍT ZNAČKU
Použitelné typy objektů: CATALOG, SCHEMA, TABLE, VOLUMEMATERIALIZED VIEW, VIEWmodely, které jsou registrovány jakoFUNCTION
Umožňuje uživateli přidávat a upravovat značky objektu. Udělení APPLY TAG tabulce nebo zobrazení také umožňuje označování sloupců. Udělení APPLY TAG registrovanému modelu také umožňuje označování verzí modelu.
Uživatel musí mít také USE CATALOG privilegium k nadřazenému katalogu a USE SCHEMA k nadřazenému schématu.
Pokud chcete použít řízenou značku na zabezpečitelné objekty katalogu Unity, musíte mít také oprávnění ASSIGN k řízené značce. Viz Správa oprávnění pro spravované značky.
BROWSE
Použitelné typy objektů: CATALOG, CLEAN ROOM, EXTERNAL METADATA, EXTERNAL LOCATION
Umožňuje uživateli zobrazit metadata objektu pomocí Průzkumníka katalogu, prohlížeče schématu, výsledků hledání, grafu information_schemarodokmenu a rozhraní REST API. Tato viditelnost umožňuje uživatelům zjišťovat objekty a žádat o přístup k nim.
Uživatel nevyžaduje USE CATALOG oprávnění nadřazeného katalogu ani USE SCHEMA nadřazeného schématu.
Všichni uživatelé mají ve výchozím nastavení oprávnění BROWSE k novým katalogům vytvořeným pomocí Průzkumníka katalogu. Pokud chcete, můžete oprávnění odvolat. Katalogy vytvořené pomocí příkazů SQL, rozhraní REST API nebo rozhraní příkazového řádku Databricks ve výchozím nastavení neudělují BROWSE oprávnění. Musíte mu to udělit otevřeně.
Databricks doporučuje udělit práva na katalogy skupině BROWSE tak, aby objekty byly zjistitelné a všichni uživatelé mohli požádat o přístup k objektům.
Note
Uživatelé, kteří mají BROWSE pouze oprávnění k objektu, mají omezenou schopnost zkoumat metadata pomocí SQL.
CREATE CATALOG
Použitelné typy objektů: Metastore katalogu Unity
Umožňuje uživateli vytvořit katalog v metastoru katalogu Unity. Chcete-li vytvořit cizí katalog, musíte mít také oprávnění CREATE FOREIGN CATALOG pro připojení, které obsahuje cizí katalog nebo metastor.
VYTVOŘENÍ ČISTÉ MÍSTNOSTI
Použitelné typy objektů: Metastore katalogu Unity
Umožňuje uživateli vytvořit čistou místnost pro bezpečnou spolupráci na projektech s jinými organizacemi bez sdílení podkladových dat.
CREATE CONNECTION
Použitelné typy objektů: Metastore katalogu Unity, SERVICE CREDENTIAL
Umožňuje uživateli vytvořit připojení k externí databázi ve scénáři federace Lakehouse. Pokud chcete k vytvoření připojení použít přihlašovací údaje služby, musí mít uživatel toto oprávnění k metastoru i přihlašovacím údajům služby.
CREATE EXTERNAL LOCATION
Použitelné typy objektů: Metastore katalogu Unity, STORAGE CREDENTIAL
Aby uživatel mohl vytvořit externí umístění, musí mít toto oprávnění pro metastor i přihlašovací údaje úložiště, na které se odkazuje v externím umístění.
VYTVOŘENÍ EXTERNÍCH METADAT
Použitelné typy objektů: Metastore katalogu Unity
Umožňuje uživateli vytvořit externí metadata zabezpečitelná pro použití ve vlastním rodokmenu. Pokud chcete přidat vztahy rodokmenu k objektu externích metadat, uživatel musí mít MODIFY oprávnění k objektu externích metadat a zároveň oprávnění k objektu katalogu Unity, s nímž vytváří vztah.
