Uprawnienia wykazu aparatu Unity i zabezpieczane obiekty
W tym artykule opisano zabezpieczane obiekty wykazu aparatu Unity i uprawnienia, które mają zastosowanie do nich. Aby dowiedzieć się, jak udzielać uprawnień w wykazie aparatu Unity, zobacz Wyświetlanie, udzielanie i odwoływanie uprawnień.
Uwaga
W tym artykule opisano uprawnienia katalogu aparatu Unity i model dziedziczenia w modelu uprawnień w wersji 1.0. Jeśli magazyn metadanych wykazu aparatu Unity został utworzony w publicznej wersji zapoznawczej (przed 25 sierpnia 2022 r.), być może korzystasz z wcześniejszego modelu uprawnień, który nie obsługuje bieżącego modelu dziedziczenia. Aby uzyskać dziedziczenie uprawnień, można uaktualnić do wersji Privilege Model w wersji 1.0. Zobacz Uaktualnianie do dziedziczenia uprawnień.
Zabezpieczane obiekty w wykazie aparatu Unity
Zabezpieczany obiekt jest obiektem zdefiniowanym w magazynie metadanych wykazu aparatu Unity, na którym można udzielić uprawnień jednostce (użytkownikowi, jednostce usługi lub grupie). Zabezpieczane obiekty w wykazie aparatu Unity są hierarchiczne.
Zabezpieczane obiekty to:
MAGAZYN METADANYCH: kontener najwyższego poziomu dla metadanych. Każdy magazyn metadanych wykazu aparatu Unity udostępnia trzy-poziomową przestrzeń nazw (
catalog
..schema
table
), która organizuje dane.Podczas zarządzania uprawnieniami w magazynie metadanych nie należy dołączać nazwy magazynu metadanych do polecenia SQL. Wykaz aparatu Unity przyznaje lub odwołuje uprawnienia w magazynie metadanych dołączonym do obszaru roboczego. Na przykład następujące polecenie przyznaje grupie o nazwie engineering możliwość utworzenia katalogu w magazynie metadanych dołączonym do obszaru roboczego:
GRANT CREATE CATALOG ON METASTORE TO engineering
CATALOG: pierwsza warstwa hierarchii obiektów używana do organizowania zasobów danych. Wykaz obcy to specjalny typ wykazu, który odzwierciedla bazę danych w zewnętrznym systemie danych w scenariuszu federacji usługi Lakehouse.
SCHEMAT: Znane również jako bazy danych schematy są drugą warstwą hierarchii obiektów i zawierają tabele i widoki.
TABELA: najniższy poziom w hierarchii obiektów, tabele mogą być zewnętrzne (przechowywane w lokalizacjach zewnętrznych w wybranym magazynie w chmurze) lub tabele zarządzane (przechowywane w kontenerze magazynu w chmurze, który tworzysz wyraźnie dla usługi Azure Databricks).
WIDOK: Obiekt tylko do odczytu utworzony na podstawie zapytania w co najmniej jednej tabeli znajdującej się w schemacie.
ZMATERIALIZOWANY WIDOK: obiekt utworzony na podstawie zapytania w co najmniej jednej tabeli znajdującej się w schemacie. Wyniki odzwierciedlają stan danych podczas ostatniego odświeżenia.
WOLUMIN: najniższy poziom w hierarchii obiektów, woluminy mogą być zewnętrzne (przechowywane w lokalizacjach zewnętrznych w wybranym magazynie w chmurze) lub zarządzane (przechowywane w kontenerze magazynu w chmurze utworzonego wyraźnie dla usługi Azure Databricks).
FUNKCJA: funkcja zdefiniowana przez użytkownika lub zarejestrowany model MLflow, który znajduje się w schemacie.
Model: Zarejestrowany model MLflow jest określonym typem funkcji. Modele są wyświetlane oddzielnie od innych funkcji w Eksploratorze wykazu, ale w przypadku przyznania uprawnień do modelu przy użyciu języka SQL należy użyć polecenia
GRANT ON FUNCTION
.LOKALIZACJA ZEWNĘTRZNA: obiekt zawierający odwołanie do poświadczeń magazynu i ścieżkę magazynu w chmurze znajdującą się w magazynie metadanych wykazu aparatu Unity.
POŚWIADCZENIA MAGAZYNU: obiekt, który hermetyzuje długoterminowe poświadczenie w chmurze, które zapewnia dostęp do magazynu w chmurze znajdującego się w magazynie metadanych wykazu aparatu Unity.
