Beheerdersbevoegdheden in Unity Catalog

In dit artikel worden de bevoegdheden beschreven die azure Databricks-accountbeheerders, werkruimtebeheerders en metastore-beheerders hebben voor het beheren van Unity Catalog.

Notitie

Als uw werkruimte automatisch is ingeschakeld voor Unity Catalog, hebben werkruimtebeheerders standaardbevoegdheden voor de gekoppelde metastore en de werkruimtecatalogus als er een werkruimtecatalogus is ingericht. Zie werkruimtebeheerdersbevoegdheden wanneer werkruimten automatisch zijn ingeschakeld voor Unity Catalog.

Metastore-beheerders

De metastore-beheerder is een optionele, maar zeer bevoegde gebruiker of groep in Unity Catalog. Metastore-beheerders hebben standaard de volgende bevoegdheden voor de metastore:

• CREATE CATALOG: Hiermee kan een gebruiker catalogi maken in de metastore.

• CREATE CLEAN ROOM: Hiermee kan een gebruiker een schone ruimte maken om veilig samen te werken aan projecten met andere organisaties zonder onderliggende gegevens te delen.

• CREATE CONNECTION: Hiermee kan een gebruiker een verbinding maken met een externe database in een Lakehouse Federation-scenario.

• CREATE EXTERNAL LOCATION: Hiermee kan een gebruiker externe locaties maken.

• CREATE SERVICE CREDENTIAL: Hiermee kan een gebruiker servicereferenties maken.

• CREATE STORAGE CREDENTIAL: Hiermee kan een gebruiker opslagreferenties maken.

• CREATE FOREIGN CATALOG: Hiermee kan een gebruiker refererende catalogi maken met behulp van een verbinding met een externe database in een Lakehouse Federation-scenario.

• CREATE SHARE: Hiermee kan een gegevensprovidergebruiker een share maken in Delta Sharing.

• CREATE RECIPIENT: Hiermee kan een gegevensprovidergebruiker een ontvanger maken in Delta Sharing.

• CREATE PROVIDER: Hiermee kan een gebruiker van een gegevensontvanger een provider maken in Delta Sharing.

• CREATE MATERIALIZED VIEW: Hiermee kan een gebruiker gerealiseerde weergaven maken.

• MANAGE ALLOWLIST: Hiermee kan een gebruiker acceptatielijsten bijwerken waarmee clustertoegang tot init-scripts en -bibliotheken wordt beheerd.

Metastore-beheerders zijn ook de eigenaren van de metastore, die hen de volgende bevoegdheden verleent:

• Beheer de bevoegdheden of overdracht van een object in de metastore, waaronder opslagreferenties, externe locaties, verbindingen, shares, ontvangers en providers.

• Verleent zichzelf lees- en schrijftoegang tot gegevens in de metastore.

  Metastore-beheerders hebben deze mogelijkheid indirect, door hun vermogen om het eigendom van alle objecten over te dragen. Er is standaard geen directe toegang. Het verlenen van machtigingen wordt vastgelegd in het auditlogboek.

• Lezen en bijwerken van de metagegevens van alle objecten in de metastore.

• Verwijderen van de metastore.

Metastore-beheerders zijn de enige gebruikers die bevoegdheden kunnen verlenen voor de metastore zelf.

Omdat metastore-beheerders de enige gebruikers zijn die deze bevoegdheden hebben, moet u een metastore-beheerder toewijzen als u een van de volgende functies wilt gebruiken:

• Het eigendom van catalogi wijzigen nadat iemand het bedrijf verlaat.
• Machtigingen voor het init-script en jar-acceptatielijst beheren en delegeren.
• Delegeren de mogelijkheid om catalogi en andere machtigingen op het hoogste niveau te maken voor niet-werkruimtebeheerders.
• Gedeelde gegevens ontvangen via Delta Sharing.
• Verwijder standaardmachtigingen voor werkruimtebeheerders.
• Voeg beheerde opslag toe aan de metastore als deze geen opslag heeft. Zie Beheerde opslag toevoegen aan een bestaande metastore.

Wie heeft initiële beheerdersbevoegdheden voor metastore?

Als een accountbeheerder de metastore handmatig maakt, is die accountbeheerder de initiële eigenaar en metastore-beheerder van de metastore. Alle metastores die vóór 9 november 2023 zijn gemaakt, zijn handmatig gemaakt door een accountbeheerder.

Als de metastore is ingericht als onderdeel van automatische Unity Catalog-activering, is de metastore gemaakt zonder een metastore-beheerder. Werkruimtebeheerders krijgen in dat geval automatisch bevoegdheden die de metastore-beheerder optioneel maken. Indien nodig kunnen accountbeheerders de beheerdersrol metastore toewijzen aan een gebruiker, service-principal of groep. Groepen worden sterk aanbevolen. Bekijk Automatisch inschakelen van Unity-catalogus.

