Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Auf dieser Seite werden die sicherungsfähigen Objekte des Unity-Katalogs und die berechtigungen beschrieben, die für sie gelten. Erfahren Sie, wie Sie Berechtigungen in Unity Catalog erteilen unter Anzeigen, Erteilen und Widerrufen von Berechtigungen.
Hinweis
Dieser Artikel bezieht sich auf die Unity Catalog-Berechtigungen und das Vererbungsmodell in Version 1.0 des Berechtigungsmodells (Privilege Model). Wenn Sie ihren Unity-Katalogmetastore während der öffentlichen Vorschau (vor dem 25. August 2022) erstellt haben, verwenden Sie möglicherweise ein früheres Berechtigungsmodell, das das aktuelle Vererbungsmodell nicht unterstützt. Sie können ein Upgrade auf das Berechtigungsmodell, Version 1.0, durchführen, um die Berechtigungsvererbung zu erhalten. Siehe Upgrade auf Privilegienvererbung.
Sicherungsfähige Objekte in Unity Catalog
Ein sicherungsfähiges Objekt ist ein Objekt, das im Unity Catalog-Metastore definiert ist, für das Berechtigungen einem Prinzipal (Benutzer, Dienstprinzipal oder Gruppe) gewährt werden können. Sicherungsfähige Objekte in Unity Catalog sind hierarchisch.
Sicherungsfähige Objekte sind:
METASTORE: Der Container der obersten Ebene für Metadaten. Jeder Unity Catalog-Metastore macht einen Namespace mit drei Ebenen (
catalog.schema.table) verfügbar, der Ihre Daten organisiert.Wenn Sie Berechtigungen für einen Metastore verwalten, beziehen Sie den Metastorenamen nicht in einen SQL-Befehl mit ein. Unity Catalog gewährt oder widerruft die Berechtigung für den Ihrem Arbeitsbereich zugeordneten Metastore. Der folgende Befehl beispielsweise gewährt der Gruppe Engineering die Möglichkeit zum Erstellen eines Katalogs in dem Metastore, der an den Arbeitsbereich angefügt ist:
GRANT CREATE CATALOG ON METASTORE TO engineeringCATALOG: Die erste Ebene der Objekthierarchie, die zum Organisieren Ihrer Datenressourcen verwendet wird. Ein Fremdkatalog ist ein spezieller Katalogtyp, der in einem Lakehouse-Verbundszenario eine Datenbank in einem externen Datensystem widerspiegelt.
SCHEMA: Auch als Datenbanken bezeichnet, sind Schemas die zweite Ebene der Objekthierarchie und enthalten Tabellen und Ansichten.
TABLE: Auf der untersten Ebene der Objekthierarchie stehen verwaltete Tabellen, externe Tabellen, fremde Tabellen, Streaming-Tabellen, Online-Tabellen und Funktionstabellen. Siehe Einführung in Azure Databricks-Tabellen.
ANSICHT: Ein nur lesbares Objekt, das durch eine Abfrage von einer oder mehreren Tabellen erstellt wird und in einem Schema enthalten ist.
MATERIALIZED VIEW: Ein Objekt, das aus einer Abfrage in einer oder mehreren Tabellen erstellt wurde, die in einem Schema enthalten sind. Die Ergebnisse spiegeln den Status der Daten wider, als sie zuletzt aktualisiert wurden.
METRIC VIEW: Ein schreibgeschütztes Objekt, das eine Reihe von Metrikdefinitionen, einschließlich Dimensionen und Kennzahlen, basierend auf einer oder mehreren Datenquellen, die Tabellen, Ansichten oder SQL-Abfragen sein können, definiert. Siehe Metrikansichten des Unity-Katalogs.
VOLUME: Ein logisches Volumen unstrukturierter Daten. Kann extern (an externen Speicherorten in Ihrem ausgewählten Cloudspeicher gespeichert) oder verwaltet werden (in einem Speichercontainer in Ihrem Cloudspeicher gespeichert, den Sie ausdrücklich für Azure Databricks erstellen).
FUNCTION: Eine benutzerdefinierte Funktion oder ein registriertes MLflow-Modell, das in einem Schema enthalten ist.
Modell: Ein registriertes MLflow-Modell ist eine bestimmte Art von Funktion. Modelle werden im Katalog-Explorer getrennt von anderen Funktionen aufgeführt, aber wenn Sie einem Modell mit SQL eine Berechtigung gewähren, ist
GRANT ON FUNCTIONzu verwenden.EXTERNE SPEICHERORT: Ein Objekt, das einen Verweis auf einen Speicherberechtigungsnachweis und einen Cloud-Speicherpfad enthält, der in einem Unity Catalog-Metastore enthalten ist.
DIENSTBERECHTIGUNGEN: Ein Objekt, das langfristige Cloud-Zugangsdaten umfasst, die Zugriff auf einen externen Dienst bieten. In einem Unity-Katalog-Metastore enthalten.
STORAGE CREDENTIAL: Ein Objekt, das langfristige Cloud-Anmeldeinformationen kapselt und Zugriff auf Cloudspeicher bietet, der in einem Metastore des Unity Catalog enthalten ist.