POŁĄCZENIE: obiekt, który określa ścieżkę i poświadczenia na potrzeby uzyskiwania dostępu do zewnętrznego systemu bazy danych w scenariuszu federacji usługi Lakehouse.
SHARE: grupowanie logiczne tabel, które mają być udostępniane przy użyciu funkcji udostępniania różnicowego. Udział znajduje się w magazynie metadanych wykazu aparatu Unity.
ODBIORCA: obiekt identyfikujący organizację lub grupę użytkowników, którzy mogą udostępniać im dane przy użyciu funkcji udostępniania różnicowego. Te obiekty znajdują się w magazynie metadanych wykazu aparatu Unity.
DOSTAWCA: obiekt reprezentujący organizację, która udostępniła dane do udostępniania przy użyciu funkcji udostępniania różnicowego. Te obiekty znajdują się w magazynie metadanych wykazu aparatu Unity.
CLEAN ROOM: obiekt reprezentujący bezpieczne i chroniące prywatność środowisko zarządzane przez usługę Databricks, w którym wiele stron może współpracować bez bezpośredniego dostępu do danych.
Typy uprawnień według zabezpieczanego obiektu w wykazie aparatu Unity
W poniższej tabeli wymieniono typy uprawnień, które mają zastosowanie do każdego zabezpieczanego obiektu w wykazie aparatu Unity. Aby dowiedzieć się, jak udzielać uprawnień w wykazie aparatu Unity, zobacz Wyświetlanie, udzielanie i odwoływanie uprawnień.
Zabezpieczany | Uprawnienia |
---|---|
Magazyn metadanych | CREATE CATALOG , CREATE CLEAN ROOM , , , CREATE PROVIDER CREATE STORAGE CREDENTIAL CREATE EXTERNAL LOCATION CREATE SHARE USE RECIPIENT CREATE RECIPIENT SET SHARE PERMISSION USE MARKETPLACE ASSETS USE PROVIDER CREATE CONNECTION USE SHARE |
Wykaz | ALL PRIVILEGES , , APPLY TAG , BROWSE , , CREATE SCHEMA USE CATALOG Wszyscy użytkownicy mają USE CATALOG domyślnie main katalog.Następujące typy uprawnień mają zastosowanie do zabezpieczanych obiektów w wykazie. Możesz przyznać te uprawnienia na poziomie wykazu, aby zastosować je do bieżących i przyszłych obiektów w wykazie. CREATE FUNCTION , CREATE TABLE , , , CREATE VOLUME REFRESH CREATE MODEL READ VOLUME SELECT EXTERNAL USE SCHEMA WRITE VOLUME EXECUTE MODIFY CREATE MATERIALIZED VIEW USE SCHEMA |
Schemat | ALL PRIVILEGES , APPLY TAG , , CREATE FUNCTION , CREATE MODEL CREATE TABLE , CREATE VOLUME , , EXTERNAL USE SCHEMA CREATE MATERIALIZED VIEW USE SCHEMA Następujące typy uprawnień mają zastosowanie do zabezpieczanych obiektów w schemacie. Te uprawnienia można przyznać na poziomie schematu, aby zastosować je do bieżących i przyszłych obiektów w schemacie. EXECUTE , , MODIFY , READ VOLUME , REFRESH , , SELECT WRITE VOLUME |
Table | ALL PRIVILEGES , , APPLY TAG , , MODIFY SELECT |
Zmaterializowany widok | ALL PRIVILEGES , , APPLY TAG , , REFRESH SELECT |
Widok | ALL PRIVILEGES , , APPLY TAG SELECT |
Objętość | ALL PRIVILEGES , , READ VOLUME WRITE VOLUME |
Lokalizacja zewnętrzna | ALL PRIVILEGES , BROWSE , , CREATE EXTERNAL TABLE , CREATE EXTERNAL VOLUME , READ FILES , , WRITE FILES CREATE MANAGED STORAGE |
Poświadczenia magazynu | ALL PRIVILEGES , , CREATE EXTERNAL LOCATION , CREATE EXTERNAL TABLE , , READ FILES WRITE FILES |
Connection | ALL PRIVILEGES , , CREATE FOREIGN CATALOG USE CONNECTION |
Function | ALL PRIVILEGES , APPLY TAG (tylko modele), EXECUTE |
Model | Zarejestrowane modele są typem funkcji. |
Udostępnij | SELECT (Można udzielić użytkownikowi RECIPIENT ) |
Adresat | Brak |
Dostawca | Brak |
Czysta sala | ALL PRIVILEGES , , BROWSE , , EXECUTE CLEAN ROOM TASK MODIFY CLEAN ROOM |
Ogólne typy uprawnień wykazu aparatu Unity
Ta sekcja zawiera szczegółowe informacje o typach uprawnień, które mają zastosowanie ogólnie do wykazu aparatu Unity. Aby dowiedzieć się, jak udzielać uprawnień w wykazie aparatu Unity, zobacz Wyświetlanie, udzielanie i odwoływanie uprawnień.
