Beheer bevoegdheden in Unity Catalog

In dit artikel worden de bevoegdheden beschreven die azure Databricks-accountbeheerders, werkruimtebeheerders en metastore-beheerders hebben voor het beheren van Unity Catalog.

Notitie

Als uw werkruimte automatisch is ingeschakeld voor Unity Catalog, hebben werkruimtebeheerders standaardbevoegdheden voor de gekoppelde metastore en de werkruimtecatalogus als er een werkruimtecatalogus is ingericht. Zie werkruimtebeheerdersbevoegdheden wanneer werkruimten automatisch zijn ingeschakeld voor Unity Catalog.

Metastore-beheerders

De metastore-beheerder is een gebruiker of groep met hoge bevoegdheden in Unity Catalog. Metastore-beheerders hebben standaard de volgende bevoegdheden voor de metastore:

• CREATE CATALOG: Hiermee kan een gebruiker catalogi maken in de metastore.

• CREATE CONNECTION: Hiermee kan een gebruiker een verbinding maken met een externe database in een Lakehouse Federation-scenario.

• CREATE EXTERNAL LOCATION: Hiermee kan een gebruiker externe locaties maken.

• CREATE STORAGE CREDENTIAL: Hiermee kan een gebruiker opslagreferenties maken.

• CREATE FOREIGN CATALOG: Hiermee kan een gebruiker refererende catalogi maken met behulp van een verbinding met een externe database in een Lakehouse Federation-scenario.

• CREATE SHARE: Hiermee kan een gegevensprovidergebruiker een share maken in Delta Sharing.

• CREATE RECIPIENT: Hiermee kan een gegevensprovidergebruiker een ontvanger maken in Delta Sharing.

• CREATE PROVIDER: Hiermee kan een gebruiker van een gegevensontvanger een provider maken in Delta Sharing.

• MANAGE ALLOWLIST: Hiermee kan een gebruiker acceptatielijsten bijwerken waarmee clustertoegang tot init-scripts en -bibliotheken wordt beheerd.

• CREATE MATERIALIZED VIEW: Hiermee kan een gebruiker gerealiseerde weergaven maken.

Metastore-beheerders zijn ook de eigenaren van de metastore, die hen de volgende bevoegdheden verleent:

• Beheer de bevoegdheden of overdracht van een object in de metastore, waaronder opslagreferenties, externe locaties, verbindingen, shares, ontvangers en providers.

• Verleent zichzelf lees- en schrijftoegang tot gegevens in de metastore.

  Metastore-beheerders hebben deze mogelijkheid indirect, door hun vermogen om het eigendom van alle objecten over te dragen. Er is standaard geen directe toegang. Het verlenen van machtigingen wordt vastgelegd in het auditlogboek.

• Lezen en bijwerken van de metagegevens van alle objecten in de metastore.

• Verwijderen van de metastore.

Metastore-beheerders zijn de enige gebruikers die bevoegdheden kunnen verlenen voor de metastore zelf.

Wie heeft beheerdersbevoegdheden voor metastore?

Als een accountbeheerder de metastore handmatig maakt, is die accountbeheerder de initiële eigenaar en metastore-beheerder van de metastore. Alle metastores die vóór 9 november 2023 zijn gemaakt, zijn handmatig gemaakt door een accountbeheerder.

Als de metastore is ingericht als onderdeel van automatische Unity Catalog-activering, is de metastore gemaakt zonder een metastore-beheerder. Werkruimtebeheerders krijgen in dat geval automatisch bevoegdheden die de metastore-beheerder optioneel maken. Indien nodig kunnen accountbeheerders de beheerdersrol metastore toewijzen aan een gebruiker, service-principal of groep. Groepen worden sterk aanbevolen. Bekijk Automatisch inschakelen van Unity-catalogus.

Een metastore-beheerder toewijzen

Metastore-beheerder is een zeer bevoorrechte rol die u zorgvuldig moet distribueren. Dit is optioneel.

Accountbeheerders kunnen de beheerdersrol metastore toewijzen. Databricks raadt aan om een groep aan te wijzen als de metastore-beheerder. Als u dit doet, is elk lid van de groep automatisch een metastore-beheerder.

