이 페이지에서는 Unity 카탈로그의 모든 보안 개체에 대해 설명합니다. 보안 개체는 보안 주체(사용자, 서비스 주체 또는 그룹)에게 권한을 부여할 수 있는 Unity 카탈로그에 정의된 개체입니다.
Unity 카탈로그 개체 계층 구조
Unity 카탈로그의 보안 개체는 계층적입니다. 이 계층 구조는 Unity 카탈로그에서 액세스 제어를 위한 기초를 제공합니다.
메타스토어는 최상위 보안 개체입니다. 이 메타스토어 내에서 데이터 자산은 카탈로그, 스키마 및 자산 유형(예: 테이블 )catalog.schema.table을 정의하는 3개 수준 네임스페이스에 있습니다. 다음 다이어그램에서는 이러한 보안 개체를 강조 표시합니다.
위의 다이어그램은 다음을 보여줍니다.
-
카탈로그는 데이터 자산의 최상위 계층입니다. 카탈로그는 메타스토어 바로 아래에 있습니다. 일반적으로 조직 단위 또는 소프트웨어 개발 수명 주기 범위별로 데이터 및 AI 자산을 구성하는 데 사용됩니다.
- 스키마는 카탈로그 내에 있습니다. 데이터 및 AI 자산을 카탈로그보다 세분화된 범주로 구성합니다. 스키마는 단일 사용 사례, 프로젝트 또는 팀 샌드박스를 나타낼 수 있습니다.
Unity 카탈로그에는 다른 많은 보안 개체도 있습니다. 이러한 모든 개체는 메타스토어 바로 아래에 있습니다. 다음 다이어그램에서는 이러한 보안 개체를 강조 표시합니다.
이러한 보안 개체는 크게 두 그룹으로 분류할 수 있습니다. 첫 번째 그룹에는 클라우드 스토리지 및 기타 외부 데이터 원본 및 서비스에 대한 액세스를 관리하는 개체가 포함됩니다.
- 스토리지 자격 증명 은 클라우드 스토리지의 특정 경로에 액세스하는 데 필요한 인증 정보를 나타내는 개체입니다.
- 외부 위치 는 클라우드 스토리지의 특정 경로를 나타내는 개체입니다. 또한 해당 경로에 액세스하는 데 필요한 스토리지 자격 증명에 대한 참조도 포함됩니다.
- 외부 메타데이터 개체는 Unity 카탈로그 외부에서 작동하는 시스템에 대한 사용자 지정 데이터 계보 관계를 정의하는 데 사용됩니다.
- 서비스 자격 증명 은 외부 클라우드 서비스에 액세스하는 데 필요한 인증 정보를 나타내는 개체입니다.
- 연결은 외부 데이터베이스 시스템에 대한 연결을 나타내는 개체입니다.
두 번째 그룹에는 메타스토어 또는 조직의 경계를 넘어 데이터 및 AI 자산 공유에 대한 액세스를 관리하는 개체가 포함됩니다.
- 공유 는 외부 받는 사람과 공유하려는 데이터 자산의 논리적 그룹을 나타내는 개체입니다.
- 공급자는 외부 조직 또는 조직과 데이터를 공유한 사용자 그룹을 나타내는 개체입니다.
- 받는 사람은공급자 가 데이터를 공유하는 외부 조직 또는 사용자 그룹을 나타내는 개체입니다.
- 클린룸 은 기본 데이터를 노출하지 않고 다른 조직과 공동 작업하기 위한 안전한 환경을 나타내는 개체입니다.
다음 섹션에서는 각 보안 개체에 대해 자세히 설명합니다.
메타스토어
메타스토어는 Unity 카탈로그의 최상위 보안 개체입니다. 메타스토어는 단일 클라우드 지역의 Unity 카탈로그에 등록된 모든 보안 개체를 포함합니다. 이러한 개체에는 데이터를 구성하는 카탈로그뿐만 아니라 서비스 자격 증명, 스토리지 자격 증명, 외부 위치, 연결, 공유, 받는 사람, 공급자 및 클린 룸과 같은 데이터에 액세스하고 공유하는 방법을 제어하는 개체도 포함됩니다.
