Privilegios de Unity Catalog y objetos protegibles
En este artículo se describe el modelo de privilegios del catálogo de Unity. Para obtener información sobre cómo este modelo difiere de la tienda de metadatos de Hive, consulte Trabajar con el catálogo de Unity y el metastore de Hive heredado.
Nota:
En este artículo se hace referencia al modelo de herencia y privilegios del catálogo de Unity en la versión 1.0 del modelo de privilegios. Si creó el metastore del catálogo de Unity durante la versión preliminar pública (antes del 25 de agosto de 2022), puede actualizar a la versión 1.0 del modelo de privilegios siguiendo Actualización a la herencia de privilegios.
¿Quién puede administrar los privilegios?
Un administrador del metastore, el propietario de un objeto o el propietario del catálogo o del esquema que contiene el objeto pueden conceder los privilegios.
Si el área de trabajo se ha habilitado automáticamente para Unity Catalog, el área de trabajo se asocia a un metastore de forma predeterminada y se crea un catálogo de áreas de trabajo para el área de trabajo del metastore. Los administradores del área de trabajo son los propietarios predeterminados del catálogo de áreas de trabajo. Como propietarios, pueden administrar privilegios en el catálogo de áreas de trabajo y en todos los objetos secundarios.
Todos los usuarios del área de trabajo reciben el privilegio USE CATALOG en el catálogo de áreas de trabajo. Los usuarios del área de trabajo también reciben los privilegios USE SCHEMA, CREATE TABLE, CREATE VOLUME, CREATE MODEL, CREATE FUNCTION, y CREATE MATERIALIZED VIEW en el default esquema del catálogo.
Para más información, consulte Habilitación automática de Unity Catalog.
Administración de privilegios
Puede administrar privilegios para objetos de metastore mediante comandos SQL, la CLI de Databricks, o en Catalog Explorer. Para aprender cómo usar Catalog Explorer para administrar privilegios, consulte Administrar permisos de Unity Catalog en Catalog Explorer.
Para administrar privilegios en SQL, use instrucciones GRANT y REVOKE en un cuaderno o en el editor de consultas SQL de Databricks mediante la sintaxis siguiente:
GRANT privilege_type ON securable_object TO principal
Donde:
privilege_typees un tipo de privilegios del catálogo de Unity.securable_objectes un objeto protegible en el catálogo de Unity.principales un usuario, una entidad de servicio (representada por su valor applicationId) o un grupo. Es necesario incluir nombres de grupo, entidades de servicio y usuarios con caracteres especiales en acentos graves (` `). Consulte Entidad de seguridad.
Por ejemplo, el siguiente comando concede a un grupo denominado finance-team acceso para crear tablas en un esquema denominado default con el catálogo primario denominado main:
GRANT CREATE TABLE ON SCHEMA main.default TO `finance-team`;
La mayoría de las declaraciones que otorgan o revocan un privilegio siguen la sintaxis que se muestra en el ejemplo anterior, indicando el tipo de objeto asegurable (SCHEMA) seguido del nombre del objeto asegurable (main.default). Sin embargo, cuando otorga privilegios en un metastore, no incluye el nombre del metastore, porque se supone que el metastore que está adjunto a su área de trabajo es el siguiente:
GRANT CREATE CATALOG ON METASTORE TO `account users`;
Para más información sobre cómo conceder privilegios mediante comandos SQL, consulte Privilegios y objetos protegibles en el catálogo de Unity (Databricks SQL).
También puede administrar privilegios con el proveedor de Databricks Terraform y databricks_grants.
Modelo de herencia
Los objetos protegibles en el catálogo de Unity son jerárquicos y los privilegios se heredan hacia abajo. El objeto de nivel más alto del que se heredan los privilegios es el catálogo. Esto significa que, al conceder un privilegio en un catálogo o esquema, se concede automáticamente dicho privilegio a todos los objetos actuales y futuros del catálogo o esquema. Los privilegios concedidos en un metastore del catálogo de Unity no se heredan.
