Jogosultságok és biztonságos objektumok a Unity Katalógusban
Csak a Következőre vonatkozik: Databricks SQL Databricks Runtime Unity Catalog
A jogosultság a rendszerbiztonsági tagnak a metaadattárban biztonságos objektumon való működésre vonatkozó jogosultsága. A jogosultsági modell és a biztonságos objektumok attól függően különböznek, hogy Unity Catalog-metaadattárat vagy régi Hive-metaadattárat használ. Ez a cikk a Unity-katalógus jogosultsági modelljét ismerteti. Ha a Hive metaadattárat használja, tekintse meg a Hive metaadattár jogosultságait és biztonságos objektumait
Feljegyzés
Ez a cikk a Unity Catalog jogosultságokra és öröklési modellre hivatkozik az 1.0-s verziójú Privilege Modelben. Ha a Unity Catalog metaadattárát a nyilvános előzetes verzió (2022. augusztus 25. előtt) során hozta létre, frissítsen a Privilege Model 1.0-s verziójára a frissítés jogosultságöröklésre való frissítésével.
Biztonságos objektumok
A biztonságos objektum a Unity Catalog metaadattárában definiált objektum, amelyen jogosultságok adhatók a résztvevő számára. A jogosultságok bármely objektumon való kezeléséhez annak tulajdonosának kell lennie.
Syntax
securable_object
{ CATALOG [ catalog_name ] |
CONNECTION connection_name |
EXTERNAL LOCATION location_name |
FUNCTION function_name |
METASTORE |
SCHEMA schema_name |
SHARE share_name |
STORAGE CREDENTIAL credential_name |
[ TABLE ] table_name |
MATERIALIZED VIEW view_name |
VIEW view_name |
VOLUME volume_name
}
A helyett és DATABASE
helyett CONNECTION
SCHEMA
is megadhatóSERVER
.
Paraméterek
CATALOG
catalog_nameA teljes adatkatalógushoz való hozzáférést szabályozza.
CONNECTION
connection_nameSzabályozza a kapcsolathoz való hozzáférést.
EXTERNAL LOCATION
location_nameSzabályozza a külső helyhez való hozzáférést.
FUNCTION
function_nameA felhasználó által definiált függvényekhez való hozzáférést szabályozza.
MATERIALIZED VIEW
view_nameFontos
Ez a funkció a nyilvános előzetes verzióban érhető el.
Szabályozza a materializált nézethez való hozzáférést.
METASTORE
A munkaterülethez csatolt Unity Catalog-metaadattárhoz való hozzáférést szabályozza. Ha egy metaadattárban kezeli a jogosultságokat, a metaadattár neve nem szerepel az SQL-parancsban. A Unity Catalog megadja vagy visszavonja a jogosultságot a munkaterülethez csatolt metaadattárban.
REGISTERED MODEL
Egy regisztrált MLflow-modellhez való hozzáférést szabályozza.
SCHEMA
schema_nameA sémákhoz való hozzáférést szabályozza.
STORAGE CREDENTIAL
credential_nameSHARE
share_nameA megosztások címzettekhez való hozzáférését szabályozza.
TABLE
table_nameFelügyelt vagy külső táblákhoz való hozzáférést szabályozza. Ha a tábla nem található, az Azure Databricks TABLE_OR_VIEW_NOT_FOUND hibát jelez.
VIEW
view_nameA nézethez való hozzáférést szabályozza. Ha a nézet nem található, az Azure Databricks TABLE_OR_VIEW_NOT_FOUND hibát okoz.
VOLUME
volume_nameSzabályozza a kötethez való hozzáférést. Ha a kötet nem található, az Azure Databricks hibát jelez.
Öröklési modell
A Unity Catalog biztonságos objektumai hierarchikusak, a jogosultságok pedig lefelé öröklődnek. Ez azt jelenti, hogy a katalógusban való jogosultság megadása automatikusan megadja a jogosultságot a katalógus összes jelenlegi és jövőbeli sémájának. Hasonlóképpen, a sémán megadott jogosultságokat a séma összes jelenlegi és jövőbeli táblája és nézete örökli.
Ha például egy felhasználónak megadja egy SELECT
séma jogosultságát, a felhasználó automatikusan megkapja a jogosultságot a SELECT
séma összes jelenlegi és jövőbeli tábláján, nézetén és materializált nézetén.
Jogosultságtípusok
Az alábbi táblázat azt mutatja be, hogy mely Unity Catalog-jogosultságok vannak társítva a Unity Catalog biztonságos objektumaival.
