Hak istimewa dan objek yang dapat diamankan di Katalog Unity
Berlaku untuk: Databricks SQL Databricks Runtime Unity Catalog saja
Hak istimewa adalah hak yang diberikan kepada prinsipal untuk beroperasi pada objek yang dapat diamankan di metastore. Model hak istimewa dan objek yang dapat diamankan berbeda tergantung pada apakah Anda menggunakan metastore Katalog Unity atau metastore Apache Hive warisan. Artikel ini menjelaskan model hak istimewa untuk Katalog Unity. Jika Anda menggunakan metastore Apache Hive, lihat Hak Istimewa dan objek yang dapat diamankan di metastore Apache Hive
Catatan
Artikel ini mengacu pada hak istimewa Dan model warisan Katalog Unity dalam Privilege Model versi 1.0. Jika Anda membuat metastore Unity Catalog selama pratinjau publik (sebelum 25 Agustus 2022), tingkatkan ke Privilege Model versi 1.0 dengan mengikuti Peningkatan ke pewarisan hak istimewa.
Objek yang dapat diamankan
Objek yang dapat diamankan adalah objek yang didefinisikan dalam metastore Katalog Unity di mana hak istimewa dapat diberikan kepada prinsipal. Untuk mengelola hak istimewa pada objek apa pun, Anda harus menjadi pemiliknya.
Sintaks
securable_object
{ CATALOG [ catalog_name ] |
CONNECTION connection_name |
EXTERNAL LOCATION location_name |
FUNCTION function_name |
METASTORE |
SCHEMA schema_name |
SHARE share_name |
STORAGE CREDENTIAL credential_name |
[ TABLE ] table_name |
MATERIALIZED VIEW view_name |
VIEW view_name |
VOLUME volume_name
}
Anda juga dapat menentukan SERVER
alih-alih CONNECTION
dan DATABASE
bukan SCHEMA
.
Parameter
CATALOG
catalog_nameMengontrol akses ke seluruh katalog data.
CONNECTION
connection_nameMengontrol akses ke koneksi.
EXTERNAL LOCATION
location_nameMengontrol akses ke lokasi eksternal.
FUNCTION
function_nameMengontrol akses ke fungsi yang ditentukan pengguna.
MATERIALIZED VIEW
view_namePenting
Fitur ini ada di Pratinjau Publik. Untuk mendaftar akses, isi formulir ini.
Mengontrol akses ke tampilan materialisasi.
METASTORE
Mengontrol akses ke metastore Unity Catalog yang dilampirkan ke ruang kerja. Saat Anda mengelola hak istimewa di metastore, Anda tidak menyertakan nama metastore dalam perintah SQL. Unity Catalog akan memberikan atau mencabut hak istimewa pada metastore yang dilampirkan ke ruang kerja Anda.
REGISTERED MODEL
Mengontrol akses ke model terdaftar MLflow.
SCHEMA
schema_nameMengontrol akses ke skema.
STORAGE CREDENTIAL
credential_nameMengontrol akses ke kredensial penyimpanan.
SHARE
share_nameTABLE
table_nameMengontrol akses ke tabel terkelola atau eksternal. Jika tabel tidak dapat ditemukan, Azure Databricks menimbulkan kesalahan TABLE_OR_VIEW_NOT_FOUND .
VIEW
view_nameMengontrol akses ke tampilan. Jika tampilan tidak dapat ditemukan, Azure Databricks menimbulkan kesalahan TABLE_OR_VIEW_NOT_FOUND .
VOLUME
volume_nameMengontrol akses ke volume. Jika volume tidak dapat ditemukan, Azure Databricks menimbulkan kesalahan.
Model pewarisan
Objek yang dapat diamankan dalam Katalog Unity bersifat hierarkis, dan hak istimewa diwariskan ke bawah. Ini berarti bahwa memberikan hak istimewa pada katalog secara otomatis memberikan hak istimewa untuk semua skema saat ini dan di masa mendatang dalam katalog. Demikian pula, hak istimewa yang diberikan pada skema diwariskan oleh semua tabel dan tampilan saat ini dan di masa mendatang dalam skema tersebut.
Misalnya, jika Anda memberikan SELECT
hak istimewa pada skema kepada pengguna, pengguna secara otomatis diberikan SELECT
hak istimewa pada semua tabel, tampilan, dan tampilan terwujud saat ini dan di masa mendatang dalam skema.