WSZYSTKIE UPRAWNIENIA
Odpowiednie typy obiektów: CATALOG
, , STORAGE CREDENTIAL
EXTERNAL LOCATION
, SCHEMA
, FUNCTION
(w tym modele) TABLE
, , MATERIALIZED VIEW
VIEW,
VOLUME
Służy do udzielania lub odwoływanie wszystkich uprawnień mających zastosowanie do zabezpieczanego obiektu i jego obiektów podrzędnych bez jawnego określenia ich.
W przypadku ALL PRIVILEGES
przyznania obiektu nie udziela indywidualnie użytkownikowi każdego odpowiedniego uprawnienia w momencie przyznania. Zamiast tego rozwija się do wszystkich dostępnych uprawnień podczas sprawdzania uprawnień. Oznacza to, że w miarę jak usługa Databricks zwalnia nowe uprawnienia i nowe zabezpieczane obiekty, istniejące ALL PRIVILEGES
uprawnienie automatycznie obejmuje wszelkie nowe uprawnienia dotyczące zabezpieczanego obiektu, istniejących obiektów podrzędnych i wszelkich nowych obiektów podrzędnych.
Po ALL PRIVILEGES
odwołaniu uprawnienie zostanie odwołane, ALL PRIVILEGES
a wszelkie jawne uprawnienia przyznane użytkownikowi w obiekcie również zostaną odwołane.
Aby uniknąć przypadkowej EXTERNAL USE SCHEMA
eksfiltracji danych, ALL PRIVILEGES
nie obejmuje uprawnień.
Uwaga
To uprawnienie jest zaawansowane w przypadku zastosowania na wyższych poziomach w hierarchii. Na przykład PRZYZNAJ WSZYSTKIE UPRAWNIENIA W KATALOGU głównym, aby analysts
udzielić zespołowi analityka wszystkich istniejących i przyszłych uprawnień dla każdego istniejącego i przyszłego zabezpieczanego obiektu w wykazie.
ZASTOSUJ TAG
Odpowiednie typy obiektów: CATALOG
, , TABLE
MATERIALIZED VIEW
SCHEMA
VOLUME
, VIEW
, modele, które są zarejestrowane jakoFUNCTION
Umożliwia użytkownikowi dodawanie i edytowanie tagów w obiekcie. Przyznawanie APPLY TAG
tabeli lub widoku umożliwia również tagowanie kolumn. Przyznanie APPLY TAG
zarejestrowanemu modelowi umożliwia również tagowanie wersji modelu.
Użytkownik musi również mieć USE CATALOG
uprawnienia do katalogu nadrzędnego i USE SCHEMA
schematu nadrzędnego.
PRZEGLĄDAJ
Odpowiednie typy obiektów: CATALOG
, , EXTERNAL LOCATION
CLEAN ROOM
Ważne
Ta funkcja jest dostępna w publicznej wersji zapoznawczej.
Umożliwia użytkownikowi wyświetlanie metadanych obiektu przy użyciu Eksploratora wykazu, przeglądarki schematu, wyników wyszukiwania, grafu pochodzenia i information_schema
interfejsu API REST.
Użytkownik nie wymaga USE CATALOG
uprawnień w wykazie nadrzędnym ani USE SCHEMA
w schemacie nadrzędnym.
Wszyscy użytkownicy otrzymują BROWSE
domyślnie uprawnienia do nowych katalogów tworzonych przy użyciu Eksploratora wykazu. Jeśli wolisz, możesz odwołać uprawnienia. Wykazy utworzone przy użyciu instrukcji SQL, interfejsu API REST lub interfejsu wiersza polecenia usługi Databricks nie przyznają BROWSE
uprawnień domyślnie. Musisz przyznać go jawnie.
