Uprawnienia wykazu aparatu Unity i zabezpieczane obiekty
W tym artykule opisano model uprawnień wykazu aparatu Unity. Aby dowiedzieć się, jak ten model różni się od magazynu metadanych Hive, zobacz Praca z katalogiem aparatu Unity i starszym magazynem metadanych Hive.
Uwaga
W tym artykule opisano uprawnienia katalogu aparatu Unity i model dziedziczenia w modelu uprawnień w wersji 1.0. Jeśli magazyn metadanych wykazu aparatu Unity został utworzony w publicznej wersji zapoznawczej (przed 25 sierpnia 2022 r.), możesz uaktualnić do wersji Privilege Model w wersji 1.0 po uaktualnieniu do dziedziczenia uprawnień
KtoTo może zarządzać uprawnieniami?
Uprawnienia mogą być udzielane przez administratora magazynu metadanych, właściciela obiektu lub właściciela wykazu lub schematu, który zawiera obiekt.
Jeśli obszar roboczy został włączony automatycznie dla wykazu aparatu Unity, obszar roboczy jest domyślnie dołączony do magazynu metadanych, a katalog obszarów roboczych jest tworzony dla obszaru roboczego w magazynie metadanych. Administratorzy obszaru roboczego są domyślnymi właścicielami wykazu obszarów roboczych. Jako właściciele mogą zarządzać uprawnieniami w katalogu obszarów roboczych i wszystkimi obiektami podrzędnymi.
Wszyscy użytkownicy obszaru roboczego otrzymają USE CATALOG uprawnienia w katalogu obszarów roboczych. Użytkownicy obszaru roboczego otrzymają USE SCHEMArównież uprawnienia , CREATE TABLE, CREATE VOLUMECREATE MODEL, CREATE FUNCTIONi CREATE MATERIALIZED VIEW w default schemacie w wykazie.
Aby uzyskać więcej informacji, zobacz Automatyczne włączanie wykazu aparatu Unity.
Jak zarządzać uprawnieniami
Uprawnienia do obiektów magazynu metadanych można zarządzać przy użyciu poleceń SQL, interfejsu wiersza polecenia usługi Databricks lub w Eksploratorze wykazu. Aby dowiedzieć się, jak zarządzać uprawnieniami za pomocą Eksploratora wykazu, zobacz Zarządzanie uprawnieniami wykazu aparatu Unity w Eksploratorze wykazu.
Aby zarządzać uprawnieniami w programie SQL, należy użyć instrukcji GRANT i REVOKE w notesie lub edytorze zapytań SQL usługi Databricks przy użyciu składni:
GRANT privilege_type ON securable_object TO principal
Gdzie:
privilege_typejest typem uprawnień wykazu aparatu Unitysecurable_objectjest zabezpieczanym obiektem w wykazie aparatu Unity.principaljest użytkownikiem, jednostką usługi (reprezentowaną przez jego wartość applicationId) lub grupą. Należy ująć użytkowników, jednostki usługi i nazwy grup z znakami specjalnymi w backticks (` `). Zobacz Principal (Podmiot zabezpieczeń).
Na przykład następujące polecenie przyznaje grupie o nazwie finance-team dostęp do tworzenia tabel w schemacie o nazwie default z wykazem nadrzędnym o nazwie main:
GRANT CREATE TABLE ON SCHEMA main.default TO `finance-team`;
Większość instrukcji, które przyznają lub odwoływane uprawnienia, są zgodne ze składnią pokazaną w poprzednim przykładzie, określając zabezpieczany typ obiektu (SCHEMA), a następnie nazwę zabezpieczanego obiektu (main.default). Jednak w przypadku udzielania uprawnień do magazynu metadanych nie należy dołączać nazwy magazynu metadanych, ponieważ zakłada się, że zakłada się, że magazyn metadanych dołączony do obszaru roboczego:
GRANT CREATE CATALOG ON METASTORE TO `account users`;
Aby uzyskać więcej informacji o udzielaniu uprawnień przy użyciu poleceń SQL, zobacz Uprawnienia i zabezpieczane obiekty w rozwiązaniu Unity Catalog.
Możesz również zarządzać uprawnieniami przy użyciu dostawcy narzędzia Terraform usługi Databricks i databricks_grants.
Model dziedziczenia
Zabezpieczane obiekty w rozwiązaniu Unity Catalog są hierarchiczne, a uprawnienia są dziedziczone w dół. Obiekt najwyższego poziomu, z którego dziedziczą uprawnienia, to wykaz. Oznacza to, że udzielenie uprawnienia do wykazu lub schematu automatycznie udziela uprawnienia do wszystkich bieżących i przyszłych obiektów w wykazie lub schemacie. Uprawnienia udzielone w magazynie metadanych rozwiązania Unity Catalog nie są dziedziczone.
