Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cette page décrit tous les objets sécurisables dans le catalogue Unity. Un objet sécurisable est un objet défini dans le catalogue Unity sur lequel les privilèges peuvent être accordés à un principal (utilisateur, principal de service ou groupe).
Hiérarchie d’objets du catalogue Unity
Les objets sécurisables dans Unity Catalog sont hiérarchiques. Cette structure hiérarchique fournit la base du contrôle d’accès dans le catalogue Unity.
Le metastore est l’objet sécurisable de niveau supérieur. Dans ce metastore, vos ressources de données vivent dans un espace de noms de trois niveaux qui définit son catalogue, son schéma et son type de ressource, comme la table (catalog.schema.table). Le diagramme suivant met en évidence ces objets sécurisables.
Le diagramme précédent montre les éléments suivants :
-
Les catalogues sont la couche de niveau supérieur pour vos ressources de données. Les catalogues existent directement sous le metastore. Ils sont utilisés pour organiser vos ressources de données et d’IA, généralement par des unités organisationnelles ou des étendues de cycle de vie de développement logiciel.
-
Les schémas existent dans les catalogues. Ils organisent les ressources de données et d’IA en catégories plus granulaires que les catalogues. Un schéma peut représenter un cas d’usage unique, un projet ou un bac à sable d’équipe.
- Les tables sont des collections de données structurées organisées par lignes et colonnes.
- Les vues sont enregistrées des requêtes sur d’autres tables ou vues.
- Les volumes représentent des collections de données non structurées dans le stockage d’objets cloud.
- Les fonctions sont des unités de logique réutilisable qui retournent une valeur scalaire ou un ensemble de lignes.
- Les modèles sont des modèles IA empaquetés avec MLflow et inscrits dans le catalogue Unity en tant que fonctions.
-
Les schémas existent dans les catalogues. Ils organisent les ressources de données et d’IA en catégories plus granulaires que les catalogues. Un schéma peut représenter un cas d’usage unique, un projet ou un bac à sable d’équipe.
Il existe également de nombreux autres objets sécurisables dans le catalogue Unity. Tous ces objets existent directement sous le metastore. Le diagramme suivant met en évidence ces objets sécurisables.
Ces objets sécurisables peuvent être catégorisés en deux groupes. Le premier groupe inclut des objets qui gèrent l’accès au stockage cloud et à d’autres sources et services de données externes :
- Les informations d’identification de stockage sont des objets qui représentent les informations d’authentification requises pour accéder à un chemin spécifique dans le stockage cloud.
- Les emplacements externes sont des objets qui représentent un chemin d’accès spécifique dans le stockage cloud. Il inclut également une référence aux informations d’identification de stockage requises pour accéder à ce chemin.
- Un objet de métadonnées externe est utilisé pour définir des relations de traçabilité de données personnalisées pour les systèmes qui opèrent en dehors du catalogue Unity.
- Les informations d’identification du service sont des objets qui représentent les informations d’authentification requises pour accéder aux services cloud externes.
- Les connexions sont des objets qui représentent une connexion à un système de base de données externe.
Le deuxième groupe comprend des objets qui gèrent l’accès aux données et au partage de ressources IA entre les limites du metastore ou de l’organisation :
- Les partages sont des objets qui représentent un regroupement logique de ressources de données que vous envisagez de partager avec des destinataires externes.
- Les fournisseurs sont des objets qui représentent une organisation externe ou un groupe d’utilisateurs qui ont partagé des données avec votre organisation.
- Les destinataires sont des objets qui représentent une organisation externe ou un groupe d’utilisateurs avec utilisant un fournisseur qui partage des données.
- Les salles propres sont des objets qui représentent un environnement sécurisé pour la collaboration avec d’autres organisations sans exposer de données sous-jacentes.
Les sections suivantes décrivent plus en détail chaque objet sécurisable.
