Uprawnienia i zabezpieczane obiekty w magazynie metadanych Hive

  • Artykuł

Dotyczy:sprawdź oznaczone jako tak Zaznaczone pole wyboru SQL usługi Databricks oznaczone jako tak Databricks Runtime

Uprawnienie to prawo przyznane podmiotowi zabezpieczeń do działania na zabezpieczanym obiekcie w magazynie metadanych.

Model uprawnień i zabezpieczane obiekty różnią się w zależności od tego, czy używasz magazynu metadanych wykazu aparatu Unity, czy starszego magazynu metadanych Hive. W tym artykule opisano model uprawnień dla starszego magazynu metadanych Hive. Jeśli używasz wykazu aparatu Unity, zobacz Uprawnienia i zabezpieczane obiekty w wykazie aparatu Unity.

Zabezpieczane obiekty w magazynie metadanych Hive

Zabezpieczany obiekt jest obiektem zdefiniowanym w magazynie metadanych, na którym można udzielić uprawnień podmiotowi zabezpieczeń.

Aby zarządzać uprawnieniami do dowolnego obiektu, musisz być jego właścicielem lub administratorem.

Składni

  securable_object
    { ANY FILE |
      CATALOG [ catalog_name ] |
      { SCHEMA | DATABASE } schema_name |
      FUNCTION function_name |
      [ TABLE ] table_name |
      VIEW view_name
      }

Parametry

  • ANY FILE

    Kontroluje dostęp do bazowego systemu plików.

  • CATALOGCatalog_name

    Kontroluje dostęp do całego wykazu danych.

  • { SCHEMA | DATABASE }Schema_name

    Kontroluje dostęp do schematu.

  • FUNCTIONfunction_name

    Kontroluje dostęp do nazwanej funkcji.

  • [ TABLE ]Nazwa_tabeli

    Kontroluje dostęp do tabeli zarządzanej lub zewnętrznej.

  • VIEWview_name

    Kontroluje dostęp do widoków SQL.

Model dziedziczenia

Zabezpieczane obiekty w magazynie metadanych Hive są hierarchiczne, a uprawnienia są dziedziczone w dół. Oznacza to, że przyznanie lub odmowę uprawnienia do CATALOG automatycznie przyznaje lub odmawia uprawnień do wszystkich schematów w wykazie. Podobnie uprawnienia przyznane dla obiektu schematu są dziedziczone przez wszystkie obiekty w tym schemacie. Ten wzorzec jest prawdziwy dla wszystkich zabezpieczanych obiektów.

Jeśli odmówisz uprawnień użytkownika w tabeli, użytkownik nie będzie mógł wyświetlić tabeli, próbując wyświetlić listę wszystkich tabel w schemacie. Jeśli odmówisz uprawnień użytkownika w schemacie, użytkownik nie będzie mógł zobaczyć, że schemat istnieje, próbując wyświetlić listę wszystkich schematów w wykazie.

Typy uprawnień

W poniższej tabeli przedstawiono uprawnienia, z którymi zabezpieczanymi obiektami są skojarzone.

Typ uprawnień FUNKCJA ANONIMOWA DOWOLNY PLIK KATALOG SCHEMATU FUNKCJA TABELI WIDOK
UTWORZYĆ Tak Tak
MODYFIKOWANIE Tak Tak Tak Tak
READ_METADATA Tak Tak Tak Tak
WYBIERZ Tak Tak Tak Tak Tak Tak Tak
UŻYCIA Tak Tak

  • ALL PRIVILEGES

    Służy do udzielania lub odwoływanie wszystkich uprawnień mających zastosowanie do zabezpieczanych i jego obiektów podrzędnych bez jawnego określenia ich. Spowoduje to rozszerzenie do wszystkich dostępnych uprawnień podczas sprawdzania uprawnień.

  • CREATE

    Utwórz obiekty w wykazie lub schemacie.

  • MODIFY

    COPY INTO, UPDATEDELETE, INSERT lub MERGE INTO the table.

    Jeśli securable_object jest schematem hive_metastore lub w nim, przyznanie MODIFY zostanie przyznane MODIFY dla wszystkich bieżących i przyszłych tabel i widoków w zabezpieczanym obiekcie.

  • READ_METADATA

    Odnajdywanie zabezpieczanego obiektu w programie SHOW i przesłuchiywanie obiektu w temacie DESCRIBE

    Jeśli zabezpieczany obiekt jest hive_metastore wykazem lub schematem w nim, przyznanie READ_METADATA zostanie przyznane READ_METADATA dla wszystkich bieżących i przyszłych tabel i widoków w zabezpieczanym obiekcie.

  • READ FILES

    Wykonywanie zapytań dotyczących plików bezpośrednio przy użyciu poświadczeń magazynu lub lokalizacji zewnętrznej.

  • SELECT

    Wykonaj zapytanie dotyczące tabeli lub widoku, wywołaj zdefiniowaną przez użytkownika lub funkcję anonimową albo wybierz pozycję ANY FILE. Użytkownik musi SELECT korzystać z tabeli, widoku lub funkcji, a także USAGE schematu i katalogu obiektu.

    Jeśli zabezpieczany obiekt jest hive_metastore w nim schematem lub , przyznanie SELECT zostanie przyznane SELECT we wszystkich bieżących i przyszłych tabelach i widokach w zabezpieczanym obiekcie.

  • USAGE

    Wymagane, ale nie wystarczy, aby odwołać się do żadnych obiektów w wykazie lub schemacie. Podmiot zabezpieczeń musi również mieć uprawnienia do poszczególnych zabezpieczanych obiektów.

  • WRITE FILES

    Bezpośrednio KOPIUJ DO plików podlegających poświadczeniu magazynu lub lokalizacji zewnętrznej.

Przykłady

-- Grant a privilege to the user alf@melmak.et
> GRANT SELECT ON TABLE t TO `alf@melmak.et`;

-- Revoke a privilege from the general public group.
> REVOKE USAGE ON SCHEMA some_schema FROM `alf@melmak.et`;