다음을 통해 공유

Hive 메타스토어의 권한 및 보안 개체

  • 아티클

적용 대상: 예(예)로 표시된 확인 Databricks SQL 예(예)로 표시된 확인 Databricks 런타임

권한은 메타스토어의 보안 개체에서 작동할 수 있는 보안 주체에게 부여된 권한입니다.

권한 모델 및 보안 개체는 Unity 카탈로그 메타스토어 또는 레거시 Hive 메타스토어를 사용하는지에 따라 다릅니다. 이 문서에서는 레거시 Hive 메타스토어에 대한 권한 모델을 설명합니다. Unity 카탈로그를 사용하는 경우 Unity 카탈로그의 권한 및 보안 개체를 참조 하세요.

Hive 메타스토어의 보안 개체

보안 개체는 보안 주체에 권한을 부여할 수 있는 메타스토어에 정의된 개체입니다.

개체에 대한 권한을 관리하려면 소유자 또는 관리자여야 합니다.

구문

  securable_object
    { ANY FILE |
      CATALOG [ catalog_name ] |
      { SCHEMA | DATABASE } schema_name |
      FUNCTION function_name |
      [ TABLE ] table_name |
      VIEW view_name
      }

매개 변수

  • ANY FILE

    기본 파일 시스템에 대한 액세스를 제어합니다.

  • CATALOGcatalog_name

    전체 데이터 카탈로그에 대한 액세스를 제어합니다.

  • { SCHEMA | DATABASE }schema_name

    스키마에 대한 액세스를 제어합니다.

  • FUNCTIONfunction_name

    명명된 함수에 대한 액세스를 제어합니다.

  • [ TABLE ]table_name

    관리형 또는 외부 테이블에 대한 액세스를 제어합니다.

  • VIEWview_name

    SQL 뷰에 대한 액세스를 제어합니다.

상속 모델

Hive 메타스토어의 보안 개체는 계층적이며 권한은 아래로 상속됩니다. 즉, CATALOG에 대한 권한을 부여하거나 거부하면 카탈로그의 모든 스키마에 대한 권한이 자동으로 부여되거나 거부됩니다. 마찬가지로 스키마 개체에 부여된 권한은 해당 스키마의 모든 개체에서 상속됩니다. 이 패턴은 모든 보안 개체에 적용됩니다.

테이블에 대한 사용자 권한을 거부하면 사용자는 스키마의 모든 테이블을 나열하려고 시도하여 테이블을 확인할 수 없습니다. 스키마에 대한 사용자 권한을 거부하면 사용자는 카탈로그의 모든 스키마를 나열하려고 시도하여 스키마가 존재하는지 확인할 수 없습니다.

권한 유형

다음 표는 어떤 권한이 어떤 보안 개체와 관련되어 있는지를 보여 줍니다.

권한 유형 ANONYMOUS FUNCTION ANY FILE 카탈로그 SCHEMA FUNCTION TABLE VIEW
CREATE
MODIFY
READ_METADATA
SELECT
사용량

  • ALL PRIVILEGES

    명시적인 권한 지정 없이 보안 개체 및 자식 개체에 적용 가능한 모든 권한을 부여하거나 철회하는 데 사용됩니다. 이렇게 하면 권한 검사가 수행되는 시점에 사용 가능한 모든 권한으로 확장됩니다.

  • CREATE

    카탈로그 또는 스키마 내에 개체를 만듭니다.

  • MODIFY

    복사하여 테이블에 DELETE, INSERT 또는 MERGE를 업데이트합니다.

    securable_object가 hive_metastore 또는 그 안의 스키마인 경우 MODIFY를 부여하면 보안 개체 내의 모든 현재 및 이후 테이블과 뷰에 MODIFY가 부여됩니다.

  • READ_METADATA

    SHOW에서 보안 개체를 검색하고 DESCRIBE에서 개체를 조사합니다.

    보안 개체가 hive_metastore 카탈로그 또는 그 안의 스키마인 경우 READ_METADATA를 부여하면 보안 개체 내의 모든 현재 및 이후 테이블과 보기에 READ_METADATA가 부여됩니다.

  • READ FILES

    스토리지 자격 증명 또는 외부 위치를 사용하여 파일을 직접 쿼리합니다.

  • SELECT

    테이블 또는 보기를 쿼리하거나, 사용자 정의 함수 또는 익명 함수를 호출하거나, ANY FILE을 선택합니다. 사용자는 테이블, 보기 또는 함수에 대한 SELECT와 개체의 스키마 및 카탈로그에 대한 USAGE가 필요합니다.

    보안 개체가 hive_metastore 또는 그 안의 스키마인 경우 SELECT를 부여하면 보안 개체 내의 모든 현재 및 이후 테이블과 보기에 SELECT가 부여됩니다.

  • USAGE

    필요하지만 카탈로그 또는 스키마의 개체를 참조하기에는 충분하지 않습니다. 보안 주체에는 개별 보안 개체에 대한 권한도 있어야 합니다.

  • WRITE FILES

    스토리지 자격 증명 또는 외부 위치에 의해 제어되는 파일에 직접 복사합니다.

예제

-- Grant a privilege to the user alf@melmak.et
> GRANT SELECT ON TABLE t TO `alf@melmak.et`;

-- Revoke a privilege from the general public group.
> REVOKE USAGE ON SCHEMA some_schema FROM `alf@melmak.et`;