Hak istimewa dan objek yang dapat diamankan di Katalog Unity

  • Artikel

Berlaku untuk:centang ditandai ya Databricks SQL centang ditandai ya Databricks Runtime centang ditandai ya Unity Catalog saja

Hak istimewa adalah hak yang diberikan kepada prinsipal untuk beroperasi pada objek yang dapat diamankan di metastore. Model hak istimewa dan objek yang dapat diamankan berbeda tergantung pada apakah Anda menggunakan metastore Katalog Unity atau metastore Apache Hive warisan. Artikel ini menjelaskan model hak istimewa untuk Katalog Unity. Jika Anda menggunakan metastore Apache Hive, lihat Hak Istimewa dan objek yang dapat diamankan di metastore Apache Hive

Catatan

Artikel ini mengacu pada hak istimewa Dan model warisan Katalog Unity dalam Privilege Model versi 1.0. Jika Anda membuat metastore Unity Catalog selama pratinjau publik (sebelum 25 Agustus 2022), tingkatkan ke Privilege Model versi 1.0 dengan mengikuti Peningkatan ke pewarisan hak istimewa.

Objek yang dapat diamankan

Objek yang dapat diamankan adalah objek yang didefinisikan dalam metastore Katalog Unity di mana hak istimewa dapat diberikan kepada prinsipal. Untuk mengelola hak istimewa pada objek apa pun, Anda harus menjadi pemiliknya.

Sintaks

securable_object
  { CATALOG [ catalog_name ] |
    CONNECTION connection_name |
    EXTERNAL LOCATION location_name |
    FUNCTION function_name |
    METASTORE |
    SCHEMA schema_name |
    SHARE share_name |
    STORAGE CREDENTIAL credential_name |
    [ TABLE ] table_name |
    MATERIALIZED VIEW view_name |
    VIEW view_name |
    VOLUME volume_name
  }

Anda juga dapat menentukan SERVER alih-alih CONNECTION dan DATABASE bukan SCHEMA.

Parameter

  • CATALOGcatalog_name

    Mengontrol akses ke seluruh katalog data.

  • CONNECTIONconnection_name

    Mengontrol akses ke koneksi.

  • EXTERNAL LOCATIONlocation_name

    Mengontrol akses ke lokasi eksternal.

  • FUNCTIONfunction_name

    Mengontrol akses ke fungsi yang ditentukan pengguna.

  • MATERIALIZED VIEWview_name

    Penting

    Fitur ini ada di Pratinjau Publik. Untuk mendaftar akses, isi formulir ini.

    Mengontrol akses ke tampilan materialisasi.

  • METASTORE

    Mengontrol akses ke metastore Unity Catalog yang dilampirkan ke ruang kerja. Saat Anda mengelola hak istimewa di metastore, Anda tidak menyertakan nama metastore dalam perintah SQL. Unity Catalog akan memberikan atau mencabut hak istimewa pada metastore yang dilampirkan ke ruang kerja Anda.

  • REGISTERED MODEL

    Mengontrol akses ke model terdaftar MLflow.

  • SCHEMAschema_name

    Mengontrol akses ke skema.

  • STORAGE CREDENTIALcredential_name

    Mengontrol akses ke kredensial penyimpanan.

  • SHAREshare_name

    Mengontrol akses pada berbagi ke penerima.

  • TABLEtable_name

    Mengontrol akses ke tabel terkelola atau eksternal. Jika tabel tidak dapat ditemukan, Azure Databricks menimbulkan kesalahan TABLE_OR_VIEW_NOT_FOUND .

  • VIEWview_name

    Mengontrol akses ke tampilan. Jika tampilan tidak dapat ditemukan, Azure Databricks menimbulkan kesalahan TABLE_OR_VIEW_NOT_FOUND .

  • VOLUMEvolume_name

    Mengontrol akses ke volume. Jika volume tidak dapat ditemukan, Azure Databricks menimbulkan kesalahan.

Model pewarisan

Objek yang dapat diamankan dalam Katalog Unity bersifat hierarkis, dan hak istimewa diwariskan ke bawah. Ini berarti bahwa memberikan hak istimewa pada katalog secara otomatis memberikan hak istimewa untuk semua skema saat ini dan di masa mendatang dalam katalog. Demikian pula, hak istimewa yang diberikan pada skema diwariskan oleh semua tabel dan tampilan saat ini dan di masa mendatang dalam skema tersebut.

