Cursos
Privilegios de Unity Catalog y objetos protegibles
En este artículo se describen los objetos protegibles de Unity Catalog y los privilegios que se aplican a ellos. Para obtener información sobre cómo conceder privilegios en Unity Catalog, vea Mostrar, conceder y revocar privilegios.
Nota
En este artículo se hace referencia al modelo de herencia y privilegios del catálogo de Unity en la versión 1.0 del modelo de privilegios. Si creó el metastore del catálogo de Unity durante la versión preliminar pública (antes del 25 de agosto de 2022), es posible que esté en un modelo de privilegios anterior que no admita el modelo de herencia actual. Puede actualizar a Privilege Model versión 1.0 para obtener la herencia de privilegios. Consulte Actualización a la herencia de privilegios.
Un objeto protegible es un objeto definido en el metastore de Unity Catalog en el que se pueden conceder privilegios a una entidad de seguridad (usuario, entidad de servicio o grupo). Los objetos protegibles en el catálogo de Unity son jerárquicos.
Los objetos protegibles son:
Metastore: contenedor de metadatos de nivel superior. Cada metastore del catálogo de Unity expone un espacio de nombres de tres niveles (
catalog.schema.table) que organiza los datos.Al administrar los privilegios en un metastore, no se incluye el nombre del metastore en un comando SQL. El catálogo de Unity concede o revoca el privilegio en el metastore asociado al área de trabajo. Por ejemplo, el siguiente comando concede a un grupo denominado engineering la capacidad de crear un catálogo en el metastore asociado al área de trabajo:
SQLGRANT CREATE CATALOG ON METASTORE TO engineeringCATALOG: la primera capa de la jerarquía de objetos, que se usa para organizar los recursos de datos. Un catálogo externo es un tipo de catálogo especial que refleja una base de datos en un sistema de datos externo en un escenario de federación de Lakehouse.
SCHEMA: también conocido como bases de datos, los esquemas son la segunda capa de la jerarquía de objetos y contienen tablas y vistas.
TABLE: El nivel más bajo de la jerarquía de objetos, las tablas pueden ser tablas externas (almacenadas en ubicaciones externas en su almacenamiento en la nube preferido) o tablas gestionadas (almacenadas en un contenedor de almacenamiento en su almacenamiento en la nube creado expresamente para Azure Databricks).
VIEW: Un objeto de solo lectura creado a partir de una consulta en una o varias tablas contenidas en un esquema.
MATERIALIZED VIEW: un objeto creado a partir de una consulta en una o varias tablas contenidas en un esquema. Sus resultados reflejan el estado de los datos cuando se actualizó por última vez.
VOLUMEN: el nivel más bajo en la jerarquía de objetos, los volúmenes pueden ser externos (almacenados en ubicaciones externas en el almacenamiento en la nube de su elección) o administrados (almacenados en un contenedor de almacenamiento en el almacenamiento en la nube que usted crea expresamente para Azure Databricks).
FUNCTION: una función definida por el usuario o un modelo registrado de MLflow contenidos en un esquema.
Modelo: un modelo registrado de MLflow es un tipo específico de función. Los modelos se enumeran por separado de otras funciones en el Explorador de catálogos, pero cuando se concede un privilegio en un modelo mediante SQL, se usa
GRANT ON FUNCTION.EXTERNAL LOCATION: objeto que contiene una referencia a una credencial de almacenamiento y una ruta de acceso a almacenamiento en la nube que se encuentra dentro de un metastore de Unity Catalog.
CREDENCIAL DE SERVICIO: objeto que encapsula una credencial de nube a largo plazo que proporciona acceso a un servicio externo. Contenido en un metastore de catálogo de Unity.
STORAGE CREDENTIAL: objeto que encapsula una credencial de nube a largo plazo que proporciona acceso al almacenamiento en la nube que se encuentra dentro de un metastore del Unity Catalog.
CONEXIÓN: objeto que especifica una ruta de acceso y credenciales para acceder a un sistema de base de datos externo en un escenario de federación de Lakehouse.
RECURSO COMPARTIDO: una agrupación lógica para las tablas que pretende compartir mediante Delta Sharing. Un recurso compartido se encuentra en un metastore del catálogo de Unity.