CONNECTION: Ein Objekt, das einen Pfad und Anmeldeinformationen für den Zugriff auf ein externes Datenbanksystem in einem Lakehouse-Verbundszenario angibt.
SHARE: Eine logische Gruppierung für die Tabellen, die Sie mithilfe von Delta Sharing freigeben möchten. Eine Freigabe ist in einem Unity Catalog-Metastore enthalten.
EMPFÄNGER: Ein Objekt, das eine Organisation oder eine Benutzergruppe identifiziert, mit der Daten mithilfe von Delta Sharing geteilt werden können. Diese Objekte sind in einem Unity Catalog-Metastore enthalten.
ANBIETER: Ein Objekt, das eine Organisation darstellt, die Daten mithilfe von Delta Sharing zum Teilen verfügbar gemacht hat. Diese Objekte sind in einem Unity Catalog-Metastore enthalten.
CLEAN ROOM: Ein Objekt, das eine sichere und datenschutzgeschützte Umgebung darstellt, die von Databricks verwaltet wird, in der mehrere Parteien ohne direkten Zugriff auf die Daten der anderen zusammenarbeiten können.
Berechtigungstypen nach sicherungsfähigem Objekt in Unity Catalog
In der folgenden Tabelle sind die Berechtigungstypen aufgeführt, die für jedes sicherungsfähige Objekt in Unity Catalog gelten. Erfahren Sie, wie Sie Berechtigungen in Unity Catalog erteilen unter Anzeigen, Erteilen und Widerrufen von Berechtigungen.
| Absicherbar | Rechte |
|---|---|
| Metastore | CREATE CATALOG, CREATE CLEAN ROOM, CREATE CONNECTION, CREATE EXTERNAL LOCATION, CREATE PROVIDER, CREATE RECIPIENT, CREATE SHARE, CREATE SERVICE CREDENTIAL, CREATE STORAGE CREDENTIAL, SET SHARE PERMISSION, USE MARKETPLACE ASSETS, USE PROVIDER, USE RECIPIENT, USE SHARE |
| Katalog | ALL PRIVILEGES, , APPLY TAGBROWSE, , CREATE SCHEMAUSE CATALOGAlle Benutzer verfügen standardmäßig über USE CATALOG für den main-Katalog.Die folgenden Berechtigungstypen gelten für sicherungsfähige Objekte in einem Katalog. Sie können diese Berechtigungen auf Katalogebene gewähren, um sie auf die aktuellen und zukünftigen Objekte im Katalog anzuwenden. CREATE FUNCTION, CREATE TABLE, CREATE MATERIALIZED VIEW, CREATE MODEL, CREATE VOLUME, EXTERNAL USE SCHEMA, READ VOLUME, REFRESH, WRITE VOLUME, EXECUTE, MANAGE, MODIFY, SELECT, USE SCHEMA |
| Schema | ALL PRIVILEGES, APPLY TAG, CREATE FUNCTION, CREATE TABLE, CREATE MODEL, CREATE VOLUME, CREATE MATERIALIZED VIEW, MANAGE, EXTERNAL USE SCHEMA, USE SCHEMADie folgenden Berechtigungstypen gelten für sicherungsfähige Objekte in einem Schema. Sie können diese Berechtigungen auf Schemaebene gewähren, um sie auf die aktuellen und zukünftigen Objekte im Schema anzuwenden. EXECUTE, , MODIFYREAD VOLUME, REFRESH, , SELECTWRITE VOLUME |
| Tabelle | ALL PRIVILEGES, , APPLY TAGMANAGE, , MODIFYSELECT |
| Materialisierte Sicht | ALL PRIVILEGES, , APPLY TAGMANAGE, , REFRESHSELECT |
| Sicht | ALL PRIVILEGESAPPLY TAGMANAGESELECT |
| Volumen | ALL PRIVILEGESMANAGEREAD VOLUMEWRITE VOLUME |
| Externer Speicherort | ALL PRIVILEGES, BROWSE, , CREATE EXTERNAL TABLECREATE EXTERNAL VOLUME, CREATE FOREIGN SECURABLE, MANAGE, READ FILES, , WRITE FILESCREATE MANAGED STORAGE |
| Dienstberechtigungen | ALL PRIVILEGES, ACCESS, CREATE CONNECTION, MANAGE. |
| Speicheranmeldeinformationen | ALL PRIVILEGES, , CREATE EXTERNAL LOCATIONCREATE EXTERNAL TABLE, MANAGE, , READ FILESWRITE FILES |
| Verbindung | ALL PRIVILEGESCREATE FOREIGN CATALOGMANAGEUSE CONNECTION |
| Funktion | ALL PRIVILEGES, APPLY TAG (nur Modelle), EXECUTE, MANAGE, CREATE MODEL VERSION (nur Modelle) |
| Prozedur | ALL PRIVILEGES, EXECUTEMANAGE |
| Modell | Registrierte Modelle sind eine Art von Funktion. |
| Teilen | SELECT (kann gewährt RECIPIENT werden) |
| Empfänger | Keine |
| Anbieter | Keine |
| Reinraum | ALL PRIVILEGES, , BROWSEEXECUTE CLEAN ROOM TASK, , MANAGEMODIFY CLEAN ROOM |
Allgemeine Unity Catalog-Berechtigungstypen
Dieser Abschnitt enthält Details zu den Berechtigungstypen, die im Allgemeinen für Unity Catalog gelten. Erfahren Sie, wie Sie Berechtigungen in Unity Catalog erteilen unter Anzeigen, Erteilen und Widerrufen von Berechtigungen.