Por ejemplo, el siguiente comando concede el privilegio SELECT en todas las tablas y vistas de cualquier esquema del catálogo main para el grupo finance:
GRANT SELECT ON CATALOG main TO finance;
De manera similar, puede realizar concesiones en un esquema para un alcance de acceso más pequeño:
GRANT SELECT ON SCHEMA main.default TO finance;
El modelo de herencia proporciona una manera sencilla de configurar reglas de acceso predeterminadas para los datos. Por ejemplo, los siguientes comandos permiten al equipo de aprendizaje automático crear tablas dentro de un esquema y leer las tablas de los demás:
CREATE CATALOG ml;
CREATE SCHEMA ml.team_sandbox;
GRANT USE_CATALOG ON CATALOG ml TO ml_team;
GRANT USE_SCHEMA ON SCHEMA ml.team_sandbox TO ml_team;
GRANT CREATE TABLE ON SCHEMA ml.team_sandbox TO ml_team;
GRANT SELECT ON SCHEMA ml.team_sandbox TO ml_team;
A los propietarios de un objeto se les conceden automáticamente todos los privilegios en ese objeto. Además, los propietarios de objetos pueden conceder privilegios en el propio objeto y en todos sus objetos secundarios. Esto significa que los propietarios de un esquema no tienen automáticamente todos los privilegios en las tablas del esquema, pero pueden concederse privilegios a sí mismos en las tablas del esquema.
Objetos protegibles en el catálogo de Unity
Un objeto protegible es un objeto definido en el metastore del catálogo de Unity en el que se pueden conceder privilegios a una entidad de seguridad. Los objetos protegibles en el catálogo de Unity son jerárquicos.
Los objetos protegibles son:
Metastore: contenedor de metadatos de nivel superior. Cada metastore del catálogo de Unity expone un espacio de nombres de tres niveles (
catalog.schema.table) que organiza los datos.CATÁLOGO: la primera capa de la jerarquía de objetos; se usa para organizar los recursos de datos. Un catálogo externo es un tipo de catálogo especial que refleja una base de datos en un sistema de datos externo en un escenario de federación de Lakehouse.
ESQUEMA: también conocidos como bases de datos, los esquemas son la segunda capa de la jerarquía de objetos y contienen tablas y vistas.
TABLA: el nivel más bajo de la jerarquía de objetos, las tablas pueden ser externas (almacenadas en las ubicaciones externas del almacenamiento en la nube que prefiera) o tablas administradas (almacenadas en un contenedor de almacenamiento del almacenamiento en la nube que cree expresamente para Azure Databricks).
VIEW: Un objeto de solo lectura creado a partir de una consulta en una o varias tablas contenidas en un esquema.
MATERIALIZED VIEW: Un objeto creado a partir de una consulta en una o varias tablas contenidas en un esquema. Sus resultados reflejan el estado de los datos cuando se actualizó por última vez.
VOLUMEN: el nivel más bajo en la jerarquía de objetos, los volúmenes pueden ser externos (almacenados en ubicaciones externas en el almacenamiento en la nube de su elección) o administrados (almacenados en un contenedor de almacenamiento en el almacenamiento en la nube que usted crea expresamente para Azure Databricks).
MODELO REGISTRADO: un modelo registrado de MLflow que se encuentra dentro de un esquema.
FUNCTION: función definida por el usuario contenida en un esquema. Consulte Funciones definidas por el usuario (UDF) en Unity Catalog.
EXTERNAL LOCATION: objeto que contiene una referencia a una credencial de almacenamiento y una ruta de acceso a almacenamiento en la nube que se encuentra dentro de un metastore de Unity Catalog.
STORAGE CREDENTIAL: objeto que encapsula una credencial de nube a largo plazo que proporciona acceso al almacenamiento en la nube que se encuentra dentro de un metastore del Unity Catalog.
CONEXIÓN: objeto que especifica una ruta de acceso y credenciales para acceder a un sistema de base de datos externo en un escenario de federación de Lakehouse.
RECURSO COMPARTIDO: una agrupación lógica para las tablas que pretende compartir mediante Delta Sharing. Un recurso compartido se encuentra en un metastore del catálogo de Unity.
DESTINATARIO: un objeto que identifica una organización o un grupo de usuarios con los que se puede haber compartido datos mediante Delta Sharing. Estos objetos se encuentran en un metastore del catálogo de Unity.
PROVEEDOR: un objeto que representa una organización que ha puesto los datos a disposición para el uso compartido mediante Delta Sharing. Estos objetos se encuentran en un metastore del catálogo de Unity.
