Privilèges Unity Catalog et objets sécurisables
Cet article décrit le modèle de privilèges Unity Catalog. Pour en savoir plus sur la façon dont ce modèle diffère du metastore Hive, consultez Utiliser Unity Catalog et le metastore Hive hérité.
Notes
Cet article fait référence aux privilèges Unity Catalog et au modèle d’héritage dans Privilege Model version 1.0. Si vous avez créé votre metastore Unity Catalog pendant la préversion publique (avant le 25 août 2022), vous pouvez effectuer une mise à niveau vers Privilege Model version 1.0 après la Mise à niveau vers l’héritage de privilèges
Qui peut gérer les privilèges ?
Les privilèges peuvent être accordés par un administrateur de metastore, le propriétaire d’un objet ou le propriétaire du catalogue ou du schéma qui contient l’objet.
Si votre espace de travail a été activé automatiquement pour Unity Catalog, l’espace de travail est attaché à un metastore par défaut et un catalogue d’espaces de travail est créé pour votre espace de travail dans le metastore. Les administrateurs d’espace de travail sont les propriétaires par défaut du catalogue d’espaces de travail. En tant que propriétaires, ils peuvent gérer les privilèges sur le catalogue d’espaces de travail et tous les objets enfants.
Tous les utilisateurs de l’espace de travail reçoivent le privilège USE CATALOG sur le catalogue d’espaces de travail. Les utilisateurs de l’espace de travail reçoivent également les privilèges USE SCHEMA, CREATE TABLE, CREATE VOLUME, CREATE MODEL, CREATE FUNCTION et CREATE MATERIALIZED VIEW sur le schéma default dans le catalogue.
Pour plus d’informations, consultez Activation automatique d’Unity Catalog.
Comment gérer les privilèges
Vous pouvez gérer les privilèges des objets metastore à l’aide de commandes SQL, de l’Interface CLI de Databricks ou dans Data Explorer. Pour savoir comment utiliser l’explorateur de catalogues pour gérer les privilèges, consultez la rubrique Gérer les autorisations Unity Catalog dans l’explorateur de catalogues.
Pour gérer les privilèges dans SQL, vous utilisez des instructions GRANT et REVOKE dans un notebook ou l’éditeur de requête SQL Databricks, à l’aide de la syntaxe :
GRANT privilege_type ON securable_object TO principal
Où :
privilege_typeest un type de privilège Unity Catalogsecurable_objectest un objet sécurisable dans Unity Catalog.principalest un utilisateur, un principal de service (représenté par sa valeur applicationId) ou un groupe. Vous devez placer les noms des utilisateurs, principaux de service et groupes avec des caractères spéciaux dans des guillemets inversés (` `). Consultez Principal.
Par exemple, la commande suivante accorde à un groupe nommé finance-team l’accès à la création de tables dans un schéma nommé default, avec le catalogue parent nommé main :
GRANT CREATE TABLE ON SCHEMA main.default TO `finance-team`;
La plupart des instructions qui accordent ou révoquent un privilège suivent la syntaxe indiquée dans l’exemple précédent, qui indique le type d’objet sécurisable (SCHEMA) suivi du nom de l’objet sécurisable (main.default). Toutefois, lorsque vous accordez des privilèges sur un metastore, vous n’incluez pas le nom du metastore parce qu’il est supposé être le metastore attaché à votre espace de travail :
GRANT CREATE CATALOG ON METASTORE TO `account users`;
Pour plus d’informations sur l’octroi de privilèges à l’aide de commandes SQL, consultez Privilèges et objets sécurisables dans Unity Catalog .
Vous pouvez également gérer les privilèges avec le fournisseur Databricks Terraform et databricks_grants.
Modèle d’héritage
Les objets sécurisables dans Unity Catalog sont hiérarchiques et les privilèges sont hérités vers le bas. L'objet de plus haut niveau dont les privilèges sont hérités est le catalogue. Cela signifie que l’octroi d’un privilège sur un catalogue ou un schéma accorde automatiquement le privilège à tous les objets actuels et futurs au sein du catalogue ou du schéma. Les privilèges accordés sur un metastore Unity Catalog ne sont pas hérités.