TWORZENIE WYKAZU
Odpowiednie typy obiektów: magazyn metadanych wykazu aparatu Unity
Umożliwia użytkownikowi utworzenie wykazu w magazynie metadanych rozwiązania Unity Catalog. Aby utworzyć wykaz obcy, musisz również mieć uprawnienie CREATE FOREIGN CATALOG w połączeniu zawierającym wykaz obcy lub w magazynie metadanych.
TWORZENIE CZYSTEGO POKOJU
Odpowiednie typy obiektów: magazyn metadanych wykazu aparatu Unity
Umożliwia użytkownikowi utworzenie czystego miejsca do bezpiecznej współpracy nad projektami z innymi organizacjami bez udostępniania danych bazowych.
TWORZENIE POŁĄCZENIA
Odpowiednie typy obiektów: magazyn metadanych wykazu aparatu Unity
Umożliwia użytkownikowi utworzenie połączenia z zewnętrzną bazą danych w scenariuszu federacji usługi Lakehouse.
TWORZENIE LOKALIZACJI ZEWNĘTRZNEJ
Odpowiednie typy obiektów: magazyn metadanych wykazu aparatu Unity, STORAGE CREDENTIAL
Aby utworzyć lokalizację zewnętrzną, użytkownik musi mieć to uprawnienie zarówno w magazynie metadanych, jak i poświadczeniu magazynu, do którego odwołuje się lokalizacja zewnętrzna.
TWORZENIE TABELI ZEWNĘTRZNEJ
Odpowiednie typy obiektów: EXTERNAL LOCATION
, STORAGE CREDENTIAL
Umożliwia użytkownikowi tworzenie tabel zewnętrznych bezpośrednio w dzierżawie chmury przy użyciu poświadczeń lokalizacji zewnętrznej lub magazynu. Usługa Databricks zaleca przyznanie tego uprawnienia w lokalizacji zewnętrznej, a nie poświadczeń magazynu (ponieważ jest ona ograniczona do ścieżki, umożliwia większą kontrolę nad tym, gdzie użytkownicy mogą tworzyć tabele zewnętrzne w dzierżawie chmury).
TWORZENIE WOLUMINU ZEWNĘTRZNEGO
Odpowiednie typy obiektów: EXTERNAL LOCATION
Umożliwia użytkownikowi tworzenie woluminów zewnętrznych przy użyciu lokalizacji zewnętrznej.
TWORZENIE WYKAZU OBCEGO
Odpowiednie typy obiektów: CONNECTION
Umożliwia użytkownikowi tworzenie katalogów obcych przy użyciu połączenia z zewnętrzną bazą danych w scenariuszu federacji usługi Lakehouse.
CREATE, FUNKCJA
Odpowiednie typy obiektów: SCHEMA
Umożliwia użytkownikowi utworzenie funkcji w schemacie. Ponieważ uprawnienia są dziedziczone, można również przyznać w wykazie, CREATE FUNCTION
co umożliwia użytkownikowi utworzenie funkcji w dowolnym istniejącym lub przyszłym schemacie w wykazie.
Użytkownik musi również mieć USE CATALOG
uprawnienia do katalogu nadrzędnego i USE SCHEMA
schematu nadrzędnego.
TWORZENIE MODELU
Odpowiednie typy obiektów: SCHEMA
Umożliwia użytkownikowi utworzenie zarejestrowanego modelu MLflow (który jest typem FUNKCJI) w schemacie. Ponieważ uprawnienia są dziedziczone, można również przyznać w wykazie, CREATE MODEL
co umożliwia użytkownikowi utworzenie zarejestrowanego modelu w dowolnym istniejącym lub przyszłym schemacie w wykazie.
Użytkownik musi również mieć USE CATALOG
uprawnienia do katalogu nadrzędnego i USE SCHEMA
schematu nadrzędnego.
TWORZENIE MAGAZYNU ZARZĄDZANEGO
Odpowiednie typy obiektów: EXTERNAL LOCATION
Umożliwia użytkownikowi określenie lokalizacji przechowywania tabel zarządzanych na poziomie wykazu lub schematu, przesłaniając domyślny magazyn główny magazynu metadanych.
TWORZENIE SCHEMATU
Odpowiednie typy obiektów: CATALOG
Umożliwia użytkownikowi utworzenie schematu. Użytkownik musi również mieć uprawnienia USE CATALOG
w wykazie.