Een metastore-beheerder toewijzen

Metastore-beheerder is een zeer bevoorrechte rol die u zorgvuldig moet distribueren. Dit is optioneel.

Accountbeheerders kunnen de beheerdersrol metastore toewijzen. Databricks raadt aan om een groep aan te wijzen als de metastore-beheerder. Als u dit doet, is elk lid van de groep automatisch een metastore-beheerder.

De beheerdersrol metastore toewijzen aan een groep:

1. Meld u als accountbeheerder aan bij de accountconsole.
2. Klik op Catalogus.
3. Klik op de naam van een metastore om de eigenschappen ervan te openen.
4. Klik onder Metastore-beheerder op Bewerken.
5. Selecteer een groep in de vervolgkeuzelijst. U kunt tekst in het veld invoeren om naar opties te zoeken.
6. Klik op Opslaan.

Belangrijk

Het kan tot 30 seconden duren voordat de toewijzing van een metastore-beheerder wordt doorgevoerd in uw account en het kan langer duren voordat deze van kracht wordt in sommige werkruimten dan andere. Deze vertraging wordt veroorzaakt door cachingprotocollen.

Accountbeheerders

Accountbeheerder is een zeer bevoorrechte rol die u zorgvuldig moet distribueren. Accountbeheerders hebben de volgende bevoegdheden:

• Kunnen metastores maken en standaard de eerste metastore-beheerder worden.
• Kan metastores koppelen aan werkruimten.
• Kan de beheerdersrol metastore toewijzen.
• Kan bevoegdheden verlenen voor metastores.
• Kunnen Delta Sharing inschakelen voor een metastore.
• Kunnen opslagreferenties configureren.
• Kan systeemtabellen inschakelen en toegang tot deze tabellen delegeren.

Als u uw eerste Azure Databricks-accountbeheerder wilt instellen, raadpleegt u Uw eerste accountbeheerder instellen.

Werkruimtebeheerders

Werkruimtebeheerder is een zeer bevoorrechte rol die u zorgvuldig moet distribueren. Werkruimtebeheerders hebben de volgende bevoegdheden:

• Kan gebruikers, service-principals en groepen toevoegen aan een werkruimte.
• Kan andere werkruimtebeheerders delegeren.
• Kan het eigendom van taken beheren. Zie Toegang tot een taak beheren.
• Kan de taak uitvoeren als-instelling beheren. Zie Identiteit configureren voor taakuitvoeringen.
• Kan notebooks, dashboards, query's en andere werkruimteobjecten weergeven en beheren. Zie Toegangsbeheerlijsten.

Accountbeheerders kunnen de bevoegdheden voor werkruimtebeheerders beperken met behulp van de RestrictWorkspaceAdmins instelling. Zie Werkruimtebeheerders beperken.

Beheerdersbevoegdheden voor werkruimten wanneer werkruimten automatisch zijn ingeschakeld voor Unity Catalog

Als uw werkruimte automatisch is ingeschakeld voor Unity Catalog, wordt de werkruimte standaard gekoppeld aan een metastore. Zie Automatische activering van Unity Catalog voor meer informatie.

Als uw werkruimte automatisch is ingeschakeld voor Unity Catalog, hebben werkruimtebeheerders standaard de volgende bevoegdheden voor de gekoppelde metastore:

• CREATE CATALOG

• CREATE CLEAN ROOM

• CREATE EXTERNAL LOCATION

• CREATE SERVICE CREDENTIAL

• CREATE STORAGE CREDENTIAL

• CREATE CONNECTION

• CREATE SHARE

• CREATE RECIPIENT

• CREATE PROVIDER

• CREATE MATERIALIZED VIEW

Werkruimtebeheerders zijn de standaardeigenaren van de werkruimtecatalogus als er een werkruimtecatalogus is ingericht voor uw werkruimte. Het eigendom van deze catalogus biedt de volgende bevoegdheden:

• Beheer de bevoegdheden voor of draag het eigendom over van een object in de werkruimtecatalogus.

  Dit omvat de mogelijkheid om zichzelf lees- en schrijftoegang te verlenen tot alle gegevens in de catalogus (standaard geen directe toegang; het verlenen van machtigingen wordt gecontroleerd).

• Eigendom van de werkruimtecatalogus zelf overdragen.

Alle werkruimtegebruikers ontvangen de USE CATALOG bevoegdheid in de werkruimtecatalogus. Werkruimtegebruikers ontvangen ook de USE SCHEMAbevoegdheden , , CREATE TABLECREATE VOLUMEen CREATE FUNCTIONCREATE MODELCREATE MATERIALIZED VIEW bevoegdheden voor het default schema in de catalogus.

Notitie

De standaardbevoegdheden die zijn verleend voor de gekoppelde metastore en werkruimtecatalogus, worden niet onderhouden in werkruimten (als de werkruimtecatalogus bijvoorbeeld ook is gebonden aan een andere werkruimte).