Tipos de privilegios por objeto protegible en el catálogo de Unity
En la tabla siguiente, se enumeran los tipos de privilegios que se aplican a cada objeto protegible en el catálogo de Unity:
| Elemento protegible | Privilegios |
|---|---|
| Metastore | CREATE CATALOG, CREATE CONNECTION, CREATE EXTERNAL LOCATION, CREATE PROVIDER, CREATE RECIPIENT, CREATE SHARE, CREATE STORAGE CREDENTIAL, SET SHARE PERMISSION, USE MARKETPLACE ASSETS, USE PROVIDER, USE RECIPIENT, USE SHARE |
| Catálogo | ALL PRIVILEGES, APPLY TAG, BROWSE, CREATE SCHEMA, USE CATALOGTodos los usuarios tienen USE CATALOG en el catálogo main de manera predeterminada.Los siguientes tipos de privilegios se aplican a objetos protegibles dentro de un catálogo. Puede conceder estos privilegios en el nivel de catálogo para aplicarlos a los objetos actuales y futuros pertinentes del catálogo. CREATE FUNCTION, CREATE TABLE, CREATE MODEL, CREATE VOLUME, CREATE FOREIGN CATALOG, READ VOLUME, REFRESH, WRITE VOLUME, EXECUTE, MODIFY, SELECT, USE SCHEMA |
| Esquema | ALL PRIVILEGES, APPLY TAG, CREATE FUNCTION, CREATE TABLE, CREATE MODEL, CREATE VOLUME, CREATE MATERIALIZED VIEW, USE SCHEMALos siguientes tipos de privilegios se aplican a objetos protegibles dentro de un esquema. Puede conceder estos privilegios en el nivel de esquema para aplicarlos a los objetos actuales y futuros pertinentes dentro del esquema. EXECUTE, MODIFY, SELECT, READ VOLUME, REFRESH, WRITE VOLUME |
| Tabla | ALL PRIVILEGES, APPLY TAG, MODIFY, SELECT |
| Vista materializada | ALL PRIVILEGES, APPLY TAG, REFRESH, SELECT |
| Ver | ALL PRIVILEGES, APPLY TAG, SELECT |
| Volumen | ALL PRIVILEGES, READ VOLUME, WRITE VOLUME |
| Ubicación externa | ALL PRIVILEGES, BROWSE, CREATE EXTERNAL TABLE, CREATE EXTERNAL VOLUME, READ FILES, WRITE FILES, CREATE MANAGED STORAGE |
| Credencial de almacenamiento | ALL PRIVILEGES, CREATE EXTERNAL LOCATION, CREATE EXTERNAL TABLE, READ FILES, WRITE FILES |
| Conexión | ALL PRIVILEGES, CREATE FOREIGN CATALOG, USE CONNECTION |
| Función | ALL PRIVILEGES, EXECUTE |
| Modelo registrado | ALL PRIVILEGES, APPLY TAG, EXECUTE |
| Compartir | SELECT (se pueden conceder a RECIPIENT) |
| Recipient | Ninguno |
| Proveedor | None |
Al administrar los privilegios en un metastore, no se incluye el nombre del metastore en un comando SQL. El catálogo de Unity concede o revoca el privilegio en el metastore asociado al área de trabajo. Por ejemplo, el siguiente comando concede a un grupo denominado engineering la capacidad de crear un catálogo en el metastore asociado al área de trabajo:
GRANT CREATE CATALOG ON METASTORE TO engineering
Tipos de privilegios generales del catálogo de Unity
En esta sección, se proporciona información sobre los tipos de privilegios que se aplican generalmente al catálogo de Unity.
TODOS LOS PRIVILEGIOS
Tipos de objeto aplicables: CATALOG, EXTERNAL LOCATION, STORAGE CREDENTIAL, SCHEMA, FUNCTION, REGISTERED MODEL, TABLE, MATERIALIZED VIEW, VIEW,VOLUME
Se usa para conceder o revocar todos los privilegios aplicables al objeto protegible y a sus objetos secundarios sin especificarlos explícitamente.
Cuando ALL PRIVILEGES se otorga sobre un objeto, no otorga individualmente al usuario cada privilegio aplicable en el momento de la concesión. En cambio, se expande a todos los privilegios disponibles en el momento en que se realizan las comprobaciones de permisos.
Cuando ALL PRIVILEGES se revoca, se revoca el privilegio ALL PRIVILEGES y también se revocan todos los privilegios explícitos otorgados al usuario sobre el objeto.