Par exemple, la commande suivante accorde le privilège SELECT sur toutes les tables et vues dans n’importe quel schéma du catalogue main pour le groupe finance :
GRANT SELECT ON CATALOG main TO finance;
De même, vous pouvez donner des octrois sur un schéma pour une étendue d'accès plus restreinte :
GRANT SELECT ON SCHEMA main.default TO finance;
Le modèle d’héritage offre un moyen simple de configurer des règles d’accès par défaut pour vos données. Par exemple, les commandes suivantes permettent à l’équipe de machine learning de créer des tables dans un schéma et de lire les tables des autres :
CREATE CATALOG ml;
CREATE SCHEMA ml.team_sandbox;
GRANT USE_CATALOG ON CATALOG ml TO ml_team;
GRANT USE_SCHEMA ON SCHEMA ml.team_sandbox TO ml_team;
GRANT CREATE TABLE ON SCHEMA ml.team_sandbox TO ml_team;
GRANT SELECT ON SCHEMA ml.team_sandbox TO ml_team;
Les propriétaires d’un objet bénéficient automatiquement de tous les privilèges sur cet objet. En outre, les propriétaires d’objet peuvent accorder des privilèges sur l’objet lui-même et sur tous ses objets enfants. Cela signifie que les propriétaires d’un schéma ne disposent pas automatiquement de tous les privilèges sur les tables du schéma, mais qu’ils peuvent s’octroyer des privilèges sur les tables du schéma.
Objets sécurisables dans Unity Catalog
Un objet sécurisable est un objet défini dans Unity Catalog sur lequel des privilèges peuvent être accordés à un principal. Les objets sécurisables dans Unity Catalog sont hiérarchiques.
Les objets sécurisables sont les suivants :
METASTORE : conteneur de niveau supérieur pour les métadonnées. Chaque metastore Unity Catalog expose un espace de noms à trois niveaux (
catalog.schema.table) qui organise vos données.CATALOGUE : première couche de la hiérarchie d’objets, utilisée pour organiser vos ressources de données. Un catalogue étranger est un type de catalogue spécial qui reflète une base de données dans un système de données externe dans un scénario Lakehouse Federation.
SCHÉMA : également appelés bases de données, les schémas sont la deuxième couche de la hiérarchie d’objets et contiennent des tables et des vues.
TABLE : niveau le plus bas dans la hiérarchie d’objets, les tables peuvent être externes (stockées dans des emplacements externes dans le stockage cloud de votre choix) ou managées (stockées dans un conteneur de stockage dans votre stockage cloud que vous créez expressément pour Azure Databricks).
VUE : objet en lecture seule créé à partir d’une requête sur une ou plusieurs tables contenues dans un schéma.
Vue matérialisée: objet créé à partir d’une requête sur une ou plusieurs tables contenues dans un schéma. Ses résultats reflètent l’état des données lors de la dernière actualisation.
VOLUME : Niveau le plus bas dans la hiérarchie d’objets, les volumes peuvent être externes (stockés dans des emplacements externes dans le stockage cloud de votre choix) ou managés (stockés dans un conteneur de stockage dans votre stockage cloud que vous créez expressément pour Azure Databricks).
MODÈLE INSCRIT : un modèle inscrit MLflow contenu dans un schéma.
FONCTION : fonction définie par l’utilisateur contenue dans un schéma. Consultez les Fonctions définies par l’utilisateur (UDF) dans Unity Catalog.
EMPLACEMENT EXTERNE : objet qui contient une référence à des informations d’identification de stockage et un chemin de stockage cloud contenu dans un metastore Unity Catalog.
INFORMATIONS D’IDENTIFICATION DE STOCKAGE : objet qui encapsule des informations d’identification cloud à long terme qui fournit l’accès au stockage cloud contenu dans un metastore Unity Catalog.