DESTINATARIO: un objeto que identifica una organización o un grupo de usuarios con los que se puede haber compartido datos mediante Delta Sharing. Estos objetos se encuentran en un metastore del catálogo de Unity.
PROVEEDOR: un objeto que representa una organización que ha puesto los datos a disposición para el uso compartido mediante Delta Sharing. Estos objetos se encuentran en un metastore del catálogo de Unity.
SALA LIMPIA: un objeto que representa un entorno seguro y de protección de la privacidad, administrado por Databricks, en el que varias partes pueden colaborar sin disponer de acceso directo a los datos de los demás.
En la tabla siguiente se enumeran los tipos de privilegios que se aplican a cada objeto protegible en Unity Catalog. Para obtener información sobre cómo conceder privilegios en Unity Catalog, vea Mostrar, conceder y revocar privilegios.
| Elemento protegible | Privilegios |
|---|---|
| Metastore | CREATE CATALOG, CREATE CLEAN ROOM, CREATE CONNECTION, CREATE EXTERNAL LOCATION, , CREATE PROVIDER, CREATE RECIPIENTCREATE SHARE,CREATE SERVICE CREDENTIALCREATE STORAGE CREDENTIALSET SHARE PERMISSIONUSE MARKETPLACE ASSETSUSE PROVIDER , USE RECIPIENTUSE SHARE |
| Catálogo | ALL PRIVILEGES, APPLY TAG, BROWSE, , CREATE SCHEMA, USE CATALOGTodos los usuarios tienen USE CATALOG en el catálogo main de manera predeterminada.Los siguientes tipos de privilegios se aplican a objetos protegibles dentro de un catálogo. Puede conceder estos privilegios en el nivel de catálogo para aplicarlos a los objetos actuales y futuros del catálogo. CREATE FUNCTION, CREATE TABLE, CREATE MATERIALIZED VIEW, CREATE MODEL, CREATE VOLUME, EXTERNAL USE SCHEMA, READ VOLUME, REFRESH, WRITE VOLUME, EXECUTE, MANAGE, MODIFY, SELECT, USE SCHEMA |
| Esquema | ALL PRIVILEGES, APPLY TAG, CREATE FUNCTION, CREATE TABLE, CREATE MODEL, CREATE VOLUME, CREATE MATERIALIZED VIEW, MANAGE, EXTERNAL USE SCHEMA, USE SCHEMALos siguientes tipos de privilegios se aplican a objetos protegibles dentro de un esquema. Puede conceder estos privilegios en el nivel de esquema para aplicarlos a los objetos actuales y futuros dentro del esquema. EXECUTE, MODIFY, READ VOLUME, REFRESH, , SELECT, WRITE VOLUME |
| Tabla | ALL PRIVILEGES, APPLY TAG, MANAGE, , MODIFY, SELECT |
| Vista materializada | ALL PRIVILEGES, APPLY TAG, MANAGE, , REFRESH, SELECT |
| Ver | ALL PRIVILEGES, APPLY TAG, , MANAGE, SELECT |
| Volumen | ALL PRIVILEGES, MANAGE, , READ VOLUME, WRITE VOLUME |
| Ubicación externa | ALL PRIVILEGES, BROWSE, CREATE EXTERNAL TABLE, CREATE EXTERNAL VOLUME, CREATE FOREIGN SECURABLE, MANAGE, READ FILES, , WRITE FILESCREATE MANAGED STORAGE |
| Credenciales de servicio | ALL PRIVILEGES, ACCESS, CREATE CONNECTION, MANAGE. |
| Credencial de almacenamiento | ALL PRIVILEGES, CREATE EXTERNAL LOCATION, CREATE EXTERNAL TABLE, MANAGE, , READ FILES, WRITE FILES |
| Conexión | ALL PRIVILEGES, CREATE FOREIGN CATALOG, , MANAGE, USE CONNECTION |
| Función | ALL PRIVILEGES, APPLY TAG (solo modelos), EXECUTE, MANAGE |
| Modelo | Los modelos registrados son un tipo de función. |
| Compartir | SELECT (se pueden conceder a RECIPIENT) |
| Recipient | Ninguno |
| Proveedor | Ninguno |
| Sala limpia | ALL PRIVILEGES, BROWSE, EXECUTE CLEAN ROOM TASK, , MANAGE, MODIFY CLEAN ROOM |
En esta sección, se proporciona información sobre los tipos de privilegios que se aplican generalmente al catálogo de Unity. Para obtener información sobre cómo conceder privilegios en Unity Catalog, vea Mostrar, conceder y revocar privilegios.
