Bagikan melalui

Mengelola kepemilikan objek Katalog Unity

Setiap objek yang dapat diamankan di Unity Catalog memiliki pemilik. Pemilik dapat menjadi prinsipal apa pun: pengguna, perwakilan layanan, atau grup akun. Prinsipal yang membuat objek menjadi pemilik pertama. Pemilik objek memiliki semua hak istimewa pada objek, seperti SELECT dan MODIFY pada tabel, selain izin untuk memberikan hak istimewa kepada prinsipal lain. Pemilik objek memiliki kemampuan untuk menjatuhkan objek.

Hak istimewa pemilik

Pemilik objek secara otomatis diberikan semua hak istimewa pada objek tersebut. Selain itu, pemilik objek dapat memberikan hak istimewa pada objek itu sendiri dan pada semua objek turunannya. Ini berarti bahwa pemilik skema tidak secara otomatis memiliki semua hak istimewa pada tabel dalam skema, tetapi dapat memberikan hak istimewa tersebut kepada diri mereka sendiri.

Catatan

Ada satu pengecualian untuk aturan bahwa pemilik memiliki semua hak istimewa pada objek: untuk menghindari eksfiltrasi data yang tidak disengaja, pemilik skema tidak memiliki hak istimewa EXTERNAL USE SCHEMA secara default. Lihat Mengaktifkan akses data eksternal ke Unity Catalog.

Kepemilikan metastore dan katalog

Admin metastore adalah pemilik metastore. Peran admin metastore bersifat opsional. Admin Metastore dapat menetapkan ulang kepemilikan metastore dengan mentransfer peran admin metastore, lihat Menetapkan admin metastore.

Jika ruang kerja Anda diaktifkan untuk Katalog Unity secara otomatis, ruang kerja dilampirkan ke metastore secara default dan katalog ruang kerja dibuat untuk ruang kerja Anda di metastore. Admin ruang kerja adalah pemilik default dan dapat menetapkan ulang kepemilikan katalog ruang kerja. Di ruang kerja ini, tidak ada admin metastore yang ditetapkan secara default, tetapi admin akun dapat memberikan peran admin metastore jika diperlukan. Lihat Admin Metastore.

Untuk informasi selengkapnya tentang hak istimewa admin di Unity Catalog, lihat hak istimewa Admin di Unity Catalog.

Kepemilikan versus hak istimewa MANAGE

MANAGE (Pratinjau Umum) adalah hak istimewa yang mirip dengan kepemilikan objek. Ini memberi pengguna kemampuan untuk mengedit, menghilangkan, dan mengelola hak istimewa pada objek. Namun, pengguna dengan hak istimewa MANAGE pada objek tidak secara otomatis diberikan semua hak istimewa pada objek tersebut. Seperti yang mereka lakukan dengan hak istimewa lain, pengguna memerlukan USE CATALOG katalog induk objek dan USE SCHEMA pada skema induk objek. Misalnya, untuk memberikan izin pada tabel, pengguna harus memiliki hak istimewa MANAGE pada tabel tersebut dan hak istimewa USE CATALOG pada katalog induknya, bersama dengan hak istimewa USE SCHEMA pada skema induknya.

Pemilik objek hanya dapat menjadi satu prinsipal, termasuk grup, sedangkan MANAGE dapat diberikan kepada beberapa prinsipal.

Untuk menghindari eskalasi hak istimewa yang tidak disengaja, ALL PRIVILEGES tidak menyertakan hak istimewa MANAGE

Menampilkan pemilik objek

Anda dapat menggunakan pernyataan Catalog Explorer atau SQL untuk melihat pemilik objek.

Izin diperlukan: Setiap pengguna dengan BROWSE hak istimewa pada objek atau induk objek dapat melihat pemilik objek.

Penjelajah Katalog

  1. Di ruang kerja Azure Databricks Anda, klik Ikon data.Katalog.

  2. Pilih objek, seperti katalog, skema, tabel, tampilan, volume, lokasi eksternal, atau kredensial penyimpanan.

    Cara menavigasi ke objek tergantung pada objek. Katalog, skema, dan konten skema (seperti tabel dan volume) dapat dipilih di panel Katalog kiri. Anda dapat menemukan objek lain, seperti lokasi eksternal atau berbagi Delta Sharing, dengan mengklik ikon Gerigi di atas panel Katalog dan memilih kategori objek dari menu.

    Untuk sebagian besar objek, pemilik ditampilkan pada tab Gambaran Umum di halaman detail objek. Untuk beberapa objek, seperti lokasi eksternal, objek ditampilkan di bagian atas halaman detail objek.

SQL

Jalankan perintah SQL berikut ini di buku catatan atau editor kueri SQL. Ganti nilai pengganti:

  • <securable-type>Jenis yang dapat diamankan, seperti CATALOG atau TABLE.
  • <catalog>: Katalog induk jika Anda melihat skema atau konten skema.
  • <schema>: Skema induk jika Anda melihat konten skema, seperti tabel atau tampilan.
  • <securable-name>: Nama yang dapat diamankan.
DESCRIBE <securable-type> EXTENDED <catalog>.<schema>.<securable-name>;

Mentransfer kepemilikan

Anda dapat menggunakan pernyataan Catalog Explorer atau SQL untuk melihat pemilik objek.

Izin yang diperlukan: Anda dapat mentransfer kepemilikan objek jika Anda adalah pemilik saat ini, admin metastore, pemilik kontainer (katalog untuk skema, skema untuk tabel), atau pengguna dengan hak istimewa MANAGE pada objek. Objek berbagi Berbagi Delta adalah pengecualian: prinsipal dengan USE SHARE hak istimewa dan SET SHARE PERMISSION juga dapat mentransfer kepemilikan berbagi.

Catatan

Untuk mencegah eskalasi hak istimewa, hanya admin metastore yang dapat mentransfer kepemilikan tampilan, fungsi, atau model kepada pengguna, perwakilan layanan, atau grup apa pun di akun. Pemilik dan pengguna saat ini dengan hak istimewa MANAGE dibatasi untuk mentransfer kepemilikan ke nama pengguna mereka atau ke grup tempat mereka menjadi anggota.

Penjelajah Katalog

  1. Di ruang kerja Azure Databricks Anda, klik Ikon data.Katalog.

  2. Pilih objek, seperti katalog, skema, tabel, tampilan, lokasi eksternal, atau kredensial penyimpanan.

    Cara menavigasi ke objek tergantung pada objek. Katalog, skema, dan konten skema (seperti tabel dan volume) dapat dipilih di panel Katalog kiri. Anda dapat menemukan objek lain, seperti lokasi eksternal atau berbagi Delta Sharing, dengan mengklik ikon Gerigi di atas panel Katalog dan memilih kategori objek dari menu.

    Untuk sebagian besar objek, pemilik ditampilkan pada tab Gambaran Umum di halaman detail objek. Untuk beberapa objek, seperti lokasi eksternal, objek ditampilkan di bagian atas halaman detail objek.

  3. Klik ikon edit di Ikon editsamping Pemilik.

  4. Cari dan pilih grup, pengguna, atau perwakilan layanan.

  5. Klik Simpan.

SQL

Jalankan perintah SQL berikut ini di buku catatan atau editor kueri SQL. Ganti nilai pengganti:

  • <securable-type>Jenis objek yang dapat diamankan, seperti CATALOG atau TABLE. METASTORE tidak didukung sebagai objek yang dapat diamankan dalam perintah ini.
  • <securable-name>: Nama yang dapat diamankan. Jika Anda memodifikasi skema atau konten skema, Anda harus menggunakan namespace tiga tingkat yang lengkap (catalog.schema.object), kecuali Anda telah menentukan katalog induk dan/atau skema.
  • <principal> adalah pengguna, perwakilan layanan (diwakili oleh nilai applicationId-nya), atau grup. Anda harus menyertakan pengguna, perwakilan layanan, dan nama grup yang menyertakan karakter khusus dalam backtick (` `). Lihat Kepala Sekolah.
ALTER <securable-type> <securable-name> OWNER TO <principal>;

Misalnya, untuk mentransfer kepemilikan tabel orders ke grup accounting:

ALTER TABLE mycatalog.myschema.orders OWNER TO `accounting`;