CONNEXION : Objet qui spécifie un chemin et des informations d’identification pour accéder à un système de base de données externe dans un scénario Lakehouse Federation.
PARTAGE : un partage définit un regroupement logique pour les tables que vous souhaitez partager en utilisant Delta Sharing. Un partage est contenu dans un metastore Unity Catalog.
DESTINATAIRE : objet qui identifie une organisation ou un groupe d'utilisateurs avec lesquels des données peuvent être partagées à l'aide de Delta Sharing. Ces objets sont contenus dans un metastore Unity Catalog.
FOURNISSEUR : objet qui représente une organisation ayant rendu les données disponibles pour le partage à l’aide de Delta Sharing. Ces objets sont contenus dans un metastore Unity Catalog.
Types de privilèges par objet sécurisable dans Unity Catalog
Le tableau suivant répertorie les types de privilèges qui s’appliquent à chaque objet sécurisable dans Unity Catalog :
| Élément sécurisable | Privilèges |
|---|---|
| Metastore | CREATE CATALOG, CREATE CONNECTION, CREATE EXTERNAL LOCATION, CREATE PROVIDER, CREATE RECIPIENT, CREATE SHARE, CREATE STORAGE CREDENTIAL, SET SHARE PERMISSION, USE MARKETPLACE ASSETS, USE PROVIDER, USE RECIPIENT, USE SHARE |
| Catalogue | ALL PRIVILEGES, APPLY TAG, BROWSE, CREATE SCHEMA, USE CATALOGTous les utilisateurs ont USE CATALOG sur le catalogue main par défaut.Les types de privilèges suivants s’appliquent aux objets sécurisables dans un catalogue. Vous pouvez accorder ces privilèges au niveau du catalogue pour les appliquer aux objets pertinents actuels et futurs dans le catalogue. CREATE FUNCTION, CREATE TABLE, CREATE MODEL, CREATE VOLUME, CREATE FOREIGN CATALOG, READ VOLUME, REFRESH, WRITE VOLUME, EXECUTE, MODIFY, SELECT, USE SCHEMA |
| schéma | ALL PRIVILEGES, APPLY TAG, CREATE FUNCTION, CREATE TABLE, CREATE MODEL, CREATE VOLUME, CREATE MATERIALIZED VIEW, USE SCHEMALes types de privilèges suivants s’appliquent aux objets sécurisables au sein d’un schéma. Vous pouvez accorder ces privilèges au niveau du schéma pour les appliquer aux objets actuels et futurs pertinents dans le schéma. EXECUTE, MODIFY, SELECT, READ VOLUME, REFRESH, WRITE VOLUME |
| Table | ALL PRIVILEGES, APPLY TAG, MODIFY, SELECT |
| Vue matérialisée | ALL PRIVILEGES, APPLY TAG, REFRESH, SELECT |
| Affichage | ALL PRIVILEGES, APPLY TAG, SELECT |
| Volume | ALL PRIVILEGES, READ VOLUME, WRITE VOLUME |
| Emplacement externe | ALL PRIVILEGES, BROWSE, CREATE EXTERNAL TABLE, CREATE EXTERNAL VOLUME, READ FILES, WRITE FILES, CREATE MANAGED STORAGE |
| Informations d’identification de stockage | ALL PRIVILEGES, CREATE EXTERNAL LOCATION, CREATE EXTERNAL TABLE, READ FILES, WRITE FILES |
| Connexion | ALL PRIVILEGES, CREATE FOREIGN CATALOG, USE CONNECTION |
| Fonction | ALL PRIVILEGES, EXECUTE |
| Modèle inscrit | ALL PRIVILEGES, APPLY TAG, EXECUTE |
| Partager | SELECT (peut être octroyé à RECIPIENT) |
| Recipient | None |
| Fournisseur | None |
Lorsque vous gérez des privilèges sur un metastore, vous n’incluez pas le nom du metastore dans une commande SQL. Unity Catalog accorde ou révoque le privilège sur le metastore attaché à votre espace de travail. Par exemple, la commande suivante accorde à un groupe nommé ingénierie la possibilité de créer un catalogue dans le metastore attaché à l’espace de travail :
GRANT CREATE CATALOG ON METASTORE TO engineering
Types de privilèges généraux Unity Catalog
Cette section fournit des détails sur les types de privilèges qui s’appliquent en général à Unity Catalog.