Tipos de objeto aplicables: CATALOG, EXTERNAL LOCATION, SERVICE CREDENTIAL, STORAGE CREDENTIAL, SCHEMA, FUNCTION (incluidos los modelos) TABLE, MATERIALIZED VIEW, VIEW,VOLUME
Se usa para conceder o revocar todos los privilegios aplicables al objeto protegible y a sus objetos secundarios sin especificarlos explícitamente.
Cuando ALL PRIVILEGES se otorga sobre un objeto, no otorga individualmente al usuario cada privilegio aplicable en el momento de la concesión. En cambio, se expande a todos los privilegios disponibles en el momento en que se realizan las comprobaciones de permisos. Esto significa que a medida que Databricks libera nuevos privilegios y nuevos objetos protegibles, una concesión ALL PRIVILEGES existente incluye automáticamente todos los privilegios nuevos aplicable al objeto protegible, a sus objetos secundarios existentes y a todos los objetos secundario nuevos.
Cuando ALL PRIVILEGES se revoca, se revoca el privilegio ALL PRIVILEGES y también se revocan todos los privilegios explícitos otorgados al usuario sobre el objeto.
Para evitar la filtración accidental de datos o la elevación de privilegios, ALL PRIVILEGES no incluye el privilegio EXTERNAL USE SCHEMA ni el privilegio MANAGE.
Nota
Este privilegio es eficaz cuando se aplica a niveles superiores en la jerarquía. Por ejemplo, GRANT ALL PRIVILEGES ON CATALOG main TO analysts concede al equipo de analistas todos los privilegios existentes y futuros en todos los objetos protegibles existentes y futuros del catálogo.
Tipos de objetos aplicables: SERVICE CREDENTIAL
Permite a un usuario usar una credencial de servicio para acceder a un servicio o servicios externos.
Tipos de objeto aplicables: CATALOG, SCHEMA, TABLE, VOLUME, MATERIALIZED VIEW, VIEW, modelos registrados como FUNCTION
Permite que un usuario agregue y edite etiquetas en un objeto. La concesión de APPLY TAG a una tabla o vista también habilita el etiquetado de columnas. La concesión de APPLY TAG a un modelo registrado también habilita el etiquetado de versiones del modelo.
El usuario también debe tener el privilegio USE CATALOG en su catálogo principal yUSE SCHEMA en el esquema principal.
Tipos de objetos aplicables: CATALOG, EXTERNAL LOCATION, CLEAN ROOM
Importante
Esta característica está en versión preliminar pública.
Permite que un usuario vea los metadatos de un objeto mediante el Explorador de catálogos, el explorador de esquemas, los resultados de búsqueda, el gráfico de linaje, information_schema, y la API de REST.
El usuario no requiere el privilegio USE CATALOG en el catálogo primario ni USE SCHEMA en el esquema primario.
A todos los usuarios se les concede el privilegio BROWSE de manera predeterminada en los nuevos catálogos que se crean mediante el Explorador de catálogos. Puede revocar el privilegio si lo prefiere. Los catálogos creados mediante instrucciones SQL, la API de REST o la CLI de Databricks no conceden el privilegio BROWSE de manera predeterminada. Debe concederlo de forma excesiva.
Tipos de objetos aplicables: metastore de Unity Catalog
Permite a un usuario crear un catálogo en un metastore de Unity Catalog. Para crear un catálogo externo, también debe tener el privilegio CREAR CATALOG EXTERNO en la conexión que contiene el catálogo externo o en el metastore.
Tipos de objetos aplicables: metastore de Unity Catalog
Permite a un usuario crear una sala limpia para colaborar de forma segura en proyectos con otras organizaciones sin compartir datos subyacentes.
Tipos de objetos aplicables: metastore de Unity Catalog, SERVICE CREDENTIAL
Permite a un usuario crear una conexión a una base de datos externa en un escenario de federación de Lakehouse. Para usar una credencial de servicio para crear una conexión, el usuario debe tener este privilegio en el metastore y en la credencial del servicio.
