Hak istimewa dan objek yang dapat diamankan di metastore Apache Hive

  • Artikel

Berlaku untuk:check ditandai ya pemeriksaan Databricks SQL ditandai ya Databricks Runtime

Hak istimewa adalah hak yang diberikan kepada prinsipal untuk beroperasi pada objek yang dapat diamankan di metastore.

Model hak istimewa dan objek yang dapat diamankan berbeda tergantung pada apakah Anda menggunakan metastore Unity Catalog atau metastore Apache Hive warisan. Artikel ini menjelaskan model hak istimewa untuk metastore Apache Hive warisan. Jika Anda menggunakan Katalog Unity, lihat Hak Istimewa dan objek yang dapat diamankan di Katalog Unity.

Objek yang dapat diamankan di metastore Apache Hive

Objek yang dapat diamankan adalah objek yang ditentukan dalam metastore tempat hak istimewa dapat diberikan kepada prinsipal.

Untuk mengelola hak istimewa pada objek apa pun, Anda harus menjadi pemilik atau administratornya.

Sintaks

  securable_object
    { ANY FILE |
      CATALOG [ catalog_name ] |
      { SCHEMA | DATABASE } schema_name |
      FUNCTION function_name |
      [ TABLE ] table_name |
      VIEW view_name
      }

Parameter

  • ANY FILE

    Mengontrol akses ke sistem file yang mendasar.

  • CATALOGcatalog_name

    Mengontrol akses ke seluruh katalog data.

  • { SCHEMA | DATABASE }schema_name

    Mengontrol akses ke skema.

  • FUNCTIONfunction_name

    Mengontrol akses ke fungsi bernama.

  • [ TABLE ]table_name

    Mengontrol akses ke tabel terkelola atau eksternal.

  • VIEWview_name

    Mengontrol akses ke tampilan SQL.

Model pewarisan

Objek yang dapat diamankan dalam metastore Apache Hive adalah hierarkis dan hak istimewa diwariskan ke bawah. Ini berarti bahwa memberikan atau menolak hak istimewa pada CATALOG pemberian secara otomatis atau menolak hak istimewa untuk semua skema dalam katalog. Demikian pula, hak istimewa yang diberikan pada objek skema diwariskan oleh semua objek dalam skema tersebut. Pola ini berlaku untuk semua objek yang dapat diamankan.

Jika Anda menolak hak istimewa pengguna pada tabel, pengguna tidak dapat melihat tabel dengan mencoba mencantumkan semua tabel dalam skema. Jika Anda menolak hak istimewa pengguna pada skema, pengguna tidak dapat melihat bahwa skema ada dengan mencoba mencantumkan semua skema dalam katalog.

Jenis hak istimewa

Tabel berikut ini memperlihatkan hak istimewa mana yang terkait dengan objek yang dapat diamankan.

Jenis hak istimewa FUNGSI ANONIM FILE APA PUN KATALOG SKEMA FUNGSI MEJA LIHAT
MEMBUAT Ya Ya
MEMODIFIKASI Ya Ya Ya Ya
READ_METADATA Ya Ya Ya Ya
PILIH Ya Ya Ya Ya Ya Ya Ya
PENGGUNAAN Ya Ya

  • ALL PRIVILEGES

    Digunakan untuk memberikan atau mencabut semua hak istimewa yang berlaku untuk objek yang dapat diamankan dan anaknya tanpa secara eksplisit menentukannya. Ini diperluas ke semua hak istimewa yang tersedia pada saat pemeriksaan izin dilakukan.

  • CREATE

    Buat objek dalam katalog atau skema.

  • MODIFY

    SALIN KE,PERBARUIHAPUS, SISIPKAN, atau GABUNGKAN KE DALAM tabel.

    Jika securable_object adalah hive_metastore atau skema di dalamnya, pemberian MODIFY akan diberikan MODIFY pada semua tabel dan tampilan saat ini dan di masa mendatang dalam objek yang dapat diamankan.

  • READ_METADATA

    Temukan objek yang dapat diamankan di SHOW dan interogasi objek di DESCRIBE

    Jika objek yang dapat diamankan adalah hive_metastore katalog atau skema di dalamnya, pemberian READ_METADATA akan diberikan READ_METADATA pada semua tabel dan tampilan saat ini dan di masa mendatang dalam objek yang dapat diamankan.

  • READ FILES

    File kueri secara langsung menggunakan kredensial penyimpanan atau lokasi eksternal.

  • SELECT

    Kueri tabel atau tampilan, panggil fungsi yang ditentukan pengguna atau anonim, atau pilih ANY FILE. Pengguna membutuhkan SELECT pada tabel, tampilan, atau fungsi, serta USAGE pada skema dan katalog objek.

    Jika objek yang dapat diamankan adalah hive_metastore atau skema di dalamnya, pemberian SELECT akan diberikan SELECT pada semua tabel dan tampilan saat ini dan di masa mendatang dalam objek yang dapat diamankan.

  • USAGE

    Diperlukan, tetapi tidak cukup untuk mereferensikan objek apa pun dalam katalog atau skema. Perwakilan juga perlu memiliki hak istimewa pada objek yang dapat diamankan individu.

  • WRITE FILES

    Salin langsung file INTO yang diatur oleh kredensial penyimpanan atau lokasi eksternal.

Contoh

-- Grant a privilege to the user alf@melmak.et
> GRANT SELECT ON TABLE t TO `alf@melmak.et`;

-- Revoke a privilege from the general public group.
> REVOKE USAGE ON SCHEMA some_schema FROM `alf@melmak.et`;