TWORZENIE POŚWIADCZEŃ MAGAZYNU
Odpowiednie typy obiektów: magazyn metadanych wykazu aparatu Unity
Umożliwia użytkownikowi utworzenie poświadczeń magazynu w magazynie metadanych wykazu aparatu Unity.
Nie można udzielić jednostki usługi niezależnie od tego, czy jest to identyfikator Entra firmy Microsoft, czy natywna jednostka usługi Azure Databricks.
CREATE TABLE
Odpowiednie typy obiektów: SCHEMA
Umożliwia użytkownikowi utworzenie tabeli lub widoku w schemacie. Ponieważ uprawnienia są dziedziczone, można również udzielić CREATE TABLE
w wykazie, co umożliwia użytkownikowi utworzenie tabeli lub widoku w dowolnym istniejącym lub przyszłym schemacie w wykazie.
Użytkownik musi również mieć USE CATALOG
uprawnienia do katalogu nadrzędnego i USE SCHEMA
uprawnienia w schemacie nadrzędnym.
TWORZENIE ZMATERIALIZOWANEGO WIDOKU
Odpowiednie typy obiektów: SCHEMA
Umożliwia użytkownikowi utworzenie zmaterializowanego widoku w schemacie. Ponieważ uprawnienia są dziedziczone, można również udzielić CREATE MATERIALIZED VIEW
w wykazie, co umożliwia użytkownikowi utworzenie tabeli lub widoku w dowolnym istniejącym lub przyszłym schemacie w wykazie.
Użytkownik musi również mieć USE CATALOG
uprawnienia do katalogu nadrzędnego i USE SCHEMA
uprawnienia w schemacie nadrzędnym.
TWORZENIE WOLUMINU
Odpowiednie typy obiektów: SCHEMA
Umożliwia użytkownikowi utworzenie woluminu w schemacie. Ponieważ uprawnienia są dziedziczone, można również przyznać w wykazie, CREATE VOLUME
co umożliwia użytkownikowi utworzenie woluminu w dowolnym istniejącym lub przyszłym schemacie w wykazie.
Użytkownik musi również mieć USE CATALOG
uprawnienia do katalogu nadrzędnego woluminu i USE SCHEMA
uprawnienia w schemacie nadrzędnym.
WYKONAJ
Odpowiednie typy obiektów: FUNCTION
, Model
Umożliwia użytkownikowi wywołanie funkcji zdefiniowanej przez użytkownika lub załadowanie modelu na potrzeby wnioskowania, jeśli użytkownik ma USE CATALOG
również katalog nadrzędny i USE SCHEMA
schemat nadrzędny. W przypadku funkcji EXECUTE
można wyświetlać definicję funkcji i metadane. W przypadku zarejestrowanych modeli EXECUTE
przyznaje możliwość wyświetlania metadanych dla wszystkich wersji zarejestrowanego modelu oraz pobierania plików modelu.
Ponieważ uprawnienia są dziedziczone, można przyznać użytkownikowi EXECUTE
uprawnienia do katalogu lub schematu, co automatycznie przyznaje użytkownikowi EXECUTE
uprawnienia do wszystkich bieżących i przyszłych funkcji w wykazie lub schemacie.
WYKONYWANIE ZADANIA CLEAN ROOM
Odpowiednie typy obiektów: CLEAN ROOM
Umożliwia użytkownikowi uruchamianie zadań (notesów) w czystym pomieszczeniu. Umożliwia również użytkownikowi wyświetlanie szczegółów pomieszczeń czystych.
SCHEMAT UŻYCIA ZEWNĘTRZNEGO
Odpowiednie typy obiektów: SCHEMA
Umożliwia użytkownikowi przyznanie tymczasowego poświadczenia dostępu do tabel wykazu aparatu Unity z zewnętrznego aparatu przetwarzania przy użyciu otwartych interfejsów API wykazu aparatu Unity lub interfejsów API REST góry lodowej.
Tylko właściciel wykazu może przyznać to uprawnienie.
Aby uniknąć przypadkowej eksfiltracji danych, ALL PRIVILEGES
nie obejmuje EXTERNAL USE SCHEMA
uprawnień, a właściciele schematu nie mają tego uprawnienia domyślnie.
Zobacz Kontrola dostępu zewnętrznego do danych w wykazie aparatu Unity.