Tipos de objetos aplicables: metastore de Unity Catalog, STORAGE CREDENTIAL
Para crear una ubicación externa, el usuario debe tener este privilegio en el metastore y en la credencial de almacenamiento a la que se hace referencia en la ubicación externa.
Tipos de objetos aplicables: EXTERNAL LOCATION, STORAGE CREDENTIAL
Permite a un usuario crear tablas externas directamente en el inquilino en la nube mediante una ubicación externa o credencial de almacenamiento. Databricks recomienda conceder este privilegio en una ubicación externa en lugar de credenciales de almacenamiento (ya que se limita a una ruta de acceso, permite un mayor control sobre dónde los usuarios pueden crear tablas externas en el inquilino en la nube).
Tipos de objetos aplicables: EXTERNAL LOCATION
Permite a un usuario crear volúmenes externos utilizando una ubicación externa.
Tipos de objetos aplicables: CONNECTION
Permite a un usuario crear catálogos externos mediante una conexión a una base de datos externa en un escenario de federación de Lakehouse.
Tipos de objetos aplicables: EXTERNAL LOCATION
Permite a un usuario que crea un catálogo externo especificar rutas de acceso autorizadas que estén cubiertas por la ubicación externa.
El usuario también debe tener CREATE CATALOG en el metastore del Unity Catalog y CREATE FOREIGN CATALOG en la conexión.
Tipos de objetos aplicables: SCHEMA
Permite que un usuario cree una función en el esquema. Dado que los privilegios se heredan, CREATE FUNCTION también se puede conceder en un catálogo, lo que permite a un usuario crear una función en cualquier esquema existente o futuro del catálogo.
El usuario también debe tener el privilegio USE CATALOG en su catálogo principal yUSE SCHEMA en el esquema principal.
Tipos de objetos aplicables: SCHEMA
Permite a un usuario crear un modelo registrado de MLflow (que es un tipo de FUNCTION) en el esquema. Dado que los privilegios se heredan, CREATE MODEL también se puede conceder en un catálogo, lo que permite a un usuario crear un modelo registrado en cualquier esquema existente o futuro del catálogo.
El usuario también debe tener el privilegio USE CATALOG en su catálogo principal yUSE SCHEMA en el esquema principal.
Tipos de objetos aplicables: EXTERNAL LOCATION
Permite a un usuario especificar una ubicación para almacenar tablas administradas a nivel de catálogo o esquema, que reemplaza al almacenamiento raíz predeterminado del metastore.
Tipos de objetos aplicables: CATALOG
Permite que un usuario cree un esquema. El usuario también necesita el privilegio USE CATALOG en el catálogo.
Tipos de objetos aplicables: metastore de Unity Catalog
Permite a un usuario crear una credencial de servicio en un metastore de catálogo de Unity.
Tipos de objetos aplicables: metastore de Unity Catalog
Permite a un usuario crear una credencial de almacenamiento en un metastore del catálogo de Unity.
Tipos de objetos aplicables: SCHEMA
Permite que un usuario cree una tabla o una vista en el esquema. Dado que los privilegios se heredan, CREATE TABLE también se puede conceder en un catálogo, lo que permite a un usuario crear una tabla o una vista en cualquier esquema existente o futuro del catálogo.
El usuario también debe tener el privilegio USE CATALOG en su catálogo principal y el privilegio USE SCHEMA en su esquema principal.
Tipos de objetos aplicables: SCHEMA
Permite a un usuario crear una vista materializada en el esquema. Dado que los privilegios se heredan, CREATE MATERIALIZED VIEW también se puede conceder en un catálogo, lo que permite a un usuario crear una tabla o una vista en cualquier esquema existente o futuro del catálogo.
El usuario también debe tener el privilegio USE CATALOG en su catálogo principal y el privilegio USE SCHEMA en su esquema principal.
Tipos de objetos aplicables: SCHEMA
Permite que un usuario cree un volumen en el esquema. Dado que los privilegios se heredan, CREATE VOLUME también se puede conceder en un catálogo, lo que permite a un usuario crear un volumen en cualquier esquema existente o futuro del catálogo.
El usuario también debe tener el privilegio USE CATALOG en su catálogo principal del volumen y el privilegio USE SCHEMA en su esquema principal.