TOUS LES PRIVILÈGES
Types d’objet applicables : CATALOG, EXTERNAL LOCATION, STORAGE CREDENTIAL, SCHEMA, FUNCTION, REGISTERED MODEL, TABLE, MATERIALIZED VIEW, VIEW,VOLUME
Permet d’accorder ou de révoquer tous les privilèges applicables à l’objet sécurisable et à ses objets enfants sans les spécifier explicitement.
Quand le privilège ALL PRIVILEGES est octroyé sur un objet, il n’accorde pas à l’utilisateur chaque privilège applicable de manière individuelle au moment de l’octroi. En fait, il s’étend à tous les privilèges disponibles au moment où les vérifications des autorisations sont effectuées.
Lorsque ALL PRIVILEGES est révoqué, le privilège ALL PRIVILEGES est révoqué, ainsi que tous les privilèges explicites accordés à l’utilisateur sur l’objet.
Remarque
Ce privilège est puissant lorsqu’il est appliqué à des niveaux supérieurs dans la hiérarchie. Par exemple, GRANT ALL PRIVILEGES ON CATALOG main TO analysts donnerait à l’équipe d’analystes tous les privilèges sur chaque objet (schémas, tables, vues, fonctions) dans le catalogue.
APPLY TAG
Types d’objet applicables : CATALOG, SCHEMA, REGISTERED MODEL, TABLE, MATERIALIZED VIEW, VIEW
Permet à un utilisateur d’ajouter et de modifier des étiquettes sur un objet. L’octroi d’APPLY TAG à une table ou à une vue active également l’étiquetage des colonnes.
L’utilisateur doit également disposer des privilèges USE CATALOG et USE SCHEMA respectivement sur son catalogue parent et sur son schéma parent.
BROWSE
Types d’objets applicables : CATALOG, EXTERNAL LOCATION
Important
Cette fonctionnalité est disponible en préversion publique.
Permet à un utilisateur de voir les métadonnées d’un objet en utilisant Catalog Explorer, le navigateur de schémas, les résultats de recherche, le graphique de traçabilité, information_schema et l’API REST.
L’utilisateur n’a pas besoin du privilège USE CATALOG sur le catalogue parent ni du privilège USE SCHEMA sur le schéma parent.
CREATE CATALOG
Types d’objets applicables : metastore du catalogue Unity,
Permet à un utilisateur de créer un catalogue dans un metastore du catalogue Unity. Pour créer un catalogue étranger, vous devez également disposer du privilège CRÉER UN CATALOGUE ÉTRANGER sur la connexion qui contient le catalogue étranger ou sur le metastore.
CRÉER UNE CONNEXION
Types d’objets applicables : metastore du catalogue Unity,
Permet à l’utilisateur de créer une connexion à une base de données externe dans un scénario Lakehouse Federation.
CREATE EXTERNAL LOCATION
Types d’objets applicables : metastore du catalogue Unity, STORAGE CREDENTIAL
Pour créer un emplacement externe, l’utilisateur doit disposer de ce privilège sur le metastore et les informations d’identification de stockage référencées dans l’emplacement externe.
CREATE EXTERNAL TABLE
Types d’objets applicables : EXTERNAL LOCATION, STORAGE CREDENTIAL
Permet à un utilisateur de créer des tables externes directement dans votre locataire cloud à l’aide d’informations d’identification de stockage ou d’emplacement externe. Databricks recommande d’octroyer ce privilège pour un emplacement externe plutôt que des informations d’identification de stockage (étant donné que le privilège est limité à un chemin d’accès, il permet davantage de contrôle sur l’emplacement où les utilisateurs peuvent créer des tables externes dans votre locataire cloud).
