Jogosultságok és biztonságos objektumok a Unity Katalógusban

  • Cikk

Csak a Következőre vonatkozik:jelölje be az igennel jelölt jelölőnégyzetet Databricks SQL jelölje be az igennel jelölt jelölőnégyzetet Databricks Runtime jelölje be az igennel jelölt jelölőnégyzetet Unity Catalog

A jogosultság a rendszerbiztonsági tagnak a metaadattárban biztonságos objektumon való működésre vonatkozó jogosultsága. A jogosultsági modell és a biztonságos objektumok attól függően különböznek, hogy Unity Catalog-metaadattárat vagy régi Hive-metaadattárat használ. Ez a cikk a Unity-katalógus jogosultsági modelljét ismerteti. Ha a Hive metaadattárat használja, tekintse meg a Hive metaadattár jogosultságait és biztonságos objektumait

Feljegyzés

Ez a cikk a Unity Catalog jogosultságokra és öröklési modellre hivatkozik az 1.0-s verziójú Privilege Modelben. Ha a Unity Catalog metaadattárát a nyilvános előzetes verzió (2022. augusztus 25. előtt) során hozta létre, frissítsen a Privilege Model 1.0-s verziójára a frissítés jogosultságöröklésre való frissítésével.

Biztonságos objektumok

A biztonságos objektum a Unity Catalog metaadattárában definiált objektum, amelyen jogosultságok adhatók a résztvevő számára. A jogosultságok bármely objektumon való kezeléséhez annak tulajdonosának kell lennie.

Syntax

securable_object
  { CATALOG [ catalog_name ] |
    CONNECTION connection_name |
    EXTERNAL LOCATION location_name |
    FUNCTION function_name |
    METASTORE |
    SCHEMA schema_name |
    SHARE share_name |
    STORAGE CREDENTIAL credential_name |
    [ TABLE ] table_name |
    MATERIALIZED VIEW view_name |
    VIEW view_name |
    VOLUME volume_name
  }

A helyett és DATABASE helyett CONNECTIONSCHEMAis megadhatóSERVER.

Paraméterek

  • CATALOGcatalog_name

    A teljes adatkatalógushoz való hozzáférést szabályozza.

  • CONNECTIONconnection_name

    Szabályozza a kapcsolathoz való hozzáférést.

  • EXTERNAL LOCATIONlocation_name

    Szabályozza a külső helyhez való hozzáférést.

  • FUNCTIONfunction_name

    A felhasználó által definiált függvényekhez való hozzáférést szabályozza.

  • MATERIALIZED VIEWview_name

    Fontos

    Ez a funkció a nyilvános előzetes verzióban érhető el.

    Szabályozza a materializált nézethez való hozzáférést.

  • METASTORE

    A munkaterülethez csatolt Unity Catalog-metaadattárhoz való hozzáférést szabályozza. Ha egy metaadattárban kezeli a jogosultságokat, a metaadattár neve nem szerepel az SQL-parancsban. A Unity Catalog megadja vagy visszavonja a jogosultságot a munkaterülethez csatolt metaadattárban.

  • REGISTERED MODEL

    Egy regisztrált MLflow-modellhez való hozzáférést szabályozza.

  • SCHEMAschema_name

    A sémákhoz való hozzáférést szabályozza.

  • STORAGE CREDENTIALcredential_name

    A tároló hitelesítő adataihoz való hozzáférést szabályozza.

  • SHAREshare_name

    A megosztások címzettekhez való hozzáférését szabályozza.

  • TABLEtable_name

    Felügyelt vagy külső táblákhoz való hozzáférést szabályozza. Ha a tábla nem található, az Azure Databricks TABLE_OR_VIEW_NOT_FOUND hibát jelez.

  • VIEWview_name

    A nézethez való hozzáférést szabályozza. Ha a nézet nem található, az Azure Databricks TABLE_OR_VIEW_NOT_FOUND hibát okoz.

