Administratorrechte im Unity Catalog

Artikel
05/03/2024

In diesem Artikel werden die Berechtigungen beschrieben, die Kontoadministrator*innen, Arbeitsbereichsadministrator*innen und Metastore-Administrator*innen in Azure Databricks für die Verwaltung von Unity Catalog haben.

Hinweis

Wenn Ihr Arbeitsbereich automatisch für Unity Catalog aktiviert wurde, verfügen Arbeitsbereichsadministrator*innen über Standardberechtigungen für den angefügten Metastore und den Arbeitsbereichskatalog, sofern dieser bereitgestellt wurde. Siehe Arbeitsbereichsadministratorberechtigungen, wenn Arbeitsbereiche automatisch für Unity Catalog aktiviert werden.

Metastore-Administratoren

Der Metastoreadministrator ist ein Benutzer oder eine Gruppe mit umfassenden Berechtigungen in Unity Catalog. Metastore-Administratoren haben standardmäßig die folgenden Berechtigungen für den Metastore:

CREATE CATALOG: Ermöglicht es einem Benutzer, Kataloge im Metastore zu erstellen.
CREATE CONNECTION: Ermöglicht es einem Benutzer, eine Verbindung mit einer externen Datenbank in einem Lakehouse-Verbundszenario zu zu erstellen.
CREATE EXTERNAL LOCATION: Ermöglicht einem Benutzer das Erstellen eines externen Speicherorts.
CREATE STORAGE CREDENTIAL: Ermöglicht es Benutzern, Speicheranmeldeinformationen zu erstellen.
CREATE FOREIGN CATALOG: Gewährt die Berechtigung, Fremdkataloge mithilfe einer Verbindung mit einer externen Datenbank in einem Lakehouse Federation-Szenario zu erstellen.
CREATE SHARE: Ermöglicht einem Datenanbieter das Erstellen einer Freigabe in der Delta-Freigabe.
CREATE RECIPIENT: Ermöglicht einem Datenanbieter das Erstellen eines Empfängers in der Delta-Freigabe.
CREATE PROVIDER: Ermöglicht einem Datenempfänger das Erstellen eines Anbieters in der Delta-Freigabe.
MANAGE ALLOWLIST: Ermöglicht einem Benutzer das Aktualisieren von Zulassungslisten, die den Clusterzugriff auf init-Skripts und -Bibliotheken verwalten.
CREATE MATERIALIZED VIEW: Ermöglicht dem Benutzer, materialisierte Sichten zu erstellen.

Metastore-Administratoren sind auch Besitzer des Metastores, was ihnen die folgenden Berechtigungen gewährt:

Verwalten Sie die Berechtigungen oder übertragen Sie den Besitz eines beliebigen Objekts innerhalb des Metastores, einschließlich Anmeldeinformationen für den Speicher, externe Speicherorte, Verbindungen, Freigaben, Empfänger und Anbieter.
Gewähren Sie sich selbst Lese- und Schreibzugriff auf alle Daten im Metastore.

Metastore-Administratoren haben diese Möglichkeit indirekt, indem sie den Besitz aller Objekte übertragen können. Standardmäßig ist kein direkter Zugriff vorhanden. Die Gewährung von Berechtigungen wird überwacht.
Die Metadaten aller Objekte im Metastore lesen und aktualisieren.
Den Metastore löschen.

Metastore-Administratoren sind die einzigen Benutzer, die Berechtigungen für den Metastore selbst erteilen können.

Wer hat Metastore-Administratorrechte?

Wenn ein Kontoadministrator den Metastore manuell erstellt, ist dieser Kontoadministrator der ursprüngliche Besitzer und Metastore-Administrator des Metastores. Alle Metastores, die vor dem 9. November 2023 erstellt wurden, wurden manuell von einem Kontoadministrator erstellt.

Wenn der Metastore als Teil der automatischen Aktivierung des Unity Catalog bereitgestellt wurde, wurde der Metastore ohne einen Metastore-Administrator erstellt. In diesem Fall werden Arbeitsbereichsadministratoren automatisch Berechtigungen gewährt, die den Metastore-Administrator optional machen. Bei Bedarf können Kontoadministratoren die Metastore-Administratorrolle einem Benutzer, Dienstprinzipal oder einer Gruppe zuweisen. Gruppen werden dringend empfohlen. Siehe Automatische Aktivierung des Unity Catalog.

Zuweisen eines Metastoreadministrators

Die Rolle „Metastore-Administrator“ ist mit umfassenden Berechtigungen ausgestattet, weshalb Sie sie mit Bedacht zuweisen sollten. Der Vorgang ist optional.

Kontoadministratoren können die Metastore-Administratorrolle zuweisen. Databricks empfiehlt, eine Gruppe als Metastore-Administrator zu benennen. Dadurch ist jedes Mitglied der Gruppe automatisch ein Metastore-Administrator.