Jenis hak istimewa
Tabel berikut ini memperlihatkan hak istimewa Katalog Unity mana yang terkait dengan objek yang dapat diamankan Katalog Unity.
Yang dapat diamankan | Hak Istimewa |
---|---|
Metastore | CREATE CATALOG , , CREATE EXTERNAL LOCATION CREATE CONNECTION , CREATE PROVIDER , CREATE RECIPIENT , CREATE SHARE , CREATE STORAGE CREDENTIAL , SET SHARE PERMISSION , USE MARKETPLACE ASSETS , , USE PROVIDER , , USE RECIPIENT USE SHARE |
Katalog | ALL PRIVILEGES , , APPLY TAG BROWSE , , CREATE SCHEMA ,USE CATALOG Semua pengguna memiliki USE CATALOG katalog main secara default.Jenis hak istimewa berikut berlaku untuk objek yang dapat diamankan dalam katalog. Anda dapat memberikan hak istimewa ini di tingkat katalog untuk menerapkannya ke objek saat ini dan yang akan datang di katalog. CREATE FUNCTION , , CREATE MODEL CREATE TABLE , CREATE VOLUME , CREATE FOREIGN CATALOG , READ VOLUME , REFRESH , WRITE VOLUME , EXECUTE , , MODIFY , , SELECT USE SCHEMA |
Skema | ALL PRIVILEGES , , CREATE FUNCTION APPLY TAG , CREATE TABLE , CREATE MODEL , CREATE VOLUME , , CREATE MATERIALIZED VIEW ,USE SCHEMA Jenis hak istimewa berikut berlaku untuk objek yang dapat diamankan dalam skema. Anda dapat memberikan hak istimewa ini pada tingkat skema untuk menerapkannya ke objek saat ini dan yang akan datang dalam skema. EXECUTE , , MODIFY SELECT , READ VOLUME , , REFRESH ,WRITE VOLUME |
Tabel | ALL PRIVILEGES , , APPLY TAG MODIFY ,SELECT |
Tampilan Materialisasi | ALL PRIVILEGES , , APPLY TAG REFRESH ,SELECT |
Tampilan | ALL PRIVILEGES , , APPLY TAG SELECT |
Volume | ALL PRIVILEGES , , READ VOLUME WRITE VOLUME |
Lokasi eksternal | ALL PRIVILEGES , , BROWSE CREATE EXTERNAL TABLE , CREATE EXTERNAL VOLUME , READ FILES , , WRITE FILES ,CREATE MANAGED STORAGE |
Kredensial penyimpanan | ALL PRIVILEGES , , CREATE EXTERNAL LOCATION CREATE EXTERNAL TABLE , , READ FILES ,WRITE FILES |
Connection | ALL PRIVILEGES , , CREATE FOREIGN CATALOG USE CONNECTION |
Fungsi | ALL PRIVILEGES , EXECUTE |
Model terdaftar | ALL PRIVILEGES , , APPLY TAG EXECUTE |
Bagikan | SELECT (dapat diberikan kepada RECIPIENT ) |
Penerima | Tidak ada |
Penyedia | Tidak |
APPLY TAG
Terapkan dan edit tag pada objek.
ALL PRIVILEGES
Digunakan untuk memberikan atau mencabut semua hak istimewa yang berlaku untuk objek yang dapat diamankan dan objek turunannya tanpa secara eksplisit menentukannya. Hak ini diperluas ke semua hak istimewa yang tersedia pada saat pemeriksaan izin dilakukan. Hak ini tidak secara individual memberikan pengguna setiap hak istimewa yang berlaku pada saat pemberian.
Ketika
ALL PRIVILEGES
dicabut hanya hak istimewa ituALL PRIVILEGES
sendiri yang dicabut. Pengguna mempertahankan hak istimewa lain yang diberikan kepada mereka secara terpisah.BROWSE
Penting
Fitur ini ada di Pratinjau Publik.
Lihat metadata objek menggunakan Catalog Explorer, browser skema, hasil pencarian, grafik silsilah data,
information_schema
, dan REST API. Pengguna tidak memerlukanUSE CATALOG
hak istimewa pada katalog induk atauUSE SCHEMA
pada skema induk.CREATE CATALOG
Buat katalog di metastore Katalog Unity.
CREATE CONNECTION
Buat koneksi asing di metastore Katalog Unity.