Misalnya, jika Anda memberikan SELECT hak istimewa pada skema kepada pengguna, pengguna secara otomatis diberikan SELECT hak istimewa pada semua tabel, tampilan, dan tampilan terwujud saat ini dan di masa mendatang dalam skema.

Jenis hak istimewa

Tabel berikut ini memperlihatkan hak istimewa Katalog Unity mana yang terkait dengan objek yang dapat diamankan Katalog Unity.

Yang dapat diamankan Hak Istimewa
Metastore CREATE CATALOG, , CREATE EXTERNAL LOCATIONCREATE CONNECTION, CREATE PROVIDER, CREATE RECIPIENT, CREATE SHARE, CREATE STORAGE CREDENTIAL, SET SHARE PERMISSION, USE MARKETPLACE ASSETS, , USE PROVIDER, , USE RECIPIENTUSE SHARE
Katalog ALL PRIVILEGES, , APPLY TAGBROWSE, , CREATE SCHEMA,USE CATALOG

Semua pengguna memiliki USE CATALOG katalog main secara default.

Jenis hak istimewa berikut berlaku untuk objek yang dapat diamankan dalam katalog. Anda dapat memberikan hak istimewa ini di tingkat katalog untuk menerapkannya ke objek saat ini dan yang akan datang di katalog.

CREATE FUNCTION, , CREATE MODELCREATE TABLE, CREATE VOLUME, CREATE FOREIGN CATALOG, READ VOLUME, REFRESH, WRITE VOLUME, EXECUTE, , MODIFY, , SELECTUSE SCHEMA
Skema ALL PRIVILEGES, , CREATE FUNCTIONAPPLY TAG, CREATE TABLE, CREATE MODEL, CREATE VOLUME, , CREATE MATERIALIZED VIEW,USE SCHEMA

Jenis hak istimewa berikut berlaku untuk objek yang dapat diamankan dalam skema. Anda dapat memberikan hak istimewa ini pada tingkat skema untuk menerapkannya ke objek saat ini dan yang akan datang dalam skema.

EXECUTE, , MODIFYSELECT, READ VOLUME, , REFRESH,WRITE VOLUME
Tabel ALL PRIVILEGES, , APPLY TAGMODIFY,SELECT
Tampilan Materialisasi ALL PRIVILEGES, , APPLY TAGREFRESH,SELECT
Tampilan ALL PRIVILEGES, , APPLY TAGSELECT
Volume ALL PRIVILEGES, , READ VOLUMEWRITE VOLUME
Lokasi eksternal ALL PRIVILEGES, , BROWSECREATE EXTERNAL TABLE, CREATE EXTERNAL VOLUME, READ FILES, , WRITE FILES,CREATE MANAGED STORAGE
Kredensial penyimpanan ALL PRIVILEGES, , CREATE EXTERNAL LOCATIONCREATE EXTERNAL TABLE, , READ FILES,WRITE FILES
Connection ALL PRIVILEGES, , CREATE FOREIGN CATALOGUSE CONNECTION
Fungsi ALL PRIVILEGES, EXECUTE
Model terdaftar ALL PRIVILEGES, , APPLY TAGEXECUTE
Bagikan SELECT (dapat diberikan kepada RECIPIENT)
Penerima Tidak ada
Penyedia Tidak

  • APPLY TAG

    Terapkan dan edit tag pada objek.

  • ALL PRIVILEGES

    Digunakan untuk memberikan atau mencabut semua hak istimewa yang berlaku untuk objek yang dapat diamankan dan objek turunannya tanpa secara eksplisit menentukannya. Hak ini diperluas ke semua hak istimewa yang tersedia pada saat pemeriksaan izin dilakukan. Hak ini tidak secara individual memberikan pengguna setiap hak istimewa yang berlaku pada saat pemberian.

    Ketika ALL PRIVILEGES dicabut hanya hak istimewa itu ALL PRIVILEGES sendiri yang dicabut. Pengguna mempertahankan hak istimewa lain yang diberikan kepada mereka secara terpisah.

  • BROWSE

    Penting

    Fitur ini ada di Pratinjau Publik.

    Lihat metadata objek menggunakan Catalog Explorer, browser skema, hasil pencarian, grafik silsilah data, information_schema, dan REST API. Pengguna tidak memerlukan USE CATALOG hak istimewa pada katalog induk atau USE SCHEMA pada skema induk.

  • CREATE CATALOG

    Buat katalog di metastore Katalog Unity.

  • CREATE CONNECTION

    Buat koneksi asing di metastore Katalog Unity.

  • CREATE EXTERNAL LOCATION

    Buat lokasi eksternal menggunakan kredensial penyimpanan. Saat diterapkan ke kredensial penyimpanan, memungkinkan pengguna untuk membuat lokasi eksternal menggunakan kredensial penyimpanan. Hak istimewa ini juga perlu diberikan kepada pengguna di metastore untuk memungkinkan mereka membuat lokasi eksternal di metastore tersebut.

  • CREATE EXTERNAL TABLE

    Buat tabel eksternal menggunakan kredensial penyimpanan atau lokasi eksternal.

  • CREATE EXTERNAL VOLUME

    Buat volume eksternal menggunakan lokasi eksternal.

  • CREATE FOREIGN CATALOG

    Buat katalog pada koneksi asing. Setiap katalog asing kemudian mengekspos skema yang tersedia dalam sistem target federasi.

  • CREATE FUNCTION

    Buat fungsi dalam skema. Pengguna juga memerlukan USE CATALOG hak istimewa pada katalog dan USE SCHEMA hak istimewa pada skema.

  • CREATE MANAGED STORAGE

    Memungkinkan pengguna menentukan lokasi untuk menyimpan tabel terkelola di tingkat katalog atau skema, mengganti penyimpanan akar default untuk metastore Katalog Unity.

  • CREATE MATERIALIZED VIEW

    Memungkinkan pengguna membuat tampilan materialisasi dalam skema. Karena hak istimewa diwariskan, CREATE MATERIALIZED VIEW juga dapat diberikan pada katalog, yang memungkinkan pengguna untuk membuat tabel atau tampilan dalam skema yang ada atau di masa mendatang dalam katalog.

    Pengguna juga harus memiliki USE CATALOG hak istimewa pada katalog induk dan USE SCHEMA pada skema induk.

  • CREATE MODEL

    Memungkinkan pengguna untuk membuat model terdaftar MLflow dalam skema. Karena hak istimewa diwariskan, CREATE MODEL juga dapat diberikan pada katalog, yang memungkinkan pengguna untuk membuat model terdaftar dalam skema yang ada atau di masa mendatang dalam katalog.

    Pengguna juga harus memiliki USE CATALOG hak istimewa pada katalog induk dan USE SCHEMA pada skema induk.

  • CREATE PROVIDER

    (Untuk penerima data Berbagi Delta) Buat penyedia di metastore Katalog Unity.

  • CREATE RECIPIENT

    (Untuk penyedia data Berbagi Delta) Buat penerima di metastore Katalog Unity.

  • CREATE SCHEMA

    Buat skema dalam katalog. Pengguna juga memerlukan USE CATALOG hak istimewa pada katalog.

  • CREATE SHARE

    (Untuk penyedia data Berbagi Delta) Buat berbagi di metastore Katalog Unity.

  • CREATE STORAGE CREDENTIAL

    Buat kredensial penyimpanan di metastore Unity Catalog.

  • CREATE TABLE

    Membuat tabel atau tampilan dalam skema. Pengguna juga memerlukan USE CATALOG hak istimewa pada katalog dan USE SCHEMA hak istimewa pada skema. Untuk membuat tabel eksternal, pengguna juga memerlukan CREATE EXTERNAL TABLE hak istimewa pada lokasi eksternal atau kredensial penyimpanan.

  • CREATE VOLUME

    Buat volume dalam skema. Pengguna juga memerlukan USE CATALOG hak istimewa pada katalog dan USE SCHEMA hak istimewa pada skema. Untuk membuat volume eksternal, pengguna juga memerlukan CREATE EXTERNAL VOLUME hak istimewa di lokasi eksternal.

  • EXECUTE

    Panggil fungsi yang ditentukan pengguna. Pengguna juga memerlukan USE CATALOG hak istimewa pada katalog dan USE SCHEMA hak istimewa pada skema.

  • MODIFY

    SALIN KE, PERBARUIHAPUS, MASUKKAN, atau GABUNGKAN KE DALAM tabel.

  • READ FILES

    Kueri file secara langsung menggunakan kredensial penyimpanan atau lokasi eksternal.

  • READ VOLUME

    File kueri dalam volume.

  • REFRESH

    Memungkinkan pengguna untuk me-refresh tampilan materialisasi jika pengguna juga memiliki USE CATALOG pada katalog induknya dan USE SCHEMA pada skema induknya. Pengguna juga memerlukan USE CATALOG hak istimewa pada katalog dan USE SCHEMA hak istimewa pada skema.

  • SELECT

    Kueri tabel atau tampilan, aktifkan fungsi yang ditentukan pengguna atau anonim, atau pilih ANY FILE. Pengguna membutuhkan SELECT pada tabel, tampilan, atau fungsi, serta USE CATALOG pada katalog objek dan USE SCHEMA pada skema objek.

  • SET SHARE PERMISSION

    Di Berbagi Delta, izin ini, dikombinasikan dengan USE SHARE dan USE RECIPIENT (atau kepemilikan penerima), memberi pengguna penyedia kemampuan untuk memberikan akses penerima ke berbagi. Dikombinasikan dengan USE SHARE, ini memberikan kemampuan untuk mentransfer kepemilikan berbagi ke pengguna, grup, atau perwakilan layanan lain.

  • USE CATALOG

    Diperlukan, tetapi tidak cukup untuk mereferensikan objek apa pun dalam katalog. Prinsipal juga perlu memiliki hak istimewa pada objek yang diamankan individu. Tidak diperlukan bagi pengguna untuk menggunakan metadata baca objek menggunakan BROWSE hak istimewa.

  • USE CONNECTION

    Diperlukan untuk membaca metadata pada koneksi asing atau semua koneksi asing saat digunakan pada metastore.

  • USE MARKETPLACE ASSETS

    Diaktifkan secara default untuk semua metastores Unity Catalog. Di Databricks Marketplace, hak istimewa ini memberi pengguna kemampuan untuk mendapatkan akses instan atau meminta akses untuk produk data yang dibagikan dalam daftar Marketplace. Ini juga memungkinkan pengguna untuk mengakses katalog baca-saja yang dibuat saat penyedia berbagi produk data. Tanpa hak istimewa ini, pengguna akan memerlukan CREATE CATALOG hak istimewa dan USE PROVIDER atau peran admin metastore. Ini memungkinkan Anda membatasi jumlah pengguna dengan izin canggih tersebut.

  • USE PROVIDER

    Di Berbagi Delta, memberi pengguna penerima akses baca-saja ke semua penyedia di metastore penerima dan berbagi mereka. Dikombinasikan dengan CREATE CATALOG hak istimewa, hak istimewa ini memungkinkan pengguna penerima yang bukan admin metastore untuk memasang berbagi sebagai katalog. Ini memungkinkan Anda membatasi jumlah pengguna dengan peran admin metastore yang kuat.

  • USE RECIPIENT

    Di Berbagi Delta, memberi pengguna penyedia akses baca-saja ke semua penerima di metastore penyedia dan berbagi mereka. Ini memungkinkan pengguna penyedia yang bukan admin metastore untuk melihat detail penerima, status autentikasi penerima, dan daftar berbagi yang telah dibagikan penyedia dengan penerima.

    Di Databricks Marketplace, ini memberi pengguna penyedia kemampuan untuk melihat daftar dan permintaan konsumen di konsol Penyedia.

  • USE SCHEMA

    Diperlukan, tetapi tidak cukup untuk mereferensikan objek apa pun dalam skema. Prinsipal juga perlu memiliki hak istimewa pada objek yang diamankan individu. Tidak diperlukan bagi pengguna untuk menggunakan metadata baca objek menggunakan BROWSE hak istimewa.

  • USE SHARE

    Di Berbagi Delta, memberi pengguna penyedia akses baca-saja ke semua berbagi yang ditentukan dalam metastore penyedia. Ini memungkinkan pengguna penyedia yang bukan admin metastore untuk mencantumkan berbagi dan mencantumkan aset (tabel dan buku catatan) dalam berbagi, bersama dengan penerima berbagi.

    Di Databricks Marketplace, ini memberi pengguna penyedia kemampuan untuk melihat detail tentang data yang dibagikan dalam daftar.

  • WRITE FILES

    Langsung SALIN KE file yang diatur oleh kredensial penyimpanan atau lokasi eksternal.

  • WRITE VOLUME

    Langsung SALIN file KE dalam volume.

Contoh

-- Grant a privilege to the user alf@melmak.et
> GRANT SELECT ON TABLE t TO `alf@melmak.et`;

-- Revoke a privilege from the general public group.
> REVOKE USE SCHEMA ON SCHEMA some_schema FROM `alf@melmak.et`;