ALLE BERECHTIGUNGEN
Anwendbare Objekttypen: CATALOG, EXTERNAL LOCATION, SERVICE CREDENTIAL, STORAGE CREDENTIAL, SCHEMA, FUNCTION (einschließlich Modelle), PROCEDURE, TABLE, MATERIALIZED VIEW, VIEW,VOLUME
Wird zum Gewähren oder Widerrufen aller Berechtigungen verwendet, die für die sicherungsfähigen Objekte und deren untergeordnete Objekte gelten, ohne sie explizit anzugeben.
Wenn ALL PRIVILEGES für ein Objekt erteilt wird, wird Benutzer*innen zum Zeitpunkt der Erteilung nicht jede anwendbare Berechtigung einzeln gewährt. Stattdessen wird dies zum Zeitpunkt der Berechtigungsprüfungen auf alle verfügbaren Berechtigungen erweitert. Das bedeutet: Wenn Databricks neue Berechtigungen und neue sicherungsfähige Objekte veröffentlicht, enthält eine bereits vorhandene ALL PRIVILEGES-Zuweisung automatisch alle neuen Berechtigungen, die für das sicherungsfähige Objekt sowie für seine bereits vorhandenen untergeordneten Objekte und für alle neuen untergeordneten Objekte gelten.
Wenn ALL PRIVILEGES widerrufen wird, wird die Berechtigung ALL PRIVILEGES widerrufen, und alle expliziten Berechtigungen, die Benutzer*innen für das Objekt gewährt werden, werden ebenfalls widerrufen.
Um versehentliche Datenexfiltration oder Berechtigungseskalation zu vermeiden, schließt ALL PRIVILEGES die EXTERNAL USE SCHEMA-Berechtigung oder die MANAGE-Berechtigung nicht ein.
Hinweis
Diese Berechtigung ist leistungsstark, wenn sie auf höheren Ebenen in der Hierarchie angewendet wird. So erteilt GRANT ALL PRIVILEGES ON CATALOG main TO analysts beispielsweise dem Analystenteam alle bereits vorhandenen und zukünftigen Berechtigungen für alle bereits vorhandenen und zukünftigen sicherungsfähigen Objekte im Katalog.
ZUGANG
Anwendbare Objekttypen: SERVICE CREDENTIAL
Ermöglicht einem Benutzer die Verwendung von Dienstanmeldeinformationen für den Zugriff auf einen externen Dienst oder Dienste.
APPLY TAG
Entsprechende Objekttypen: CATALOG, SCHEMA, TABLE, VOLUME, MATERIALIZED VIEW, VIEW, als FUNCTION registrierte Modelle
Ermöglicht Benutzer*innen das Hinzufügen von Tags zu einem Objekt sowie das Bearbeiten von Tags. Das Gewähren von APPLY TAG für eine Tabelle oder Ansicht ermöglicht auch das Markieren von Spalten. Das Gewähren von APPLY TAG für ein registriertes Modell ermöglicht auch das Tagging der Modellversion.
Der Benutzer muss auch über die USE CATALOG-Berechtigung im übergeordneten Katalog und die USE SCHEMA-Berechtigung im übergeordneten Schema verfügen.
Um einen verwalteten RFID-Transponder auf sicherungsfähige Unity-Katalog-Objekte anzuwenden, müssen Sie auch die Berechtigung zum Zuweisen auf die RFID-Transponder-Richtlinie haben. Siehe Verwalten von RFID-Transponder-Richtlinienberechtigungen.
BROWSE
Anwendbare Objekttypen: CATALOG, EXTERNAL LOCATION, CLEAN ROOM
Ermöglicht es einem Benutzer, die Metadaten eines Objekts mithilfe des Katalog-Explorers, des Schemabrowsers, der Suchergebnisse, des Liniendiagramms information_schemaund der REST-API anzuzeigen.
Der Benutzer benötigt weder die Berechtigung USE CATALOG für den übergeordneten Katalog noch die Berechtigung USE SCHEMA für das übergeordnete Schema.
Allen Benutzern wird standardmäßig die BROWSE-Berechtigung für neue Kataloge gewährt, die mit dem Katalog-Explorer erstellt werden. Sie können die Berechtigung widerrufen, wenn Sie dies bevorzugen. Kataloge, die mit SQL-Anweisungen, der REST-API oder der Databricks-CLI erstellt wurden, gewähren die BROWSE-Berechtigung nicht standardmäßig. Sie müssen sie explizit erteilen.