Metastore
Le metastore est l’objet sécurisable de niveau supérieur dans le catalogue Unity. Un metastore contient tous les objets sécurisables inscrits dans le catalogue Unity dans une seule région cloud. Ces objets incluent non seulement les catalogues qui organisent vos données, mais également les objets qui contrôlent la façon dont les données sont accessibles et partagées, telles que les informations d’identification du service, les informations d’identification de stockage, les emplacements externes, les connexions, les partages, les destinataires, les fournisseurs et les salles propres.
Le tableau suivant récapitule les détails importants sur le metastore :
| Détails | Description |
|---|---|
| Étendue | Un metastore est étendu à une seule région cloud. Votre organisation nécessite un metastore par région dans laquelle elle fonctionne. Un metastore unique peut être attaché à plusieurs espaces de travail dans la même région. Les autorisations accordées dans un metastore s’appliquent à tous les espaces de travail attachés à ce metastore. En d’autres termes, un privilège accordé dans un espace de travail est efficace dans tous les autres espaces de travail partageant ce metastore. |
| Privilèges de metastore | Les privilèges sur le metastore autorisent les opérations au niveau du metastore. Par exemple, CREATE CATALOG permet à un utilisateur de créer un catalogue dans le metastore. Toutefois, cela n’accorde pas à l’utilisateur l’accès aux données dans le catalogue. Pour obtenir la liste complète des privilèges applicables, consultez la table des types de privilèges.Il est important de noter que les privilèges accordés au niveau du metastore n’héritent pas des objets enfants de la hiérarchie. Les subventions au niveau du metastore sont limitées aux opérations au niveau du metastore uniquement. Cela diffère du comportement d’héritage des privilèges pour les octrois de catalogue et de schéma, où les privilèges hérités s’appliquent automatiquement à tous les objets enfants actuels et futurs. Consultez l’héritage des privilèges. |
| Administrateurs de metastore | L’administrateur du metastore est un rôle facultatif dans Azure Databricks. Il est attribué par les administrateurs de compte. Certaines fonctionnalités sont disponibles uniquement pour les administrateurs de metastore, notamment la suppression du metastore, la gestion des affectations d’espace de travail et la prise en charge d’un objet dans le metastore, ce qui donne un accès indirect à toutes les données du metastore. Ces fonctionnalités ne peuvent pas être accordées via des octrois de privilèges standard. Voir les Administrateurs de metastore. Lorsqu’un espace de travail est activé automatiquement pour le catalogue Unity, les administrateurs de l’espace de travail reçoivent un ensemble par défaut de privilèges au niveau du metastore, notamment CREATE CATALOG, CREATE STORAGE CREDENTIALet CREATE EXTERNAL LOCATION. Ceux-ci ne sont pas transférés vers d’autres espaces de travail attachés au même metastore. Consultez les privilèges d’administrateur de l’espace de travail lorsque les espaces de travail sont activés automatiquement pour le catalogue Unity. |
Catalog
Dans un metastore, un catalogue est la première couche de niveau supérieur pour vos ressources de données. Les catalogues sont des objets conteneur. Un catalogue contient des schémas, qui contiennent à leur tour des tables, des vues, des volumes et des fonctions.
Nous faisons souvent référence à l'« espace de noms de trois niveaux » (catalog.schema.table) pour les données dans le catalogue Unity. Ici, le catalogue est la première couche de l’espace de noms à trois niveaux.
Le tableau suivant récapitule les détails importants sur les catalogues :
| Détails | Description |
|---|---|
| Héritage | Les privilèges accordés sur un catalogue s’appliquent automatiquement à tous les schémas, tables, vues, volumes et fonctions actuels et futurs. Par exemple, l’octroi SELECT d’un catalogue permet à un utilisateur de lire n’importe quelle table de ce catalogue (avec les privilèges appropriésUSE CATALOG et USE SCHEMA d’utilisation). Consultez l’héritage des privilèges.En raison de l’héritage, les privilèges au niveau du catalogue sont larges. Soyez prudent lors de leur octroi aux utilisateurs. |
Privilège d’utilisation (USE CATALOG) |
Le USE CATALOGprivilège d’utilisation est requis avant qu’un utilisateur puisse interagir avec n’importe quel objet d’un catalogue. Ceci est indépendamment des privilèges qu’ils détiennent sur les objets enfants. |
Le BROWSE privilège |
L’octroi du BROWSE privilège à un utilisateur sur un catalogue leur permet de découvrir et d’afficher les métadonnées pour tous les objets du catalogue, notamment les schémas enfants, les tables, les vues, les volumes et les fonctions, sans accorder l’accès aux données.