다음 표에서는 메타스토어에 대한 중요한 세부 정보를 요약합니다.
| 세부 정보 | 설명 |
|---|---|
| Scope | 메타스토어는 단일 클라우드 지역으로 범위가 지정됩니다. 조직에서 작동하는 지역당 하나의 메타스토어가 필요합니다. 단일 메타스토어는 동일한 지역의 여러 작업 영역에 연결할 수 있습니다. 메타스토어의 권한 부여는 해당 메타스토어에 연결된 모든 작업 영역에 적용됩니다. 즉, 한 작업 영역에서 부여된 권한은 메타스토어를 공유하는 다른 모든 작업 영역에서 효과적입니다. |
| Metastore 권한 | metastore에 대한 권한은 메타스토어 수준에서 작업을 허용합니다. 예를 들어 CREATE CATALOG 사용자가 메타스토어 내에서 카탈로그를 만들 수 있습니다. 그러나 카탈로그 내의 데이터에 대한 액세스 권한은 사용자에게 부여되지 않습니다. 적용 가능한 권한의 전체 목록은 권한 유형 테이블을 참조하세요.중요한 것은 메타스토어 수준에서 부여된 권한은 계층 구조의 자식 개체에 상속되지 않는다는 것입니다. 메타스토어 수준 권한 부여는 메타스토어 수준 작업으로만 범위가 지정됩니다. 이는 상속된 권한이 모든 현재 및 미래의 자식 개체에 자동으로 적용되는 카탈로그 및 스키마 부여에 대한 권한 상속 동작과 다릅니다. 권한 상속을 참조하세요. |
| Metastore 관리자 | 메타스토어 관리자는 Azure Databricks에서 선택적 역할입니다. 계정 관리자가 할당합니다. 메타스토어 삭제, 작업 영역 할당 관리 및 메타스토어의 모든 개체 소유권 가져오기를 포함하여 metastore 관리자만 특정 기능을 사용할 수 있습니다. 이를 통해 메타스토어의 모든 데이터에 간접적으로 액세스할 수 있습니다. 이러한 기능은 표준 권한 부여를 통해 부여할 수 없습니다.
Metastore 관리자를 참조하세요. Unity 카탈로그에 대해 작업 영역을 자동으로 사용하도록 설정하면 작업 영역 관리자는 기본 메타스토어 수준 권한 집합(예 CREATE CATALOG: , CREATE STORAGE CREDENTIAL및 CREATE EXTERNAL LOCATION)을 받습니다. 이러한 작업은 동일한 메타스토어에 연결된 다른 작업 영역으로 전송되지 않습니다. Unity 카탈로그에 대해 작업 영역이 자동으로 활성화되면 작업 영역 관리자 권한을 참조하세요. |
카탈로그
메타스토어 내에서 카탈로그는 데이터 자산에 대한 첫 번째 및 가장 높은 수준의 계층입니다. 카탈로그는 컨테이너 개체입니다. 카탈로그에는 테이블, 뷰, 볼륨 및 함수가 포함된 스키마가 포함됩니다.
Unity 카탈로그의 데이터에 대해서는 "3개 수준 네임스페이스"(catalog.schema.table)를 자주 참조합니다. 여기서 카탈로그는 3개 수준 네임스페이스의 첫 번째 계층입니다.
다음 표에는 카탈로그에 대한 중요한 세부 정보가 요약되어 있습니다.
| 세부 정보 | 설명 |
|---|---|
| 상속 | 카탈로그에 부여된 권한은 현재 및 미래의 모든 스키마, 테이블, 뷰, 볼륨 및 그 안의 함수에 자동으로 적용됩니다. 예를 들어 카탈로그에 부여하면 SELECT 사용자가 해당 카탈로그의 테이블을 읽을 수 있습니다(적절한 USE CATALOG사용 권한 및 USE SCHEMA 사용 권한 포함).
권한 상속을 참조하세요.상속으로 인해 카탈로그 수준 권한은 광범위합니다. 사용자에게 부여할 때는 주의해야 합니다. |
사용 권한(USE CATALOG) |
사용자가 카탈로그의 USE CATALOG 모든 개체와 상호 작용하려면 사용 권한이 필요합니다. 이는 자식 개체에 대해 보유하는 권한에 관계없이 달라집니다. |
BROWSE 권한 |
카탈로그에서 BROWSE 사용자에게 권한을 부여하면 데이터에 대한 액세스 권한을 부여하지 않고도 자식 스키마, 테이블, 뷰, 볼륨 및 함수를 포함하여 카탈로그의 모든 개체에 대한 메타데이터를 검색하고 볼 수 있습니다.