Tipos de objeto aplicables: FUNCTION, modelo
Permite a un usuario invocar una función definida por el usuario o cargar un modelo para su inferencia, si el usuario también tiene USE CATALOG en su catálogo primario y USE SCHEMA en su esquema primario. En el caso de las funciones, EXECUTE concede la capacidad de ver la definición y los metadatos de la función. En el caso de los modelos registrados, EXECUTE concede la capacidad de ver los metadatos de todas las versiones del modelo registrado y descargar archivos de modelo.
Dado que los privilegios se heredan, puede conceder a un usuario el privilegio EXECUTE en un catálogo o esquema, lo que concede automáticamente al usuario el privilegio EXECUTE en todas las funciones actuales y futuras del catálogo o el esquema.
Tipos de objetos aplicables: CLEAN ROOM
Permite a un usuario ejecutar tareas (cuadernos) en una sala limpia. También permite al usuario ver los detalles de la sala limpia.
Tipos de objetos aplicables: SCHEMA
Permite que a un usuario se le conceda una credencial temporal para acceder a las tablas de Unity Catalog desde un motor de procesamiento externo mediante las API abiertas de Unity Catalog o las API REST de Iceberg.
Solo el propietario del catálogo puede conceder este privilegio.
Para evitar la filtración de datos accidental, ALL PRIVILEGES no incluye el privilegio EXTERNAL USE SCHEMA y los propietarios de esquemas no tienen este privilegio de manera predeterminada.
Consulte Habilitar el acceso a datos externos en Unity Catalog.
Tipos de objeto aplicables: CATALOG, EXTERNAL LOCATION, SERVICE CREDENTIAL, STORAGE CREDENTIAL, SCHEMA, FUNCTION (incluidos los modelos), CONNECTION, TABLE, MATERIALIZED VIEW, VIEW,VOLUME, CLEAN ROOM
Importante
Esta característica está en versión preliminar pública.
Permite a un usuario ver y administrar privilegios, transferir la propiedad, quitar y cambiar el nombre de un objeto. MANAGE es similar a la propiedad del objeto, pero a los usuarios con el privilegio MANAGE no se les conceden automáticamente todos los privilegios en ese objeto (sin embargo, pueden concederse privilegios).
El usuario también debe tener el privilegio USE CATALOG en el catálogo primario del objeto y el privilegio USE SCHEMA en su esquema primario.
ALL PRIVILEGES no incluye el privilegio MANAGE
Tipos de objetos aplicables: metastore de Unity Catalog
Permite a un usuario agregar o modificar rutas de acceso para scripts de inicialización, JAR y coordenadas de Maven en la lista de permitidos que gobierna los clústeres habilitados de Unity Catalog con el modo de acceso compartido. Consulte Agregar a la lista de permitidos bibliotecas y scripts de inicialización en proceso compartido.
Tipos de objetos aplicables: TABLE
Permite a un usuario agregar, actualizar y eliminar datos de una tabla si el usuario también tiene el permiso SELECT en la tabla así como USE CATALOG en su catálogo primario y USE SCHEMA en su esquema primario.
Dado que los privilegios se heredan, puede conceder a un usuario el privilegio MODIFY en un catálogo o esquema, lo que concede automáticamente al usuario el privilegio MODIFY en todas las tablas actuales y futuras del catálogo o el esquema.
Tipos de objetos aplicables: CLEAN ROOM
Permite que un usuario actualice una sala limpia, incluida la adición y eliminación de recursos de datos, la adición y eliminación de cuadernos y la actualización de comentarios. También permite al usuario ver los detalles de la sala limpia.
Tipos de objetos aplicables: EXTERNAL LOCATION
Databrick recomienda administrar el acceso de lectura a los datos del almacenamiento de objetos en la nube mediante volúmenes y el privilegio READ VOLUME.
READ FILES permite a un usuario leer archivos directamente desde el almacenamiento de objetos en la nube configurado como una ubicación externa. Para obtener más orientación, consulte Administrar ubicaciones externas, tablas externas y volúmenes externos.
Tipos de objetos aplicables: VOLUME
Permite a un usuario leer archivos y directorios almacenados dentro de un volumen si el usuario también tiene USE CATALOG en su catálogo principal y USE SCHEMA en su esquema principal.
Los privilegios se heredan. Cuando puede otorgarle a un usuario el privilegio READ VOLUME sobre un catálogo o esquema, automáticamente le otorga al usuario el privilegio READ VOLUME sobre todos los volúmenes actuales y futuros del catálogo o esquema.