CREATE EXTERNAL LOCATION
Buat lokasi eksternal menggunakan kredensial penyimpanan. Saat diterapkan ke kredensial penyimpanan, memungkinkan pengguna untuk membuat lokasi eksternal menggunakan kredensial penyimpanan. Hak istimewa ini juga perlu diberikan kepada pengguna di metastore untuk memungkinkan mereka membuat lokasi eksternal di metastore tersebut.
CREATE EXTERNAL TABLE
Buat tabel eksternal menggunakan kredensial penyimpanan atau lokasi eksternal.
CREATE EXTERNAL VOLUME
CREATE FOREIGN CATALOG
Buat katalog pada koneksi asing. Setiap katalog asing kemudian mengekspos skema yang tersedia dalam sistem target federasi.
CREATE FUNCTION
Buat fungsi dalam skema. Pengguna juga memerlukan
USE CATALOG
hak istimewa pada katalog danUSE SCHEMA
hak istimewa pada skema.CREATE MANAGED STORAGE
Memungkinkan pengguna menentukan lokasi untuk menyimpan tabel terkelola di tingkat katalog atau skema, mengganti penyimpanan akar default untuk metastore Katalog Unity.
CREATE MATERIALIZED VIEW
Memungkinkan pengguna membuat tampilan materialisasi dalam skema. Karena hak istimewa diwariskan,
CREATE MATERIALIZED VIEW
juga dapat diberikan pada katalog, yang memungkinkan pengguna untuk membuat tabel atau tampilan dalam skema yang ada atau di masa mendatang dalam katalog.Pengguna juga harus memiliki
USE CATALOG
hak istimewa pada katalog induk danUSE SCHEMA
pada skema induk.CREATE MODEL
Memungkinkan pengguna untuk membuat model terdaftar MLflow dalam skema. Karena hak istimewa diwariskan,
CREATE MODEL
juga dapat diberikan pada katalog, yang memungkinkan pengguna untuk membuat model terdaftar dalam skema yang ada atau di masa mendatang dalam katalog.Pengguna juga harus memiliki
USE CATALOG
hak istimewa pada katalog induk danUSE SCHEMA
pada skema induk.CREATE PROVIDER
(Untuk penerima data Berbagi Delta) Buat penyedia di metastore Katalog Unity.
CREATE RECIPIENT
(Untuk penyedia data Berbagi Delta) Buat penerima di metastore Katalog Unity.
CREATE SCHEMA
Buat skema dalam katalog. Pengguna juga memerlukan
USE CATALOG
hak istimewa pada katalog.CREATE SHARE
(Untuk penyedia data Berbagi Delta) Buat berbagi di metastore Katalog Unity.
CREATE STORAGE CREDENTIAL
Buat kredensial penyimpanan di metastore Unity Catalog.
CREATE TABLE
Membuat tabel atau tampilan dalam skema. Pengguna juga memerlukan
USE CATALOG
hak istimewa pada katalog danUSE SCHEMA
hak istimewa pada skema. Untuk membuat tabel eksternal, pengguna juga memerlukanCREATE EXTERNAL TABLE
hak istimewa pada lokasi eksternal atau kredensial penyimpanan.CREATE VOLUME
Buat volume dalam skema. Pengguna juga memerlukan
USE CATALOG
hak istimewa pada katalog danUSE SCHEMA
hak istimewa pada skema. Untuk membuat volume eksternal, pengguna juga memerlukanCREATE EXTERNAL VOLUME
hak istimewa di lokasi eksternal.EXECUTE
Panggil fungsi yang ditentukan pengguna. Pengguna juga memerlukan
USE CATALOG
hak istimewa pada katalog danUSE SCHEMA
hak istimewa pada skema.MODIFY
SALIN KE, PERBARUIHAPUS, MASUKKAN, atau GABUNGKAN KE DALAM tabel.
READ FILES
Kueri file secara langsung menggunakan kredensial penyimpanan atau lokasi eksternal.
READ VOLUME
File kueri dalam volume.