Securable | Jogosultságok |
---|---|
Metaadattár | CREATE CATALOG , CREATE CONNECTION , CREATE EXTERNAL LOCATION , CREATE PROVIDER , CREATE RECIPIENT CREATE SHARE , CREATE STORAGE CREDENTIAL , SET SHARE PERMISSION , USE MARKETPLACE ASSETS , , USE PROVIDER , USE RECIPIENT , ,USE SHARE |
Katalógus | ALL PRIVILEGES , APPLY TAG , BROWSE , CREATE SCHEMA USE CATALOG Alapértelmezés szerint minden felhasználó rendelkezik USE CATALOG a main katalógusban.A következő jogosultságtípusok a katalógusban lévő biztonságos objektumokra vonatkoznak. Ezeket a jogosultságokat a katalógus szintjén is megadhatja, hogy azokat a katalógus aktuális és jövőbeli objektumaira alkalmazza. CREATE FUNCTION , CREATE TABLE , CREATE MODEL , CREATE VOLUME , CREATE FOREIGN CATALOG READ VOLUME , REFRESH , WRITE VOLUME , EXECUTE , , MODIFY , SELECT , ,USE SCHEMA |
Séma | ALL PRIVILEGES , APPLY TAG , CREATE FUNCTION , CREATE TABLE CREATE MODEL , CREATE VOLUME , CREATE MATERIALIZED VIEW USE SCHEMA A következő jogosultságtípusok a sémán belüli biztonságos objektumokra vonatkoznak. Ezeket a jogosultságokat sémaszinten is megadhatja, hogy azokat a séma megfelelő aktuális és jövőbeli objektumaira alkalmazza. EXECUTE , MODIFY , SELECT , READ VOLUME REFRESH WRITE VOLUME |
Tábla | ALL PRIVILEGES , APPLY TAG , MODIFY SELECT |
Tényleges táblán alapuló nézet | ALL PRIVILEGES , APPLY TAG , REFRESH SELECT |
Nézet | ALL PRIVILEGES , , APPLY TAG SELECT |
Térfogat | ALL PRIVILEGES , , READ VOLUME WRITE VOLUME |
Külső hely | ALL PRIVILEGES , BROWSE , CREATE EXTERNAL TABLE , CREATE EXTERNAL VOLUME READ FILES , WRITE FILES CREATE MANAGED STORAGE |
Tároló hitelesítő adatai | ALL PRIVILEGES , CREATE EXTERNAL LOCATION , CREATE EXTERNAL TABLE , READ FILES WRITE FILES |
Connection | ALL PRIVILEGES , , CREATE FOREIGN CATALOG USE CONNECTION |
Függvény | ALL PRIVILEGES , EXECUTE |
Regisztrált modell | ALL PRIVILEGES , , APPLY TAG EXECUTE |
Megosztás | SELECT (Megadható RECIPIENT részére) |
Címzett | Egyik sem |
Szolgáltató | Egyik sem |
APPLY TAG
Címkék alkalmazása és szerkesztése egy objektumon.
ALL PRIVILEGES
A biztonságos objektumra és a gyermekobjektumokra vonatkozó összes jogosultság megadására vagy visszavonására szolgál anélkül, hogy azokat kifejezetten megadná. Ez az engedélyek ellenőrzésekor az összes elérhető jogosultságra kiterjed. Nem biztosít külön-külön a felhasználónak minden vonatkozó jogosultságot az engedély megadásának időpontjában.
Ha
ALL PRIVILEGES
visszavonják, csak magát aALL PRIVILEGES
jogosultságot vonják vissza. A felhasználók minden más, számukra külön kapott jogosultságot külön őriznek meg.BROWSE
Fontos
Ez a funkció a nyilvános előzetes verzióban érhető el.
Egy objektum metaadatainak megtekintése a Catalog Explorerrel, a sémaböngészővel, a keresési eredményekkel, a vonalas grafikonlal
information_schema
és a REST API-val. A felhasználónak nincs szüksége aUSE CATALOG
szülőkatalógus vagyUSE SCHEMA
a szülőséma jogosultságára.CREATE CATALOG
Katalógusok létrehozása Unity Catalog-metaadattárban.
CREATE CONNECTION
Hozzon létre idegen kapcsolatokat egy Unity Catalog-metaadattárban.
CREATE EXTERNAL LOCATION
Hozzon létre egy külső helyet a tároló hitelesítő adataival. Tárolási hitelesítő adatra alkalmazva lehetővé teszi a felhasználó számára, hogy külső helyet hozzon létre a tárolási hitelesítő adat használatával. Ezt a jogosultságot a metaadattár egy felhasználójának is meg kell adni ahhoz, hogy külső helyet hozzon létre a metaadattárban.
CREATE EXTERNAL TABLE
Hozzon létre külső táblákat a tároló hitelesítő adataival vagy külső helyével.
CREATE EXTERNAL VOLUME
Külső kötetek létrehozása a külső hely használatával.
CREATE FOREIGN CATALOG
Katalógusok létrehozása idegen kapcsolaton. Ezután minden idegen katalógus elérhetővé teszi az összevont célrendszerben elérhető sémákat.
CREATE FUNCTION
Függvény létrehozása sémában. A felhasználónak szüksége van a
USE CATALOG
katalógusban lévő jogosultságra és aUSE SCHEMA
sémára vonatkozó jogosultságra is.CREATE MANAGED STORAGE
Lehetővé teszi a felhasználó számára, hogy megadja a felügyelt táblák katalógus- vagy sémaszinten történő tárolásának helyét, felülírva a Unity Catalog metaadattár alapértelmezett gyökértárolóját.
CREATE MATERIALIZED VIEW
Lehetővé teszi a felhasználó számára, hogy materializált nézetet hozzon létre a sémában. Mivel a jogosultságok öröklődnek, a
CREATE MATERIALIZED VIEW
is engedélyezhető egy katalógusban, amely lehetővé teszi, hogy a felhasználó táblát vagy nézetet hozzon létre a katalógus bármely meglévő vagy jövőbeli sémájában.A felhasználónak rendelkeznie kell a
USE CATALOG
szülőkatalógusban ésUSE SCHEMA
a szülőséma jogosultságával is.CREATE MODEL
Lehetővé teszi a felhasználó számára, hogy regisztrált MLflow-modellt hozzon létre a sémában. Mivel a jogosultságok öröklődnek,
CREATE MODEL
a katalógusban is megadható, így a felhasználó létrehozhat egy regisztrált modellt a katalógus meglévő vagy jövőbeli sémáiban.A felhasználónak rendelkeznie kell a
USE CATALOG
szülőkatalógusban ésUSE SCHEMA
a szülőséma jogosultságával is.CREATE PROVIDER
(Delta Sharing-adat címzettjeinek) Hozzon létre egy szolgáltatót egy Unity Catalog-metaadattárban.
CREATE RECIPIENT
(Delta Sharing-adatszolgáltatók esetén) Hozzon létre egy címzettet egy Unity Catalog-metaadattárban.
CREATE SCHEMA
Hozzon létre egy sémát egy katalógusban. A felhasználónak szüksége van a
USE CATALOG
katalógusban lévő jogosultságra is.CREATE SHARE
(Delta Sharing-adatszolgáltatók esetén) Megosztás létrehozása Unity Catalog-metaadattárban.
CREATE STORAGE CREDENTIAL
Hozzon létre egy tárolási hitelesítő adatot egy Unity Catalog-metaadattárban.
CREATE TABLE
Hozzon létre egy táblát vagy nézetet egy sémában. A felhasználónak szüksége van a
USE CATALOG
katalógusban lévő jogosultságra és aUSE SCHEMA
sémára vonatkozó jogosultságra is. Külső tábla létrehozásához a felhasználónak szüksége van aCREATE EXTERNAL TABLE
külső helyen vagy a tároló hitelesítő adataira vonatkozó jogosultságra is.CREATE VOLUME
Kötet létrehozása sémában. A felhasználónak szüksége van a
USE CATALOG
katalógusban lévő jogosultságra és aUSE SCHEMA
sémára vonatkozó jogosultságra is. Külső kötet létrehozásához a felhasználónak szüksége van aCREATE EXTERNAL VOLUME
külső helyre vonatkozó jogosultságra is.EXECUTE
Felhasználó által definiált függvény meghívása. A felhasználónak szüksége van a
USE CATALOG
katalógusban lévő jogosultságra és aUSE SCHEMA
sémára vonatkozó jogosultságra is.MODIFY
MÁSOLÁS, TÖRLÉS FRISSÍTÉSE, IN Standard kiadás RT vagy EGYESÍTÉS A táblába.
READ FILES
Közvetlenül a tároló hitelesítő adataival vagy külső helyével kérdezhet le fájlokat.
READ VOLUME
REFRESH
Lehetővé teszi, hogy a felhasználó frissítsen egy materializált nézetet, ha a felhasználó a szülőkatalógusán és
USE SCHEMA
a szülősémán is szerepelUSE CATALOG
. A felhasználónak szüksége van aUSE CATALOG
katalógusban lévő jogosultságra és aUSE SCHEMA
sémára vonatkozó jogosultságra is.SELECT
Lekérdezhet egy táblát vagy nézetet, meghívhat egy felhasználó által definiált vagy névtelen függvényt, vagy kiválaszthatja a lehetőséget
ANY FILE
. A felhasználónak szüksége vanSELECT
a táblára, nézetre vagy függvényre, valamintUSE CATALOG
az objektum katalógusára ésUSE SCHEMA
az objektum sémájára.SET SHARE PERMISSION
A Delta Sharingben ez az engedély és (vagy a címzett tulajdonjoga) lehetővé
USE SHARE
USE RECIPIENT
teszi a szolgáltató felhasználó számára, hogy hozzáférést adjon a címzettnek egy megosztáshoz. Ezzel kombinálvaUSE SHARE
lehetővé teszi egy megosztás tulajdonjogának átadását egy másik felhasználónak, csoportnak vagy szolgáltatásnévnek.USE CATALOG
Kötelező, de nem elegendő a katalógusban lévő objektumokra való hivatkozáshoz. Az egyszerűnek az egyes biztonságos objektumokra vonatkozó jogosultságokkal is rendelkeznie kell. Nem szükséges, hogy a felhasználó egy objektum metaadatait használja a
BROWSE
jogosultság használatával.USE CONNECTION
A metaadattárban való használathoz szükséges a metaadatok olvasása egy idegen kapcsolaton vagy az összes idegen kapcsolaton.
USE MARKETPLACE ASSETS
Alapértelmezés szerint engedélyezve van az összes Unity Catalog-metaadattár esetében. A Databricks Marketplace-en ez a jogosultság lehetővé teszi a felhasználó számára, hogy azonnali hozzáférést kapjon, vagy hozzáférést kérjen a Marketplace-listában megosztott adattermékekhez. Emellett lehetővé teszi a felhasználó számára, hogy hozzáférjen a csak olvasható katalógushoz, amely akkor jön létre, amikor egy szolgáltató megoszt egy adatterméket. E jogosultság nélkül a felhasználónak szüksége lenne az és
USE PROVIDER
aCREATE CATALOG
jogosultságokra vagy a metaadattár-rendszergazdai szerepkörre. Ez lehetővé teszi az ilyen erős engedélyekkel rendelkező felhasználók számának korlátozását.USE PROVIDER
A Delta Sharing szolgáltatásban a címzett felhasználó csak olvasási hozzáférést biztosít a címzett metaadattárban lévő összes szolgáltatóhoz és azok megosztásaihoz. A jogosultsággal kombinálva ez a
CREATE CATALOG
jogosultság lehetővé teszi, hogy a nem metaadattár-rendszergazdai jogosultsággal rendelkező címzett felhasználók katalógusként csatoljanak egy megosztást. Ez lehetővé teszi a hatékony metaadattár-rendszergazdai szerepkörrel rendelkező felhasználók számának korlátozását.USE RECIPIENT
A Delta Sharing szolgáltatásban a szolgáltató felhasználója csak olvasási hozzáférést biztosít a szolgáltató metaadattárában lévő összes címzetthez és a megosztásokhoz. Így a nem metaadattár-rendszergazdaként dolgozó szolgáltatói felhasználók megtekinthetik a címzett adatait, a címzett hitelesítési állapotát és a szolgáltató által a címzettel megosztott megosztások listáját.
A Databricks Marketplace-en ez lehetővé teszi a szolgáltatói felhasználók számára, hogy a szolgáltatói konzolon tekinthetik meg a listákat és a fogyasztói kéréseket.
USE SCHEMA
Szükséges, de nem elegendő a sémában lévő objektumokra való hivatkozáshoz. Az egyszerűnek az egyes biztonságos objektumokra vonatkozó jogosultságokkal is rendelkeznie kell. Nem szükséges, hogy a felhasználó egy objektum metaadatait használja a
BROWSE
jogosultság használatával.USE SHARE
A Delta Sharing szolgáltatásban a szolgáltató felhasználója csak olvasási hozzáférést biztosít a szolgáltatói metaadattárban definiált összes megosztáshoz. Ez lehetővé teszi, hogy a nem metaadattár-rendszergazdai szerepkörrel rendelkező szolgáltatói felhasználók a megosztások és a megosztások címzettjei mellett listázhatják a megosztásban lévő objektumokat (táblákat és jegyzetfüzeteket).
A Databricks Marketplace-en ez lehetővé teszi a szolgáltatói felhasználóknak, hogy megtekintse a listaelemekben megosztott adatok részleteit.
WRITE FILES
Közvetlenül MÁSOLJA BE a tár hitelesítő adatai vagy külső helye által szabályozott fájlokat.
WRITE VOLUME
Fájlok közvetlen másolása kötetbe.
Példák
-- Grant a privilege to the user alf@melmak.et
> GRANT SELECT ON TABLE t TO `alf@melmak.et`;
-- Revoke a privilege from the general public group.
> REVOKE USE SCHEMA ON SCHEMA some_schema FROM `alf@melmak.et`;
Kapcsolódó
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: