Jogosultságok és biztonságos objektumok a Hive-metaadattárban
A következőre vonatkozik: Databricks SQL Databricks Runtime
A jogosultság olyan jog, amely a rendszerbiztonsági tag számára a metaadattárban lévő biztonságos objektumon való működésre jogosít.
A jogosultsági modell és a biztonságos objektumok attól függően különböznek, hogy Unity Catalog-metaadattárat vagy örökölt Hive-metaadattárat használ. Ez a cikk az örökölt Hive-metaadattár jogosultsági modelljét ismerteti. Ha Unity-katalógust használ, tekintse meg a Jogosultságok és biztonságos objektumok a Unity Katalógusban című témakört.
Biztonságos objektumok a Hive-metaadattárban
A biztonságos objektum a metaadattárban definiált objektum, amelyen jogosultságok adhatóak a rendszerbiztonsági tagnak.
A jogosultságok bármely objektumon való kezeléséhez tulajdonosnak vagy rendszergazdának kell lennie.
Szintaxis
securable_object
{ ANY FILE |
CATALOG [ catalog_name ] |
{ SCHEMA | DATABASE } schema_name |
FUNCTION function_name |
[ TABLE ] table_name |
VIEW view_name
}
Paraméterek
ANY FILE
Szabályozza a mögöttes fájlrendszerhez való hozzáférést.
CATALOG
catalog_nameA teljes adatkatalógushoz való hozzáférést szabályozza.
{ SCHEMA | DATABASE }
schema_nameA sémához való hozzáférést szabályozza.
FUNCTION
function_nameEgy elnevezett függvényhez való hozzáférést szabályozza.
[ TABLE ]
table_nameA felügyelt vagy külső táblákhoz való hozzáférést szabályozza.
VIEW
view_nameSzabályozza az SQL-nézetekhez való hozzáférést.
Öröklési modell
A Hive-metaadattár biztonságos objektumai hierarchikusak, a jogosultságok pedig lefelé öröklődnek. Ez azt jelenti, hogy a jogosultság megadása vagy megtagadása automatikusan CATALOG
megadja vagy megtagadja a jogosultságot a katalógus összes sémájára. Hasonlóképpen, a sémaobjektumokon megadott jogosultságokat a séma összes objektuma örökli. Ez a minta minden biztonságos objektumra igaz.
Ha megtagadja egy tábla felhasználói jogosultságait, a felhasználó nem látja a táblát a séma összes táblájának listázásával. Ha megtagad egy felhasználói jogosultságot egy sémán, a felhasználó nem látja, hogy a séma létezik, ha megkísérli listázni a katalógus összes sémáját.
Jogosultságtípusok
Az alábbi táblázat bemutatja, hogy mely jogosultságok vannak társítva a biztonságos objektumokhoz.
Jogosultság típusa | ANONYMOUS FÜGGVÉNY | BÁRMELY FÁJL | KATALÓGUS | SÉMA | FUNKCIÓ | TÁBLÁZAT | NÉZD | |
---|---|---|---|---|---|---|---|---|
LÉTREHOZÁSA | Igen | Igen | ||||||
MÓDOSÍTANI | Igen | Igen | Igen | Igen | ||||
READ_METADATA | Igen | Igen | Igen | Igen | ||||
SELECT | Igen | Igen | Igen | Igen | Igen | Igen | Igen | |
HASZNÁLAT | Igen | Igen |
ALL PRIVILEGES
A biztonságos és a gyermekobjektumokra vonatkozó összes jogosultság megadására vagy visszavonására szolgál anélkül, hogy explicit módon megadták őket. Ez az engedélyek ellenőrzésekor az összes elérhető jogosultságra kiterjeszthető.
CREATE
Hozzon létre objektumokat a katalógusban vagy a sémában.
MODIFY
COPY INTO, UPDATEDELETE, INSERT vagy MERGE INTO the table.
Ha a securable_object a
hive_metastore
vagy a sémája, az engedélyezésMODIFY
a biztonságos objektum összes jelenlegi és jövőbeli tábláján és nézetén engedélyezveMODIFY
lesz.READ_METADATA
A biztonságos objektum felderítése a SHOW-ban , és az objektum lekérdezése a DESCRIBE-ben
Ha a biztonságos objektum a
hive_metastore
katalógus vagy a benne lévő séma, az engedélyezésREAD_METADATA
a biztonságos objektum összes jelenlegi és jövőbeli tábláján és nézetén engedélyezveREAD_METADATA
lesz.READ FILES
Közvetlenül a tároló hitelesítő adataival vagy külső helyével kérdezhet le fájlokat.
SELECT
Lekérdezhet egy táblát vagy nézetet, meghívhat egy felhasználó által definiált vagy névtelen függvényt, vagy kiválaszthatja a lehetőséget
ANY FILE
. A felhasználónak szüksége vanSELECT
a táblára, a nézetre vagy a függvényre, valamintUSAGE
az objektum sémájára és katalógusára.Ha a biztonságos objektum a
hive_metastore
vagy a sémája, az engedélyezésSELECT
a biztonságos objektum összes jelenlegi és jövőbeli tábláján és nézetén engedélyezveSELECT
lesz.USAGE
Kötelező, de nem elegendő a katalógusban vagy sémában lévő objektumokra való hivatkozáshoz. A rendszerbiztonsági tagnak az egyes biztonságos objektumokra vonatkozó jogosultságokkal is rendelkeznie kell.
WRITE FILES
Közvetlenül MÁSOLJA BE a tár hitelesítő adatai vagy külső helye által szabályozott fájlokat.
Példák
-- Grant a privilege to the user alf@melmak.et
> GRANT SELECT ON TABLE t TO `alf@melmak.et`;
-- Revoke a privilege from the general public group.
> REVOKE USAGE ON SCHEMA some_schema FROM `alf@melmak.et`;