Hinweis
Benutzer mit nur den BROWSE Berechtigungen für ein Objekt haben eingeschränkte Möglichkeiten, Metadaten mithilfe von SQL zu untersuchen.
CREATE CATALOG
Anwendbare Objekttypen: Unity Catalog-Metastore
Ermöglicht es einem Benutzer, einen Katalog in einem Unity Catalog-Metastore zu erstellen. Um einen Fremdkatalog zu erstellen, müssen Sie auch über die CREATE FOREIGN CATALOG Berechtigung an der Verbindung verfügen, die den Fremdkatalog oder den Metastore enthält.
ERSTELLEN EINES REINRAUMS
Anwendbare Objekttypen: Unity Catalog-Metastore
Ermöglicht es einem Benutzer, einen Reinraum für die sichere Zusammenarbeit an Projekten mit anderen Organisationen zu erstellen, ohne zugrunde liegende Daten freizugeben
CREATE CONNECTION
Anwendbare Objekttypen: Unity Catalog-Metastore, SERVICE CREDENTIAL
Gewährt die Berechtigung, eine Verbindung mit einer externen Datenbank in einem Lakehouse Federation-Szenario herzustellen. Um eine Dienstberechtigung zum Erstellen einer Verbindung zu verwenden, muss der Benutzer über diese Berechtigung sowohl für das Metastore als auch für die Dienstberechtigung verfügen.
CREATE EXTERNAL LOCATION
Anwendbare Objekttypen: Unity Catalog-Metastore, STORAGE CREDENTIAL
Um einen externen Speicherort zu erstellen, muss der/die Benutzer*in über diese Berechtigung sowohl für den Metastore als auch für die Speicheranmeldeinformationen verfügen, auf die im externen Speicherort verwiesen wird.
CREATE EXTERNAL TABLE
Anwendbare Objekttypen: EXTERNAL LOCATION, STORAGE CREDENTIAL
Ermöglicht es einem Benutzer, externe Tabellen mithilfe eines externen Speicherorts oder mithilfe von Speicheranmeldeinformationen direkt in Ihrem Cloudmandanten zu erstellen. Databricks empfiehlt, diese Berechtigung an einem externen Speicherort anstelle von Speicheranmeldeinformationen zu gewähren (da sie auf einen Pfad begrenzt ist, ermöglicht es mehr Kontrolle darüber, wo Benutzer externe Tabellen in Ihrem Cloudmandanten erstellen können).
EXTERNES VOLUME ERSTELLEN
Anwendbare Objekttypen: EXTERNAL LOCATION
Ermöglicht es einem Benutzer, externe Volumes unter Verwendung eines externen Speicherorts zu erstellen.
CREATE FOREIGN CATALOG
Anwendbare Objekttypen: CONNECTION
Ermöglicht es einem Benutzer, Fremdkataloge mithilfe einer Verbindung zu einer externen Datenbank in einem Lakehouse-Föderationsszenario zu erstellen.
CREATE FOREIGN SECURABLE
Anwendbare Objekttypen: EXTERNAL LOCATION
Ermöglicht einem Benutzer, der einen fremden Katalog erstellt, autorisierte Pfade, die vom externen Speicherort abgedeckt werden, anzugeben.
Der Benutzer muss auch über CREATE CATALOG im Metastore des Unity-Katalogs und CREATE FOREIGN CATALOG bei der Verbindung verfügen.
CREATE FUNCTION
Anwendbare Objekttypen: SCHEMA
Ermöglicht es einem Benutzer, eine Funktion oder Prozedur im Schema zu erstellen. Da Berechtigungen geerbt werden, CREATE FUNCTION kann auch für einen Katalog gewährt werden, der es einem Benutzer ermöglicht, eine Funktion oder Prozedur in einem vorhandenen oder zukünftigen Schema im Katalog zu erstellen.
Der Benutzer muss auch über die USE CATALOG-Berechtigung im übergeordneten Katalog und die USE SCHEMA-Berechtigung im übergeordneten Schema verfügen.
MODELL ERSTELLEN
Anwendbare Objekttypen: SCHEMA
Ermöglicht es einem Benutzer, ein bei MLflow registriertes Modell (eine Art von Funktion) im Schema zu erstellen. Da Berechtigungen vererbt werden, kann CREATE MODEL auch für einen Katalog gewährt werden. Dies ermöglicht es einem Benutzer, ein registriertes Modell in jedem beliebigen vorhandenen oder zukünftigen Schema im Katalog zu erstellen.
Der Benutzer muss auch über die USE CATALOG-Berechtigung im übergeordneten Katalog und die USE SCHEMA-Berechtigung im übergeordneten Schema verfügen.
MODELLVERSION ERSTELLEN
Anwendbare Objekttypen: MODEL
Ermöglicht es einem Benutzer, eine neue Version eines registrierten MLflow-Modells (ein Typ von FUNCTION) zu registrieren. Erteilt dem Benutzer nicht die Berechtigung zum Ausführen, Ändern oder Hinzufügen von Tags zu einer Modellversion.
Der Benutzer muss auch über die USE CATALOG-Berechtigung im übergeordneten Katalog und die USE SCHEMA-Berechtigung im übergeordneten Schema verfügen.