BROWSE 는 카탈로그 수준에서만 부여할 수 있습니다.Databricks는 사용자가 데이터를 검색하고 BROWSEAll account users 필요에 따라 액세스를 요청할 수 있도록 그룹에 부여할 것을 권장합니다. |
| 작업 영역 바인딩 | 기본적으로 카탈로그는 동일한 메타스토어에 연결된 모든 작업 영역에서 액세스할 수 있습니다. 필요에 따라 카탈로그를 특정 작업 영역에 바인딩하여 이를 읽기 전용으로 제한할 수 있습니다. 작업 영역 바인딩은 개별 권한 부여를 대체합니다. 명시적 SELECT 권한이 있는 사용자도 작업 영역에 바인딩되지 않은 카탈로그의 개체에 액세스할 수 없습니다.
특정 작업 영역에 대한 카탈로그 액세스 제한을 참조하세요. |
카탈로그에 대한 자세한 내용은 Azure Databricks의 카탈로그란?을 참조하세요.
스키마
카탈로그 내에서 스키마(데이터베이스라고도 함)는 데이터 자산에 대한 개체 계층 구조의 두 번째 계층입니다. 스키마는 컨테이너 개체입니다. 스키마에는 테이블, 뷰, 볼륨 및 함수가 포함됩니다.
Unity 카탈로그의 데이터에 대한 3개 수준 네임스페이스 (즉, catalog.schema.table)를 자주 참조합니다. 여기서 스키마는 3개 수준 네임스페이스의 두 번째 계층입니다.
다음 표에는 스키마에 대한 중요한 세부 정보가 요약되어 있습니다.
| 세부 정보 | 설명 |
|---|---|
| 상속 | 스키마에 부여된 권한은 현재 및 미래의 모든 테이블, 뷰, 볼륨 및 해당 테이블 내의 함수에 자동으로 적용됩니다. 예를 들어 스키마를 SELECT 부여하면 사용자가 해당 스키마의 테이블을 읽을 수 있습니다(적절한 USE CATALOG사용 권한 및 USE SCHEMA 사용 권한 포함).
권한 상속을 참조하세요.상속으로 인해 스키마 수준 권한은 광범위할 수 있습니다. 사용자에게 권한을 부여하기 전에 스키마에 포함된 개체를 검토합니다. |
사용 권한(USE SCHEMA) |
사용자가 스키마의 USE SCHEMA 개체와 상호 작용하려면 사용 권한이 필요합니다. 이는 스키마의 부모 카탈로그에 추가 USE CATALOG 됩니다.
USE SCHEMA 권한 부여 자체는 스키마의 데이터에 대한 액세스를 제공하지 않습니다. |
스키마에 대한 자세한 내용은 스키마를 참조하세요.
테이블
스키마 내에서 테이블은 Unity 카탈로그의 구조적 데이터에 대한 기본 보안 개체입니다. 다음은 Azure Databricks의 테이블 유형입니다.
- 관리되는 테이블 은 스토리지 위치 경로가 Unity 카탈로그에 의해 결정되는 테이블입니다. 중요한 것은 데이터 자체는 여전히 클라우드 계정에 있습니다. Databricks는 관리되는 테이블을 사용하여 최신 테이블 기능을 활용하는 것이 좋습니다. Delta Lake 및 Apache Iceberg용 Azure Databricks에서 Unity 카탈로그 관리 테이블을 참조하세요.
- 외부 테이블 은 스토리지 위치 경로를 지정하는 테이블입니다. Unity 카탈로그는 테이블의 메타데이터를 계속 관리하지만 데이터의 수명 주기, 최적화, 스토리지 위치 또는 레이아웃을 관리하지는 않습니다. 외부 테이블 작업을 참조하세요.
- 외세 테이블 은 Unity 카탈로그에 등록된 외세 카탈로그의 테이블입니다. 외부 테이블 작업을 참조하세요.
다음 표에서는 테이블에 대한 중요한 세부 정보를 요약합니다.
| 세부 정보 | 설명 |
|---|---|
| 사용 권한 | 테이블에 액세스하려면 사용자는 부모 카탈로그 및 |
| 상속 | 테이블 권한은 부모 스키마 또는 카탈로그에서 상속할 수 있습니다. 예를 들어 스키마에 부여하면 SELECT 해당 스키마의 SELECT 모든 현재 및 이후 테이블에 자동으로 부여됩니다.
