Jogosultságok és biztonságos objektumok a Hive-metaadattárban

  • Cikk

A következőre vonatkozik:check marked yes Databricks SQL check marked yes Databricks Runtime

A jogosultság olyan jog, amely a rendszerbiztonsági tag számára a metaadattárban lévő biztonságos objektumon való működésre jogosít.

A jogosultsági modell és a biztonságos objektumok attól függően különböznek, hogy Unity Catalog-metaadattárat vagy örökölt Hive-metaadattárat használ. Ez a cikk az örökölt Hive-metaadattár jogosultsági modelljét ismerteti. Ha Unity-katalógust használ, tekintse meg a Jogosultságok és biztonságos objektumok a Unity Katalógusban című témakört.

Biztonságos objektumok a Hive-metaadattárban

A biztonságos objektum a metaadattárban definiált objektum, amelyen jogosultságok adhatóak a rendszerbiztonsági tagnak.

A jogosultságok bármely objektumon való kezeléséhez tulajdonosnak vagy rendszergazdának kell lennie.

Szintaxis

  securable_object
    { ANY FILE |
      CATALOG [ catalog_name ] |
      { SCHEMA | DATABASE } schema_name |
      FUNCTION function_name |
      [ TABLE ] table_name |
      VIEW view_name
      }

Paraméterek

  • ANY FILE

    Szabályozza a mögöttes fájlrendszerhez való hozzáférést.

  • CATALOGcatalog_name

    A teljes adatkatalógushoz való hozzáférést szabályozza.

  • { SCHEMA | DATABASE }schema_name

    A sémához való hozzáférést szabályozza.

  • FUNCTIONfunction_name

    Egy elnevezett függvényhez való hozzáférést szabályozza.

  • [ TABLE ]table_name

    A felügyelt vagy külső táblákhoz való hozzáférést szabályozza.

  • VIEWview_name

    Szabályozza az SQL-nézetekhez való hozzáférést.

Öröklési modell

A Hive-metaadattár biztonságos objektumai hierarchikusak, a jogosultságok pedig lefelé öröklődnek. Ez azt jelenti, hogy a jogosultság megadása vagy megtagadása automatikusan CATALOG megadja vagy megtagadja a jogosultságot a katalógus összes sémájára. Hasonlóképpen, a sémaobjektumokon megadott jogosultságokat a séma összes objektuma örökli. Ez a minta minden biztonságos objektumra igaz.

Ha megtagadja egy tábla felhasználói jogosultságait, a felhasználó nem látja a táblát a séma összes táblájának listázásával. Ha megtagad egy felhasználói jogosultságot egy sémán, a felhasználó nem látja, hogy a séma létezik, ha megkísérli listázni a katalógus összes sémáját.

Jogosultságtípusok

Az alábbi táblázat bemutatja, hogy mely jogosultságok vannak társítva a biztonságos objektumokhoz.

Jogosultság típusa ANONYMOUS FÜGGVÉNY BÁRMELY FÁJL KATALÓGUS SÉMA FUNKCIÓ TÁBLÁZAT NÉZD
LÉTREHOZÁSA Igen Igen
MÓDOSÍTANI Igen Igen Igen Igen
READ_METADATA Igen Igen Igen Igen
SELECT Igen Igen Igen Igen Igen Igen Igen
HASZNÁLAT Igen Igen

  • ALL PRIVILEGES

    A biztonságos és a gyermekobjektumokra vonatkozó összes jogosultság megadására vagy visszavonására szolgál anélkül, hogy explicit módon megadták őket. Ez az engedélyek ellenőrzésekor az összes elérhető jogosultságra kiterjeszthető.

  • CREATE

    Hozzon létre objektumokat a katalógusban vagy a sémában.

  • MODIFY

    COPY INTO, UPDATEDELETE, INSERT vagy MERGE INTO the table.

    Ha a securable_object a hive_metastore vagy a sémája, az engedélyezés MODIFY a biztonságos objektum összes jelenlegi és jövőbeli tábláján és nézetén engedélyezve MODIFY lesz.

  • READ_METADATA

    A biztonságos objektum felderítése a SHOW-ban , és az objektum lekérdezése a DESCRIBE-ben

    Ha a biztonságos objektum a hive_metastore katalógus vagy a benne lévő séma, az engedélyezés READ_METADATA a biztonságos objektum összes jelenlegi és jövőbeli tábláján és nézetén engedélyezve READ_METADATA lesz.

  • READ FILES

    Közvetlenül a tároló hitelesítő adataival vagy külső helyével kérdezhet le fájlokat.

  • SELECT

    Lekérdezhet egy táblát vagy nézetet, meghívhat egy felhasználó által definiált vagy névtelen függvényt, vagy kiválaszthatja a lehetőséget ANY FILE. A felhasználónak szüksége van SELECT a táblára, a nézetre vagy a függvényre, valamint USAGE az objektum sémájára és katalógusára.

    Ha a biztonságos objektum a hive_metastore vagy a sémája, az engedélyezés SELECT a biztonságos objektum összes jelenlegi és jövőbeli tábláján és nézetén engedélyezve SELECT lesz.

  • USAGE

    Kötelező, de nem elegendő a katalógusban vagy sémában lévő objektumokra való hivatkozáshoz. A rendszerbiztonsági tagnak az egyes biztonságos objektumokra vonatkozó jogosultságokkal is rendelkeznie kell.

  • WRITE FILES

    Közvetlenül MÁSOLJA BE a tár hitelesítő adatai vagy külső helye által szabályozott fájlokat.

Példák

-- Grant a privilege to the user alf@melmak.et
> GRANT SELECT ON TABLE t TO `alf@melmak.et`;

-- Revoke a privilege from the general public group.
> REVOKE USAGE ON SCHEMA some_schema FROM `alf@melmak.et`;