Verwalteten Speicher erstellen
Anwendbare Objekttypen: EXTERNAL LOCATION
Ermöglicht einem Benutzer das Angeben eines Speicherorts für verwaltete Tabellen auf Katalog- oder Schemaebene, wobei der Standardstammspeicher für den Metastore außer Kraft gesetzt wird.
CREATE SCHEMA
Anwendbare Objekttypen: CATALOG
Ermöglicht es einem Benutzer, ein Schema zu erstellen. Der Benutzer muss auch über die Berechtigung USE CATALOG im Katalog verfügen.
CREATE SERVICE CREDENTIAL
Anwendbare Objekttypen: Unity Catalog-Metastore
Ermöglicht einem Benutzer das Erstellen eines Dienstberechtigungsnachweises in einem Unity Catalog-Metastore.
CREATE STORAGE CREDENTIAL
Anwendbare Objekttypen: Unity Catalog-Metastore
Ermöglicht einem Benutzer das Erstellen von Speicheranmeldeinformationen in einem Unity Catalog-Metastore.
CREATE TABLE
Anwendbare Objekttypen: SCHEMA
Ermöglicht es einem Benutzer, eine Tabelle oder Ansicht im Schema zu erstellen. Da Berechtigungen vererbt werden, kann CREATE TABLE auch für einen Katalog gewährt werden. Dies ermöglicht es einem Benutzer, eine Tabelle oder Ansicht in jedem beliebigen vorhandenen oder zukünftigen Schema im Katalog zu erstellen.
Der Benutzer muss auch über die Berechtigung USE CATALOG im übergeordneten Katalog und die Berechtigung USE SCHEMA im übergeordneten Schema verfügen.
CREATE MATERIALIZED VIEW
Anwendbare Objekttypen: SCHEMA
Ermöglicht es einem Benutzer, eine materialisierte Sicht im Schema zu erstellen. Da Berechtigungen vererbt werden, kann CREATE MATERIALIZED VIEW auch für einen Katalog gewährt werden. Dies ermöglicht es einem Benutzer, eine Tabelle oder Ansicht in jedem beliebigen vorhandenen oder zukünftigen Schema im Katalog zu erstellen.
Der Benutzer muss auch über die Berechtigung USE CATALOG im übergeordneten Katalog und die Berechtigung USE SCHEMA im übergeordneten Schema verfügen.
CREATE VOLUME
Anwendbare Objekttypen: SCHEMA
Ermöglicht es Benutzer*innen, ein Volume im Schema zu erstellen. Weil Berechtigungen vererbt werden, kann CREATE VOLUME auch für einen Katalog gewährt werden. Dies ermöglicht es Benutzer*innen, ein Volume in jedem beliebigen vorhandenen oder zukünftigen Schema im Katalog zu erstellen.
Der Benutzer muss auch die USE CATALOG Berechtigung auf dem übergeordneten Katalog des Volumes und die USE SCHEMA Berechtigung auf ihrem übergeordneten Schema haben.
Führen Sie
Anwendbare Objekttypen: FUNCTION, Modell
Ermöglicht es einem Benutzer, eine benutzerdefinierte Funktion aufzurufen oder ein Modell für den Rückschluss zu laden, wenn er außerdem die Berechtigung USE CATALOG für seinen übergeordneten Katalog und die Berechtigung USE SCHEMA für sein übergeordnetes Schema hat. EXECUTE gewährt Funktionen die Möglichkeit, die Funktionsdefinition und Metadaten anzuzeigen. Bei registrierten Modellen ermöglicht EXECUTE das Anzeigen der Metadaten für alle Versionen des registrierten Modells und das Herunterladen von Modelldateien.
Weil Berechtigungen vererbt werden, können Sie einem Benutzer die Berechtigung EXECUTE für einen Katalog oder ein Schema gewähren. Dadurch wird ihm automatisch die Berechtigung EXECUTE für alle aktuellen und zukünftigen Funktionen im Katalog oder Schema gewährt.
AUFGABE „REINRAUM AUSFÜHREN“
Anwendbare Objekttypen: CLEAN ROOM
Ermöglicht es einem Benutzer, Aufgaben (Notebooks) in einem Reinraum auszuführen. Ermöglicht dem Benutzer auch das Anzeigen von Reinraumdetails
EXTERNAL USE SCHEMA
Anwendbare Objekttypen: SCHEMA
Ermöglicht es einem Benutzer, temporäre Anmeldeinformationen für den Zugriff auf Unity Catalog-Tabellen aus einem externen Verarbeitungsmodul mithilfe der geöffneten APIs von Unity Catalog oder Iceberg-REST-APIs zu erhalten.
Nur der Katalogbesitzer kann diese Berechtigung erteilen.
Um versehentliche Datenexfiltration zu vermeiden, beinhaltet ALL PRIVILEGES nicht die EXTERNAL USE SCHEMA-Berechtigung, und Schemabesitzer haben diese Berechtigung standardmäßig nicht.
Weitere Informationen finden Sie unter Aktivieren des Zugriffs auf externe Daten im Unity-Katalog.
VERWALTEN
Anwendbare Objekttypen: CATALOG, EXTERNAL LOCATION, SERVICE CREDENTIAL, STORAGE CREDENTIAL, SCHEMA, FUNCTION (einschließlich Modelle), CONNECTION, TABLE, MATERIALIZED VIEW, VIEW,VOLUME, CLEAN ROOM
Wichtig
Dieses Feature befindet sich in der Public Preview.
Ermöglicht es einem Benutzer, Berechtigungen anzuzeigen und zu verwalten, Besitz zu übertragen, abzulegen und ein Objekt umzubenennen. MANAGE ähnelt dem Objektbesitz, aber Benutzern mit den MANAGE-Berechtigungen werden nicht automatisch alle Berechtigungen für dieses Objekt gewährt (sie können jedoch selbst Berechtigungen erteilen).
Der Benutzer muss auch die USE CATALOG-Berechtigung für den übergeordneten Katalog des Objekts und die USE SCHEMA-Berechtigung für dessen übergeordnetes Schema haben.
ALL PRIVILEGES enthält nicht die MANAGE-Berechtigung.
POSITIVLISTE VERWALTEN
Anwendbare Objekttypen: Unity Catalog-Metastore
Ermöglicht es einem Benutzer, Pfade für Init-Skripts, JARs und Maven-Koordinaten in der Zulassungsliste hinzuzufügen oder zu ändern, die Unity-Katalogfähige Cluster mit standardzugriffsmodus steuert. Weitere Informationen finden Sie unter Setzen von Bibliotheken und Inititalisierungsskripts auf Computeressourcen im Standardzugriffsmodus (ehemals freigegebener Zugriffsmodus) auf die Positivliste.
MODIFY
Anwendbare Objekttypen: TABLE
Ermöglicht einem Benutzer das Hinzufügen, Aktualisieren und Löschen von Daten in der Tabelle, wenn er auch die Berechtigung SELECT für die Tabelle sowie die Berechtigung USE CATALOG für den übergeordneten Katalog und die Berechtigung USE SCHEMA für das übergeordnete Schema hat.
Weil Berechtigungen vererbt werden, können Sie einem Benutzer die Berechtigung MODIFY für einen Katalog oder ein Schema gewähren. Dadurch wird ihm automatisch die Berechtigung MODIFY für alle aktuellen und zukünftigen Tabellen im Katalog oder Schema gewährt.
Hinweis
MODIFY Kann für eine Fremdtabelle nicht erteilt werden, da Fremdtabellen schreibgeschützt sind.
CLEAN ROOM ÄNDERN
Anwendbare Objekttypen: CLEAN ROOM
Ermöglicht es einem Benutzer, einen Reinraum zu aktualisieren, einschließlich Hinzufügen und Entfernen von Datenressourcen, Hinzufügen und Entfernen von Notebooks und Aktualisieren von Kommentaren. Ermöglicht dem Benutzer auch das Anzeigen von Reinraumdetails
DATEIEN LESEN
Anwendbare Objekttypen: EXTERNAL LOCATION
READ FILES Ermöglicht es einem Benutzer, Dateien direkt aus dem Cloudobjektspeicher zu lesen, der als externer Speicherort konfiguriert ist. Databricks empfiehlt gegen diese Praxis. Stattdessen sollten Sie den Lesezugriff auf Daten im Cloud-Objektspeicher mithilfe von Volumes und die Berechtigung READ VOLUME verwalten. Weitere Anleitungen finden Sie unter "Externe Speicherorte".
READ VOLUME
Anwendbare Objekttypen: VOLUME
Erlaubt Benutzer*innen das Lesen von Dateien und Verzeichnissen, die in einem Volume gespeichert sind, wenn sie auch die Berechtigung USE CATALOG für den übergeordneten Katalog und USE SCHEMA für das übergeordnete Schema haben.
Berechtigungen werden geerbt. Wenn Sie Benutzer*innen die Berechtigung READ VOLUME für einen Katalog oder ein Schema gewähren können, erteilen Sie ihnen automatisch die Berechtigung READ VOLUME für alle aktuellen und zukünftigen Volumes im Katalog oder Schema.
REFRESH
Anwendbare Objekttypen: MATERIALIZED VIEW
Ermöglicht Benutzern und Benutzerinnen, eine materialisierte Sicht zu aktualisieren, wenn sie auch die Berechtigungen USE CATALOG im übergeordneten Katalog und USE SCHEMA im übergeordneten Schema haben.
Berechtigungen werden geerbt. Wenn Sie Benutzer*innen die Berechtigung REFRESH für einen Katalog oder ein Schema gewähren können, erteilen Sie ihnen automatisch die Berechtigung REFRESH für alle aktuellen und zukünftigen materialisierten Sichten im Katalog oder Schema.