권한 상속을 참조하세요. |
| 읽기 및 쓰기 액세스 | 읽기 액세스 권한을 부여하고 MODIFY 쓰기 액세스 권한을 부여하는 데 사용합니다SELECT(삽입, 업데이트, 삭제).
Lakehouse 페더레이션을 통해 액세스되는 외세 테이블은 읽기 전용이며 권한을 지원하지 MODIFY 않습니다. |
테이블에 대한 자세한 내용은 Azure Databricks 테이블을 참조하세요.
보기
스키마 내에서 뷰는 하나 이상의 테이블 또는 다른 뷰에 대해 저장된 SQL 쿼리에 의해 정의된 읽기 전용 개체입니다. 모든 쿼리에서 결과를 다시 계산합니다.
다음 표에서는 뷰에 대한 중요한 세부 정보를 요약합니다.
| 세부 정보 | 설명 |
|---|---|
| 사용 권한 | 보기에 액세스하려면 뷰 외에도 SELECT 부모 카탈로그와 USE SCHEMA 부모 스키마(사용 권한)에 사용자가 있어야 합니다USE CATALOG.뷰에서 쿼리하는 기본 테이블에 대한 권한이 필요하지 않습니다. 뷰 소유자의 권한은 쿼리 시 기본 테이블을 확인하는 데 사용됩니다. 테이블 소유자의 경우 이 보기는 기본 테이블을 직접 노출하지 않고 특정 행 또는 열에 대한 액세스를 제한하는 데 유용합니다. |
| 상속 |
SELECT 스키마 또는 카탈로그 수준에서 부여된 내용은 해당 스키마 또는 카탈로그의 모든 현재 및 이후 보기에 적용됩니다.
권한 상속을 참조하세요. |
보기에 대한 자세한 내용은 보기란?을 참조하세요.
구체화된 뷰
구체화된 뷰는 쿼리 결과를 미리 계산하고 저장하는 뷰입니다. 결과는 구체화된 뷰가 마지막으로 새로 고쳐졌을 때의 데이터 상태를 반영합니다.
구체화된 뷰에 대한 사용 권한 모델은 표준 뷰의 사용 권한 모델과 동일합니다. 구체화된 뷰 외에도 SELECTMANAGE사용자가 구체화된 뷰 결과의 새로 고침을 트리거할 수 있는 권한을 지원 REFRESH 합니다. 적절한 사용 권한만 SELECT 있는 사용자는 저장된 결과를 쿼리할 수 있지만 새로 고침을 트리거할 수는 없습니다.
구체화된 뷰에 대한 자세한 내용은 구체화된 뷰를 참조하세요.
메트릭 뷰
메트릭 뷰는 하나 이상의 테이블, 뷰 또는 SQL 쿼리를 기반으로 다시 사용할 수 있는 메트릭 정의 집합을 정의하는 읽기 전용 개체입니다. 사용자는 표준 보기와 마찬가지로 메트릭 뷰를 쿼리합니다.
구체화된 뷰에 대한 사용 권한 모델은 표준 뷰의 사용 권한 모델과 동일합니다. 메트릭 뷰를 쿼리하는 데 필요한 SELECT 사용자 및 적절한 사용 권한 입니다. 메트릭 뷰 소유자의 권한은 쿼리 시 기본 데이터 원본을 확인하는 데 사용됩니다.
메트릭 뷰에 대한 자세한 내용은 Unity 카탈로그 메트릭 뷰를 참조하세요.
음량
스키마 내에서 볼륨은 클라우드 스토리지의 구조화되지 않은 데이터에 대한 보안 개체입니다. 볼륨은 관리(Unity 카탈로그에 의해 결정되는 스토리지 위치) 또는 외부(스토리지 경로를 지정)할 수 있습니다. 테이블 및 뷰와 달리 볼륨은 SQL 쿼리 작업을 지원하지 않으며, 클라우드 스토리지의 데이터에 대한 파일 수준 읽기 및 쓰기 액세스를 제공합니다. 다음은 Azure Databricks의 볼륨 유형입니다.