VYTVOŘIT EXTERNÍ TABLE
Použitelné typy objektů: EXTERNAL LOCATION, STORAGE CREDENTIAL
Umožňuje uživateli vytvářet externí tabulky přímo ve vašem cloudovém tenantovi pomocí externího umístění nebo přihlašovacích údajů úložiště. Databricks doporučuje udělit toto oprávnění externímu umístění místo přihlašovacích údajů úložiště (protože je vymezená na cestu, umožňuje větší kontrolu nad tím, kde můžou uživatelé vytvářet externí tabulky ve vašem cloudovém tenantovi).
VYTVOŘENÍ EXTERNÍHO SVAZKU
Příslušné typy objektů: EXTERNAL LOCATION
Umožňuje uživateli vytvářet externí svazky na externím umístění.
VYTVOŘIT CIZÍ CATALOG
Příslušné typy objektů: CONNECTION
Umožňuje uživateli vytvářet cizí katalogy pomocí připojení k externí databázi ve scénáři federace Lakehouse.
VYTVOŘENÍ CIZÍHO OBJEKTU PRO ZABEZPEČENÍ
Příslušné typy objektů: EXTERNAL LOCATION
Umožňuje uživateli, který vytváří externí katalog, určit autorizované cesty, které jsou pokryté externím umístěním.
Uživatel musí mít také CREATE CATALOG na katalogovém metastoru Unity a CREATE FOREIGN CATALOG na připojení.
CREATE FUNCTION
Příslušné typy objektů: SCHEMA
Umožňuje uživateli vytvořit funkci nebo proceduru ve schématu. Vzhledem k tomu, že jsou zděděná oprávnění, CREATE FUNCTION lze také udělit v katalogu, což uživateli umožňuje vytvořit funkci nebo proceduru v jakémkoli existujícím nebo budoucím schématu v katalogu.
Uživatel musí mít také USE CATALOG privilegium k nadřazenému katalogu a USE SCHEMA k nadřazenému schématu.
VYTVOŘENÍ MODELU
Příslušné typy objektů: SCHEMA
Umožňuje uživateli vytvořit zaregistrovaný model MLflow (což je typ funkce) ve schématu. Protože oprávnění jsou zděďována, CREATE MODEL mohou být udělena i na katalog, což umožňuje uživateli vytvořit registrovaný model v jakémkoli existujícím nebo budoucím schématu v katalogu.
Uživatel musí mít také USE CATALOG privilegium k nadřazenému katalogu a USE SCHEMA k nadřazenému schématu.
VYTVOŘENÍ VERZE MODELU
Příslušné typy objektů: MODEL
Umožňuje uživateli zaregistrovat novou verzi registrovaného modelu MLflow (což je typ funkce). Neuděluje uživateli oprávnění ke spuštění, úpravě nebo přidání značek do verze modelu.
Uživatel musí mít také USE CATALOG privilegium k nadřazenému katalogu a USE SCHEMA k nadřazenému schématu.
VYTVOŘENÍ SPRAVOVANÉHO ÚLOŽIŠTĚ
Příslušné typy objektů: EXTERNAL LOCATION
Umožňuje uživateli zadat umístění pro ukládání spravovaných tabulek na úrovni katalogu nebo schématu a přepisovat výchozí kořenové úložiště pro metastore.
CREATE SCHEMA
Příslušné typy objektů: CATALOG
Umožňuje uživateli vytvořit schéma. Uživatel musí mít v katalogu také oprávnění USE CATALOG.
VYTVOŘENÍ PŘIHLAŠOVACÍCH ÚDAJŮ SLUŽBY
Použitelné typy objektů: Metastore katalogu Unity
Umožňuje uživateli vytvořit přihlašovací údaje služby v metastoru katalogu Unity.
VYTVOŘENÍ PŘIHLAŠOVACÍCH ÚDAJŮ ÚLOŽIŠTĚ
Použitelné typy objektů: Metastore katalogu Unity
Umožňuje uživateli vytvořit přihlašovací údaje úložiště v metastoru katalogu Unity.
CREATE TABLE
Příslušné typy objektů: SCHEMA
Umožňuje uživateli vytvořit tabulku nebo zobrazení ve schématu. Protože jsou práva dědičná, CREATE TABLE je možné udělit také v katalogu, což uživateli umožňuje vytvořit tabulku nebo pohled v jakémkoli existujícím nebo budoucím schématu v katalogu.