Tipos de objetos aplicables: MATERIALIZED VIEW
Permite a un usuario actualizar una vista materializada si el usuario también tiene USE CATALOG en su catálogo primario y USE SCHEMA en su esquema primario.
Los privilegios se heredan. Cuando se concede el privilegio REFRESH en un catálogo o esquema a un usuario, se concede automáticamente al usuario el privilegio REFRESH en todas las vistas materializadas actuales y futuras del catálogo o esquema.
Tipos de objeto aplicables: TABLE, VIEW, MATERIALIZED VIEW, SHARE
Si se aplica a una tabla o vista, permite que un usuario seleccione de la tabla o vista, si el usuario también tiene USE CATALOG en su catálogo primario y USE SCHEMA en su esquema primario. Si se aplica a un recurso compartido, permite que un destinatario seleccione en el recurso compartido.
Dado que los privilegios se heredan, puede conceder a un usuario el privilegio SELECT en un catálogo o esquema, lo que concede automáticamente al usuario el privilegio SELECT en todas las tablas y vistas actuales y futuras del catálogo o el esquema.
Tipos de objetos aplicables: CATALOG
Este privilegio no concede acceso al propio catálogo, pero es necesario para que un usuario interactúe con cualquier objeto dentro del catálogo. Por ejemplo, para seleccionar datos de una tabla, los usuarios deben tener el privilegio SELECT en esa tabla y los privilegios USE CATALOG en su catálogo primario además de los privilegios USE SCHEMA en su esquema primario.
Esto resulta útil para permitir que los propietarios de catálogos puedan limitar hasta qué punto los propietarios de esquemas y tablas individuales pueden compartir los datos que producen. Por ejemplo, un propietario de tabla que concede SELECT a otro usuario no concede al usuario acceso de lectura a la tabla a menos que también se le hayan concedido privilegios USE CATALOG en su catálogo primario y privilegios USE SCHEMA en su esquema primario.
El privilegio USE CATALOG del catálogo primario no es necesario para leer los metadatos de un objeto si el usuario tiene el privilegio BROWSE en ese catálogo.
Tipos de objetos aplicables: CONNECTION
Permite a un usuario enumerar y ver detalles sobre las conexiones a una base de datos externa en un escenario de la Federación Lakehouse. Para crear catálogos externos para una conexión, debe tener CREATE FOREIGN CATALOG en la conexión o la propiedad de la conexión.
Tipos de objetos aplicables: SCHEMA
Este privilegio no concede acceso al propio esquema, pero es necesario para que un usuario interactúe con cualquier objeto dentro del esquema. Por ejemplo, para seleccionar datos de una tabla, los usuarios deben tener el privilegio SELECT en esa tabla y USE SCHEMA en su esquema primario, además de USE CATALOG en su catálogo primario.
Dado que los privilegios se heredan, puede conceder a un usuario el privilegio USE SCHEMA en un catálogo, lo que concede automáticamente al usuario el privilegio USE SCHEMA en todos los esquemas actuales y futuros del catálogo.
No se requiere el privilegio USE SCHEMA en el esquema primario para leer los metadatos de un objeto si el usuario tiene el privilegio BROWSE en ese esquema o en su catálogo primario.
Tipos de objetos aplicables: EXTERNAL LOCATION
Databrick recomienda administrar el acceso de escritura a los datos del almacenamiento de objetos en la nube mediante volúmenes y el privilegio de WRITE VOLUME.
WRITE FILES permite a un usuario escribir archivos directamente en el almacenamiento de objetos en la nube configurado como una ubicación externa. Para obtener más orientación, consulte Administrar ubicaciones externas, tablas externas y volúmenes externos.
Tipos de objetos aplicables: VOLUME
Permite a un usuario agregar, eliminar o modificar archivos y directorios almacenados dentro de un volumen si el usuario también tiene USE CATALOG en su catálogo principal y USE SCHEMA en su esquema principal.
Los privilegios se heredan. Cuando puede otorgarle a un usuario el privilegio WRITE VOLUME sobre un catálogo o esquema, automáticamente le otorga al usuario el privilegio WRITE VOLUME sobre todos los volúmenes actuales y futuros del catálogo o esquema.
En esta sección, se proporciona información sobre los tipos de privilegios que se aplican solo a Delta Sharing.