- 관리되는 볼륨은 스토리지 위치 경로가 Unity 카탈로그에 의해 결정되는 볼륨입니다. 중요한 것은 데이터 자체는 여전히 클라우드 계정에 있습니다. Databricks는 관리되는 볼륨을 사용하여 Unity 카탈로그가 모든 데이터 액세스를 자동으로 제어하도록 권장합니다.
- 외부 볼륨은 스토리지 위치 경로를 지정하는 볼륨입니다. Azure Databricks 외부에서 외부 시스템 액세스가 필요한 경우 외부 볼륨을 사용할 수 있지만 외부 시스템이 Unity 카탈로그 거버넌스를 우회할 수 있음을 주의해야 합니다.
다음 표에서는 볼륨에 대한 중요한 세부 정보를 요약합니다.
| 세부 정보 | 설명 |
|---|---|
| 사용 권한 | 볼륨의 파일에 액세스하려면 사용자는 볼륨 외에도 READ VOLUMEWRITE VOLUME 부모 카탈로그와 USE SCHEMA 부모 스키마(사용 권한)에 있어야 합니다USE CATALOG. |
| 읽기 및 쓰기 액세스 | 볼륨에 저장된 파일 및 디렉터리를 읽고 파일을 추가, WRITE VOLUME 수정 또는 삭제하는 기능을 부여하는 데 사용합니다READ VOLUME. |
| 상속 |
READ VOLUME
WRITE VOLUME 스키마 또는 카탈로그 수준에서 부여되며 해당 스키마 또는 카탈로그의 모든 현재 및 이후 볼륨에 적용됩니다.
권한 상속을 참조하세요. |
볼륨에 대한 자세한 내용은 Unity 카탈로그 볼륨이란?을 참조하세요.
기능
스키마 내에서 함수는 재사용 가능한 실행 논리를 나타내는 Unity 카탈로그의 보안 개체입니다. 함수에는 UDF(사용자 정의 함수), 저장 프로시저 및 등록된 모델(Unity 카탈로그에 등록된 MLflow 모델)이 포함됩니다.
- UDF(사용자 정의 함수) 는 SQL 쿼리 및 Notebook에서 호출할 수 있는 SQL 또는 Python으로 작성된 사용자 지정 함수입니다. 사용자 정의 함수(UDF)란 무엇인가요?을 참조하세요.
- 저장 프로시저는 일련의 SQL 문을 실행하고 데이터 삽입 또는 업데이트와 같은 부작용을 포함할 수 있는 사용자 정의 루틴입니다.
- 등록된 모델은 Unity 카탈로그에 등록된 MLflow 기계 학습 모델입니다. Unity 카탈로그에서 등록된 모델은 함수 형식으로 구현됩니다. Unity 카탈로그에서 모델 수명 주기 관리를 참조하세요.
다음 표에서는 함수에 대한 중요한 세부 정보를 요약합니다.
| 세부 정보 | 설명 |
|---|---|
| 사용 권한 | 함수를 실행하거나 등록된 모델을 로드하려면 사용자는 함수 외에도 EXECUTE 부모 카탈로그와 USE SCHEMA 부모 스키마(사용 권한)에 있어야 합니다USE CATALOG. |
EXECUTE 권한 |
EXECUTE 함수에 대해 사용자에게 권한을 부여하면 함수를 호출하고 해당 정의 및 메타데이터를 볼 수 있습니다. 등록된 모델의 경우 사용자가 등록된 모델의 EXECUTE 모든 버전에 대한 메타데이터를 보고 모델 파일을 다운로드할 수도 있습니다. |
| 상속 |
EXECUTE 스키마 또는 카탈로그 수준에서 부여된 내용은 해당 스키마 또는 카탈로그의 모든 현재 및 이후 함수에 적용됩니다.
권한 상속을 참조하세요. |
모델
모델은 Unity 카탈로그에 함수 개체로 저장된 버전이 지정된 MLflow 기계 학습 모델입니다. 모델 자체는 컨테이너입니다. 각 학습 실행에 대한 아티팩트 및 메타데이터는 그 안에 모델 버전 으로 저장됩니다.
등록된 모델에 대한 권한 모델은 함수의 사용 권한 모델과 동일합니다. 모델에는 다음과 같은 추가 권한이 특별히 적용됩니다.