ZARZĄDZANIE LISTĄ DOZWOLONYCH
Odpowiednie typy obiektów: magazyn metadanych wykazu aparatu Unity
Umożliwia użytkownikowi dodawanie lub modyfikowanie ścieżek dla skryptów inicjowania, reguł JARs i Maven współrzędnych na liście dozwolonych, która zarządza klastrami obsługującymi wykaz aparatu Unity z trybem dostępu współdzielonego. Zobacz Allowlist libraries and init scripts on shared compute (Biblioteki dozwolonych i skrypty inicjowania w udostępnionych obliczeniach).
MODYFIKOWAĆ
Odpowiednie typy obiektów: TABLE
Umożliwia użytkownikowi dodawanie, aktualizowanie i usuwanie danych do lub z tabeli, jeśli użytkownik ma SELECT
również w tabeli, a USE CATALOG
także w katalogu nadrzędnym i USE SCHEMA
w schemacie nadrzędnym.
Ponieważ uprawnienia są dziedziczone, można przyznać użytkownikowi MODIFY
uprawnienie do katalogu lub schematu, co automatycznie przyznaje MODIFY
użytkownikowi uprawnienia do wszystkich bieżących i przyszłych tabel w wykazie lub schemacie.
MODYFIKOWANIE CZYSTEGO POKOJU
Odpowiednie typy obiektów: CLEAN ROOM
Umożliwia użytkownikowi aktualizowanie czystego pomieszczenia, w tym dodawanie i usuwanie zasobów danych, dodawanie i usuwanie notesów oraz aktualizowanie komentarzy. Umożliwia również użytkownikowi wyświetlanie szczegółów pomieszczeń czystych.
ODCZYTYWANIE PLIKÓW
Odpowiednie typy obiektów: VOLUME
, EXTERNAL LOCATION
Umożliwia użytkownikowi odczytywanie plików bezpośrednio z magazynu obiektów w chmurze. Usługa Databricks zaleca przyznanie tego uprawnienia woluminom i przyznanie w lokalizacjach zewnętrznych w ograniczonych przypadkach użycia. Aby uzyskać więcej wskazówek, zobacz Zarządzanie lokalizacjami zewnętrznymi, tabelami zewnętrznymi i woluminami zewnętrznymi.
ODCZYT WOLUMINU
Odpowiednie typy obiektów: VOLUME
Umożliwia użytkownikowi odczytywanie plików i katalogów przechowywanych wewnątrz woluminu, jeśli użytkownik ma USE CATALOG
również katalog nadrzędny i USE SCHEMA
schemat nadrzędny.
Uprawnienia są dziedziczone. Gdy możesz przyznać użytkownikowi READ VOLUME
uprawnienia do katalogu lub schematu, automatycznie przyznasz użytkownikowi READ VOLUME
uprawnienia do wszystkich bieżących i przyszłych woluminów w katalogu lub schemacie.
REFRESH
Odpowiednie typy obiektów: MATERIALIZED VIEW
Umożliwia użytkownikowi odświeżanie zmaterializowanego widoku, jeśli użytkownik ma USE CATALOG
również katalog nadrzędny i USE SCHEMA
schemat nadrzędny.
Uprawnienia są dziedziczone. Gdy przyznasz użytkownikowi REFRESH
uprawnienie do katalogu lub schematu, automatycznie przyznasz REFRESH
użytkownikowi uprawnienie do wszystkich bieżących i przyszłych zmaterializowanych widoków w wykazie lub schemacie.
SELECT
Odpowiednie typy obiektów: TABLE
, , VIEW
, MATERIALIZED VIEW
SHARE
W przypadku zastosowania do tabeli lub widoku umożliwia użytkownikowi wybranie z tabeli lub widoku, jeśli użytkownik ma USE CATALOG
również katalog nadrzędny i USE SCHEMA
schemat nadrzędny. W przypadku zastosowania do udziału umożliwia adresatowi wybranie z udziału.
Ponieważ uprawnienia są dziedziczone, można przyznać użytkownikowi SELECT
uprawnienia do katalogu lub schematu, który automatycznie przyznaje uprawnienia użytkownika SELECT
dla wszystkich bieżących i przyszłych tabel oraz widoków w wykazie lub schemacie.
KORZYSTANIE Z WYKAZU
Odpowiednie typy obiektów: CATALOG
To uprawnienie nie udziela dostępu do samego wykazu, ale jest wymagane, aby użytkownik wchodził w interakcję z dowolnym obiektem w wykazie. Na przykład aby wybrać dane z tabeli, użytkownicy muszą mieć SELECT
uprawnienia do tej tabeli i USE CATALOG
uprawnień w katalogu nadrzędnym, a także USE SCHEMA
uprawnienia w schemacie nadrzędnym.