Tipos de objetos aplicables: metastore de Unity Catalog
Permite a un usuario crear un objeto de proveedor de Delta Sharing en el metastore. Un proveedor identifica una organización o un grupo de usuarios que tienen datos compartidos mediante Delta Sharing. La creación del proveedor la realiza un usuario en la cuenta de Databricks del destinatario. Consulte ¿Qué es Delta Sharing?
Tipos de objetos aplicables: metastore de Unity Catalog
Permite que un usuario cree un destinatario de Delta Sharing en el metastore. Un destinatario identifica una organización o un grupo de usuarios con los que se puede haber compartido datos mediante Delta Sharing. Un usuario realiza la creación del destinatario en la cuenta de Databricks del proveedor. Consulte ¿Qué es Delta Sharing?
Tipos de objetos aplicables: metastore de Unity Catalog
Permite que un usuario cree un recurso compartido en el metastore. Un recurso compartido es una agrupación lógica para las tablas que pretende compartir mediante Delta Sharing.
Tipos de objetos aplicables: metastore de Unity Catalog
En Delta Sharing, este privilegio, combinado con USE SHARE y USE RECIPIENT (o la propiedad del destinatario), proporciona a un usuario proveedor la capacidad de conceder a un destinatario acceso a un recurso compartido. Combinado con USE SHARE, ofrece la capacidad de transferir la propiedad de un recurso compartido a otro usuario, grupo o entidad de servicio.
Tipos de objetos aplicables: metastore de Unity Catalog
Habilitado de forma predeterminada para todos los metastores de Unity Catalog. En Databricks Marketplace, este privilegio proporciona a un usuario la capacidad de obtener acceso instantáneo o solicitar acceso a los productos de datos compartidos en un anuncio de Marketplace. También permite a un usuario acceder al catálogo de solo lectura que se crea cuando un proveedor comparte un producto de datos. Sin este privilegio, el usuario requeriría los privilegios CREATE CATALOG y USE PROVIDER o el rol de administrador de metastore. Esto le permite limitar el número de usuarios con estos permisos con privilegios.
Tipos de objetos aplicables: metastore de Unity Catalog
En Delta Sharing, proporciona a un usuario destinatario acceso de solo lectura a todos los proveedores de un metastore de destinatario y sus recursos compartidos. En combinación con el privilegio CREATE CATALOG, este privilegio permite a un usuario destinatario que no sea un administrador de metastore montar un recurso compartido como catálogo. Esto le permite limitar el número de usuarios con el eficaz rol de administrador de metastore.
Tipos de objetos aplicables: metastore de Unity Catalog
En Delta Sharing, proporciona a un usuario proveedor acceso de solo lectura a todos los destinatarios de un metastore de proveedor y a sus recursos compartidos. Esto permite a un usuario proveedor que no sea un administrador de metastore ver los detalles del destinatario, el estado de autenticación del destinatario y la lista de recursos compartidos que el proveedor haya compartido con el destinatario.
En Marketplace de Databricks, esto proporciona a los usuarios proveedores la capacidad de ver las listas y solicitudes de consumidor en la consola del proveedor.
Tipos de objetos aplicables: metastore de Unity Catalog
En Delta Sharing, esto proporciona a un usuario proveedor acceso de solo lectura a todos los recursos compartidos definidos en un metastore de proveedor. Esto permite a un usuario proveedor que no sea un administrador de metastore enumerar recursos compartidos y enumerar los recursos (tablas y cuadernos) en un recurso compartido, junto con los destinatarios del recurso compartido.
En Marketplace de Databricks, esto proporciona a los usuarios proveedores la posibilidad de ver información sobre los datos compartidos en una lista.
Recursos adicionales
Documentación
-
Administración de privilegios en Unity Catalog: Azure Databricks
Aprenda a administrar privilegios en Unity Catalog, incluida la administración de administradores del metastore, la propiedad de objetos y el acceso a los datos.
-
Administración de la propiedad de objetos de Unity Catalog: Azure Databricks
Obtenga información sobre cómo ver y transferir la propiedad de los objetos protegibles del catálogo de Unity.
-
Actualización a la herencia de privilegios: Azure Databricks
Obtenga información sobre cómo actualizar al modelo de privilegios más reciente en Unity Catalog.