Na przykład następujące polecenie przyznaje SELECT uprawnienie do wszystkich tabel i widoków w dowolnym schemacie w katalogu głównym dla finansów grupy:
GRANT SELECT ON CATALOG main TO finance;
Podobnie można wykonywać granty na schemacie w celu uzyskania mniejszego zakresu dostępu:
GRANT SELECT ON SCHEMA main.default TO finance;
Model dziedziczenia umożliwia łatwe konfigurowanie domyślnych reguł dostępu dla danych. Na przykład następujące polecenia umożliwiają zespołowi uczenia maszynowego tworzenie tabel w schemacie i odczytywanie tabel nawzajem:
CREATE CATALOG ml;
CREATE SCHEMA ml.team_sandbox;
GRANT USE_CATALOG ON CATALOG ml TO ml_team;
GRANT USE_SCHEMA ON SCHEMA ml.team_sandbox TO ml_team;
GRANT CREATE TABLE ON SCHEMA ml.team_sandbox TO ml_team;
GRANT SELECT ON SCHEMA ml.team_sandbox TO ml_team;
Właściciele obiektu mają automatycznie przyznane wszystkie uprawnienia do tego obiektu. Ponadto właściciele obiektów mogą udzielać uprawnień do samego obiektu i wszystkich jego obiektów podrzędnych. Oznacza to, że właściciele schematu nie mają automatycznie wszystkich uprawnień w tabelach w schemacie, ale mogą przyznać sobie uprawnienia do tabel w schemacie.
Zabezpieczane obiekty w wykazie aparatu Unity
Zabezpieczany obiekt jest obiektem zdefiniowanym w magazynie metadanych rozwiązania Unity Catalog, w którym można udzielić uprawnień podmiotowi zabezpieczeń. Zabezpieczane obiekty w wykazie aparatu Unity są hierarchiczne.
Zabezpieczane obiekty to:
MAGAZYN METADANYCH: kontener najwyższego poziomu dla metadanych. Każdy magazyn metadanych wykazu aparatu Unity udostępnia trzy-poziomową przestrzeń nazw (
catalog..schematable), która organizuje dane.CATALOG: pierwsza warstwa hierarchii obiektów używana do organizowania zasobów danych. Wykaz obcy to specjalny typ wykazu, który odzwierciedla bazę danych w zewnętrznym systemie danych w scenariuszu federacji usługi Lakehouse.
SCHEMAT: Znane również jako bazy danych schematy są drugą warstwą hierarchii obiektów i zawierają tabele i widoki.
TABELA: najniższy poziom w hierarchii obiektów, tabele mogą być zewnętrzne (przechowywane w lokalizacjach zewnętrznych w wybranym magazynie w chmurze) lub tabele zarządzane (przechowywane w kontenerze magazynu w chmurze, który tworzysz wyraźnie dla usługi Azure Databricks).
WIDOK: Obiekt tylko do odczytu utworzony na podstawie zapytania w co najmniej jednej tabeli znajdującej się w schemacie.
ZMATERIALIZOWANY WIDOK: obiekt utworzony na podstawie zapytania w co najmniej jednej tabeli znajdującej się w schemacie. Wyniki odzwierciedlają stan danych podczas ostatniego odświeżenia.
WOLUMIN: najniższy poziom w hierarchii obiektów, woluminy mogą być zewnętrzne (przechowywane w lokalizacjach zewnętrznych w wybranym magazynie w chmurze) lub zarządzane (przechowywane w kontenerze magazynu w chmurze utworzonego wyraźnie dla usługi Azure Databricks).
ZAREJESTROWANY MODEL: zarejestrowany model MLflow, który znajduje się w schemacie.
FUNKCJA: funkcja zdefiniowana przez użytkownika, która jest zawarta w schemacie. Zobacz Funkcje zdefiniowane przez użytkownika (UDF) w wykazie aparatu Unity.
LOKALIZACJA ZEWNĘTRZNA: obiekt zawierający odwołanie do poświadczeń magazynu i ścieżkę magazynu w chmurze znajdującą się w magazynie metadanych wykazu aparatu Unity.
POŚWIADCZENIA MAGAZYNU: obiekt, który hermetyzuje długoterminowe poświadczenie w chmurze, które zapewnia dostęp do magazynu w chmurze znajdującego się w magazynie metadanych wykazu aparatu Unity.