Jest to przydatne w przypadku umożliwienia właścicielom wykazu ograniczenia liczby poszczególnych schematów i właścicieli tabel, które mogą udostępniać dane, które tworzą. Na przykład właściciel tabeli udzielając SELECT
innemu użytkownikowi dostępu do odczytu do tabeli nie zezwala na dostęp do tej tabeli, chyba że przyznano USE CATALOG
im również uprawnienia do katalogu nadrzędnego, a także USE SCHEMA
uprawnienia w schemacie nadrzędnym.
Uprawnienia USE CATALOG
w katalogu nadrzędnym nie są wymagane do odczytywania metadanych obiektu, jeśli użytkownik ma BROWSE
uprawnienia do tego wykazu.
UŻYJ POŁĄCZENIA
Odpowiednie typy obiektów: CONNECTION
Umożliwia użytkownikowi wyświetlanie listy i wyświetlanie szczegółowych informacji o połączeniach z zewnętrzną bazą danych w scenariuszu federacji usługi Lakehouse. Aby utworzyć wykazy obce dla połączenia, musisz mieć CREATE FOREIGN CATALOG
połączenie lub własność połączenia.
UŻYJ SCHEMATU
Odpowiednie typy obiektów: SCHEMA
To uprawnienie nie udziela dostępu do samego schematu, ale jest wymagane, aby użytkownik wchodził w interakcję z dowolnym obiektem w schemacie. Na przykład aby wybrać dane z tabeli, użytkownicy muszą mieć SELECT
uprawnienia do tej tabeli i USE SCHEMA
schematu nadrzędnego, a także USE CATALOG
w katalogu nadrzędnym.
Ponieważ uprawnienia są dziedziczone, możesz przyznać użytkownikowi USE SCHEMA
uprawnienia w katalogu, co automatycznie przyznaje USE SCHEMA
użytkownikowi uprawnienia do wszystkich bieżących i przyszłych schematów w wykazie.
USE SCHEMA
Uprawnienie do schematu nadrzędnego nie jest wymagane do odczytu metadanych obiektu, jeśli użytkownik ma BROWSE
uprawnienia do tego schematu lub katalogu nadrzędnego.
ZAPISYWANIE PLIKÓW
Odpowiednie typy obiektów: VOLUME
,EXTERNAL LOCATION
Umożliwia użytkownikowi zapisywanie plików bezpośrednio w magazynie obiektów w chmurze. Usługa Databricks zaleca przyznanie tego uprawnienia woluminom. Udziel tego uprawnienia oszczędnie w lokalizacjach zewnętrznych. Aby uzyskać więcej wskazówek, zobacz Zarządzanie lokalizacjami zewnętrznymi, tabelami zewnętrznymi i woluminami zewnętrznymi.
WOLUMIN ZAPISU
Odpowiednie typy obiektów: VOLUME
Umożliwia użytkownikowi dodawanie, usuwanie lub modyfikowanie plików i katalogów przechowywanych wewnątrz woluminu, jeśli użytkownik ma USE CATALOG
również katalog nadrzędny i USE SCHEMA
schemat nadrzędny.
Uprawnienia są dziedziczone. Gdy możesz przyznać użytkownikowi WRITE VOLUME
uprawnienia do katalogu lub schematu, automatycznie przyznasz użytkownikowi WRITE VOLUME
uprawnienia do wszystkich bieżących i przyszłych woluminów w katalogu lub schemacie.
Typy uprawnień, które mają zastosowanie tylko do udostępniania różnicowego lub witryny Databricks Marketplace
Ta sekcja zawiera szczegółowe informacje o typach uprawnień, które mają zastosowanie tylko do udostępniania różnicowego.
TWORZENIE DOSTAWCY
Odpowiednie typy obiektów: magazyn metadanych wykazu aparatu Unity
Umożliwia użytkownikowi utworzenie obiektu dostawcy udostępniania różnicowego w magazynie metadanych. Dostawca identyfikuje organizację lub grupę użytkowników, którzy mają udostępnione dane przy użyciu funkcji udostępniania różnicowego. Tworzenie dostawcy jest wykonywane przez użytkownika na koncie usługi Databricks odbiorcy. Zobacz Co to jest udostępnianie różnicowe?.