Uživatel musí mít USE CATALOG také oprávnění pro nadřazený katalog a USE SCHEMA oprávnění nadřazeného schématu.
CREATE MATERIALIZED VIEW
Příslušné typy objektů: SCHEMA
Umožňuje uživateli vytvořit materializované zobrazení ve schématu. Protože jsou práva dědičná, CREATE MATERIALIZED VIEW je možné udělit také v katalogu, což uživateli umožňuje vytvořit tabulku nebo pohled v jakémkoli existujícím nebo budoucím schématu v katalogu.
Uživatel musí mít USE CATALOG také oprávnění pro nadřazený katalog a USE SCHEMA oprávnění nadřazeného schématu.
CREATE VOLUME
Příslušné typy objektů: SCHEMA
Umožňuje uživateli vytvořit objem ve schématu. Jelikož jsou oprávnění zděděna, lze CREATE VOLUME udělit také v katalogu, což uživateli umožňuje vytvořit svazek v jakémkoli existujícím nebo budoucím schématu v katalogu.
Uživatel musí mít také oprávnění USE CATALOG pro nadřazený katalog svazku a oprávnění USE SCHEMA pro jeho nadřazené schéma.
EXECUTE
Použitelné typy objektů: FUNCTION, Model
Umožňuje uživateli spustit uživatelsky definovanou funkci nebo načíst model pro inference, pokud má uživatel také USE CATALOG ve svém nadřazeném katalogu a USE SCHEMA ve svém nadřazeném schématu. U funkcí EXECUTE umožňuje zobrazit definici a metadata funkce. U registrovaných modelů EXECUTE umožňuje zobrazit metadata pro všechny verze registrovaného modelu a stahovat soubory modelu.
Vzhledem k tomu, že jsou oprávnění zděděna, můžete uživateli EXECUTE udělit oprávnění k katalogu nebo schématu, což uživateli automaticky udělí EXECUTE oprávnění pro všechny aktuální a budoucí funkce v katalogu nebo schématu.
PROVÉST ÚKOL ČISTÉ MÍSTNOSTI
Příslušné typy objektů: CLEAN ROOM
Umožňuje uživateli spouštět úkoly (poznámkové bloky) v čisté místnosti. Umožňuje také uživateli zobrazit podrobnosti o čisté místnosti.
UMÍSTĚNÍ EXTERNÍHO POUŽITÍ
Příslušné typy objektů: EXTERNAL LOCATION
Umožňuje uživateli udělit dočasné přihlašovací údaje pro přístup k externím umístěním katalogu Unity z externího modulu zpracování pomocí otevřených rozhraní API katalogu Unity nebo Apache Sparku.
Toto oprávnění můžou udělit jenom uživatelé s oprávněním MANAGE v externí lokalitě.
Aby nedošlo k náhodnému exfiltraci dat, ALL PRIVILEGES nezahrnuje EXTERNAL USE LOCATION oprávnění a vlastníci externích umístění nemají ve výchozím nastavení toto oprávnění.
Viz Povolení přístupu k externím datům do katalogu Unity.
EXTERNÍ USE SCHEMA
Important
Tato funkce je ve verzi Public Preview.
Příslušné typy objektů: SCHEMA
Umožňuje uživateli udělit dočasné přihlašovací údaje pro přístup k tabulkám katalogu Unity z externího modulu zpracování pomocí otevřených rozhraní API katalogu Unity nebo rozhraní REST API icebergu.
Toto oprávnění může udělit pouze vlastník katalogu.
Aby nedošlo k náhodnému exfiltraci dat, ALL PRIVILEGES nezahrnuje EXTERNAL USE SCHEMA oprávnění a vlastníci schématu ve výchozím nastavení toto oprávnění nemají.
Viz Povolení přístupu k externím datům do katalogu Unity.
MANAGE
Použitelné typy objektů: CATALOG, EXTERNAL LOCATION, , EXTERNAL METADATASERVICE CREDENTIAL, STORAGE CREDENTIAL, SCHEMA( FUNCTION včetně modelů), CONNECTION, TABLEMATERIALIZED VIEW, , VIEW,VOLUMECLEAN ROOM
Important
Tato funkce je ve verzi Public Preview.
Umožňuje uživateli zobrazovat a spravovat oprávnění, přenášet vlastnictví, odstraňovat a přejmenovat objekt.
MANAGE se podobá vlastnictví objektu, ale uživatelům s oprávněním MANAGE se automaticky neudělují všechna oprávnění k danému objektu (můžou ale udělit sami oprávnění).
Uživatel musí mít také oprávnění USE CATALOG na nadřazený katalog objektu a oprávnění USE SCHEMA na jeho nadřazené schéma.
ALL PRIVILEGES nezahrnuje oprávnění MANAGE
SPRÁVA SEZNAMU POVOLENÝCH
Použitelné typy objektů: Metastore katalogu Unity
Umožňuje uživateli přidávat nebo upravovat cesty pro inicializační skripty, jars a souřadnice Mavenu v seznamu povolených, které řídí clustery s podporou katalogu Unity se standardním režimem přístupu. Viz Povolené seznamy knihoven a inicializační skripty na výpočetních prostředcích se standardním přístupovým režimem (dříve sdílený přístupový režim).
MODIFY
Použitelné typy objektů: EXTERNAL METADATA, TABLE
Umožňuje uživateli přidávat, aktualizovat a odstraňovat data do nebo z tabulky, pokud má uživatel také SELECT na tabulce, USE CATALOG na nadřazeném katalogu a USE SCHEMA na nadřazeném schématu.
Vzhledem k tomu, že jsou zděděná oprávnění, můžete uživateli MODIFY udělit oprávnění k katalogu nebo schématu, což uživateli automaticky udělí MODIFY oprávnění pro všechny aktuální a budoucí tabulky v katalogu nebo schématu.
Note
MODIFY nelze u cizí tabulky udělit, protože jsou určeny pouze ke čtení.
ÚPRAVA ČISTÉ MÍSTNOSTI
Příslušné typy objektů: CLEAN ROOM
Umožňuje uživateli aktualizovat čistou místnost, včetně přidávání a odebírání datových prostředků, přidávání a odebírání poznámkových bloků a aktualizace komentářů. Umožňuje také uživateli zobrazit podrobnosti o čisté místnosti.
PŘEČTI SOUBORY
Příslušné typy objektů: EXTERNAL LOCATION
READ FILES umožňuje uživateli číst soubory přímo z cloudového úložiště objektů nakonfigurovaného jako externí umístění. Databricks nedoporučuje tento postup. Místo toho byste měli spravovat přístup pro čtení k datům v cloudovém úložišti objektů pomocí svazků a READ VOLUME oprávnění. Další pokyny najdete v tématu Externí umístění.
ČTENÍ SVAZKU
Příslušné typy objektů: VOLUME
Umožňuje uživateli číst soubory a adresáře uložené ve svazku, pokud má v nadřazeném katalogu USE CATALOG a v nadřazeném schématu USE SCHEMA.
Oprávnění se dědí. Když můžete uživateli READ VOLUME udělit oprávnění v katalogu nebo schématu, automaticky mu udělíte READ VOLUME oprávnění pro všechny aktuální a budoucí svazky v katalogu nebo schématu.
REFRESH
Příslušné typy objektů: MATERIALIZED VIEW
Umožňuje uživateli aktualizovat materializované zobrazení, pokud má USE CATALOG uživatel také svůj nadřazený katalog a USE SCHEMA nadřazené schéma.
Oprávnění se dědí. Když uživateli udělíte REFRESH oprávnění k katalogu nebo schématu, automaticky mu udělíte REFRESH oprávnění pro všechna aktuální a budoucí materializovaná zobrazení v katalogu nebo schématu.
SELECT
Použitelné typy objektů: TABLE, VIEW, MATERIALIZED VIEW, SHARE
Pokud je použito na tabulce nebo zobrazení, umožňuje uživateli výběr z tabulky nebo zobrazení, pokud má uživatel také USE CATALOG na nadřazeném katalogu a USE SCHEMA na nadřazeném schématu. Pokud se použije na sdílenou složku, umožní příjemci vybrat ze sdílené složky.
Vzhledem k tomu, že jsou zděděná oprávnění, můžete uživateli SELECT udělit oprávnění k katalogu nebo schématu, které automaticky uděluje oprávnění uživatele SELECT pro všechny aktuální a budoucí tabulky a zobrazení v katalogu nebo schématu.
USE CATALOG
Příslušné typy objektů: CATALOG
Toto oprávnění neumožňuje přístup k samotnému katalogu, ale je nutné, aby uživatel mohl pracovat s jakýmkoli objektem v rámci katalogu. Pokud například chcete vybrat data z tabulky, musí mít uživatelé SELECT oprávnění k této tabulce, USE CATALOG oprávnění k nadřazenému katalogu a USE SCHEMA oprávnění k nadřazenému schématu.
To je užitečné pro umožnění, aby vlastníci katalogu mohli omezit, jak daleko jednotlivá schémata a vlastníci tabulek můžou sdílet data, která vytvářejí. Vlastník tabulky, který uděluje SELECT jinému uživateli, například nepovoluje přístup pro čtení k tabulce, pokud mu nebyla udělena USE CATALOG oprávnění k jeho nadřazeného katalogu ani USE SCHEMA oprávnění k nadřazeným schématu.
Oprávnění USE CATALOG nadřazeného katalogu není nutné ke čtení metadat objektu, pokud má BROWSE uživatel oprávnění k tomuto katalogu.
POUŽITÍ PŘIPOJENÍ
Příslušné typy objektů: CONNECTION
Umožňuje uživateli vypsat a zobrazit podrobnosti o připojení k externí databázi ve scénáři federace Lakehouse. Chcete-li vytvořit cizí katalogy pro připojení, musíte mít CREATE FOREIGN CATALOG připojení nebo vlastnictví připojení.
USE SCHEMA
Příslušné typy objektů: SCHEMA
Toto oprávnění neumožňuje přístup k samotnému schématu, ale je nutné, aby uživatel mohl pracovat s jakýmkoli objektem v rámci schématu. Pokud například chcete vybrat data z tabulky, musí mít uživatel oprávnění k této tabulce a k nadřazenému schématu i k nadřazenému katalogu.
Vzhledem k tomu, že jsou oprávnění zděděna, můžete uživateli USE SCHEMA udělit oprávnění v katalogu, což uživateli automaticky udělí USE SCHEMA oprávnění pro všechna aktuální a budoucí schémata v katalogu.
To je užitečné, když vlastníkům schématu umožníte omezit, jak daleko můžou vlastníci tabulek sdílet data, která vytvářejí. Vlastník tabulky, který uděluje SELECT jinému uživateli, nepovoluje tomuto uživateli přístup ke čtení tabulky, pokud mu nebyla udělena USE SCHEMA oprávnění k nadřazenému schématu a USE CATALOG oprávnění k nadřazenému katalogu.
Oprávnění USE SCHEMA nadřazeného schématu není nutné ke čtení metadat objektu, pokud má BROWSE uživatel oprávnění pro nadřazený katalog schématu.
ZÁPIS SOUBORŮ
Příslušné typy objektů: EXTERNAL LOCATION
Databricks doporučuje spravovat přístup k zápisu k datům v cloudovém úložišti objektů pomocí svazků a WRITE VOLUME privilegií.
WRITE FILES umožňuje uživateli zapisovat soubory přímo do cloudového úložiště objektů nakonfigurovaného jako externí umístění. Další pokyny najdete v tématu Spravované a externí svazky.
ZÁPIS SVAZKU
Příslušné typy objektů: VOLUME
Umožňuje uživateli přidávat, odebírat nebo upravovat soubory a adresáře uložené ve svazku, pokud má USE CATALOG uživatel také nadřazený katalog a USE SCHEMA nadřazené schéma.
Oprávnění se dědí. Když můžete uživateli WRITE VOLUME udělit oprávnění v katalogu nebo schématu, automaticky mu udělíte WRITE VOLUME oprávnění pro všechny aktuální a budoucí svazky v katalogu nebo schématu.
Typy oprávnění, které platí jenom pro Delta Sharing nebo Databricks Marketplace
Tato část obsahuje podrobnosti o typech oprávnění, které platí jenom pro rozdílové sdílení.
VYTVOŘIT POSKYTOVATELE
Použitelné typy objektů: Metastore katalogu Unity
Umožňuje uživateli vytvořit objekt zprostředkovatele rozdílového sdílení v metastoru. Poskytovatel identifikuje organizaci nebo skupinu uživatelů, kteří sdíleli data pomocí Delta Sharing. Vytvoření poskytovatele provádí uživatel v účtu Databricks příjemce. Podívejte se na Co je Delta Sharing?
CREATE RECIPIENT
Použitelné typy objektů: Metastore katalogu Unity
Umožňuje uživateli vytvořit objekt příjemce pro Delta Sharing v metastoru. Příjemce identifikuje organizaci nebo skupinu uživatelů, se kterými lze sdílet data pomocí Delta Sharingu. Vytvoření příjemce provádí uživatel v účtu Databricks poskytovatele. Podívejte se na Co je Delta Sharing?
CREATE SHARE
Použitelné typy objektů: Metastore katalogu Unity
Umožňuje uživateli vytvořit sdílenou složku v metastoru. Sdílení je logické seskupení pro tabulky, které chcete sdílet pomocí Delta Sharing.
oprávnění ke sdílení SET
Použitelné typy objektů: Metastore katalogu Unity
V Delta Sharing poskytují tato oprávnění, v kombinaci s USE SHARE a USE RECIPIENT (nebo vlastnictvím příjemce), uživateli poskytovatele možnost udělit příjemci přístup k podílu. V kombinaci s USE SHAREdává možnost převést vlastnictví podílu jinému uživateli, skupině nebo hlavní instanci služby.
POUŽITÍ PROSTŘEDKŮ MARKETPLACE
Použitelné typy objektů: Metastore katalogu Unity
Ve výchozím nastavení je povoleno pro všechny metastore katalogu Unity. V Databricks Marketplace toto oprávnění uživateli umožňuje získat okamžitý přístup nebo požádat o přístup k datovým produktům sdíleným v seznamu Marketplace. Umožňuje také uživateli přístup k katalogu jen pro čtení, který se vytvoří, když poskytovatel sdílí datový produkt. Bez tohoto oprávnění by uživatel vyžadoval oprávnění CREATE CATALOG a USE PROVIDER nebo roli správce metastoru. To vám umožní omezit počet uživatelů s těmito výkonnými oprávněními.
POUŽITÍ ZPROSTŘEDKOVATELE
Použitelné typy objektů: Metastore katalogu Unity
V režimu Delta Sharing poskytuje uživateli přístup jen pro čtení všem poskytovatelům v metastoru příjemce a jejich sdílených složkách. V kombinaci s CREATE CATALOG oprávněním tato oprávnění umožňuje uživateli příjemce, který není správcem metastoru, připojit sdílenou složku jako katalog. Díky tomu můžete omezit počet uživatelů s výkonnou rolí správce metastoru.
POUŽÍT PŘÍJEMCE
Použitelné typy objektů: Metastore katalogu Unity
V případě rozdílového sdílení poskytuje uživateli poskytovatele přístup jen pro čtení ke všem příjemcům v metastoru poskytovatele a jejich podílům. To umožňuje uživateli poskytovatele, který není správcem metastoru, zobrazit podrobnosti o příjemci, stav ověření příjemce a seznam sdílených složek, které poskytovatel sdílel s příjemcem.
V Databricks Marketplace to umožňuje uživatelům poskytovatele zobrazit výpisy a žádosti uživatelů v konzole poskytovatele.
POUŽÍT SDÍLENÍ
Použitelné typy objektů: Metastore katalogu Unity
V případě rozdílového sdílení poskytuje poskytovateli přístup jen pro čtení ke všem sdíleným složkám definovaným v metastoru zprostředkovatele. To umožňuje uživateli poskytovatele, který není správcem metastoru, vypsat sdílené složky a vypsat prostředky (tabulky a poznámkové bloky) ve sdílené složce spolu s příjemci sdílené složky.
V Databricks Marketplace můžou uživatelé poskytovatele zobrazit podrobnosti o datech sdílených v seznamu.