POŁĄCZENIE: obiekt, który określa ścieżkę i poświadczenia na potrzeby uzyskiwania dostępu do zewnętrznego systemu bazy danych w scenariuszu federacji usługi Lakehouse.
SHARE: grupowanie logiczne tabel, które mają być udostępniane przy użyciu funkcji udostępniania różnicowego. Udział znajduje się w magazynie metadanych wykazu aparatu Unity.
ODBIORCA: obiekt identyfikujący organizację lub grupę użytkowników, którzy mogą udostępniać im dane przy użyciu funkcji udostępniania różnicowego. Te obiekty znajdują się w magazynie metadanych wykazu aparatu Unity.
DOSTAWCA: obiekt reprezentujący organizację, która udostępniła dane do udostępniania przy użyciu funkcji udostępniania różnicowego. Te obiekty znajdują się w magazynie metadanych wykazu aparatu Unity.
Typy uprawnień według zabezpieczanego obiektu w wykazie aparatu Unity
W poniższej tabeli wymieniono typy uprawnień, które mają zastosowanie do każdego zabezpieczanego obiektu w rozwiązaniu Unity Catalog:
| Zabezpieczany | Uprawnienia |
|---|---|
| Magazyn metadanych | CREATE CATALOG, CREATE CONNECTION, , , CREATE RECIPIENTUSE MARKETPLACE ASSETSCREATE SHAREUSE RECIPIENTCREATE PROVIDERCREATE STORAGE CREDENTIALSET SHARE PERMISSIONUSE PROVIDERCREATE EXTERNAL LOCATIONUSE SHARE |
| Wykaz | ALL PRIVILEGES, , APPLY TAG, BROWSE, , CREATE SCHEMAUSE CATALOGWszyscy użytkownicy mają USE CATALOG domyślnie main katalog.Następujące typy uprawnień mają zastosowanie do zabezpieczanych obiektów w wykazie. Te uprawnienia można przyznać na poziomie wykazu, aby zastosować je do odpowiednich bieżących i przyszłych obiektów w wykazie. CREATE FUNCTION, CREATE TABLE, , , CREATE FOREIGN CATALOGEXECUTEREAD VOLUMESELECTCREATE VOLUMEREFRESHWRITE VOLUMEMODIFYCREATE MODELUSE SCHEMA |
| Schemat | ALL PRIVILEGES, APPLY TAG, , CREATE FUNCTION, CREATE MODELCREATE TABLE, , CREATE VOLUME, , CREATE MATERIALIZED VIEWUSE SCHEMANastępujące typy uprawnień mają zastosowanie do zabezpieczanych obiektów w schemacie. Te uprawnienia można przyznać na poziomie schematu, aby zastosować je do odpowiednich bieżących i przyszłych obiektów w schemacie. EXECUTE, , MODIFY, SELECT, READ VOLUME, , REFRESHWRITE VOLUME |
| Table | ALL PRIVILEGES, , APPLY TAG, , MODIFYSELECT |
| Zmaterializowany widok | ALL PRIVILEGES, , APPLY TAG, , REFRESHSELECT |
| Widok | ALL PRIVILEGES, , APPLY TAGSELECT |
| Objętość | ALL PRIVILEGES, , READ VOLUMEWRITE VOLUME |
| Lokalizacja zewnętrzna | ALL PRIVILEGES, BROWSE, , CREATE EXTERNAL TABLE, CREATE EXTERNAL VOLUME, READ FILES, , WRITE FILESCREATE MANAGED STORAGE |
| Poświadczenia magazynu | ALL PRIVILEGES, , CREATE EXTERNAL LOCATION, CREATE EXTERNAL TABLE, , READ FILESWRITE FILES |
| Connection | ALL PRIVILEGES, , CREATE FOREIGN CATALOGUSE CONNECTION |
| Funkcja | ALL PRIVILEGES, EXECUTE |
| Zarejestrowany model | ALL PRIVILEGES, , APPLY TAGEXECUTE |
| Udostępnij | SELECT (Można udzielić użytkownikowi RECIPIENT) |
| Adresat | Brak |
| Dostawca | Brak |
Podczas zarządzania uprawnieniami w magazynie metadanych nie należy dołączać nazwy magazynu metadanych do polecenia SQL. Wykaz aparatu Unity przyznaje lub odwołuje uprawnienia w magazynie metadanych dołączonym do obszaru roboczego. Na przykład następujące polecenie przyznaje grupie o nazwie engineering możliwość utworzenia katalogu w magazynie metadanych dołączonym do obszaru roboczego:
GRANT CREATE CATALOG ON METASTORE TO engineering
Ogólne typy uprawnień wykazu aparatu Unity
Ta sekcja zawiera szczegółowe informacje o typach uprawnień, które mają zastosowanie ogólnie do wykazu aparatu Unity.
