Gerenciar privilégios no Catálogo do Unity

Este artigo explica como controlar o acesso a dados e objetos no Catálogo do Unity.

Você pode definir controles de acesso usando o Explorador de Catálogos, instruções SQL em notebooks ou consultas SQL do Databricks ou usando a API REST do Unity Catalog ou o Terraform.

Inicialmente, os usuários não têm acesso aos dados de um metastore. O acesso pode ser concedido por um administrador de metastore, pelo proprietário de um objeto ou pelo proprietário do catálogo ou esquema que contém o objeto.

Privilégios de administrador

Os administradores de conta do Azure Databricks, administradores do espaço de trabalho e administradores de metastore têm privilégios padrão para gerenciar o Unity Catalog. Confira Privilégios de administrador no Unity Catalog.

Propriedade do objeto

Todos os objetos protegíveis no Catálogo do Unity têm um proprietário. Os proprietários de objetos têm todos os privilégios nesse objeto, incluindo a capacidade de conceder privilégios a outras entidades de segurança. Consulta Gerenciar a propriedade do objeto do Catálogo do Unity.

Privilégios do Catálogo do Unity

Os privilégios de acesso podem ser concedidos por um administrador de metastore, o proprietário de um objeto ou o proprietário do catálogo ou esquema que contém o objeto. Confira Privilégios e objetos protegíveis do Catálogo do Unity.

Herança de privilégio

Os objetos protegíveis no Catálogo do Unity são hierárquicos e os privilégios são herdados para baixo. Isso significa que a concessão de um privilégio no catálogo concede automaticamente o privilégio a todos os objetos atuais e futuros no catálogo. Da mesma forma, os privilégios concedidos em um esquema são herdados por todos os objetos atuais e futuras nesse esquema. Confira Modelo de herança.

Observação

Se você criou o metastore do Catálogo do Unity durante a visualização pública (antes de 25 de agosto de 2022), será possível atualizar para o Modelo de Privilégios versão 1.0. com herança de privilégios. Confira Atualizar para herança de privilégios.

Privilégios básicos de objeto

O Catálogo do Unity dá suporte às palavras-chave SHOW, GRANT e REVOKE do SQL para gerenciamento de privilégios em catálogos, esquemas, tabelas, exibições e funções.

O proprietário de um objeto ou um administrador de metastore pode listar todas as concessões no objeto. Se o objeto estiver contido em um catálogo ou esquema (por exemplo, uma tabela ou exibição), o proprietário do catálogo ou esquema também poderá listar todas as concessões no objeto.

Confira a documentação de referência do SQL para obter exemplos desta sintaxe:

• MOSTRAR CATÁLOGOS
• MOSTRAR ESQUEMAS
• SHOW TABLES
• SHOW VIEWS
• GRANT
• REVOKE

O Explorador de Catálogos fornece uma interface do usuário para concluir essas ações; confira Gerenciar permissões do Catálogo do Unity no Explorador de Catálogos.

Transferir propriedade

Para transferir a propriedade de um objeto em um metastore, use o SQL ou Explorador de Catálogos. Confira Gerenciar a propriedade do objeto do Catálogo do Unity ou Gerenciar a propriedade do objeto do Catálogo do Unity no Catalog Explorer.

Gerenciar locais externos e credenciais de armazenamento

É possível configurar locais externos e credenciais de armazenamento para o Catálogo do Unity usando o Explorador de Catálogos. Para obter mais informações, confira Gerenciar credenciais de armazenamento e Gerenciar locais externos.

Exibições dinâmicas

As exibições dinâmicas permitem que você gerencie quais usuários têm acesso às linhas, colunas ou até mesmo registros específicos de uma exibição filtrando ou mascarando seus valores. Confira Criar uma exibição dinâmica.