Privilegios y objetos protegibles en Unity Catalog
Se aplica a: Databricks SQL Databricks Runtime solo a Unity Catalog
Un privilegio es un derecho concedido a una entidad de seguridad para operar en un objeto protegible en el metastore. El modelo de privilegios y los objetos protegibles difieren en función de si usa un metastore de Unity Catalog o el metastore de Hive heredado. En este artículo se describe el modelo de privilegios del catálogo de Unity. Si usa la metastore de Hive, consulte Privilegios y objetos protegibles en la metastore de Hive.
Para obtener información detallada sobre cómo administrar privilegios en el catálogo de Unity, consulte Administrar privilegios en el catálogo de Unity.
Nota:
En este artículo se hace referencia al modelo de herencia y privilegios del catálogo de Unity en la versión 1.0 del modelo de privilegios. Si creó el metastore del catálogo de Unity durante la versión preliminar pública (antes del 25 de agosto de 2022), es posible que esté en un modelo de privilegios anterior que no admita el modelo de herencia actual. Puede actualizar a Privilege Model versión 1.0 para obtener la herencia de privilegios. Consulte Actualización a la herencia de privilegios.
Objetos protegibles
Un objeto protegible es un objeto definido en el metastore de Unity Catalog en el que se pueden conceder privilegios a una entidad de seguridad. Para obtener una lista completa de objetos protegibles del catálogo de Unity y los privilegios que se pueden conceder en ellos, consulte Privilegios del catálogo de Unity y objetos protegibles.
Para administrar los privilegios de cualquier objeto, debe ser su propietario.
Sintaxis
securable_object
{ CATALOG [ catalog_name ] |
CONNECTION connection_name |
CLEAN ROOM clean_room_name |
EXTERNAL LOCATION location_name |
FUNCTION function_name |
METASTORE |
SCHEMA schema_name |
SHARE share_name |
[ STORAGE | SERVICE ] CREDENTIAL credential_name |
[ TABLE ] table_name |
MATERIALIZED VIEW view_name |
VIEW view_name |
VOLUME volume_name
}
También puede especificar SERVER
en lugar de CONNECTION
y DATABASE
en lugar de SCHEMA
.
Parámetros
CATALOG
catalog_nameControla el acceso a todo el catálogo de datos.
CLEAN ROOM
clean_room_nameControla el acceso a una sala limpia.
CONNECTION
connection_nameControla el acceso a la conexión.
EXTERNAL LOCATION
location_nameControla el acceso a una ubicación externa.
FUNCTION
function_nameControla el acceso a una función definida por el usuario o a un modelo registrado de MLflow.
MATERIALIZED VIEW
view_nameControla el acceso a una vista materializada.
METASTORE
Controla el acceso al metastore de Unity Catalog asociado al área de trabajo. Al administrar los privilegios en un metastore, no se incluye el nombre del metastore en un comando SQL. Unity Catalog concederá o revocará el privilegio en el metastore asociado al área de trabajo.
SCHEMA
schema_nameControla el acceso a un esquema.
[ STORAGE | SERVICE ] CREDENTIAL
credential_nameControla el acceso a una credencial.
Las palabras clave
STORAGE
ySERVICE
( Databricks Runtime 15.4 y versiones posteriores) son opcionales.SHARE
share_nameControla el acceso de un recurso compartido a un destinatario.
TABLE
table_nameControla el acceso a una tabla administrada o externa. Si no se encuentra la tabla, Azure Databricks genera un error TABLE_OR_VIEW_NOT_FOUND.
VIEW
view_nameControla el acceso a una vista. Si no se encuentra la vista, Azure Databricks genera un error TABLE_OR_VIEW_NOT_FOUND.
VOLUME
volume_nameControla el acceso a un volumen. Si el volumen no se puede encontrar, Azure Databricks genera un error.
Tipos de privilegio
Para obtener una lista de los tipos de privilegios, consulte Privilegios de Unity Catalog y objetos protegibles.
Ejemplos
-- Grant a privilege to the user alf@melmak.et
> GRANT SELECT ON TABLE t TO `alf@melmak.et`;
-- Revoke a privilege from the general public group.
> REVOKE USE SCHEMA ON SCHEMA some_schema FROM `alf@melmak.et`;