BROWSE ne peut être accordé qu’au niveau du catalogue.Databricks recommande d’accorder BROWSE au All account users groupe afin que les utilisateurs puissent découvrir les données et demander l’accès en fonction des besoins. |
| Liaison d’espace de travail | Par défaut, un catalogue est accessible à partir de tous les espaces de travail attachés au même metastore. Vous pouvez limiter cela en liant le catalogue à des espaces de travail spécifiques, éventuellement en lecture seule. La liaison d’espace de travail remplace les octrois de privilèges individuels. Même un utilisateur disposant d’une autorisation explicite SELECT ne peut pas accéder à un objet dans un catalogue qui n’est pas lié à son espace de travail. Consultez Limiter l’accès au catalogue à des espaces de travail spécifiques. |
Pour plus d’informations sur les catalogues, consultez Qu’est-ce que les catalogues dans Azure Databricks ?.
Schema
Dans un catalogue, un schéma (également appelé base de données) est la deuxième couche de la hiérarchie d’objets pour vos ressources de données. Les schémas sont des objets conteneur. Un schéma contient des tables, des vues, des volumes et des fonctions.
Nous faisons fréquemment référence à l’espace de noms de trois niveaux (autrement dit, catalog.schema.table) pour les données du catalogue Unity. Ici, le schéma est la deuxième couche de l’espace de noms à trois niveaux.
Le tableau suivant récapitule les détails importants sur les schémas :
| Détails | Description |
|---|---|
| Héritage | Les privilèges accordés sur un schéma s’appliquent automatiquement à toutes les tables, vues, volumes et fonctions actuels et futurs. Par exemple, l’octroi SELECT d’un schéma permet à un utilisateur de lire une table dans ce schéma (avec les privilèges appropriésUSE CATALOG et USE SCHEMA d’utilisation). Consultez l’héritage des privilèges.En raison de l’héritage, les privilèges au niveau du schéma peuvent être larges. Passez en revue les objets contenus dans le schéma avant d’accorder des privilèges aux utilisateurs. |
Privilège d’utilisation (USE SCHEMA) |
Le USE SCHEMAprivilège d’utilisation est requis avant qu’un utilisateur puisse interagir avec n’importe quel objet dans un schéma. Cela s’ajoute au USE CATALOG catalogue parent du schéma. Une USE SCHEMA octroi ne fournit pas lui-même l’accès aux données dans le schéma. |
Pour plus d’informations sur les schémas, consultez Schémas.
Table
Dans un schéma, une table est l’objet sécurisable principal pour les données structurées dans Unity Catalog. Voici les types de tables dans Azure Databricks :
- Les tables managées sont des tables où le chemin d’accès de l’emplacement de stockage est déterminé par le catalogue Unity. Il est important de noter que les données elles-mêmes vivent toujours dans votre compte cloud. Databricks recommande d’utiliser des tables managées pour tirer parti des dernières fonctionnalités de table. Consultez les tables managées du catalogue Unity dans Azure Databricks pour Delta Lake et Apache Iceberg.
- Les tables externes sont des tables où vous spécifiez le chemin d’accès de l’emplacement de stockage. Unity Catalog continue de gérer les métadonnées de la table, mais ne gère pas le cycle de vie, l’optimisation, l’emplacement de stockage ou la disposition des données. Consultez Utiliser des tables externes.
- Les tables étrangères sont des tables d’un catalogue étranger inscrit dans le catalogue Unity. Voir Utiliser des tables étrangères.