Nota:
Este privilegio es eficaz cuando se aplica a niveles superiores en la jerarquía. Por ejemplo, GRANT ALL PRIVILEGES ON CATALOG main TO analysts concedería al equipo de analistas todos los privilegios en todos los objetos (esquemas, tablas, vistas y funciones) del catálogo.
APPLY TAG
Tipos de objeto aplicables: CATALOG, SCHEMA, REGISTERED MODEL, TABLE, MATERIALIZED VIEW, VIEW
Permite que un usuario agregue y edite etiquetas en un objeto. La concesión de APPLY TAG a una tabla o vista también habilita el etiquetado de columnas.
El usuario también debe tener el privilegio USE CATALOG en su catálogo principal yUSE SCHEMA en el esquema principal.
BROWSE
Tipos de objetos aplicables: CATALOG, EXTERNAL LOCATION
Importante
Esta característica está en versión preliminar pública.
Permite que un usuario vea los metadatos de un objeto mediante el Explorador de catálogos, el explorador de esquemas, los resultados de búsqueda, el gráfico de linaje, information_schema, y la API de REST.
El usuario no requiere el privilegio USE CATALOG en el catálogo primario ni USE SCHEMA en el esquema primario.
CREATE CATÁLOGO
Tipos de objetos aplicables: metastore de Unity Catalog
Permite a un usuario crear un catálogo en un metastore de Unity Catalog. Para crear un catálogo externo, también debe tener el privilegio CREAR CATÁLOGO EXTERNO en la conexión que contiene el catálogo externo o en el metastore.
CREAR CONEXIÓN
Tipos de objetos aplicables: metastore de Unity Catalog
Permite a un usuario crear una conexión a una base de datos externa en un escenario de federación de Lakehouse.
CREATE EXTERNAL LOCATION
Tipos de objetos aplicables: metastore de Unity Catalog, STORAGE CREDENTIAL
Para crear una ubicación externa, el usuario debe tener este privilegio en el metastore y en la credencial de almacenamiento a la que se hace referencia en la ubicación externa.
CREATE EXTERNAL TABLE
Tipos de objetos aplicables: EXTERNAL LOCATION, STORAGE CREDENTIAL
Permite a un usuario crear tablas externas directamente en el inquilino en la nube mediante una ubicación externa o credencial de almacenamiento. Databricks recomienda conceder este privilegio en una ubicación externa en lugar de credenciales de almacenamiento (ya que se limita a una ruta de acceso, permite un mayor control sobre dónde los usuarios pueden crear tablas externas en el inquilino en la nube).
CREAR VOLUMEN EXTERNO
Tipos de objetos aplicables: EXTERNAL LOCATION
Permite a un usuario crear volúmenes externos utilizando una ubicación externa.
CREAR CATÁLOGO EXTERNO
Tipos de objetos aplicables: CONNECTION
Permite a un usuario crear catálogos externos mediante una conexión a una base de datos externa en un escenario de federación de Lakehouse.
CREAR FUNCIÓN
Tipos de objetos aplicables: SCHEMA
Permite que un usuario cree una función en el esquema. Dado que los privilegios se heredan, CREATE FUNCTION también se puede conceder en un catálogo, lo que permite a un usuario crear una función en cualquier esquema existente o futuro del catálogo.
El usuario también debe tener el privilegio USE CATALOG en su catálogo principal yUSE SCHEMA en el esquema principal.
CREAR MODELO
Tipos de objetos aplicables: SCHEMA
Permite a un usuario crear un modelo registrado de MLflow en el esquema. Dado que los privilegios se heredan, CREATE MODEL también se puede conceder en un catálogo, lo que permite a un usuario crear un modelo registrado en cualquier esquema existente o futuro del catálogo.
El usuario también debe tener el privilegio USE CATALOG en su catálogo principal yUSE SCHEMA en el esquema principal.
CREATE MANAGED STORAGE
Tipos de objetos aplicables: EXTERNAL LOCATION
Permite a un usuario especificar una ubicación para almacenar tablas administradas a nivel de catálogo o esquema, que reemplaza al almacenamiento raíz predeterminado del metastore.
CREATE SCHEMA
Tipos de objetos aplicables: CATALOG
Permite que un usuario cree un esquema. El usuario también necesita el privilegio USE CATALOG en el catálogo.