APPLY TAG: 모델 및 해당 버전에서 태그를 추가하고 편집할 수 있습니다. 또한 사용자는 부모 카탈로그와USE SCHEMA부모 스키마에 있어야 합니다USE CATALOG.CREATE MODEL VERSION: 사용자가 모델에 태그를 실행, 수정 또는 추가할 수 있는 기능을 부여하지 않고도 새 버전의 모델을 등록할 수 있습니다. 또한 사용자는 부모 카탈로그와USE SCHEMA부모 스키마에 있어야 합니다USE CATALOG.
모델을 만들려면 스키마에 CREATE MODEL 대한 권한이 필요하고 그렇지 않습니다 CREATE FUNCTION.
CREATE MODEL 은 카탈로그의 모든 스키마에서 모델을 만들 수 있도록 카탈로그에 부여할 수도 있습니다.
모델에 대한 자세한 내용은 Unity 카탈로그의 모델 수명 주기 관리를 참조하세요.
스토리지 자격 증명
메타스토어 내에서 스토리지 자격 증명은 클라우드 스토리지의 특정 경로에 액세스하는 데 필요한 인증 정보를 저장하는 보안 개체입니다. 저장된 인증 방법은 클라우드 공급자( AWS의 IAM 역할, Azure의 서비스 주체 또는 GCP의 서비스 계정)에 따라 달라집니다.
스토리지 자격 증명은 스토리지 자격 증명을 특정 클라우드 스토리지 경로와 페어링하는 외부 위치의 구성 요소로 가장 일반적으로 사용됩니다. 스토리지 자격 증명을 직접 사용하여 외부 테이블을 만들 수도 있습니다.
스토리지 자격 증명을 만들려면 사용자는 Unity 카탈로그 메타스토어에 대한 권한이 필요합니다 CREATE STORAGE CREDENTIAL .
스토리지 자격 증명에 대한 자세한 내용은 스토리지 자격 증명 개요를 참조하세요.
외부 위치
메타스토어 내에서 외부 위치는 스토리지 자격 증명을 클라우드 스토리지 경로와 페어링하는 보안 개체입니다. 클라우드 스토리지의 특정 경로에 대한 액세스를 제어합니다.
외부 위치를 만들려면 사용자는 Unity 카탈로그 메타스토어에 대한 권한이 필요합니다 CREATE EXTERNAL LOCATION .
외부 위치를 만든 후 사용자는 스토리지 경로에서 직접 파일을 읽을 수 있는 권한과 파일을 쓸 수 있는 WRITE FILES 권한이 필요합니다READ FILES. 그러나 Databricks는 외부 위치에 직접 부여 READ FILESWRITE FILES 하지 않고 볼륨 및 READ VOLUMEWRITE VOLUME 권한을 통해 클라우드 스토리지 액세스를 관리하는 것이 좋습니다.
외부 위치에 대한 자세한 내용은 외부 위치 개요를 참조하세요.
외부 메타데이터
메타스토어 내에서 외부 메타데이터 개체는 Unity 카탈로그의 네이티브 계보 추적 외부에서 작동하는 시스템에 대한 사용자 지정 데이터 계보 관계를 정의하는 데 사용되는 보안 개체입니다.
외부 메타데이터 개체를 만들려면 사용자는 Unity 카탈로그 메타스토어에 대한 권한이 필요합니다 CREATE EXTERNAL METADATA . 개체에 계보 관계를 추가하거나 수정하려면 사용자는 외부 메타데이터 개체와 관계에서 참조된 Unity 카탈로그 개체에 대한 적절한 권한이 필요합니다 MODIFY .
외부 메타데이터에 대한 자세한 내용은 Unity 카탈로그를 사용하여 데이터 계보 보기를 참조하세요.
서비스 자격 증명
메타스토어 내에서 서비스 자격 증명은 외부 클라우드 서비스에 액세스하기 위한 인증 정보를 저장하는 보안 개체입니다. 클라우드 스토리지에 대한 액세스를 제어하는 스토리지 자격 증명과는 다릅니다.
서비스 자격 증명을 만들려면 사용자는 Unity 카탈로그 메타스토어에 대한 권한이 필요합니다 CREATE SERVICE CREDENTIAL .
이 ACCESS 권한을 통해 사용자는 서비스 자격 증명을 사용하여 외부 서비스에 액세스할 수 있습니다.
CREATE CONNECTION 서비스 자격 증명(메타스토어와 CREATE CONNECTION 결합)에서 사용자는 해당 자격 증명을 사용하여 외부 데이터베이스에 대한 연결을 만들 수 있습니다.