CRÉER UN VOLUME EXTERNE
Types d’objets applicables : EXTERNAL LOCATION
Permet à l’utilisateur de créer des volumes externes avec un emplacement externe.
CRÉER UN CATALOGUE ÉTRANGER
Types d’objets applicables : CONNECTION
Permet à l’utilisateur de créer des catalogues étrangers à l’aide d’une connexion à une base de données externe dans un scénario Lakehouse Federation.
CRÉER UNE FONCTION
Types d’objets applicables : SCHEMA
Permet à un utilisateur de créer une fonction dans le schéma. Étant donné que les privilèges sont hérités, CREATE FUNCTION peut également être accordé sur un catalogue, ce qui permet à un utilisateur de créer une fonction dans n’importe quel schéma existant ou futur dans le catalogue.
L’utilisateur doit également disposer des privilèges USE CATALOG et USE SCHEMA respectivement sur son catalogue parent et sur son schéma parent.
CRÉER UN MODÈLE
Types d’objets applicables : SCHEMA
Permet à un utilisateur de créer un modèle inscrit MLflow dans le schéma. Étant donné que les privilèges sont hérités, CREATE MODEL peut également être octroyé sur un catalogue. Cela permet à un utilisateur de créer un modèle inscrit dans n’importe quel schéma existant ou futur dans le catalogue.
L’utilisateur doit également disposer du privilège USE CATALOG sur son catalogue parent et USE SCHEMA sur son schéma parent.
CRÉER UN STOCKAGE MANAGÉ
Types d’objets applicables : EXTERNAL LOCATION
Permet à un utilisateur de spécifier un emplacement pour stocker des tables managées au niveau du catalogue ou du schéma, en remplaçant le stockage racine par défaut pour le metastore.
CREATE SCHEMA
Types d’objets applicables : CATALOG
Permet à un utilisateur de créer un schéma. L’utilisateur doit également disposer du privilège USE CATALOG sur le catalogue.
CRÉER DES INFORMATIONS D’IDENTIFICATION DE STOCKAGE
Types d’objets applicables : metastore du catalogue Unity,
Permet à un utilisateur de créer des informations d’identification de stockage dans un metastore de Unity Catalog.
Ne peut pas être accordé à un principal de service Microsoft Entra ID (anciennement Azure Active Directory) ou à un principal de service Azure Databricks natif.
CREATE TABLE
Types d’objets applicables : SCHEMA
Permet à un utilisateur de créer une table ou de l’afficher dans le schéma. Étant donné que les privilèges sont hérités, CREATE TABLE peut également être accordé sur un catalogue, ce qui permet à un utilisateur de créer une table ou de l’afficher dans n’importe quel schéma existant ou futur dans le catalogue.
L’utilisateur doit également disposer du privilège USE CATALOG sur son catalogue parent et le privilège USE SCHEMA sur son schéma parent.
CRÉER UNE VUE DÉMATÉRIALISÉE
Important
Cette fonctionnalité est disponible en préversion publique. Pour vous inscrire et obtenir un accès, remplissez ce formulaire.
Types d’objets applicables : SCHEMA
Permet à un utilisateur de créer une vue matérialisée dans le schéma. Étant donné que les privilèges sont hérités, CREATE MATERIALIZED VIEW peut également être accordé sur un catalogue, ce qui permet à un utilisateur de créer une table ou de l’afficher dans n’importe quel schéma existant ou futur dans le catalogue.
L’utilisateur doit également disposer du privilège USE CATALOG sur son catalogue parent et le privilège USE SCHEMA sur son schéma parent.
CREATE VOLUME
Types d’objets applicables : SCHEMA
Permet à l’utilisateur de créer un volume dans le schéma. Étant donné que les privilèges sont hérités, CREATE VOLUME peut également être accordé sur un catalogue, ce qui permet à l’utilisateur de créer un volume dans n’importe quel schéma existant ou futur dans le catalogue.
L’utilisateur doit également disposer du privilège USE CATALOG sur le catalogue parent du volume et le privilège USE SCHEMA sur son schéma parent.
Exécutez
Types d’objets applicables : FUNCTION, REGISTERED MODEL
Permet à un utilisateur d’appeler une fonction définie par l’utilisateur ou de charger un modèle pour l’inférence s’il dispose également de USE CATALOG sur son catalogue parent et de USE SCHEMA sur son schéma parent. Pour les fonctions, EXECUTE permet d’afficher la définition et les métadonnées de la fonction. Pour les modèles inscrits, EXECUTE permet d’afficher les métadonnées pour toutes les versions du modèle inscrit et de télécharger des fichiers de modèle.
Étant donné que les privilèges sont hérités, vous pouvez accorder à un utilisateur le privilège EXECUTE sur un catalogue ou un schéma, ce qui accorde automatiquement à l’utilisateur le privilège EXECUTE sur toutes les fonctions actuelles et futures dans le catalogue ou le schéma.
GÉRER LA LISTE D’AUTORISATION
Types d’objets applicables : metastore du catalogue Unity,
Permet à un utilisateur d’ajouter ou de modifier des chemins d’accès pour les scripts init, les coordonnées JARs et Maven dans la liste d’autorisation qui régit les clusters à mode d’accès partagé compatibles avec le catalogue Unity. Consultez Bibliothèques de listes d’autorisation et scripts d’initialisation sur le calcul partagé.
MODIFY
Types d’objets applicables : TABLE
Permet à un utilisateur d’ajouter, de mettre à jour et de supprimer des données vers ou à partir de la table si l’utilisateur a également SELECT sur la table et également USE CATALOG sur son catalogue parent et USE SCHEMA sur son schéma parent.
Étant donné que les privilèges sont hérités, vous pouvez accorder à un utilisateur le privilège MODIFY sur un catalogue ou un schéma, ce qui accorde automatiquement à l’utilisateur le privilège MODIFY sur toutes les tables actuelles et futures dans le catalogue ou le schéma.
READ FILES
Types d’objets applicables : VOLUME, EXTERNAL LOCATION
Permet à un utilisateur de lire des fichiers directement à partir de votre stockage d’objets cloud. Databricks recommande d’accorder ce privilège sur des volumes et sur des emplacements externes pour des cas d’usage limités. Pour obtenir d’autres conseils, consultez Gérer les emplacements externes, les tables externes et les volumes externes.
LIRE UN VOLUME
Types d’objets applicables : VOLUME
Permet à l’utilisateur de lire des fichiers et des répertoires stockés dans un volume s’il a le privilège USE CATALOG sur son catalogue parent et USE SCHEMA sur son schéma parent.
Les privilèges sont hérités. Quand vous pouvez accorder à l’utilisateur le privilège READ VOLUME sur un catalogue ou un schéma, vous lui accordez automatiquement le privilège READ VOLUME sur tous les volumes actuels et futurs dans le catalogue ou le schéma.
SELECT
Types d’objet applicables : TABLE, VIEW, MATERIALIZED VIEW, SHARE
S’il est appliqué à une table ou à une vue, permet à un utilisateur de sélectionner dans la table ou la vue, si l’utilisateur a également USE CATALOG sur son catalogue parent et USE SCHEMA sur son schéma parent. S’il est appliqué à un partage, permet à un destinataire de sélectionner dans le partage.
Étant donné que les privilèges sont hérités, vous pouvez accorder à un utilisateur le privilège SELECT sur un catalogue ou un schéma, ce qui accorde automatiquement à l’utilisateur le privilège SELECT sur toutes les tables actuelles et futures, et les vues dans le catalogue ou le schéma.
USE CATALOG
Types d’objets applicables : CATALOG
Ce privilège n’octroie pas l’accès au catalogue lui-même, mais est nécessaire pour qu’un utilisateur interagisse avec n’importe quel objet au sein du catalogue. Par exemple, pour sélectionner des données dans une table, les utilisateurs doivent disposer du privilège SELECT sur cette table et des privilèges USE CATALOG sur son catalogue parent, ainsi que des privilèges USE SCHEMA sur son schéma parent.