SELECT
Anwendbare Objekttypen: TABLE, VIEW, MATERIALIZED VIEW, SHARE
Wird diese Berechtigung auf eine Tabelle oder Ansicht angewendet, kann ein Benutzer aus dieser Tabelle oder Ansicht auswählen, wenn er auch die Berechtigung USE CATALOG für seinen übergeordneten Katalog und die Berechtigung USE SCHEMA für sein übergeordnetes Schema hat. Wird sie auf eine Freigabe angewendet, kann ein Empfänger daraus auswählen.
Weil Berechtigungen vererbt werden, können Sie einem Benutzer die Berechtigung SELECT für einen Katalog oder ein Schema gewähren. Dadurch wird ihm automatisch die Berechtigung SELECT für alle aktuellen und zukünftigen Tabellen und Ansichten im Katalog oder Schema gewährt.
USE CATALOG
Anwendbare Objekttypen: CATALOG
Diese Berechtigung gewährt keinen Zugriff auf den Katalog selbst, ist aber erforderlich, damit ein Benutzer mit jedem beliebigen Objekt im Katalog interagieren kann. Um beispielsweise Daten aus einer Tabelle auswählen zu können, müssen Benutzer die Berechtigung SELECT für diese Tabelle sowie USE CATALOG-Berechtigungen für dessen übergeordneten Katalog und USE SCHEMA-Berechtigungen für dessen übergeordnetes Schema haben.
Dies ist nützlich, damit Katalogbesitzer einschränken können, inwieweit einzelne Schema- und Tabellenbesitzer die von ihnen generierten Daten freigeben dürfen. Ein Beispiel: Ein Tabellenbesitzer, der einem anderen Benutzer die Berechtigung SELECT gewährt, erlaubt diesem Benutzer keinen Lesezugriff auf die Tabelle, außer wenn ihm auch USE CATALOG-Berechtigungen für seinen übergeordneten Katalog und USE SCHEMA-Berechtigungen für sein übergeordnetes Schema gewährt wurden.
Die USE CATALOG Berechtigung für den übergeordneten Katalog ist nicht erforderlich, um die Metadaten eines Objekts zu lesen, wenn der Benutzer über die BROWSE Berechtigungen für diesen Katalog verfügt.
USE CONNECTION
Anwendbare Objekttypen: CONNECTION
Erlaubt Benutzer*innen das Auflisten und Anzeigen von Details zu Verbindungen mit einer externen Datenbank in einem Lakehouse-Verbundszenario. Um Fremdkataloge für eine Verbindung erstellen zu können, müssen Sie über die Berechtigung CREATE FOREIGN CATALOG für die Verbindung verfügen oder den Besitzer der Verbindung sein.
USE SCHEMA
Anwendbare Objekttypen: SCHEMA
Diese Berechtigung gewährt keinen Zugriff auf das Schema selbst, ist aber erforderlich, damit ein Benutzer mit jedem beliebigen Objekt innerhalb des Schemas interagieren kann. Um beispielsweise Daten aus einer Tabelle auswählen zu können, müssen Benutzer die Berechtigung SELECT für diese Tabelle sowie USE SCHEMA-Berechtigungen für dessen übergeordnetes Schema und USE CATALOG-Berechtigungen für dessen übergeordneten Katalog haben.
Weil Berechtigungen vererbt werden, können Sie einem Benutzer die Berechtigung USE SCHEMA für einen Katalog gewähren. Dadurch wird ihm automatisch die Berechtigung USE SCHEMA für alle aktuellen und zukünftigen Schemas im Katalog gewährt.
Dies ist hilfreich, damit Schemabesitzer einschränken können, wie weit einzelne Tabellenbesitzer Daten freigeben können, die sie produzieren. Beispielsweise gewährt ein Tabellenbesitzer einem anderen Benutzer SELECT; dieser Benutzer hat jedoch keinen Lesezugriff auf die Tabelle, es sei denn, ihm wurden auch Berechtigungen USE SCHEMA für das übergeordnete Schema und Berechtigungen USE CATALOG für den übergeordneten Katalog gewährt.
Die USE SCHEMA Berechtigung für das übergeordnete Schema ist nicht erforderlich, um die Metadaten eines Objekts zu lesen, wenn der Benutzer über die Berechtigungen für den BROWSE übergeordneten Katalog dieses Schemas verfügt.
WRITE FILES
Anwendbare Objekttypen: EXTERNAL LOCATION
Databricks empfiehlt das Verwalten des Schreibzugriffs auf Daten im Cloudobjektspeicher mit Volumes und den WRITE VOLUME Berechtigungen.
WRITE FILES ermöglicht es einem Benutzer, Dateien direkt in Ihren Cloudobjektspeicher, der als externer Speicherort konfiguriert ist, zu schreiben. Weitere Anleitungen finden Sie unter Verwaltete und externe Volumes.
WRITE VOLUME
Anwendbare Objekttypen: VOLUME
Erlaubt Benutzer*innen das Hinzufügen, Entfernen oder Ändern von Dateien und Verzeichnissen, die in einem Volume gespeichert sind, wenn sie auch über die Berechtigung USE CATALOG für den übergeordneten Katalog und USE SCHEMA für das übergeordneten Schema verfügen.