Le tableau suivant récapitule les détails importants sur les tables :
| Détails | Description |
|---|---|
| Privilèges d’utilisation | Pour accéder à une table, un utilisateur doit avoir USE CATALOG sur le catalogue parent et USE SCHEMA sur le schéma parent (privilèges d’utilisation), en plus des privilèges de niveau table appropriés tels que SELECT ou MODIFY. |
| Héritage | Les privilèges de table peuvent être hérités du schéma parent ou du catalogue. Par exemple, l’octroi SELECT d’un schéma accorde SELECT automatiquement sur toutes les tables actuelles et futures de ce schéma. Consultez l’héritage des privilèges. |
| Accès en lecture et écriture | Permet SELECT d’accorder l’accès en lecture et MODIFY d’accorder un accès en écriture (insertion, mise à jour, suppression). Les tables étrangères accessibles via Lakehouse Federation sont en lecture seule et ne prennent pas en charge le MODIFY privilège. |
Pour plus d’informations sur les tables, consultez les tables Azure Databricks.
View
Dans un schéma, une vue est un objet en lecture seule défini par une requête SQL stockée sur une ou plusieurs tables ou d’autres vues. Affiche les résultats de la recompilation sur chaque requête.
Le tableau suivant récapitule les détails importants sur les vues :
| Détails | Description |
|---|---|
| Privilèges d’utilisation | Pour accéder à une vue, un utilisateur doit avoir USE CATALOG sur le catalogue parent et USE SCHEMA sur le schéma parent (privilèges d’utilisation), en plus SELECT de la vue.L’utilisateur n’a pas besoin de privilèges sur les tables sous-jacentes que l’affichage interroge. Les privilèges du propriétaire de la vue sont utilisés pour résoudre les tables sous-jacentes au moment de la requête. Pour les propriétaires de tables, cela rend les vues utiles pour restreindre l’accès à des lignes ou colonnes spécifiques sans exposer directement les tables sous-jacentes. |
| Héritage |
SELECT accordé au niveau du schéma ou du catalogue s’applique à toutes les vues actuelles et futures de ce schéma ou catalogue. Consultez l’héritage des privilèges. |
Pour plus d’informations sur les vues, consultez Qu’est-ce qu’une vue ?.
Vue matérialisée
Une vue matérialisée est une vue qui pré-calcule et stocke ses résultats de requête. Les résultats reflètent l’état des données au moment où la vue matérialisée a été actualisée pour la dernière fois.
Le modèle d’autorisations pour les vues matérialisées est identique à celui des vues standard. En plus SELECT des MANAGEvues matérialisées prennent en charge le REFRESH privilège, ce qui permet à un utilisateur de déclencher une actualisation des résultats de la vue matérialisée. Les utilisateurs avec uniquement SELECT et les privilèges d’utilisation appropriés peuvent interroger les résultats stockés, mais ne peuvent pas déclencher une actualisation.
Pour plus d’informations sur les vues matérialisées, consultez Vues matérialisées.
Vue des métriques
Une vue de métrique est un objet en lecture seule qui définit un ensemble de définitions de métriques réutilisables basées sur une ou plusieurs tables, vues ou requêtes SQL. Les utilisateurs interrogent une vue de métrique, car ils le feraient pour une vue standard.
Le modèle d’autorisations pour les vues matérialisées est identique à celui des vues standard. Les utilisateurs ont besoin SELECT et les privilèges d’utilisation appropriés pour interroger l’affichage des métriques. Les privilèges du propriétaire de la vue de métrique sont utilisés pour résoudre les sources de données sous-jacentes au moment de la requête.
Pour plus d’informations sur les vues de métriques, consultez vues de métriques du catalogue Unity.
Volume
Dans un schéma, un volume est un objet sécurisable pour les données non structurées dans le stockage cloud. Les volumes peuvent être gérés (emplacement de stockage déterminé par le catalogue Unity) ou externe (vous spécifiez le chemin de stockage). Contrairement aux tables et vues, les volumes ne prennent pas en charge les opérations de requête SQL : ils fournissent un accès en lecture et écriture au niveau du fichier aux données dans le stockage cloud. Voici les types de volumes dans Azure Databricks :
- Les volumes managés sont des volumes où le chemin d’accès de l’emplacement de stockage est déterminé par le catalogue Unity. Il est important de noter que les données elles-mêmes vivent toujours dans votre compte cloud. Databricks recommande d’utiliser des volumes managés pour que Unity Catalog régisse automatiquement tous les accès aux données.
- Les volumes externes sont des volumes dans lesquels vous spécifiez le chemin d’accès de l’emplacement de stockage. Vous pouvez utiliser des volumes externes si vous avez besoin d’un accès système externe en dehors d’Azure Databricks, mais soyez prudent que les systèmes externes peuvent contourner la gouvernance du catalogue Unity.
Le tableau suivant récapitule les détails importants sur les volumes :
| Détails | Description |
|---|---|
| Privilèges d’utilisation | Pour accéder aux fichiers d’un volume, un utilisateur doit avoir USE CATALOG sur le catalogue parent et USE SCHEMA sur le schéma parent (privilèges d’utilisation), en plus READ VOLUME ou WRITE VOLUME sur le volume. |
| Accès en lecture et écriture | Permet READ VOLUME de lire des fichiers et des répertoires stockés dans un volume et WRITE VOLUME d’accorder la possibilité d’ajouter, de modifier ou de supprimer des fichiers. |
| Héritage |
READ VOLUME et WRITE VOLUME accordés au niveau du schéma ou du catalogue s’appliquent à tous les volumes actuels et futurs de ce schéma ou catalogue. Consultez l’héritage des privilèges. |
Pour plus d’informations sur les volumes, consultez la présentation des volumes Unity Catalog.
Fonction
Dans un schéma, une fonction est un objet sécurisable dans le catalogue Unity qui représente une logique exécutable réutilisable. Les fonctions incluent les fonctions définies par l’utilisateur (UDF), les procédures stockées et les modèles inscrits (modèles MLflow inscrits dans le catalogue Unity).
- Les fonctions définies par l’utilisateur (UDF) sont des fonctions personnalisées écrites dans SQL ou Python qui peuvent être appelées dans les requêtes SQL et les notebooks. Consultez Que sont les fonctions définies par l’utilisateur (UDF) ?.
- Les procédures stockées sont des routines définies par l’utilisateur qui exécutent une séquence d’instructions SQL et peuvent inclure des effets secondaires tels que l’insertion ou la mise à jour des données.
- Les modèles inscrits sont des modèles Machine Learning MLflow inscrits dans le catalogue Unity. Dans le catalogue Unity, les modèles inscrits sont implémentés en tant que type de fonction. Consultez Gérer le cycle de vie des modèles dans Unity Catalog.
Le tableau suivant récapitule les détails importants sur les fonctions :
| Détails | Description |
|---|---|
| Privilèges d’utilisation | Pour exécuter une fonction ou charger un modèle inscrit, un utilisateur doit avoir USE CATALOG sur le catalogue parent et USE SCHEMA sur le schéma parent (privilèges d’utilisation), en plus EXECUTE de la fonction. |
Le EXECUTE privilège |
L’octroi EXECUTE à un utilisateur sur une fonction leur permet d’appeler la fonction et d’afficher sa définition et ses métadonnées. Pour les modèles inscrits, EXECUTE permet également à l’utilisateur d’afficher les métadonnées de toutes les versions du modèle inscrit et de télécharger des fichiers de modèle. |
| Héritage |
EXECUTE accordé au niveau du schéma ou du catalogue s’applique à toutes les fonctions actuelles et futures de ce schéma ou catalogue. Consultez l’héritage des privilèges. |
Modèle
Un modèle est un modèle MLflow machine learning versionné stocké dans le catalogue Unity en tant qu’objet de fonction . Le modèle lui-même est le conteneur. Les artefacts et métadonnées de chaque exécution d’entraînement sont stockés en tant que versions de modèle .
Le modèle d’autorisations pour les modèles inscrits est identique à celui des fonctions. Les privilèges supplémentaires suivants s’appliquent spécifiquement aux modèles :
APPLY TAG: permet d’ajouter et de modifier des balises sur un modèle et ses versions. L’utilisateur doit également avoirUSE CATALOGsur le catalogue parent etUSE SCHEMAsur le schéma parent.CREATE MODEL VERSION: permet à un utilisateur d’inscrire de nouvelles versions d’un modèle sans lui accorder la possibilité d’exécuter, de modifier ou d’ajouter des balises au modèle. L’utilisateur doit également avoirUSE CATALOGsur le catalogue parent etUSE SCHEMAsur le schéma parent.
La création d’un modèle nécessite le CREATE MODEL privilège sur le schéma, et non CREATE FUNCTIONpas .
CREATE MODEL peut également être accordé sur un catalogue pour autoriser la création de modèles dans n’importe quel schéma de ce catalogue.
Pour plus d’informations sur les modèles, consultez Gérer le cycle de vie des modèles dans le catalogue Unity.
Informations d’identification du stockage
Dans un metastore, les informations d’identification de stockage sont un objet sécurisable qui stocke les informations d’authentification requises pour accéder à un chemin spécifique dans le stockage cloud. La méthode d’authentification stockée dépend du fournisseur de cloud : un rôle IAM sur AWS, un principal de service sur Azure ou un compte de service sur GCP.
Les informations d’identification de stockage sont les plus couramment utilisées comme bloc de construction pour les emplacements externes, qui associent des informations d’identification de stockage à un chemin de stockage cloud spécifique. Les informations d’identification de stockage peuvent également être utilisées directement pour créer des tables externes.
Pour créer des informations d’identification de stockage, un utilisateur a besoin du CREATE STORAGE CREDENTIAL privilège sur le metastore du catalogue Unity.
Pour plus d’informations sur les informations d’identification de stockage, consultez Vue d’ensemble des informations d’identification de stockage.
Emplacement externe
Dans un metastore, un emplacement externe est un objet sécurisable qui associe des informations d’identification de stockage à un chemin de stockage cloud. Il régit l’accès à un chemin spécifique dans le stockage cloud.
Pour créer un emplacement externe, un utilisateur a besoin du CREATE EXTERNAL LOCATION privilège sur le metastore du catalogue Unity.
Après avoir créé un emplacement externe, les utilisateurs ont besoin du READ FILES privilège de lire des fichiers directement à partir du chemin d’accès de stockage et du WRITE FILES privilège d’écriture de fichiers. Toutefois, Databricks recommande de gérer l’accès au stockage cloud via les volumes et les READ VOLUMEWRITE VOLUMEprivilèges plutôt que d’accorder READ FILES et WRITE FILES directement sur des emplacements externes.
Pour plus d’informations sur les emplacements externes, consultez Vue d’ensemble des emplacements externes.
Métadonnées externes
Dans un metastore, un objet de métadonnées externe est un objet sécurisable utilisé pour définir des relations de traçabilité de données personnalisées pour les systèmes qui opèrent en dehors du suivi de traçabilité natif de Unity Catalog.
Pour créer un objet de métadonnées externe, un utilisateur a besoin du CREATE EXTERNAL METADATA privilège sur le metastore du catalogue Unity. Pour ajouter ou modifier des relations de traçabilité sur l’objet, l’utilisateur a besoin MODIFY sur l’objet de métadonnées externes, ainsi que les privilèges appropriés sur tous les objets catalogue Unity référencés dans la relation.
Pour plus d’informations sur les métadonnées externes, consultez Afficher la traçabilité des données à l’aide du catalogue Unity.
Informations d’identification du service
Dans un metastore, les informations d’identification du service sont un objet sécurisable qui stocke les informations d’authentification pour accéder aux services cloud externes. Cela est différent des informations d’identification de stockage, qui régissent l’accès au stockage cloud.
Pour créer des informations d’identification de service, un utilisateur a besoin du CREATE SERVICE CREDENTIAL privilège sur le metastore du catalogue Unity.
Le ACCESS privilège permet à un utilisateur d’utiliser les informations d’identification du service pour accéder à un service externe.
CREATE CONNECTION sur les informations d’identification d’un service (combinées avec CREATE CONNECTION sur le metastore) permet à un utilisateur de créer une connexion à une base de données externe à l’aide de ces informations d’identification.
Pour plus d’informations sur les informations d’identification du service, consultez Créer des informations d’identification de service.
Connexion
Dans un metastore, une connexion est un objet sécurisable qui définit une connexion à un système de base de données externe dans un scénario de fédération Lakehouse .
Pour créer une connexion, un utilisateur a besoin du CREATE CONNECTION privilège sur le metastore Du catalogue Unity. Si la connexion utilise des informations d’identification de service, l’utilisateur a également besoin CREATE CONNECTION des informations d’identification de ce service.
Le USE CONNECTION privilège permet à un utilisateur de répertorier et d’afficher les détails de connexion et d’utiliser la remote_query fonction pour exécuter des requêtes SQL directement sur la base de données externe.
CREATE FOREIGN CATALOG sur une connexion permet à un utilisateur de créer un catalogue étranger soutenu par cette connexion.
Pour plus d’informations sur les connexions, consultez Gérer les connexions pour la fédération Lakehouse.
Share
Dans un metastore, un partage est un objet sécurisable dans Delta Sharing qui représente un regroupement logique de ressources de données (tables, vues et volumes). Un fournisseur peut ensuite rendre le partage disponible pour les destinataires externes.
Le SELECT privilège sur un partage est accordé à un destinataire (pas à des utilisateurs individuels) pour permettre à ce destinataire de lire les ressources du partage. Pour créer un partage, un utilisateur a besoin du CREATE SHARE privilège sur le metastore du catalogue Unity.
Pour plus d’informations sur les partages, consultez Créer et gérer des partages pour le partage Delta.
Fournisseur
Dans un metastore, un fournisseur est un objet sécurisable dans Delta Sharing qui représente une organisation externe qui a partagé des données avec votre organisation. Les objets de fournisseur sont créés dans le metastore du catalogue Unity du destinataire. Le USE PROVIDER privilège permet à un utilisateur d’afficher tous les fournisseurs et leurs partages, et, combiné avec CREATE CATALOG, de monter un catalogue partagé sans nécessiter le rôle d’administrateur du metastore.
Pour créer un fournisseur, un utilisateur a besoin du CREATE PROVIDER privilège sur le metastore du catalogue Unity.
Pour plus d’informations sur les fournisseurs, consultez Qu’est-ce que le partage Delta ?.
Recipient
Dans un metastore, un destinataire est un objet sécurisable dans Delta Sharing qui représente une organisation externe ou un groupe d’utilisateurs avec utilisant un fournisseur qui partage des données. Les objets destinataires sont créés dans le metastore du catalogue Unity du fournisseur. Aucun privilège ne peut être accordé sur un objet destinataire lui-même. L’accès aux données partagées est contrôlé par l’octroi SELECT d’un partage au destinataire.
Pour créer un destinataire, un utilisateur a besoin du CREATE RECIPIENT privilège sur le metastore du catalogue Unity.
Pour plus d’informations sur les destinataires, consultez Créer et gérer des destinataires de données pour le partage Delta (partage Databricks-to-Databricks).
Salle blanche
Dans un metastore, une salle propre est un objet sécurisable qui fournit un environnement sécurisé pour collaborer avec d’autres organisations sur des données partagées sans que l’une ou l’autre partie expose leurs données sous-jacentes à l’autre.
Pour créer une salle propre, un utilisateur a besoin du CREATE CLEAN ROOM privilège sur le metastore du catalogue Unity.
Le EXECUTE CLEAN ROOM TASK privilège permet à un utilisateur d’exécuter des blocs-notes à l’intérieur de la salle propre et d’afficher les détails de la salle propre. Le MODIFY CLEAN ROOM privilège permet à un utilisateur de mettre à jour la salle propre, notamment l’ajout ou la suppression de ressources de données, de notebooks et de commentaires.
Pour plus d’informations sur les salles propres, consultez Qu’est-ce qu’Azure Databricks Clean Rooms ?.