  • VOLUMEvolume_name

    Szabályozza a kötethez való hozzáférést. Ha a kötet nem található, az Azure Databricks hibát jelez.

Öröklési modell

A Unity Catalog biztonságos objektumai hierarchikusak, a jogosultságok pedig lefelé öröklődnek. Ez azt jelenti, hogy a katalógusban való jogosultság megadása automatikusan megadja a jogosultságot a katalógus összes jelenlegi és jövőbeli sémájának. Hasonlóképpen, a sémán megadott jogosultságokat a séma összes jelenlegi és jövőbeli táblája és nézete örökli.

Ha például egy felhasználónak megadja egy SELECT séma jogosultságát, a felhasználó automatikusan megkapja a jogosultságot a SELECT séma összes jelenlegi és jövőbeli tábláján, nézetén és materializált nézetén.

Jogosultságtípusok

Az alábbi táblázat azt mutatja be, hogy mely Unity Catalog-jogosultságok vannak társítva a Unity Catalog biztonságos objektumaival.

Securable Jogosultságok
Metaadattár CREATE CATALOG, CREATE CONNECTION, CREATE EXTERNAL LOCATION, CREATE PROVIDER, CREATE RECIPIENTCREATE SHARE, CREATE STORAGE CREDENTIAL, SET SHARE PERMISSION, USE MARKETPLACE ASSETS, , USE PROVIDER, USE RECIPIENT, ,USE SHARE
Katalógus ALL PRIVILEGES, APPLY TAG, BROWSE, CREATE SCHEMAUSE CATALOG

Alapértelmezés szerint minden felhasználó rendelkezik USE CATALOG a main katalógusban.

A következő jogosultságtípusok a katalógusban lévő biztonságos objektumokra vonatkoznak. Ezeket a jogosultságokat a katalógus szintjén is megadhatja, hogy azokat a katalógus aktuális és jövőbeli objektumaira alkalmazza.

CREATE FUNCTION, CREATE TABLE, CREATE MODEL, CREATE VOLUME, CREATE FOREIGN CATALOGREAD VOLUME, REFRESH, WRITE VOLUME, EXECUTE, , MODIFY, SELECT, ,USE SCHEMA
Séma ALL PRIVILEGES, APPLY TAG, CREATE FUNCTION, CREATE TABLECREATE MODEL, CREATE VOLUME, CREATE MATERIALIZED VIEWUSE SCHEMA

A következő jogosultságtípusok a sémán belüli biztonságos objektumokra vonatkoznak. Ezeket a jogosultságokat sémaszinten is megadhatja, hogy azokat a séma megfelelő aktuális és jövőbeli objektumaira alkalmazza.

EXECUTE, MODIFY, SELECT, READ VOLUMEREFRESHWRITE VOLUME
Tábla ALL PRIVILEGES, APPLY TAG, MODIFYSELECT
Tényleges táblán alapuló nézet ALL PRIVILEGES, APPLY TAG, REFRESHSELECT
Nézet ALL PRIVILEGES, , APPLY TAGSELECT
Térfogat ALL PRIVILEGES, , READ VOLUMEWRITE VOLUME
Külső hely ALL PRIVILEGES, BROWSE, CREATE EXTERNAL TABLE, CREATE EXTERNAL VOLUMEREAD FILES, WRITE FILESCREATE MANAGED STORAGE
Tároló hitelesítő adatai ALL PRIVILEGES, CREATE EXTERNAL LOCATION, CREATE EXTERNAL TABLE, READ FILESWRITE FILES
Connection ALL PRIVILEGES, , CREATE FOREIGN CATALOGUSE CONNECTION
Függvény ALL PRIVILEGES, EXECUTE
Regisztrált modell ALL PRIVILEGES, , APPLY TAGEXECUTE
Megosztás SELECT(Megadható RECIPIENT részére)
Címzett Egyik sem
Szolgáltató Egyik sem

  • APPLY TAG

    Címkék alkalmazása és szerkesztése egy objektumon.