Berechtigungen werden geerbt. Wenn Sie Benutzer*innen die Berechtigung WRITE VOLUME für einen Katalog oder ein Schema gewähren können, erteilen Sie ihnen automatisch die Berechtigung WRITE VOLUME für alle aktuellen und zukünftigen Volumes im Katalog oder Schema.
Berechtigungstypen, die nur für Delta Sharing oder Databricks Marketplace gelten
Dieser Abschnitt enthält Details zu den Berechtigungstypen, die nur für Delta Sharing gelten.
CREATE PROVIDER
Anwendbare Objekttypen: Unity Catalog-Metastore
Ermöglicht einem Benutzer das Erstellen eines Delta Sharing-Anbieterobjekts im Metastore. Ein Anbieter identifiziert eine Organisation oder eine Benutzergruppe, die Daten über Delta Sharing freigegeben hat. Die Anbietererstellung wird von einem Benutzer im Databricks-Konto des Empfängers ausgeführt. Weitere Informationen finden Sie unter Was ist Delta Sharing?.
CREATE RECIPIENT
Anwendbare Objekttypen: Unity Catalog-Metastore
Ermöglicht einem Benutzer das Erstellen eines Delta Sharing-Empfängerobjekts im Metastore. Ein Empfänger identifiziert eine Organisation oder eine Gruppe von Benutzern, für die Daten mithilfe von Delta Sharing freigegeben werden können. Die Empfängererstellung wird von einem Benutzer im Databricks-Konto des Anbieters ausgeführt. Weitere Informationen finden Sie unter Was ist Delta Sharing?.
CREATE SHARE
Anwendbare Objekttypen: Unity Catalog-Metastore
Ermöglicht es einem Benutzer, eine Freigabe im Metastore zu erstellen. Eine Freigabe ist eine logische Gruppierung für die Tabellen, die Sie mithilfe von Delta Sharing freigeben möchten.
SET SHARE PERMISSION
Anwendbare Objekttypen: Unity Catalog-Metastore
In Delta Sharing gibt diese Berechtigung in Kombination mit USE SHARE und USE RECIPIENT (oder Empfängerbesitz) Anbieterbenutzer*innen die Möglichkeit, Empfänger*innen Zugriff auf eine Freigabe zu gewähren. In Kombination mit USE SHARE können Sie das Eigentum einer Freigabe auf einen anderen Benutzer, eine Gruppe oder einen Dienstprinzipal übertragen.
USE MARKETPLACE ASSETS
Anwendbare Objekttypen: Unity Catalog-Metastore
Standardmäßig für alle Unity Catalog-Metastores aktiviert. Gibt Benutzer*innen im Databricks Marketplace die Möglichkeit, sofortigen Zugriff zu erhalten oder Zugriff auf Datenprodukte anzufordern, die in einem Marketplace-Eintrag freigegeben sind. Außerdem kann ein Benutzer auf den schreibgeschützten Katalog zugreifen, der erstellt wird, wenn ein Anbieter ein Datenprodukt freigibt. Ohne diese Berechtigung benötigt der Benutzer die Berechtigungen CREATE CATALOG und USE PROVIDER oder die Metastore-Administratorrolle. Dadurch können Sie die Anzahl der Benutzer mit diesen mächtigen Berechtigungen begrenzen.
ANBIETER VERWENDEN
Anwendbare Objekttypen: Unity Catalog-Metastore
Gewährt in Delta Sharing einem Empfängerbenutzer schreibgeschützten Zugriff auf alle Anbieter in einem Empfänger-Metastore und deren Freigaben. In Kombination mit der CREATE CATALOG-Berechtigung ermöglicht diese Berechtigung einem Empfängerbenutzer, der kein Metastore-Administrator ist, das Einbinden einer Freigabe als Katalog. Dadurch können Sie die Anzahl der Benutzer mit der leistungsstarken Metastore-Admin-Rolle begrenzen.
EMPFÄNGER VERWENDEN
Anwendbare Objekttypen: Unity Catalog-Metastore
Gewährt in Delta Sharing einem Anbieterbenutzer schreibgeschützten Zugriff auf alle Empfänger in einem Anbieter-Metastore und deren Freigaben. Dadurch kann ein Anbieterbenutzer, der kein Metastore-Administrator ist, Empfängerdetails, den Status der Empfängerauthentifizierung und die Liste der Freigaben anzeigen, die der Anbieter für den Empfänger freigegeben hat.
Im Databricks Marketplace können Anbieterbenutzer Auflistungen und Consumeranforderungen in der Anbieterkonsole anzeigen.
VERWENDEN DER FREIGABE
Anwendbare Objekttypen: Unity Catalog-Metastore
Gewährt in Delta Sharing einem Anbieterbenutzer schreibgeschützten Zugriff auf alle Freigaben, die in einem Anbieter-Metastore definiert sind. Dadurch kann ein Anbieterbenutzer, der kein Metastoreadministrator ist, Freigaben auflisten und die Objekte (Tabellen und Notizbücher) in einer Freigabe zusammen mit den Empfängern der Freigabe auflisten.
Im Databricks Marketplace können Anbieterbenutzer so Details zu den in einem Eintrag freigegebenen Daten anzeigen.