CREACIÓN DE CREDENCIALES DE ALMACENAMIENTO
Tipos de objetos aplicables: metastore de Unity Catalog
Permite a un usuario crear una credencial de almacenamiento en un metastore del catálogo de Unity.
No se puede conceder a una entidad de servicio, ya sea Microsoft Entra ID (anteriormente Azure Active Directory) o una entidad de servicio nativa de Azure Databricks.
CREATE TABLE
Tipos de objetos aplicables: SCHEMA
Permite que un usuario cree una tabla o una vista en el esquema. Dado que los privilegios se heredan, CREATE TABLE también se puede conceder en un catálogo, lo que permite a un usuario crear una tabla o una vista en cualquier esquema existente o futuro del catálogo.
El usuario también debe tener el privilegio USE CATALOG en su catálogo principal y el privilegio USE SCHEMA en su esquema principal.
CREATE MATERIALIZED VIEW
Importante
Esta característica está en versión preliminar pública. Para registrarse para obtener acceso, rellene este formulario.
Tipos de objetos aplicables: SCHEMA
Permite a un usuario crear una vista materializada en el esquema. Dado que los privilegios se heredan, CREATE MATERIALIZED VIEW también se puede conceder en un catálogo, lo que permite a un usuario crear una tabla o una vista en cualquier esquema existente o futuro del catálogo.
El usuario también debe tener el privilegio USE CATALOG en su catálogo principal y el privilegio USE SCHEMA en su esquema principal.
CREATE VOLUME
Tipos de objetos aplicables: SCHEMA
Permite que un usuario cree un volumen en el esquema. Dado que los privilegios se heredan, CREATE VOLUME también se puede conceder en un catálogo, lo que permite a un usuario crear un volumen en cualquier esquema existente o futuro del catálogo.
El usuario también debe tener el privilegio USE CATALOG en su catálogo principal del volumen y el privilegio USE SCHEMA en su esquema principal.
Ejecute
Tipos de objetos aplicables: FUNCTION, REGISTERED MODEL
Permite a un usuario invocar una función definida por el usuario o cargar un modelo para su inferencia, si el usuario también tiene USE CATALOG en su catálogo primario y USE SCHEMA en su esquema primario. En el caso de las funciones, EXECUTE concede la capacidad de ver la definición y los metadatos de la función. En el caso de los modelos registrados, EXECUTE concede la capacidad de ver los metadatos de todas las versiones del modelo registrado y descargar archivos de modelo.
Dado que los privilegios se heredan, puede conceder a un usuario el privilegio EXECUTE en un catálogo o esquema, lo que concede automáticamente al usuario el privilegio EXECUTE en todas las funciones actuales y futuras del catálogo o el esquema.
ADMINISTRAR LISTA DE PERMITIDOS
Tipos de objetos aplicables: metastore de Unity Catalog
Permite a un usuario agregar o modificar rutas de acceso para scripts de inicialización, JAR y coordenadas de Maven en la lista de permitidos que gobierna los clústeres habilitados de Unity Catalog con el modo de acceso compartido. Consulte Agregar a la lista de permitidos bibliotecas y scripts de inicialización en proceso compartido.
MODIFY
Tipos de objetos aplicables: TABLE
Permite a un usuario agregar, actualizar y eliminar datos de una tabla si el usuario también tiene el permiso SELECT en la tabla así como USE CATALOG en su catálogo primario y USE SCHEMA en su esquema primario.
Dado que los privilegios se heredan, puede conceder a un usuario el privilegio MODIFY en un catálogo o esquema, lo que concede automáticamente al usuario el privilegio MODIFY en todas las tablas actuales y futuras del catálogo o el esquema.
READ FILES
Tipos de objetos aplicables: VOLUME, EXTERNAL LOCATION
Permite al usuario leer archivos directamente desde el almacenamiento de objetos en la nube. Databricks recomienda conceder este privilegio en volúmenes y concederlo en ubicaciones externas para casos de uso limitados. Para obtener más orientación, consulte Administrar ubicaciones externas, tablas externas y volúmenes externos.
LEER VOLUMEN
Tipos de objetos aplicables: VOLUME
Permite a un usuario leer archivos y directorios almacenados dentro de un volumen si el usuario también tiene USE CATALOG en su catálogo principal y USE SCHEMA en su esquema principal.
Los privilegios se heredan. Cuando puede otorgarle a un usuario el privilegio READ VOLUME sobre un catálogo o esquema, automáticamente le otorga al usuario el privilegio READ VOLUME sobre todos los volúmenes actuales y futuros del catálogo o esquema.
SELECT
Tipos de objeto aplicables: TABLE, VIEW, MATERIALIZED VIEW, SHARE
Si se aplica a una tabla o vista, permite que un usuario seleccione de la tabla o vista, si el usuario también tiene USE CATALOG en su catálogo primario y USE SCHEMA en su esquema primario. Si se aplica a un recurso compartido, permite que un destinatario seleccione en el recurso compartido.
Dado que los privilegios se heredan, puede conceder a un usuario el privilegio SELECT en un catálogo o esquema, lo que concede automáticamente al usuario el privilegio SELECT en todas las tablas y vistas actuales y futuras del catálogo o el esquema.
USE CATALOG
Tipos de objetos aplicables: CATALOG
Este privilegio no concede acceso al propio catálogo, pero es necesario para que un usuario interactúe con cualquier objeto dentro del catálogo. Por ejemplo, para seleccionar datos de una tabla, los usuarios deben tener el privilegio SELECT en esa tabla y los privilegios USE CATALOG en su catálogo primario además de los privilegios USE SCHEMA en su esquema primario.
Esto resulta útil para permitir que los propietarios de catálogos puedan limitar hasta qué punto los propietarios de esquemas y tablas individuales pueden compartir los datos que producen. Por ejemplo, un propietario de tabla que concede SELECT a otro usuario no concede al usuario acceso de lectura a la tabla a menos que también se le hayan concedido privilegios USE CATALOG en su catálogo primario y privilegios USE SCHEMA en su esquema primario.
El privilegio USE CATALOG del catálogo primario no es necesario para leer los metadatos de un objeto si el usuario tiene el privilegio BROWSE en ese catálogo.
USAR CONEXIÓN
Tipos de objetos aplicables: CONNECTION
Permite a un usuario enumerar y ver detalles sobre las conexiones a una base de datos externa en un escenario de la Federación Lakehouse. Para crear catálogos externos para una conexión, debe tener CREATE FOREIGN CATALOG en la conexión o la propiedad de la conexión.
USE SCHEMA
Tipos de objetos aplicables: SCHEMA
Este privilegio no concede acceso al propio esquema, pero es necesario para que un usuario interactúe con cualquier objeto dentro del esquema. Por ejemplo, para seleccionar datos de una tabla, los usuarios deben tener el privilegio SELECT en esa tabla y USE SCHEMA en su esquema primario, además de USE CATALOG en su catálogo primario.
Dado que los privilegios se heredan, puede conceder a un usuario el privilegio USE SCHEMA en un catálogo, lo que concede automáticamente al usuario el privilegio USE SCHEMA en todos los esquemas actuales y futuros del catálogo.
No se requiere el privilegio USE SCHEMA en el esquema primario para leer los metadatos de un objeto si el usuario tiene el privilegio BROWSE en ese esquema o en su catálogo primario.
WRITE FILES
Tipos de objetos aplicables: VOLUME,EXTERNAL LOCATION
Permite a un usuario escribir archivos directamente en el almacenamiento de objetos en la nube. Databricks recomienda conceder este privilegio en volúmenes. Conceda este privilegio con moderación en ubicaciones externas. Para obtener más orientación, consulte Administrar ubicaciones externas, tablas externas y volúmenes externos.
VOLUMEN DE ESCRITURA
Tipos de objetos aplicables: VOLUME
Permite a un usuario agregar, eliminar o modificar archivos y directorios almacenados dentro de un volumen si el usuario también tiene USE CATALOG en su catálogo principal y USE SCHEMA en su esquema principal.
Los privilegios se heredan. Cuando puede otorgarle a un usuario el privilegio WRITE VOLUME sobre un catálogo o esquema, automáticamente le otorga al usuario el privilegio WRITE VOLUME sobre todos los volúmenes actuales y futuros del catálogo o esquema.
REFRESH
Tipos de objetos aplicables: MATERIALIZED VIEW
Permite a un usuario actualizar una vista materializada si el usuario también tiene USE CATALOG en su catálogo primario y USE SCHEMA en su esquema primario.
Los privilegios se heredan. Cuando se concede el privilegio REFRESH en un catálogo o esquema a un usuario, se concede automáticamente al usuario el privilegio REFRESH en todas las vistas materializadas actuales y futuras del catálogo o esquema.
Tipos de privilegios que se aplican solo a Delta Sharing o Databricks Marketplace
En esta sección, se proporciona información sobre los tipos de privilegios que se aplican solo a Delta Sharing.
CREATE PROVIDER
Tipos de objetos aplicables: metastore de Unity Catalog
Permite a un usuario crear un objeto de proveedor de Delta Sharing en el metastore. Un proveedor identifica una organización o un grupo de usuarios que tienen datos compartidos mediante Delta Sharing. La creación del proveedor la realiza un usuario en la cuenta de Databricks del destinatario. Consulte Uso compartido seguro de recursos de datos e inteligencia artificial mediante Delta Sharing.
CREATE RECIPIENT
Tipos de objetos aplicables: metastore de Unity Catalog
Permite que un usuario cree un destinatario de Delta Sharing en el metastore. Un destinatario identifica una organización o un grupo de usuarios con los que se puede haber compartido datos mediante Delta Sharing. Un usuario realiza la creación del destinatario en la cuenta de Databricks del proveedor. Consulte Uso compartido seguro de recursos de datos e inteligencia artificial mediante Delta Sharing.
CREATE SHARE
Tipos de objetos aplicables: metastore de Unity Catalog
Permite que un usuario cree un recurso compartido en el metastore. Un recurso compartido es una agrupación lógica para las tablas que pretende compartir mediante Delta Sharing.
SET SHARE PERMISSION
Tipos de objetos aplicables: metastore de Unity Catalog
En Delta Sharing, este privilegio, combinado con USE SHARE y USE RECIPIENT (o la propiedad del destinatario), proporciona a un usuario proveedor la capacidad de conceder a un destinatario acceso a un recurso compartido. Combinado con USE SHARE, ofrece la capacidad de transferir la propiedad de un recurso compartido a otro usuario, grupo o entidad de servicio.
USO DE RECURSOS DE MARKETPLACE
Tipos de objetos aplicables: metastore de Unity Catalog
Habilitado de forma predeterminada para todos los metastores de Unity Catalog. En Databricks Marketplace, este privilegio proporciona a un usuario la capacidad de obtener acceso instantáneo o solicitar acceso a los productos de datos compartidos en un anuncio de Marketplace. También permite a un usuario acceder al catálogo de solo lectura que se crea cuando un proveedor comparte un producto de datos. Sin este privilegio, el usuario requeriría los privilegios CREATE CATALOG y USE PROVIDER o el rol de administrador de metastore. Esto le permite limitar el número de usuarios con estos permisos con privilegios.
USE PROVIDER
Tipos de objetos aplicables: metastore de Unity Catalog
En Delta Sharing, proporciona a un usuario destinatario acceso de solo lectura a todos los proveedores de un metastore de destinatario y sus recursos compartidos. En combinación con el privilegio CREATE CATALOG, este privilegio permite a un usuario destinatario que no sea un administrador de metastore montar un recurso compartido como catálogo. Esto le permite limitar el número de usuarios con el eficaz rol de administrador de metastore.
USE RECIPIENT
Tipos de objetos aplicables: metastore de Unity Catalog
En Delta Sharing, proporciona a un usuario proveedor acceso de solo lectura a todos los destinatarios de un metastore de proveedor y a sus recursos compartidos. Esto permite a un usuario proveedor que no sea un administrador de metastore ver los detalles del destinatario, el estado de autenticación del destinatario y la lista de recursos compartidos que el proveedor haya compartido con el destinatario.
En Marketplace de Databricks, esto proporciona a los usuarios proveedores la capacidad de ver las listas y solicitudes de consumidor en la consola del proveedor.
USE SHARE
Tipos de objetos aplicables: metastore de Unity Catalog
En Delta Sharing, esto proporciona a un usuario proveedor acceso de solo lectura a todos los recursos compartidos definidos en un metastore de proveedor. Esto permite a un usuario proveedor que no sea un administrador de metastore enumerar recursos compartidos y enumerar los recursos (tablas y cuadernos) en un recurso compartido, junto con los destinatarios del recurso compartido.
En Marketplace de Databricks, esto proporciona a los usuarios proveedores la posibilidad de ver información sobre los datos compartidos en una lista.