De beheerdersrol metastore toewijzen aan een groep:

1. Meld u als accountbeheerder aan bij de accountconsole.
2. Klik op Catalogus.
3. Klik op de naam van een metastore om de eigenschappen ervan te openen.
4. Klik onder Metastore Beheer op Bewerken.
5. Selecteer een groep in de vervolgkeuzelijst. U kunt tekst in het veld invoeren om naar opties te zoeken.
6. Klik op Opslaan.

Belangrijk

Het kan tot 30 seconden duren voordat de toewijzing van een metastore-beheerder wordt doorgevoerd in uw account en het kan langer duren voordat deze van kracht wordt in sommige werkruimten dan andere. Deze vertraging wordt veroorzaakt door cachingprotocollen.

Accountbeheerders

Accountbeheerder is een zeer bevoorrechte rol die u zorgvuldig moet distribueren. Accountbeheerders hebben de volgende bevoegdheden:

• Kunnen metastores maken en standaard de eerste metastore-beheerder worden.
• Kan metastores koppelen aan werkruimten.
• Kan de beheerdersrol metastore toewijzen.
• Kan bevoegdheden verlenen voor metastores.
• Kunnen Delta Sharing inschakelen voor een metastore.
• Kunnen opslagreferenties configureren.
• Kan systeemtabellen inschakelen en toegang tot deze tabellen delegeren.

Werkruimtebeheerders

Werkruimtebeheerder is een zeer bevoorrechte rol die u zorgvuldig moet distribueren. Werkruimtebeheerders hebben de volgende bevoegdheden:

• Kan gebruikers, service-principals en groepen toevoegen aan een werkruimte.
• Kan andere werkruimtebeheerders delegeren.
• Kan het eigendom van taken beheren. Zie Toegang tot een taak beheren.
• Kan de taak uitvoeren als-instelling beheren. Zie Een taak uitvoeren als een service-principal.
• Kan notebooks, dashboards, query's en andere werkruimteobjecten weergeven en beheren. Zie Toegangsbeheerlijsten.

Accountbeheerders kunnen de bevoegdheden voor werkruimtebeheerders beperken met behulp van de RestrictWorkspaceAdmins instelling. Zie Werkruimtebeheerders beperken.

Beheerdersbevoegdheden voor werkruimten wanneer werkruimten automatisch zijn ingeschakeld voor Unity Catalog

Als uw werkruimte automatisch is ingeschakeld voor Unity Catalog, wordt de werkruimte standaard gekoppeld aan een metastore. Zie Automatische activering van Unity Catalog voor meer informatie.

Als uw werkruimte automatisch is ingeschakeld voor Unity Catalog, hebben werkruimtebeheerders standaard de volgende bevoegdheden voor de gekoppelde metastore:

• CREATE CATALOG

• CREATE EXTERNAL LOCATION

• CREATE STORAGE CREDENTIAL

• CREATE CONNECTION

• CREATE SHARE

• CREATE RECIPIENT

• CREATE PROVIDER

• CREATE MATERIALIZED VIEW

Werkruimtebeheerders zijn de standaardeigenaren van de werkruimtecatalogus als er een werkruimtecatalogus is ingericht voor uw werkruimte. Het eigendom van deze catalogus biedt de volgende bevoegdheden:

• Beheer de bevoegdheden voor of draag het eigendom over van een object in de werkruimtecatalogus.

  Dit omvat de mogelijkheid om zichzelf lees- en schrijftoegang te verlenen tot alle gegevens in de catalogus (standaard geen directe toegang; het verlenen van machtigingen wordt gecontroleerd).

• Eigendom van de werkruimtecatalogus zelf overdragen.

Alle werkruimtegebruikers ontvangen de USE CATALOG bevoegdheid in de werkruimtecatalogus. Werkruimtegebruikers ontvangen ook de USE SCHEMAbevoegdheden , , CREATE TABLECREATE VOLUMEen CREATE FUNCTIONCREATE MODELCREATE MATERIALIZED VIEW bevoegdheden voor het default schema in de catalogus.

Notitie

De standaardbevoegdheden die zijn verleend voor de gekoppelde metastore en werkruimtecatalogus, worden niet onderhouden in werkruimten (als de werkruimtecatalogus bijvoorbeeld ook is gebonden aan een andere werkruimte).