WSZYSTKIE UPRAWNIENIA
Odpowiednie typy obiektów: CATALOG, EXTERNAL LOCATION, STORAGE CREDENTIALSCHEMAREGISTERED MODELFUNCTION, , TABLE, , , MATERIALIZED VIEWVIEW,VOLUME
Służy do udzielania lub odwoływanie wszystkich uprawnień mających zastosowanie do zabezpieczanego obiektu i jego obiektów podrzędnych bez jawnego określenia ich.
W przypadku ALL PRIVILEGES przyznania obiektu nie udziela indywidualnie użytkownikowi każdego odpowiedniego uprawnienia w momencie przyznania. Zamiast tego rozwija się do wszystkich dostępnych uprawnień podczas sprawdzania uprawnień.
Po ALL PRIVILEGES odwołaniu uprawnienie zostanie odwołane, ALL PRIVILEGES a wszelkie jawne uprawnienia przyznane użytkownikowi w obiekcie również zostaną odwołane.
Uwaga
To uprawnienie jest zaawansowane w przypadku zastosowania na wyższych poziomach w hierarchii. Na przykład PRZYZNAJ WSZYSTKIE UPRAWNIENIA W KATALOGU głównym, aby analysts dać zespołowi analityka wszystkie uprawnienia do każdego obiektu (schematów, tabel, widoków, funkcji) w wykazie.
ZASTOSUJ TAG
Odpowiednie typy obiektów: CATALOG, , REGISTERED MODELSCHEMA, TABLE, , MATERIALIZED VIEWVIEW
Umożliwia użytkownikowi dodawanie i edytowanie tagów w obiekcie. Przyznawanie APPLY TAG tabeli lub widoku umożliwia również tagowanie kolumn.
Użytkownik musi również mieć USE CATALOG uprawnienia do katalogu nadrzędnego i USE SCHEMA schematu nadrzędnego.
PRZEGLĄDAJ
Odpowiednie typy obiektów: CATALOG, EXTERNAL LOCATION
Ważne
Ta funkcja jest dostępna w publicznej wersji zapoznawczej.
Umożliwia użytkownikowi wyświetlanie metadanych obiektu przy użyciu Eksploratora wykazu, przeglądarki schematu, wyników wyszukiwania, grafu pochodzenia i information_schemainterfejsu API REST.
Użytkownik nie wymaga USE CATALOG uprawnień w wykazie nadrzędnym ani USE SCHEMA w schemacie nadrzędnym.
TWORZENIE WYKAZU
Odpowiednie typy obiektów: magazyn metadanych wykazu aparatu Unity
Umożliwia użytkownikowi utworzenie wykazu w magazynie metadanych rozwiązania Unity Catalog. Aby utworzyć wykaz obcy, musisz również mieć uprawnienie CREATE FOREIGN CATALOG w połączeniu zawierającym wykaz obcy lub w magazynie metadanych.
TWORZENIE POŁĄCZENIA
Odpowiednie typy obiektów: magazyn metadanych wykazu aparatu Unity
Umożliwia użytkownikowi utworzenie połączenia z zewnętrzną bazą danych w scenariuszu federacji usługi Lakehouse.
TWORZENIE LOKALIZACJI ZEWNĘTRZNEJ
Odpowiednie typy obiektów: magazyn metadanych wykazu aparatu Unity, STORAGE CREDENTIAL
Aby utworzyć lokalizację zewnętrzną, użytkownik musi mieć to uprawnienie zarówno w magazynie metadanych, jak i poświadczeniu magazynu, do którego odwołuje się lokalizacja zewnętrzna.
TWORZENIE TABELI ZEWNĘTRZNEJ
Odpowiednie typy obiektów: EXTERNAL LOCATION, STORAGE CREDENTIAL
Umożliwia użytkownikowi tworzenie tabel zewnętrznych bezpośrednio w dzierżawie chmury przy użyciu poświadczeń lokalizacji zewnętrznej lub magazynu. Usługa Databricks zaleca przyznanie tego uprawnienia w lokalizacji zewnętrznej, a nie poświadczeń magazynu (ponieważ jest ona ograniczona do ścieżki, umożliwia większą kontrolę nad tym, gdzie użytkownicy mogą tworzyć tabele zewnętrzne w dzierżawie chmury).