서비스 자격 증명에 대한 자세한 내용은 서비스 자격 증명 만들기를 참조하세요.
Connection
메타스토어 내에서 연결은 Lakehouse Federation 시나리오에서 외부 데이터베이스 시스템에 대한 연결을 정의하는 보안 개체입니다.
연결을 만들려면 사용자는 Unity 카탈로그 메타스토어에 대한 권한이 필요합니다 CREATE CONNECTION . 연결에서 서비스 자격 증명을 사용하는 경우 사용자는 해당 서비스 자격 증명에도 필요합니다 CREATE CONNECTION .
이 USE CONNECTION 권한을 통해 사용자는 연결 세부 정보를 나열하고 볼 수 있으며 이 함수를remote_query 사용하여 외부 데이터베이스에서 직접 SQL 쿼리를 실행할 수 있습니다.
CREATE FOREIGN CATALOG 연결에서 사용자는 해당 연결을 통해 지원되는 외국어 카탈로그를 만들 수 있습니다.
연결에 대한 자세한 내용은 Lakehouse Federation에 대한 연결 관리를 참조하세요.
Share
메타스토어 내에서 공유는 데이터 자산(테이블, 뷰 및 볼륨)의 논리적 그룹을 나타내는 델타 공유의 보안 개체입니다. 그러면 공급자 가 외부 받는 사람이 공유를 사용할 수 있도록 할 수 있습니다.
공유에 대한 권한은 SELECT 받는 사람이 공유의 자산을 읽을 수 있도록 받는 사람(개별 사용자가 아님)에게 부여됩니다. 공유를 만들려면 사용자는 Unity 카탈로그 메타스토어에 대한 권한이 필요합니다 CREATE SHARE .
공유에 대한 자세한 내용은 델타 공유에 대한 공유 만들기 및 관리를 참조하세요.
공급자
메타스토어 내에서 공급자는 조직과 데이터를 공유한 외부 조직을 나타내는 델타 공유의 보안 개체입니다. 공급자 개체는 받는 사람의 Unity 카탈로그 메타스토어에 만들어집니다. 이 USE PROVIDER 권한을 통해 사용자는 메타스토어 관리자 역할 없이 공유 카탈로그를 탑재할 수 있는 모든 공급자 및 공유를 볼 수 있습니다 CREATE CATALOG.
공급자를 만들려면 사용자는 Unity 카탈로그 메타스토어에 대한 권한이 필요합니다 CREATE PROVIDER .
공급자에 대한 자세한 내용은 델타 공유란?을 참조하세요.
Recipient
메타스토어 내에서 받는 사람은 공급자가 데이터를 공유하는 외부 조직 또는 사용자 그룹을 나타내는 델타 공유의 보안 개체입니다. 받는 사람 개체는 공급자의 Unity 카탈로그 메타스토어에서 만들어집니다. 받는 사람 개체 자체에 대해 권한을 부여할 수 없습니다. 공유 데이터에 대한 액세스는 받는 사람에게 공유 권한을 부여하여 SELECT 제어됩니다.
받는 사람을 만들려면 사용자는 Unity 카탈로그 메타스토어에 대한 권한이 필요합니다 CREATE RECIPIENT .
받는 사람에 대한 자세한 내용은 델타 공유(Databricks-to-Databricks 공유)에 대한 데이터 수신자 만들기 및 관리를 참조하세요.
클린룸
메타스토어 내에서 클린룸은 두 당사자가 기본 데이터를 다른 조직에 노출하지 않고 공유 데이터에 대해 다른 조직과 공동 작업할 수 있는 안전한 환경을 제공하는 보안 개체입니다.
클린룸을 만들려면 사용자는 Unity 카탈로그 메타스토어에 대한 권한이 필요합니다 CREATE CLEAN ROOM .
이 EXECUTE CLEAN ROOM TASK 권한을 통해 사용자는 클린룸 내에서 전자 필기장을 실행하고 클린룸 세부 정보를 볼 수 있습니다. 이 MODIFY CLEAN ROOM 권한을 통해 사용자는 데이터 자산, 전자 필기장 및 메모를 추가하거나 제거하는 등 클린룸을 업데이트할 수 있습니다.
클린룸에 대한 자세한 내용은 Azure Databricks Clean Rooms란?을 참조하세요.