TWORZENIE ADRESATA
Odpowiednie typy obiektów: magazyn metadanych wykazu aparatu Unity
Umożliwia użytkownikowi utworzenie obiektu adresata funkcji Delta Sharing w magazynie metadanych. Odbiorca identyfikuje organizację lub grupę użytkowników, którzy mogą udostępniać im dane przy użyciu funkcji udostępniania różnicowego. Tworzenie adresata jest wykonywane przez użytkownika na koncie usługi Databricks dostawcy. Zobacz Co to jest udostępnianie różnicowe?.
TWORZENIE UDZIAŁU
Odpowiednie typy obiektów: magazyn metadanych wykazu aparatu Unity
Umożliwia użytkownikowi utworzenie udziału w magazynie metadanych. Udział to logiczne grupowanie tabel, które mają być udostępniane przy użyciu funkcji udostępniania różnicowego
USTAWIANIE UPRAWNIEŃ UDZIAŁU
Odpowiednie typy obiektów: magazyn metadanych wykazu aparatu Unity
W funkcji Udostępnianie różnicowe to uprawnienie w połączeniu z elementami USE SHARE
i USE RECIPIENT
(lub własnością adresata) daje użytkownikowi dostawcy możliwość udzielenia adresatowi dostępu do udziału. W połączeniu z USE SHARE
programem daje możliwość przeniesienia własności udziału do innego użytkownika, grupy lub jednostki usługi.
KORZYSTANIE Z ZASOBÓW WITRYNY MARKETPLACE
Odpowiednie typy obiektów: magazyn metadanych wykazu aparatu Unity
Domyślnie włączone dla wszystkich magazynów metadanych wykazu aparatu Unity. W witrynie Databricks Marketplace ten przywilej daje użytkownikowi możliwość uzyskania natychmiastowego dostępu lub żądania dostępu do produktów danych udostępnionych na liście w witrynie Marketplace. Umożliwia również użytkownikowi dostęp do katalogu tylko do odczytu, który jest tworzony, gdy dostawca udostępnia produkt danych. Bez tego uprawnienia użytkownik będzie wymagał CREATE CATALOG
uprawnień i USE PROVIDER
lub roli administratora magazynu metadanych. Dzięki temu można ograniczyć liczbę użytkowników z tymi zaawansowanymi uprawnieniami.
UŻYJ DOSTAWCY
Odpowiednie typy obiektów: magazyn metadanych wykazu aparatu Unity
W funkcji udostępniania różnicowego użytkownik może uzyskiwać dostęp tylko do odczytu wszystkim dostawcom w magazynie metadanych adresatów i ich udziałach. W połączeniu CREATE CATALOG
z przywilejem to uprawnienie umożliwia użytkownikowi odbiorcy, który nie jest administratorem magazynu metadanych, aby zainstalować udział jako wykaz. Dzięki temu można ograniczyć liczbę użytkowników z zaawansowaną rolą administratora magazynu metadanych.
UŻYJ ADRESATA
Odpowiednie typy obiektów: magazyn metadanych wykazu aparatu Unity
W funkcji udostępniania różnicowego zapewnia użytkownikowi dostawcy dostęp tylko do odczytu wszystkim adresatom w magazynie metadanych dostawcy i ich udziałach. Dzięki temu użytkownik dostawcy, który nie jest administratorem magazynu metadanych, może wyświetlać szczegóły adresata, stan uwierzytelniania adresata oraz listę udziałów udostępnionych przez dostawcę odbiorcy.
W witrynie Databricks Marketplace zapewnia to użytkownikom dostawcy możliwość wyświetlania list i żądań konsumentów w konsoli dostawcy.
USE SHARE
Odpowiednie typy obiektów: magazyn metadanych wykazu aparatu Unity
W funkcji Udostępniania różnicowego zapewnia użytkownikowi dostawcy dostęp tylko do odczytu do wszystkich udziałów zdefiniowanych w magazynie metadanych dostawcy. Dzięki temu użytkownik dostawcy, który nie jest administratorem magazynu metadanych, może wyświetlić listę udziałów i wyświetlić listę zasobów (tabel i notesów) w udziale wraz z adresatami udziału.
W witrynie Databricks Marketplace zapewnia to użytkownikom dostawcy możliwość wyświetlania szczegółów dotyczących danych udostępnionych na liście.