TWORZENIE WOLUMINU ZEWNĘTRZNEGO
Odpowiednie typy obiektów: EXTERNAL LOCATION
Umożliwia użytkownikowi tworzenie woluminów zewnętrznych przy użyciu lokalizacji zewnętrznej.
TWORZENIE WYKAZU OBCEGO
Odpowiednie typy obiektów: CONNECTION
Umożliwia użytkownikowi tworzenie katalogów obcych przy użyciu połączenia z zewnętrzną bazą danych w scenariuszu federacji usługi Lakehouse.
CREATE, FUNKCJA
Odpowiednie typy obiektów: SCHEMA
Umożliwia użytkownikowi utworzenie funkcji w schemacie. Ponieważ uprawnienia są dziedziczone, można również przyznać w wykazie, CREATE FUNCTION co umożliwia użytkownikowi utworzenie funkcji w dowolnym istniejącym lub przyszłym schemacie w wykazie.
Użytkownik musi również mieć USE CATALOG uprawnienia do katalogu nadrzędnego i USE SCHEMA schematu nadrzędnego.
TWORZENIE MODELU
Odpowiednie typy obiektów: SCHEMA
Umożliwia użytkownikowi utworzenie zarejestrowanego modelu MLflow w schemacie. Ponieważ uprawnienia są dziedziczone, można również przyznać w wykazie, CREATE MODEL co umożliwia użytkownikowi utworzenie zarejestrowanego modelu w dowolnym istniejącym lub przyszłym schemacie w wykazie.
Użytkownik musi również mieć USE CATALOG uprawnienia do katalogu nadrzędnego i USE SCHEMA schematu nadrzędnego.
TWORZENIE MAGAZYNU ZARZĄDZANEGO
Odpowiednie typy obiektów: EXTERNAL LOCATION
Umożliwia użytkownikowi określenie lokalizacji przechowywania tabel zarządzanych na poziomie wykazu lub schematu, przesłaniając domyślny magazyn główny magazynu metadanych.
TWORZENIE SCHEMATU
Odpowiednie typy obiektów: CATALOG
Umożliwia użytkownikowi utworzenie schematu. Użytkownik musi również mieć uprawnienia USE CATALOG w wykazie.
TWORZENIE POŚWIADCZEŃ MAGAZYNU
Odpowiednie typy obiektów: magazyn metadanych wykazu aparatu Unity
Umożliwia użytkownikowi utworzenie poświadczeń magazynu w magazynie metadanych wykazu aparatu Unity.
Nie można udzielić jednostki usługi niezależnie od tego, czy jest to identyfikator entra firmy Microsoft (dawniej Azure Active Directory) czy natywna jednostka usługi Azure Databricks.
CREATE TABLE
Odpowiednie typy obiektów: SCHEMA
Umożliwia użytkownikowi utworzenie tabeli lub widoku w schemacie. Ponieważ uprawnienia są dziedziczone, można również udzielić CREATE TABLE w wykazie, co umożliwia użytkownikowi utworzenie tabeli lub widoku w dowolnym istniejącym lub przyszłym schemacie w wykazie.
Użytkownik musi również mieć USE CATALOG uprawnienia do katalogu nadrzędnego i USE SCHEMA uprawnienia w schemacie nadrzędnym.
TWORZENIE ZMATERIALIZOWANEGO WIDOKU
Ważne
Ta funkcja jest dostępna w publicznej wersji zapoznawczej.
Odpowiednie typy obiektów: SCHEMA
Umożliwia użytkownikowi utworzenie zmaterializowanego widoku w schemacie. Ponieważ uprawnienia są dziedziczone, można również udzielić CREATE MATERIALIZED VIEW w wykazie, co umożliwia użytkownikowi utworzenie tabeli lub widoku w dowolnym istniejącym lub przyszłym schemacie w wykazie.
Użytkownik musi również mieć USE CATALOG uprawnienia do katalogu nadrzędnego i USE SCHEMA uprawnienia w schemacie nadrzędnym.
TWORZENIE WOLUMINU
Odpowiednie typy obiektów: SCHEMA
Umożliwia użytkownikowi utworzenie woluminu w schemacie. Ponieważ uprawnienia są dziedziczone, można również przyznać w wykazie, CREATE VOLUME co umożliwia użytkownikowi utworzenie woluminu w dowolnym istniejącym lub przyszłym schemacie w wykazie.
Użytkownik musi również mieć USE CATALOG uprawnienia do katalogu nadrzędnego woluminu i USE SCHEMA uprawnienia w schemacie nadrzędnym.