REFRESH
Memungkinkan pengguna untuk me-refresh tampilan materialisasi jika pengguna juga memiliki
USE CATALOG
pada katalog induknya danUSE SCHEMA
pada skema induknya. Pengguna juga memerlukanUSE CATALOG
hak istimewa pada katalog danUSE SCHEMA
hak istimewa pada skema.SELECT
Kueri tabel atau tampilan, aktifkan fungsi yang ditentukan pengguna atau anonim, atau pilih
ANY FILE
. Pengguna membutuhkanSELECT
pada tabel, tampilan, atau fungsi, sertaUSE CATALOG
pada katalog objek danUSE SCHEMA
pada skema objek.SET SHARE PERMISSION
Di Berbagi Delta, izin ini, dikombinasikan dengan
USE SHARE
danUSE RECIPIENT
(atau kepemilikan penerima), memberi pengguna penyedia kemampuan untuk memberikan akses penerima ke berbagi. Dikombinasikan denganUSE SHARE
, ini memberikan kemampuan untuk mentransfer kepemilikan berbagi ke pengguna, grup, atau perwakilan layanan lain.USE CATALOG
Diperlukan, tetapi tidak cukup untuk mereferensikan objek apa pun dalam katalog. Prinsipal juga perlu memiliki hak istimewa pada objek yang diamankan individu. Tidak diperlukan bagi pengguna untuk menggunakan metadata baca objek menggunakan
BROWSE
hak istimewa.USE CONNECTION
Diperlukan untuk membaca metadata pada koneksi asing atau semua koneksi asing saat digunakan pada metastore.
USE MARKETPLACE ASSETS
Diaktifkan secara default untuk semua metastores Unity Catalog. Di Databricks Marketplace, hak istimewa ini memberi pengguna kemampuan untuk mendapatkan akses instan atau meminta akses untuk produk data yang dibagikan dalam daftar Marketplace. Ini juga memungkinkan pengguna untuk mengakses katalog baca-saja yang dibuat saat penyedia berbagi produk data. Tanpa hak istimewa ini, pengguna akan memerlukan
CREATE CATALOG
hak istimewa danUSE PROVIDER
atau peran admin metastore. Ini memungkinkan Anda membatasi jumlah pengguna dengan izin canggih tersebut.USE PROVIDER
Di Berbagi Delta, memberi pengguna penerima akses baca-saja ke semua penyedia di metastore penerima dan berbagi mereka. Dikombinasikan dengan
CREATE CATALOG
hak istimewa, hak istimewa ini memungkinkan pengguna penerima yang bukan admin metastore untuk memasang berbagi sebagai katalog. Ini memungkinkan Anda membatasi jumlah pengguna dengan peran admin metastore yang kuat.USE RECIPIENT
Di Berbagi Delta, memberi pengguna penyedia akses baca-saja ke semua penerima di metastore penyedia dan berbagi mereka. Ini memungkinkan pengguna penyedia yang bukan admin metastore untuk melihat detail penerima, status autentikasi penerima, dan daftar berbagi yang telah dibagikan penyedia dengan penerima.
Di Databricks Marketplace, ini memberi pengguna penyedia kemampuan untuk melihat daftar dan permintaan konsumen di konsol Penyedia.
USE SCHEMA
Diperlukan, tetapi tidak cukup untuk mereferensikan objek apa pun dalam skema. Prinsipal juga perlu memiliki hak istimewa pada objek yang diamankan individu. Tidak diperlukan bagi pengguna untuk menggunakan metadata baca objek menggunakan
BROWSE
hak istimewa.USE SHARE
Di Berbagi Delta, memberi pengguna penyedia akses baca-saja ke semua berbagi yang ditentukan dalam metastore penyedia. Ini memungkinkan pengguna penyedia yang bukan admin metastore untuk mencantumkan berbagi dan mencantumkan aset (tabel dan buku catatan) dalam berbagi, bersama dengan penerima berbagi.
Di Databricks Marketplace, ini memberi pengguna penyedia kemampuan untuk melihat detail tentang data yang dibagikan dalam daftar.
WRITE FILES
Langsung SALIN KE file yang diatur oleh kredensial penyimpanan atau lokasi eksternal.
WRITE VOLUME
Langsung SALIN file KE dalam volume.
Contoh
-- Grant a privilege to the user alf@melmak.et
> GRANT SELECT ON TABLE t TO `alf@melmak.et`;
-- Revoke a privilege from the general public group.
> REVOKE USE SCHEMA ON SCHEMA some_schema FROM `alf@melmak.et`;
Terkait
Saran dan Komentar
https://aka.ms/ContentUserFeedback.
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat:Kirim dan lihat umpan balik untuk