  • ALL PRIVILEGES

    A biztonságos objektumra és a gyermekobjektumokra vonatkozó összes jogosultság megadására vagy visszavonására szolgál anélkül, hogy azokat kifejezetten megadná. Ez az engedélyek ellenőrzésekor az összes elérhető jogosultságra kiterjed. Nem biztosít külön-külön a felhasználónak minden vonatkozó jogosultságot az engedély megadásának időpontjában.

    Ha ALL PRIVILEGES visszavonják, csak magát a ALL PRIVILEGES jogosultságot vonják vissza. A felhasználók minden más, számukra külön kapott jogosultságot külön őriznek meg.

  • BROWSE

    Fontos

    Ez a funkció a nyilvános előzetes verzióban érhető el.

    Egy objektum metaadatainak megtekintése a Catalog Explorerrel, a sémaböngészővel, a keresési eredményekkel, a vonalas grafikonlal information_schemaés a REST API-val. A felhasználónak nincs szüksége a USE CATALOG szülőkatalógus vagy USE SCHEMA a szülőséma jogosultságára.

  • CREATE CATALOG

    Katalógusok létrehozása Unity Catalog-metaadattárban.

  • CREATE CONNECTION

    Hozzon létre idegen kapcsolatokat egy Unity Catalog-metaadattárban.

  • CREATE EXTERNAL LOCATION

    Hozzon létre egy külső helyet a tároló hitelesítő adataival. Tárolási hitelesítő adatra alkalmazva lehetővé teszi a felhasználó számára, hogy külső helyet hozzon létre a tárolási hitelesítő adat használatával. Ezt a jogosultságot a metaadattár egy felhasználójának is meg kell adni ahhoz, hogy külső helyet hozzon létre a metaadattárban.

  • CREATE EXTERNAL TABLE

    Hozzon létre külső táblákat a tároló hitelesítő adataival vagy külső helyével.

  • CREATE EXTERNAL VOLUME

    Külső kötetek létrehozása a külső hely használatával.

  • CREATE FOREIGN CATALOG

    Katalógusok létrehozása idegen kapcsolaton. Ezután minden idegen katalógus elérhetővé teszi az összevont célrendszerben elérhető sémákat.

  • CREATE FUNCTION

    Függvény létrehozása sémában. A felhasználónak szüksége van a USE CATALOG katalógusban lévő jogosultságra és a USE SCHEMA sémára vonatkozó jogosultságra is.

  • CREATE MANAGED STORAGE

    Lehetővé teszi a felhasználó számára, hogy megadja a felügyelt táblák katalógus- vagy sémaszinten történő tárolásának helyét, felülírva a Unity Catalog metaadattár alapértelmezett gyökértárolóját.

  • CREATE MATERIALIZED VIEW

    Lehetővé teszi a felhasználó számára, hogy materializált nézetet hozzon létre a sémában. Mivel a jogosultságok öröklődnek, a CREATE MATERIALIZED VIEW is engedélyezhető egy katalógusban, amely lehetővé teszi, hogy a felhasználó táblát vagy nézetet hozzon létre a katalógus bármely meglévő vagy jövőbeli sémájában.

    A felhasználónak rendelkeznie kell a USE CATALOG szülőkatalógusban és USE SCHEMA a szülőséma jogosultságával is.

  • CREATE MODEL

    Lehetővé teszi a felhasználó számára, hogy regisztrált MLflow-modellt hozzon létre a sémában. Mivel a jogosultságok öröklődnek, CREATE MODEL a katalógusban is megadható, így a felhasználó létrehozhat egy regisztrált modellt a katalógus meglévő vagy jövőbeli sémáiban.

    A felhasználónak rendelkeznie kell a USE CATALOG szülőkatalógusban és USE SCHEMA a szülőséma jogosultságával is.

  • CREATE PROVIDER

    (Delta Sharing-adat címzettjeinek) Hozzon létre egy szolgáltatót egy Unity Catalog-metaadattárban.

  • CREATE RECIPIENT

    (Delta Sharing-adatszolgáltatók esetén) Hozzon létre egy címzettet egy Unity Catalog-metaadattárban.

  • CREATE SCHEMA

    Hozzon létre egy sémát egy katalógusban. A felhasználónak szüksége van a USE CATALOG katalógusban lévő jogosultságra is.

  • CREATE SHARE

    (Delta Sharing-adatszolgáltatók esetén) Megosztás létrehozása Unity Catalog-metaadattárban.

  • CREATE STORAGE CREDENTIAL

    Hozzon létre egy tárolási hitelesítő adatot egy Unity Catalog-metaadattárban.

  • CREATE TABLE

    Hozzon létre egy táblát vagy nézetet egy sémában. A felhasználónak szüksége van a USE CATALOG katalógusban lévő jogosultságra és a USE SCHEMA sémára vonatkozó jogosultságra is. Külső tábla létrehozásához a felhasználónak szüksége van a CREATE EXTERNAL TABLE külső helyen vagy a tároló hitelesítő adataira vonatkozó jogosultságra is.

  • CREATE VOLUME

    Kötet létrehozása sémában. A felhasználónak szüksége van a USE CATALOG katalógusban lévő jogosultságra és a USE SCHEMA sémára vonatkozó jogosultságra is. Külső kötet létrehozásához a felhasználónak szüksége van a CREATE EXTERNAL VOLUME külső helyre vonatkozó jogosultságra is.

  • EXECUTE

    Felhasználó által definiált függvény meghívása. A felhasználónak szüksége van a USE CATALOG katalógusban lévő jogosultságra és a USE SCHEMA sémára vonatkozó jogosultságra is.

  • MODIFY

    MÁSOLÁS, TÖRLÉS FRISSÍTÉSE, IN Standard kiadás RT vagy EGYESÍTÉS A táblába.

  • READ FILES

    Közvetlenül a tároló hitelesítő adataival vagy külső helyével kérdezhet le fájlokat.

  • READ VOLUME

    Fájlokat kérdezhet le a köteten belül.

  • REFRESH

    Lehetővé teszi, hogy a felhasználó frissítsen egy materializált nézetet, ha a felhasználó a szülőkatalógusán és USE SCHEMA a szülősémán is szerepelUSE CATALOG. A felhasználónak szüksége van a USE CATALOG katalógusban lévő jogosultságra és a USE SCHEMA sémára vonatkozó jogosultságra is.

  • SELECT

    Lekérdezhet egy táblát vagy nézetet, meghívhat egy felhasználó által definiált vagy névtelen függvényt, vagy kiválaszthatja a lehetőséget ANY FILE. A felhasználónak szüksége van SELECT a táblára, nézetre vagy függvényre, valamint USE CATALOG az objektum katalógusára és USE SCHEMA az objektum sémájára.

  • SET SHARE PERMISSION

    A Delta Sharingben ez az engedély és (vagy a címzett tulajdonjoga) lehetővé USE SHAREUSE RECIPIENT teszi a szolgáltató felhasználó számára, hogy hozzáférést adjon a címzettnek egy megosztáshoz. Ezzel kombinálva USE SHARElehetővé teszi egy megosztás tulajdonjogának átadását egy másik felhasználónak, csoportnak vagy szolgáltatásnévnek.

  • USE CATALOG

    Kötelező, de nem elegendő a katalógusban lévő objektumokra való hivatkozáshoz. Az egyszerűnek az egyes biztonságos objektumokra vonatkozó jogosultságokkal is rendelkeznie kell. Nem szükséges, hogy a felhasználó egy objektum metaadatait használja a BROWSE jogosultság használatával.

  • USE CONNECTION

    A metaadattárban való használathoz szükséges a metaadatok olvasása egy idegen kapcsolaton vagy az összes idegen kapcsolaton.

  • USE MARKETPLACE ASSETS

    Alapértelmezés szerint engedélyezve van az összes Unity Catalog-metaadattár esetében. A Databricks Marketplace-en ez a jogosultság lehetővé teszi a felhasználó számára, hogy azonnali hozzáférést kapjon, vagy hozzáférést kérjen a Marketplace-listában megosztott adattermékekhez. Emellett lehetővé teszi a felhasználó számára, hogy hozzáférjen a csak olvasható katalógushoz, amely akkor jön létre, amikor egy szolgáltató megoszt egy adatterméket. E jogosultság nélkül a felhasználónak szüksége lenne az és USE PROVIDER a CREATE CATALOG jogosultságokra vagy a metaadattár-rendszergazdai szerepkörre. Ez lehetővé teszi az ilyen erős engedélyekkel rendelkező felhasználók számának korlátozását.

  • USE PROVIDER

    A Delta Sharing szolgáltatásban a címzett felhasználó csak olvasási hozzáférést biztosít a címzett metaadattárban lévő összes szolgáltatóhoz és azok megosztásaihoz. A jogosultsággal kombinálva ez a CREATE CATALOG jogosultság lehetővé teszi, hogy a nem metaadattár-rendszergazdai jogosultsággal rendelkező címzett felhasználók katalógusként csatoljanak egy megosztást. Ez lehetővé teszi a hatékony metaadattár-rendszergazdai szerepkörrel rendelkező felhasználók számának korlátozását.

  • USE RECIPIENT

    A Delta Sharing szolgáltatásban a szolgáltató felhasználója csak olvasási hozzáférést biztosít a szolgáltató metaadattárában lévő összes címzetthez és a megosztásokhoz. Így a nem metaadattár-rendszergazdaként dolgozó szolgáltatói felhasználók megtekinthetik a címzett adatait, a címzett hitelesítési állapotát és a szolgáltató által a címzettel megosztott megosztások listáját.

    A Databricks Marketplace-en ez lehetővé teszi a szolgáltatói felhasználók számára, hogy a szolgáltatói konzolon tekinthetik meg a listákat és a fogyasztói kéréseket.

  • USE SCHEMA

    Szükséges, de nem elegendő a sémában lévő objektumokra való hivatkozáshoz. Az egyszerűnek az egyes biztonságos objektumokra vonatkozó jogosultságokkal is rendelkeznie kell. Nem szükséges, hogy a felhasználó egy objektum metaadatait használja a BROWSE jogosultság használatával.

  • USE SHARE

    A Delta Sharing szolgáltatásban a szolgáltató felhasználója csak olvasási hozzáférést biztosít a szolgáltatói metaadattárban definiált összes megosztáshoz. Ez lehetővé teszi, hogy a nem metaadattár-rendszergazdai szerepkörrel rendelkező szolgáltatói felhasználók a megosztások és a megosztások címzettjei mellett listázhatják a megosztásban lévő objektumokat (táblákat és jegyzetfüzeteket).

    A Databricks Marketplace-en ez lehetővé teszi a szolgáltatói felhasználóknak, hogy megtekintse a listaelemekben megosztott adatok részleteit.

  • WRITE FILES

    Közvetlenül MÁSOLJA BE a tár hitelesítő adatai vagy külső helye által szabályozott fájlokat.

  • WRITE VOLUME

    Fájlok közvetlen másolása kötetbe.

Példák

-- Grant a privilege to the user alf@melmak.et
> GRANT SELECT ON TABLE t TO `alf@melmak.et`;

-- Revoke a privilege from the general public group.
> REVOKE USE SCHEMA ON SCHEMA some_schema FROM `alf@melmak.et`;