WYKONAJ
Odpowiednie typy obiektów: FUNCTION, REGISTERED MODEL
Umożliwia użytkownikowi wywołanie funkcji zdefiniowanej przez użytkownika lub załadowanie modelu na potrzeby wnioskowania, jeśli użytkownik ma USE CATALOG również katalog nadrzędny i USE SCHEMA schemat nadrzędny. W przypadku funkcji EXECUTE można wyświetlać definicję funkcji i metadane. W przypadku zarejestrowanych modeli EXECUTE przyznaje możliwość wyświetlania metadanych dla wszystkich wersji zarejestrowanego modelu oraz pobierania plików modelu.
Ponieważ uprawnienia są dziedziczone, można przyznać użytkownikowi EXECUTE uprawnienia do katalogu lub schematu, co automatycznie przyznaje użytkownikowi EXECUTE uprawnienia do wszystkich bieżących i przyszłych funkcji w wykazie lub schemacie.
ZARZĄDZANIE LISTĄ DOZWOLONYCH
Odpowiednie typy obiektów: magazyn metadanych wykazu aparatu Unity
Umożliwia użytkownikowi dodawanie lub modyfikowanie ścieżek dla skryptów inicjowania, reguł JARs i Maven współrzędnych na liście dozwolonych, która zarządza klastrami obsługującymi wykaz aparatu Unity z trybem dostępu współdzielonego. Zobacz Allowlist libraries and init scripts on shared compute (Biblioteki dozwolonych i skrypty inicjowania w udostępnionych obliczeniach).
MODYFIKOWANIE
Odpowiednie typy obiektów: TABLE
Umożliwia użytkownikowi dodawanie, aktualizowanie i usuwanie danych do lub z tabeli, jeśli użytkownik ma SELECT również w tabeli, a USE CATALOG także w katalogu nadrzędnym i USE SCHEMA w schemacie nadrzędnym.
Ponieważ uprawnienia są dziedziczone, można przyznać użytkownikowi MODIFY uprawnienie do katalogu lub schematu, co automatycznie przyznaje MODIFY użytkownikowi uprawnienia do wszystkich bieżących i przyszłych tabel w wykazie lub schemacie.
ODCZYTYWANIE PLIKÓW
Odpowiednie typy obiektów: VOLUME, EXTERNAL LOCATION
Umożliwia użytkownikowi odczytywanie plików bezpośrednio z magazynu obiektów w chmurze. Usługa Databricks zaleca przyznanie tego uprawnienia woluminom i przyznanie w lokalizacjach zewnętrznych w ograniczonych przypadkach użycia. Aby uzyskać więcej wskazówek, zobacz Zarządzanie lokalizacjami zewnętrznymi, tabelami zewnętrznymi i woluminami zewnętrznymi.
ODCZYT WOLUMINU
Odpowiednie typy obiektów: VOLUME
Umożliwia użytkownikowi odczytywanie plików i katalogów przechowywanych wewnątrz woluminu, jeśli użytkownik ma USE CATALOG również katalog nadrzędny i USE SCHEMA schemat nadrzędny.
Uprawnienia są dziedziczone. Gdy możesz przyznać użytkownikowi READ VOLUME uprawnienia do katalogu lub schematu, automatycznie przyznasz użytkownikowi READ VOLUME uprawnienia do wszystkich bieżących i przyszłych woluminów w katalogu lub schemacie.
SELECT
Odpowiednie typy obiektów: TABLE, , VIEW, MATERIALIZED VIEWSHARE
W przypadku zastosowania do tabeli lub widoku umożliwia użytkownikowi wybranie z tabeli lub widoku, jeśli użytkownik ma USE CATALOG również katalog nadrzędny i USE SCHEMA schemat nadrzędny. W przypadku zastosowania do udziału umożliwia adresatowi wybranie z udziału.
Ponieważ uprawnienia są dziedziczone, można przyznać użytkownikowi SELECT uprawnienia do katalogu lub schematu, który automatycznie przyznaje uprawnienia użytkownika SELECT dla wszystkich bieżących i przyszłych tabel oraz widoków w wykazie lub schemacie.
KORZYSTANIE Z WYKAZU
Odpowiednie typy obiektów: CATALOG
To uprawnienie nie udziela dostępu do samego wykazu, ale jest wymagane, aby użytkownik wchodził w interakcję z dowolnym obiektem w wykazie. Na przykład aby wybrać dane z tabeli, użytkownicy muszą mieć SELECT uprawnienia do tej tabeli i USE CATALOG uprawnień w katalogu nadrzędnym, a także USE SCHEMA uprawnienia w schemacie nadrzędnym.
