Verwalten von Berechtigungen in Unity Catalog

In diesem Artikel erfahren Sie, wie Sie den Zugriff auf Daten sowie auf andere Objekte in Unity Catalog steuern.

Zugriffssteuerungen können über den Katalog-Explorer, mithilfe von SQL-Anweisungen in Notebooks oder mit Databricks SQL-Abfragen, mithilfe der REST-API von Unity Catalog oder mit Terraform festgelegt werden.

Benutzer*innen können anfangs nicht auf die Daten in einem Metastore zugreifen. Zugriff kann von einem Metastoreadministrator, vom Besitzer eines Objekts oder vom Besitzer des Katalogs oder des Schemas, der bzw. das das Objekt enthält, gewährt werden.

Administratorberechtigungen

Azure Databricks-Kontoadministrator*innen, -Arbeitsbereichsadministrator*innen und -Metastore-Administrator*innen verfügen über Standardberechtigungen für die Verwaltung des Unity Catalogs. Siehe Administratorrechte im Unity Catalog.

Objektbesitz

Alle sicherungsfähigen Objekte in Unity Catalog haben einen Besitzer. Objektbesitzer verfügen über alle Berechtigungen für dieses Objekt, einschließlich der Möglichkeit, anderen Prinzipalen Berechtigungen zu erteilen. Weitere Informationen finden Sie unter Verwalten des Unity Catalog-Objektbesitzes.

Unity Catalog-Berechtigungen

Zugriffsrechte können entweder von einem Metastoreadministrator, dem Besitzer eines Objekts oder dem Besitzer des Katalogs oder Schemas, der/das das Objekt enthält, gewährt werden. Weitere Informationen finden Sie unter Unity Catalog-Berechtigungen und sicherungsfähige Objekte.

Berechtigungsvererbung

Sicherungsobjekte in Unity Catalog sind hierarchisch, und Berechtigungen werden abwärts vererbt. Das bedeutet, dass die Gewährung einer Berechtigung für den Katalog automatisch die Berechtigung für alle aktuellen und zukünftigen Objekte im Katalog gewährt. Ebenso werden die für ein Schema gewährten Berechtigungen von allen aktuellen und zukünftigen Objekten in diesem Schema geerbt. Sieh Vererbungsmodell.

Hinweis

Wenn Sie ihren Unity Catalog-Metastore während der öffentlichen Vorschauphase (vor dem 25. August 2022) erstellt haben, können Sie ein Upgrade auf die Version 1.0 des Berechtigungsmodells mit Berechtigungsvererbung vornehmen. Siehe Upgrade auf Berechtigungsvererbung.

Grundlegende Objektberechtigungen

Unity Catalog unterstützt die SQL-Schlüsselwörter SHOW, GRANTund REVOKE zum Verwalten von Berechtigungen für Kataloge, Schemas, Tabellen, Sichten und Funktionen.

Der Besitzer eines Objekts oder ein Metastoreadministrator kann alle Berechtigungen für das Objekt auflisten. Wenn das Objekt in einem Katalog oder Schema (z. B. einer Tabelle oder Sicht) enthalten ist, kann der Besitzer des Katalogs oder Schemas auch alle Berechtigungen für das Objekt auflisten.

Beispiele für diese Syntax finden Sie in der SQL-Referenzdokumentation:

• SHOW CATALOGS
• SHOW SCHEMAS
• SHOW TABLES
• SHOW VIEWS
• GRANT
• REVOKE

Der Katalog-Explorer bietet eine Benutzeroberfläche, mit der Sie diese Aktionen durchführen können; siehe Verwalten von Unity Catalog-Berechtigungen im Katalog-Explorer.

Übertragen des Besitzes

Um den Besitz eines Objekts innerhalb eines Metastores zu übertragen, können Sie SQL oder den Katalog-Explorer verwenden. Weitere Informationen finden Sie unter Verwalten des Unity Catalog-Objektbesitzes oder Verwalten des Unity Catalog-Objektbesitzes im Katalog-Explorer.

Verwalten externer Speicherorte und Speicheranmeldeinformationen

Sie können externe Speicherorte und Speicheranmeldeinformationen für Unity Catalog mithilfe des Katalog-Explorers konfigurieren. Weitere Informationen finden Sie unter Verwalten von Speicheranmeldeinformationen und Verwalten externer Speicherorte.

Dynamische Ansichten

Mit dynamischen Ansichten können Sie verwalten, welche Benutzer Zugriff auf die Zeilen, Spalten oder sogar bestimmte Datensätze einer Sicht haben, indem Sie ihre Werte filtern oder maskieren. Weitere Informationen finden Sie unter Erstellen einer dynamischen Ansicht.