Cela est utile pour permettre aux propriétaires de catalogue de limiter la portée selon laquelle les propriétaires de schémas et de tables individuels peuvent partager les données qu’ils produisent. Par exemple, un propriétaire de table accordant SELECT à un autre utilisateur n’autorise pas l’accès en lecture à la table, sauf s’il a également reçu des privilèges USE CATALOG sur son catalogue parent ainsi que des privilèges USE SCHEMA sur son schéma parent.
Le privilège USE CATALOG sur le catalogue parent n’est pas nécessaire pour lire les métadonnées d’un objet si l’utilisateur dispose du privilège BROWSE sur ce catalogue.
UTILISER UNE CONNEXION
Types d’objets applicables : CONNECTION
Permet à l’utilisateur de lister et d’afficher les détails sur les connexions à une base de données externe dans un scénario Lakehouse Federation. Pour créer des catalogues étrangers pour une connexion, vous devez avoir CREATE FOREIGN CATALOG sur la connexion ou la propriété de la connexion.
USE SCHEMA
Types d’objets applicables : SCHEMA
Ce privilège n’octroie pas l’accès au schéma lui-même, mais est nécessaire pour qu’un utilisateur interagisse avec n’importe quel objet au sein du schéma. Par exemple, pour sélectionner des données dans une table, les utilisateurs doivent disposer du privilège SELECT sur cette table et des privilèges USE SCHEMA sur son schéma parent, ainsi que des privilèges USE CATALOG sur son catalogue parent.
Étant donné que les privilèges sont hérités, vous pouvez accorder à un utilisateur le privilège USE SCHEMA sur un catalogue, ce qui accorde automatiquement à l’utilisateur le privilège USE SCHEMA sur toutes les schémas actuels et futurs dans le catalogue.
Le privilège USE SCHEMA sur le schéma parent n’est pas nécessaire pour lire les métadonnées d’un objet si l’utilisateur dispose du privilège BROWSE sur ce schéma ou sur son catalogue parent.
WRITE FILES
Types d’objet applicables : VOLUME, EXTERNAL LOCATION
Permet à un utilisateur d’écrire des fichiers directement dans votre stockage d’objets cloud. Databricks recommande d’accorder ce privilège sur les volumes. Accordez ce privilège avec parcimonie sur les emplacements externes. Pour obtenir d’autres conseils, consultez Gérer les emplacements externes, les tables externes et les volumes externes.
ÉCRIRE UN VOLUME
Types d’objets applicables : VOLUME
Permet à l’utilisateur d’ajouter, de supprimer ou de modifier des fichiers et des répertoires stockés dans un volume s’il a le privilège USE CATALOG sur son catalogue parent et USE SCHEMA sur son schéma parent.
Les privilèges sont hérités. Quand vous pouvez accorder à l’utilisateur le privilège WRITE VOLUME sur un catalogue ou un schéma, vous lui accordez automatiquement le privilège WRITE VOLUME sur tous les volumes actuels et futurs dans le catalogue ou le schéma.
REFRESH
Types d’objets applicables : MATERIALIZED VIEW
Permet à un utilisateur d’actualiser une vue matérialisée si l’utilisateur a également USE CATALOG sur son catalogue parent et USE SCHEMA sur son schéma parent.
Les privilèges sont hérités. Quand vous pouvez accorder le privilège REFRESH sur un catalogue ou un schéma pour un utilisateur, vous lui accordez automatiquement le privilège REFRESH sur toutes les vues matérialisées et futures dans le catalogue ou le schéma.
Types de privilèges s’appliquant uniquement au partage Delta ou à la Place de marché Databricks
Cette section fournit des détails sur les types de privilèges qui s’appliquent uniquement à Delta Sharing.
CREATE PROVIDER
Types d’objets applicables : metastore du catalogue Unity,
Permet à un utilisateur de créer un objet de fournisseur Delta Sharing dans le metastore. Un fournisseur identifie une organisation ou un groupe d’utilisateurs avec lesquels des données peuvent être partagées à l’aide de Delta Sharing. La création du fournisseur est effectuée par un utilisateur dans le compte Databricks du destinataire. Consultez Partager des données et des ressources IA de façon sécurisée à l’aide du partage Delta.
CRÉER UN DESTINATAIRE
Types d’objets applicables : metastore du catalogue Unity,
Permet à un utilisateur de créer un objet de destinataire Delta Sharing dans le metastore. Un destinataire identifie une organisation ou un groupe d'utilisateurs avec lesquels des données peuvent être partagées à l'aide de Delta Sharing. La création du destinataire est effectuée par un utilisateur dans le compte Databricks du fournisseur. Consultez Partager des données et des ressources IA de façon sécurisée à l’aide du partage Delta.
CREATE SHARE
Types d’objets applicables : metastore du catalogue Unity,
Permet à un utilisateur de créer un partage dans le metastore. Un partage définit un regroupement logique pour les tables que vous souhaitez partager en utilisant Delta Sharing
DÉFINIR L’AUTORISATION DE PARTAGE
Types d’objets applicables : metastore du catalogue Unity,
Dans Delta Sharing, ce privilège, combiné à USE SHARE et USE RECIPIENT (ou la propriété du destinataire), donne à l’utilisateur fournisseur la possibilité d’accorder à un destinataire l’accès à un partage. Combinée à USE SHARE, elle donne la possibilité de transférer la propriété d’un partage à un autre utilisateur, groupe ou principal de service.
UTILISER LES RESSOURCES DE LA PLACE DE MARCHÉ
Types d’objets applicables : metastore du catalogue Unity,
Activé par défaut pour tous les metastores Unity Catalog. Dans la Place de marché Databricks, ce privilège permet à l’utilisateur d’obtenir un accès instantané ou de demander l’accès aux produits de données partagés dans un référencement de la Place de marché. Permet également à un utilisateur d’accéder au catalogue en lecture seule créé lorsqu’un fournisseur partage un produit de données. Sans ce privilège, l’utilisateur aurait besoin des privilèges CREATE CATALOG et USE PROVIDER ou du rôle d’administrateur de metastore. Cela vous permet de limiter le nombre d’utilisateurs dotés de ces autorisations puissantes.
UTILISER LE FOURNISSEUR
Types d’objets applicables : metastore du catalogue Unity,
Dans Delta Sharing, elle donne un accès utilisateur destinataire en lecture seule à tous les fournisseurs dans un metastore destinataire et à leurs partages. Combiné au privilège CREATE CATALOG, ce privilège permet à un utilisateur destinataire, qui n’est pas un administrateur de metastore, de monter un partage en tant que catalogue. Cela vous permet de limiter le nombre d’utilisateurs disposant du rôle d’administrateur puissant dans le metastore.
UTILISER LE DESTINATAIRE
Types d’objets applicables : metastore du catalogue Unity,
Dans Delta Sharing, elle donne un accès utilisateur fournisseur en lecture seule à tous les destinataires d’un metastore fournisseur et à leurs partages. Cela permet à un utilisateur fournisseur qui n’est pas administrateur de metastore d’afficher les détails du destinataire, l’état d’authentification du destinataire et la liste des partages que le fournisseur a partagés avec le destinataire.
Dans la Place de marché Databricks, les utilisateurs fournisseurs ont la possibilité d’afficher les annonces et les requêtes des consommateurs dans la console fournisseur.
UTILISER PARTAGE
Types d’objets applicables : metastore du catalogue Unity,
Dans Delta Sharing, elle donne un accès utilisateur fournisseur en lecture seule à tous les partages définis dans un metastore fournisseur. Cela permet à un utilisateur fournisseur qui n’est pas administrateur de metastore de répertorier les partages et les ressources (tables et notebooks) dans un partage, ainsi que les destinataires du partage.
Dans la Place de marché Databricks, les utilisateurs fournisseurs peuvent afficher des détails sur les données partagées dans une annonce.