Jest to przydatne w przypadku umożliwienia właścicielom wykazu ograniczenia liczby poszczególnych schematów i właścicieli tabel, które mogą udostępniać dane, które tworzą. Na przykład właściciel tabeli udzielając SELECT innemu użytkownikowi dostępu do odczytu do tabeli nie zezwala na dostęp do tej tabeli, chyba że przyznano USE CATALOG im również uprawnienia do katalogu nadrzędnego, a także USE SCHEMA uprawnienia w schemacie nadrzędnym.
Uprawnienia USE CATALOG w katalogu nadrzędnym nie są wymagane do odczytywania metadanych obiektu, jeśli użytkownik ma BROWSE uprawnienia do tego wykazu.
UŻYJ POŁĄCZENIA
Odpowiednie typy obiektów: CONNECTION
Umożliwia użytkownikowi wyświetlanie listy i wyświetlanie szczegółowych informacji o połączeniach z zewnętrzną bazą danych w scenariuszu federacji usługi Lakehouse. Aby utworzyć wykazy obce dla połączenia, musisz mieć CREATE FOREIGN CATALOG połączenie lub własność połączenia.
UŻYJ SCHEMATU
Odpowiednie typy obiektów: SCHEMA
To uprawnienie nie udziela dostępu do samego schematu, ale jest wymagane, aby użytkownik wchodził w interakcję z dowolnym obiektem w schemacie. Na przykład aby wybrać dane z tabeli, użytkownicy muszą mieć SELECT uprawnienia do tej tabeli i USE SCHEMA schematu nadrzędnego, a także USE CATALOG w katalogu nadrzędnym.
Ponieważ uprawnienia są dziedziczone, możesz przyznać użytkownikowi USE SCHEMA uprawnienia w katalogu, co automatycznie przyznaje USE SCHEMA użytkownikowi uprawnienia do wszystkich bieżących i przyszłych schematów w wykazie.
USE SCHEMA Uprawnienie do schematu nadrzędnego nie jest wymagane do odczytu metadanych obiektu, jeśli użytkownik ma BROWSE uprawnienia do tego schematu lub katalogu nadrzędnego.
ZAPISYWANIE PLIKÓW
Odpowiednie typy obiektów: VOLUME,EXTERNAL LOCATION
Umożliwia użytkownikowi zapisywanie plików bezpośrednio w magazynie obiektów w chmurze. Usługa Databricks zaleca przyznanie tego uprawnienia woluminom. Udziel tego uprawnienia oszczędnie w lokalizacjach zewnętrznych. Aby uzyskać więcej wskazówek, zobacz Zarządzanie lokalizacjami zewnętrznymi, tabelami zewnętrznymi i woluminami zewnętrznymi.
WOLUMIN ZAPISU
Odpowiednie typy obiektów: VOLUME
Umożliwia użytkownikowi dodawanie, usuwanie lub modyfikowanie plików i katalogów przechowywanych wewnątrz woluminu, jeśli użytkownik ma USE CATALOG również katalog nadrzędny i USE SCHEMA schemat nadrzędny.
Uprawnienia są dziedziczone. Gdy możesz przyznać użytkownikowi WRITE VOLUME uprawnienia do katalogu lub schematu, automatycznie przyznasz użytkownikowi WRITE VOLUME uprawnienia do wszystkich bieżących i przyszłych woluminów w katalogu lub schemacie.
REFRESH
Odpowiednie typy obiektów: MATERIALIZED VIEW
Umożliwia użytkownikowi odświeżanie zmaterializowanego widoku, jeśli użytkownik ma USE CATALOG również katalog nadrzędny i USE SCHEMA schemat nadrzędny.
Uprawnienia są dziedziczone. Gdy przyznasz użytkownikowi REFRESH uprawnienie do katalogu lub schematu, automatycznie przyznasz REFRESH użytkownikowi uprawnienie do wszystkich bieżących i przyszłych zmaterializowanych widoków w wykazie lub schemacie.
Typy uprawnień, które mają zastosowanie tylko do udostępniania różnicowego lub witryny Databricks Marketplace
Ta sekcja zawiera szczegółowe informacje o typach uprawnień, które mają zastosowanie tylko do udostępniania różnicowego.
TWORZENIE DOSTAWCY
Odpowiednie typy obiektów: magazyn metadanych wykazu aparatu Unity
Umożliwia użytkownikowi utworzenie obiektu dostawcy udostępniania różnicowego w magazynie metadanych. Dostawca identyfikuje organizację lub grupę użytkowników, którzy mają udostępnione dane przy użyciu funkcji udostępniania różnicowego. Tworzenie dostawcy jest wykonywane przez użytkownika na koncie usługi Databricks odbiorcy. Zobacz Bezpieczne udostępnianie danych i zasobów sztucznej inteligencji przy użyciu funkcji udostępniania różnicowego.