So weisen Sie die Metastore-Administratorrolle an eine Gruppe zu.

Melden Sie sich als Kontoadministrator*in bei der Kontokonsole an.
Klicken Sie auf Katalog.
Klicken Sie auf den Namen eines Metastores, um dessen Eigenschaften zu öffnen.
Klicken Sie unter Metastoreadministrator auf Bearbeiten.
Wählen Sie eine Gruppe aus der Dropdownliste aus. Sie können Text in das Feld eingeben, um nach Optionen zu suchen.
Klicken Sie auf Speichern.

Wichtig

Es kann bis zu 30 Sekunden dauern, bis sich eine Änderung der Metastore-Administratorzuweisung in Ihrem Konto widerspiegelt, und in einigen Arbeitsbereichen kann es länger als in anderen dauern, bis sie wirksam wird. Diese Verzögerung ist auf das Zwischenspeichern von Protokollen zurückzuführen.

Kontoadministratoren

Die Rolle „Kontoadministrator“ ist mit umfassenden Berechtigungen ausgestattet, weshalb Sie sie mit Bedacht zuweisen sollten. Kontoadministratoren haben die folgenden Berechtigungen:

Kann Metastores erstellen und wird standardmäßig der anfängliche Metastoreadministrator.
Kann Metastores mit Arbeitsbereichen verknüpfen.
Kann die Metastore-Administratorrolle zuweisen.
Kann die Deltafreigabe für einen Metastore aktivieren.
Kann Speicheranmeldeinformationen konfigurieren.
Kann Systemtabellen aktivieren und den Zugriff auf sie delegieren.

Arbeitsbereichsadministratoren

Die Rolle „Arbeitsbereichsadministrator“ ist mit umfassenden Berechtigungen ausgestattet, weshalb Sie sie mit Bedacht zuweisen sollten. Arbeitsbereichsadministratoren verfügen über die folgenden Berechtigungen:

Kann einem Arbeitsbereich Benutzer*innen, Dienstprinzipale und Gruppen hinzufügen.
Kann andere Arbeitsbereichsadministrator*innen delegieren.
Kann den Auftragsbesitz verwalten. Weitere Informationen finden Sie unter Steuern des Zugriffs auf einen Auftrag.
Kann die Einstellung Ausführen als für Aufträge verwalten. Siehe Ausführen eines Auftrags als Dienstprinzipal.
Kann Notebooks, Dashboards, Abfragen und andere Arbeitsbereichsobjekte anzeigen und verwalten. Siehe Zugriffssteuerungslisten.

Kontoadministratoren können die Rechte von Arbeitsbereichsadministratoren mithilfe der Einstellung RestrictWorkspaceAdmins einschränken. Siehe Restrict workspace admins (Einschränken von Arbeitsbereichsadministratoren).

Arbeitsbereichsadministratorberechtigungen, wenn Arbeitsbereiche automatisch für Unity Catalog aktiviert sind

Wenn Ihr Arbeitsbereich automatisch für Unity Catalog aktiviert wurde, wird der Arbeitsbereich standardmäßig an einen Metastore angefügt. Weitere Informationen finden Sie unter Automatische Aktivierung des Unity Catalog.

Wenn Ihr Arbeitsbereich automatisch für Unity Catalog aktiviert wurde, verfügen Arbeitsbereichsadministratoren standardmäßig über die folgenden Berechtigungen für den angefügten Metastore:

CREATE CATALOG
CREATE EXTERNAL LOCATION
CREATE STORAGE CREDENTIAL
CREATE CONNECTION
CREATE SHARE
CREATE RECIPIENT
CREATE PROVIDER
CREATE MATERIALIZED VIEW

Arbeitsbereichsadministrator*innen sind die Standardbesitzer*innen des Arbeitsbereichskatalogs, sofern ein Arbeitsbereichskatalog für Ihren Arbeitsbereich bereitgestellt wurde. Der Besitz dieses Katalogs gewährt die folgenden Berechtigungen:

Verwalten Sie die Berechtigungen für oder übertragen Sie den Besitz eines Objekts innerhalb des Arbeitsbereichkatalogs.

Dies umfasst die Möglichkeit, sich selbst Lese- und Schreibzugriff auf alle Daten im Katalog zu gewähren (standardmäßig kein direkter Zugriff; das Erteilen von Berechtigungen wird überwacht).
Übertragen des Besitzes des Arbeitsbereichkatalogs selbst.

Alle Arbeitsbereichsbenutzer erhalten die USE CATALOG-Berechtigung für den Arbeitsbereichkatalog. Arbeitsbereichsbenutzer*innen erhalten außerdem die Berechtigungen USE SCHEMA, CREATE TABLE, CREATE VOLUME, CREATE MODEL, CREATE FUNCTION und CREATE MATERIALIZED VIEW für das default-Schema im Katalog.