Privilegi e oggetti a protezione diretta nel metastore Hive
Si applica a: Databricks SQL
Databricks Runtime
Un privilegio è un diritto concesso a un'entità per operare su un oggetto a protezione diretta nel metastore.
Il modello di privilegio e gli oggetti a protezione diretta variano a seconda che si usi un metastore del catalogo Unity o il metastore Hive legacy. Questo articolo descrive il modello di privilegio per il metastore Hive legacy. Se si usa Il catalogo unity, vedere Privilegi e oggetti a protezione diretta nel catalogo unity.
Oggetti a protezione diretta nel metastore Hive
Un oggetto a protezione diretta è un oggetto definito nel metastore in cui è possibile concedere privilegi a un'entità.
Per gestire i privilegi per qualsiasi oggetto, è necessario essere il proprietario o un amministratore.
Sintassi
securable_object
{ ANY FILE |
CATALOG [ catalog_name ] |
{ SCHEMA | DATABASE } schema_name |
FUNCTION function_name |
[ TABLE ] table_name |
VIEW view_name
}
Parametri
ANY FILE
Controlla l'accesso al file system sottostante.
CATALOG
catalog_nameControlla l'accesso all'intero catalogo dati.
{ SCHEMA | DATABASE }
schema_nameControlla l'accesso a uno schema.
FUNCTION
function_nameControlla l'accesso a una funzione denominata.
[ TABLE ]
table_nameControlla l'accesso a una tabella gestita o esterna.
VIEW
view_nameControlla l'accesso alle viste SQL.
Modello di ereditarietà
Gli oggetti a protezione diretta nel metastore Hive sono gerarchici e i privilegi vengono ereditati verso il basso. Ciò significa che la concessione o la negazione di un privilegio per l'oggetto CATALOG
concede o nega automaticamente il privilegio a tutti gli schemi nel catalogo. Analogamente, i privilegi concessi per un oggetto schema vengono ereditati da tutti gli oggetti in tale schema. Questo modello è true per tutti gli oggetti a protezione diretta.
Se si negano privilegi utente in una tabella, l'utente non può visualizzare la tabella tentando di elencare tutte le tabelle nello schema. Se si negano privilegi utente per uno schema, l'utente non può vedere che lo schema esiste tentando di elencare tutti gli schemi nel catalogo.
Tipi di privilegi
Nella tabella seguente vengono illustrati i privilegi associati agli oggetti a protezione diretta.
Tipo privilegio | FUNZIONE ANONIMA | ANY FILE | CATALOGO | SCHEMA | FUNCTION | TABLE | VIEW | |
---|---|---|---|---|---|---|---|---|
CREATE | Sì | Sì | ||||||
MODIFY | Sì | Sì | Sì | Sì | ||||
READ_METADATA | Sì | Sì | Sì | Sì | ||||
SELECT | Sì | Sì | Sì | Sì | Sì | Sì | Sì | |
USAGE | Sì | Sì |
ALL PRIVILEGES
Usato per concedere o revocare tutti i privilegi applicabili all'entità a protezione diretta e ai relativi oggetti figlio senza specificarli in modo esplicito. Questo si espande a tutti i privilegi disponibili al momento dell'esecuzione dei controlli delle autorizzazioni.
CREATE
Creare oggetti all'interno del catalogo o dello schema.
MODIFY
COPY INTO, UPDATE DELETE, INSERT o MERGE INTO the table.
Se il securable_object è o
hive_metastore
uno schema al suo interno, la concessioneMODIFY
concederàMODIFY
a tutte le tabelle e le viste correnti e future all'interno dell'oggetto a protezione diretta.READ_METADATA
Individuare l'oggetto a protezione diretta in SHOW e interrogare l'oggetto in DESCRIBE
Se l'oggetto a protezione diretta è il
hive_metastore
catalogo o uno schema al suo interno, la concessioneREAD_METADATA
concederàREAD_METADATA
a tutte le tabelle e le viste correnti e future all'interno dell'oggetto a protezione diretta.READ FILES
Eseguire query sui file direttamente usando le credenziali di archiviazione o il percorso esterno.
SELECT
Eseguire query su una tabella o una vista, richiamare una funzione definita dall'utente o anonima oppure selezionare
ANY FILE
. L'utente deveSELECT
disporre della tabella, della vista o della funzione, nonchéUSAGE
dello schema e del catalogo dell'oggetto.Se l'oggetto a protezione diretta è o
hive_metastore
uno schema al suo interno, la concessioneSELECT
concederàSELECT
a tutte le tabelle e le viste correnti e future all'interno dell'oggetto a protezione diretta.USAGE
Obbligatorio, ma non sufficiente per fare riferimento a qualsiasi oggetto in un catalogo o in uno schema. L'entità deve anche disporre di privilegi per i singoli oggetti a protezione diretta.
WRITE FILES
Copiare direttamente i file INTO regolati dalle credenziali di archiviazione o dal percorso esterno.
Esempi
-- Grant a privilege to the user alf@melmak.et
> GRANT SELECT ON TABLE t TO `alf@melmak.et`;
-- Revoke a privilege from the general public group.
> REVOKE USAGE ON SCHEMA some_schema FROM `alf@melmak.et`;
Elementi correlati
Commenti e suggerimenti
https://aka.ms/ContentUserFeedback.
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedereInvia e visualizza il feedback per