TWORZENIE ADRESATA
Odpowiednie typy obiektów: magazyn metadanych wykazu aparatu Unity
Umożliwia użytkownikowi utworzenie obiektu adresata funkcji Delta Sharing w magazynie metadanych. Odbiorca identyfikuje organizację lub grupę użytkowników, którzy mogą udostępniać im dane przy użyciu funkcji udostępniania różnicowego. Tworzenie adresata jest wykonywane przez użytkownika na koncie usługi Databricks dostawcy. Zobacz Bezpieczne udostępnianie danych i zasobów sztucznej inteligencji przy użyciu funkcji udostępniania różnicowego.
TWORZENIE UDZIAŁU
Odpowiednie typy obiektów: magazyn metadanych wykazu aparatu Unity
Umożliwia użytkownikowi utworzenie udziału w magazynie metadanych. Udział to logiczne grupowanie tabel, które mają być udostępniane przy użyciu funkcji udostępniania różnicowego
USTAWIANIE UPRAWNIEŃ UDZIAŁU
Odpowiednie typy obiektów: magazyn metadanych wykazu aparatu Unity
W funkcji Udostępnianie różnicowe to uprawnienie w połączeniu z elementami USE SHARE i USE RECIPIENT (lub własnością adresata) daje użytkownikowi dostawcy możliwość udzielenia adresatowi dostępu do udziału. W połączeniu z USE SHAREprogramem daje możliwość przeniesienia własności udziału do innego użytkownika, grupy lub jednostki usługi.
KORZYSTANIE Z ZASOBÓW WITRYNY MARKETPLACE
Odpowiednie typy obiektów: magazyn metadanych wykazu aparatu Unity
Domyślnie włączone dla wszystkich magazynów metadanych wykazu aparatu Unity. W witrynie Databricks Marketplace ten przywilej daje użytkownikowi możliwość uzyskania natychmiastowego dostępu lub żądania dostępu do produktów danych udostępnionych na liście w witrynie Marketplace. Umożliwia również użytkownikowi dostęp do katalogu tylko do odczytu, który jest tworzony, gdy dostawca udostępnia produkt danych. Bez tego uprawnienia użytkownik będzie wymagał CREATE CATALOG uprawnień i USE PROVIDER lub roli administratora magazynu metadanych. Dzięki temu można ograniczyć liczbę użytkowników z tymi zaawansowanymi uprawnieniami.
UŻYJ DOSTAWCY
Odpowiednie typy obiektów: magazyn metadanych wykazu aparatu Unity
W funkcji udostępniania różnicowego użytkownik może uzyskiwać dostęp tylko do odczytu wszystkim dostawcom w magazynie metadanych adresatów i ich udziałach. W połączeniu CREATE CATALOG z przywilejem to uprawnienie umożliwia użytkownikowi odbiorcy, który nie jest administratorem magazynu metadanych, aby zainstalować udział jako wykaz. Dzięki temu można ograniczyć liczbę użytkowników z zaawansowaną rolą administratora magazynu metadanych.
UŻYJ ADRESATA
Odpowiednie typy obiektów: magazyn metadanych wykazu aparatu Unity
W funkcji udostępniania różnicowego zapewnia użytkownikowi dostawcy dostęp tylko do odczytu wszystkim adresatom w magazynie metadanych dostawcy i ich udziałach. Dzięki temu użytkownik dostawcy, który nie jest administratorem magazynu metadanych, może wyświetlać szczegóły adresata, stan uwierzytelniania adresata oraz listę udziałów udostępnionych przez dostawcę odbiorcy.
W witrynie Databricks Marketplace zapewnia to użytkownikom dostawcy możliwość wyświetlania list i żądań konsumentów w konsoli dostawcy.
USE SHARE
Odpowiednie typy obiektów: magazyn metadanych wykazu aparatu Unity
W funkcji Udostępniania różnicowego zapewnia użytkownikowi dostawcy dostęp tylko do odczytu do wszystkich udziałów zdefiniowanych w magazynie metadanych dostawcy. Dzięki temu użytkownik dostawcy, który nie jest administratorem magazynu metadanych, może wyświetlić listę udziałów i wyświetlić listę zasobów (tabel i notesów) w udziale wraz z adresatami udziału.
W witrynie Databricks Marketplace zapewnia to użytkownikom dostawcy możliwość wyświetlania szczegółów dotyczących danych udostępnionych na liście.
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla