Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Esta página descreve os objetos protegíveis do Catálogo do Unity e os privilégios que se aplicam a eles. Para saber como conceder privilégios no Catálogo do Unity, consulte Mostrar, conceder e revogar privilégios.
Observação
Este artigo refere-se aos privilégios do Catálogo do Unity e ao modelo de herança no Modelo de Privilégios versão 1.0. Se você criou seu metastore do Catálogo do Unity durante a versão prévia pública (antes de 25 de agosto de 2022), talvez esteja em um modelo de privilégio anterior que não dá suporte ao modelo de herança atual. Você pode atualizar para o Modelo de Privilégio versão 1.0 para obter herança de privilégio. Consulte Atualizar para a herança de privilégios.
Objetos protegíveis no Catálogo do Unity
Um objeto protegível é um objeto definido no metastore do Catálogo do Unity, no qual os privilégios podem ser concedidos a uma entidade de segurança (usuário, serviço, entidade ou grupo). Os objetos protegíveis no Catálogo do Unity são hierárquicos.
Os objetos protegíveis são:
METASTORE: o contêiner de nível superior para metadados. Cada metastore do Catálogo do Unity expõe um namespace de três níveis (
catalog.schema.table) que organiza seus dados.Ao gerenciar privilégios em um metastore, você não inclui o nome do metastore em um comando SQL. O Catálogo do Unity concede ou revoga o privilégio no metastore anexado ao seu workspace. Por exemplo, o comando a seguir concede a um grupo chamado engenharia a capacidade de criar um catálogo no metastore anexado ao workspace:
GRANT CREATE CATALOG ON METASTORE TO engineeringCATALOG: a primeira camada da hierarquia de objetos, usada para organizar seus ativos de dados. Um catálogo estrangeiro é um tipo de catálogo especial que espelha um banco de dados em um sistema de dados externo em um cenário de Federação do Lakehouse.
SCHEMA: também conhecidos como bancos de dados, os esquemas são a segunda camada da hierarquia de objetos e contêm tabelas e exibições.
TABLE: no nível mais baixo da hierarquia de objetos, tabelas gerenciadas, tabelas externas, tabelas estrangeiras, tabelas de streaming, tabelas online e tabelas de recursos. Consulte Introdução às tabelas do Azure Databricks.
VIEW: um objeto somente leitura criado com base em uma consulta em uma ou mais tabelas contidas em um esquema.
MATERIALIZED VIEW: um objeto criado a partir de uma consulta em uma ou mais tabelas contidas em um esquema. Seus resultados refletem o estado dos dados quando foram atualizados pela última vez.
VISÃO DE MÉTRICAS: um objeto somente leitura que define um conjunto de definições de métricas, incluindo dimensões e medidas, com base em uma ou mais fontes de dados, que podem ser tabelas, visões ou consultas SQL. Veja as visões métricas do Catálogo Unity.
VOLUME: um volume lógico de dados não estruturados. Pode ser externo (armazenado em locais externos no armazenamento em nuvem de sua preferência) ou gerenciado (armazenado em um contêiner de armazenamento no armazenamento em nuvem que você cria expressamente para o Azure Databricks).
FUNCTION: uma função definida pelo usuário ou um modelo registrado no MLflow que está contido em um esquema.
Modelo: um modelo registrado do MLflow é um tipo específico de função. Os modelos são listados separadamente de outras funções no Gerenciador de Catálogos, mas quando você conceder um privilégio a um modelo usando SQL, use
GRANT ON FUNCTION.EXTERNAL LOCATION: um objeto que contém uma referência a uma credencial de armazenamento e um caminho de armazenamento em nuvem que está contido em um metastore do Catálogo do Unity.
SERVICE CREDENTIAL: um objeto que encapsula uma credencial de nuvem de longo prazo que fornece acesso a um serviço externo. Contido no metastore do Catálogo do Unity.
STORAGE CREDENTIAL: um objeto que encapsula uma credencial de nuvem de longo prazo que fornece acesso ao armazenamento em nuvem contido em um metastore do Catálogo do Unity.
CONNECTION: um objeto que especifica um caminho e as credenciais para acessar um sistema de banco de dados externo em um cenário de Federação do Lakehouse.
COMPARTILHAMENTO: um agrupamento lógico das tabelas que você pretende compartilhar usando o Compartilhamento Delta. Uma cota está contida em um metastore do Unity Catalog.
DESTINATÁRIO: um objeto que identifica uma organização ou um grupo de usuários que podem ter dados compartilhados com eles usando o Compartilhamento Delta. Esses objetos estão contidos em um metastore do Catálogo do Unity.
PROVEDOR: um objeto que representa uma organização que disponibilizou dados para compartilhamento usando o Compartilhamento Delta. Esses objetos estão contidos em um metastore do Catálogo do Unity.
CLEAN ROOM: um objeto que representa um ambiente seguro e de proteção de privacidade, gerenciado pelo Databricks, em que várias partes podem colaborar sem acesso direto aos dados umas das outras.
Tipos de privilégio por objeto protegível no Unity Catalog
A tabela a seguir lista os tipos de privilégio que se aplicam a cada objeto protegível no Catálogo do Unity. Para saber como conceder privilégios no Catálogo do Unity, consulte Mostrar, conceder e revogar privilégios.
| Protegível | Privilégios |
|---|---|
| Metastore | CREATE CATALOG, CREATE CLEAN ROOM, CREATE CONNECTION, CREATE EXTERNAL LOCATION, CREATE PROVIDER, CREATE RECIPIENT, CREATE SHARE, CREATE SERVICE CREDENTIAL, CREATE STORAGE CREDENTIAL, SET SHARE PERMISSION, USE MARKETPLACE ASSETS, USE PROVIDER, USE RECIPIENT, USE SHARE |
| Catálogo | ALL PRIVILEGES, APPLY TAG, BROWSE, , CREATE SCHEMAUSE CATALOGTodos os usuários têm USE CATALOG no catálogo main por padrão.Os tipos de privilégio a seguir se aplicam a objetos protegíveis em um catálogo. Você pode conceder esses privilégios no nível do catálogo para aplicá-los aos objetos atuais e futuros no catálogo. CREATE FUNCTION, CREATE TABLE, CREATE MATERIALIZED VIEW, CREATE MODEL, CREATE VOLUME, EXTERNAL USE SCHEMA, READ VOLUME, REFRESH, WRITE VOLUME, EXECUTE, MANAGE, MODIFY, SELECT, USE SCHEMA |
| Esquema | ALL PRIVILEGES, APPLY TAG, CREATE FUNCTION, CREATE TABLE, CREATE MODEL, , CREATE VOLUME, CREATE MATERIALIZED VIEW, , MANAGE, EXTERNAL USE SCHEMA, USE SCHEMAOs tipos de privilégio a seguir se aplicam a objetos protegíveis em um esquema. Você pode conceder esses privilégios no nível do esquema para aplicá-los aos objetos atuais e futuros no esquema. EXECUTE, MODIFY, READ VOLUME, REFRESH, SELECT, , WRITE VOLUME |
| Tabela | ALL PRIVILEGES, APPLY TAG, MANAGE, , MODIFYSELECT |
| Visão materializada | ALL PRIVILEGES, APPLY TAG, MANAGE, , REFRESHSELECT |
| Visualizar | ALL PRIVILEGES, APPLY TAG, , MANAGESELECT |
| Volume | ALL PRIVILEGES, MANAGE, , READ VOLUMEWRITE VOLUME |
| Local externo | ALL PRIVILEGES, BROWSE, CREATE EXTERNAL TABLE, CREATE EXTERNAL VOLUME, , CREATE FOREIGN SECURABLE, MANAGE, READ FILES, , WRITE FILESCREATE MANAGED STORAGE |
| Credencial de serviço | ALL PRIVILEGES, ACCESS, CREATE CONNECTION. MANAGE |
| Credencial de armazenamento | ALL PRIVILEGES, CREATE EXTERNAL LOCATION, CREATE EXTERNAL TABLE, MANAGE, READ FILES, , WRITE FILES |
| Conexão | ALL PRIVILEGES, CREATE FOREIGN CATALOG, , MANAGEUSE CONNECTION |
| Função | ALL PRIVILEGES, APPLY TAG (somente modelos), EXECUTE, MANAGE, CREATE MODEL VERSION (somente modelos) |
| Procedimento | ALL PRIVILEGESEXECUTEMANAGE |
| Modelo | Modelos registrados são um tipo de função. |
| Compartilhar | SELECT (pode ser concedido a RECIPIENT) |
| Destinatário | Nenhum |
| Provedor | Nenhum |
| Sala limpa | ALL PRIVILEGES, BROWSE, EXECUTE CLEAN ROOM TASK, , MANAGEMODIFY CLEAN ROOM |
Tipos gerais de privilégios do Unity Catalog
Esta seção fornece detalhes sobre os tipos de privilégios que geralmente se aplicam ao Unity Catalog. Para saber como conceder privilégios no Catálogo do Unity, consulte Mostrar, conceder e revogar privilégios.
TODOS OS PRIVILÉGIOS
Tipos de objeto aplicáveis: CATALOG, , EXTERNAL LOCATION, SERVICE CREDENTIAL, STORAGE CREDENTIAL, SCHEMAFUNCTION (incluindo modelos), PROCEDURE, , , TABLEMATERIALIZED VIEWVIEW,VOLUME
Usado para conceder ou revogar todos os privilégios aplicáveis ao objeto protegível e a seus objetos filhos sem especificá-los explicitamente.
Quando ALL PRIVILEGES é concedido em um objeto, isso não concede individualmente ao usuário cada privilégio aplicável no momento da concessão. Em vez disso, isso se expande para todos os privilégios disponíveis no momento em que as verificações de permissões são feitas. Significa que, à medida que o Databricks lança novos privilégios e novos objetos securáveis, uma concessão ALL PRIVILEGES existente automaticamente inclui quaisquer novos privilégios aplicáveis ao objeto securável, seus objetos filhos existentes e quaisquer novos objetos filhos.
Quando ALL PRIVILEGES é revogado, o privilégio ALL PRIVILEGES, assim como todos os privilégios explícitos concedidos ao usuário no objeto são revogados.
Para evitar a exfiltração acidental de dados ou o escalonamento de privilégios, ALL PRIVILEGES não inclui o privilégio EXTERNAL USE SCHEMA ou o privilégio MANAGE.
Observação
Esse privilégio é poderoso quando aplicado em níveis mais altos na hierarquia. Por exemplo, GRANT ALL PRIVILEGES ON CATALOG principal TO analysts concede à equipe de analistas todos os privilégios existentes e futuros em todos os objetos protegíveis existentes e futuros no catálogo.
ACCESS
Tipos de objeto aplicáveis: SERVICE CREDENTIAL
Permite que um usuário use uma credencial de serviço para acessar um serviço ou serviços externos.
APPLY TAG
Tipos de objeto aplicáveis: CATALOG, SCHEMA, TABLE, VOLUME, MATERIALIZED VIEW, VIEW, modelos registrados como um FUNCTION
Permite que o usuário adicione e edite marcas em um objeto. A concessão de APPLY TAG a uma tabela ou exibição também habilita a marcação de coluna. A concessão APPLY TAG a um modelo registrado também permite a etiquetagem de versão do modelo.
O usuário também deve ter o privilégio USE CATALOG no catálogo pai e USE SCHEMA no esquema pai.
Para aplicar uma tag governada a objetos protegíveis do Catálogo do Unity, você também deve ter a permissão ASSIGN na política de tag. Consulte Gerenciar permissões de política de etiqueta.
BROWSE
Tipos de objeto aplicáveis: CATALOG, EXTERNAL LOCATION, CLEAN ROOM
Permite que um usuário exiba os metadados de um objeto usando o Catalog Explorer, o navegador de esquema, os resultados da pesquisa, o grafo information_schemade linhagem e a API REST.
O usuário não requer o privilégio USE CATALOG no catálogo pai ou USE SCHEMA no esquema pai.
Todos os usuários recebem o privilégio BROWSE por padrão em novos catálogos criados usando o Explorador de Catálogos. Você pode revogar o privilégio se preferir. Os catálogos criados usando instruções SQL, a API REST ou a CLI do Databricks não concedem o privilégio BROWSE por padrão. Você deve concedê-lo publicamente.
Observação
Os usuários com apenas o BROWSE privilégio em um objeto têm capacidade limitada de explorar metadados usando SQL.
CREATE CATALOG
Tipos de objeto aplicáveis: metastore do Unity Catalog
Permite que um usuário crie um catálogo em um metastore do Unity Catalog. Para criar um catálogo estrangeiro, você também deve ter o privilégio CREATE FOREIGN CATALOG na conexão que contém o catálogo estrangeiro ou no metastore.
Criar Sala Limpa
Tipos de objeto aplicáveis: metastore do Unity Catalog
Permite que um usuário crie uma sala limpa para colaborar com segurança em projetos com outras organizações sem compartilhar dados subjacentes.
CREATE CONNECTION
Tipos de objeto aplicáveis: Metastore do Unity Catalog, SERVICE CREDENTIAL
Permite ao usuário criar uma conexão com um banco de dados externo em um cenário de Federação do Lakehouse. Para usar uma credencial de serviço para criar uma conexão, o usuário deve ter esse privilégio no metastore e na credencial de serviço.
CREATE EXTERNAL LOCATION
Tipos de objeto aplicáveis: Metastore do Unity Catalog, STORAGE CREDENTIAL
Para criar um local externo, o usuário deve ter esse privilégio no metastore e na credencial de armazenamento que está sendo referenciada no local externo.
CREATE EXTERNAL TABLE
Tipos de objeto aplicáveis: EXTERNAL LOCATION, STORAGE CREDENTIAL
Permite que um usuário crie tabelas externas diretamente no seu locatário de nuvem usando um local externo ou uma credencial de armazenamento. O Databricks recomenda conceder esse privilégio em um local externo em vez de credenciais de armazenamento (já que está associado a um caminho, ele permite mais controle sobre onde os usuários podem criar tabelas externas em seu ambiente de nuvem).
CREATE EXTERNAL VOLUME
Tipos de objeto aplicáveis: EXTERNAL LOCATION
Permite ao usuário criar volumes externos usando o local externo.
CREATE FOREIGN CATALOG
Tipos de objeto aplicáveis: CONNECTION
Permite ao usuário criar catálogos estrangeiros usando uma conexão com um banco de dados externo em um cenário de Federação do Lakehouse.
CREATE FOREIGN SECURABLE
Tipos de objeto aplicáveis: EXTERNAL LOCATION
Permite que um usuário que está criando um catálogo estrangeiro especifique caminhos autorizados que são cobertos pelo local externo.
O usuário também deve ter CREATE CATALOG no metastore do Catálogo do Unity e CREATE FOREIGN CATALOG na conexão.
CREATE FUNCTION
Tipos de objeto aplicáveis: SCHEMA
Permite que um usuário crie uma função ou procedimento no esquema. Como os privilégios são herdados, CREATE FUNCTION também podem ser concedidos em um catálogo, o que permite que um usuário crie uma função ou procedimento em qualquer esquema existente ou futuro no catálogo.
O usuário também deve ter o privilégio USE CATALOG no catálogo pai e USE SCHEMA no esquema pai.
CRIAR MODELO
Tipos de objeto aplicáveis: SCHEMA
Permite que um usuário crie um modelo registrado do MLflow (um tipo de FUNÇÃO) no esquema. Como os privilégios são herdados, CREATE MODEL também pode ser concedido em um catálogo, o que permite que um usuário crie um modelo registrado em qualquer esquema existente ou futuro no catálogo.
O usuário também deve ter o privilégio USE CATALOG no catálogo pai e USE SCHEMA no esquema pai.
CREATE MODEL VERSION
Tipos de objeto aplicáveis: MODEL
Permite que um usuário registre uma nova versão de um modelo registrado do MLflow (que é um tipo de FUNCTION). Não concede ao usuário permissão para executar, modificar ou adicionar marcas a uma versão do modelo.
O usuário também deve ter o privilégio USE CATALOG no catálogo pai e USE SCHEMA no esquema pai.
CRIAR ARMAZENAMENTO GERENCIADO
Tipos de objeto aplicáveis: EXTERNAL LOCATION
Permite que um usuário especifique um local para armazenar tabelas gerenciadas no nível do catálogo ou do esquema, substituindo o armazenamento raiz padrão para o metastore.
CREATE SCHEMA
Tipos de objeto aplicáveis: CATALOG
Permite que um usuário crie um esquema. O usuário também deve ter o privilégio USE CATALOG no catálogo.
CRIAR CREDENCIAL DE SERVIÇO
Tipos de objeto aplicáveis: metastore do Unity Catalog
Permite que um usuário crie uma credencial de serviço em um metastore do Catálogo do Unity.
CREATE STORAGE CREDENTIAL
Tipos de objeto aplicáveis: metastore do Unity Catalog
Permite que um usuário crie uma credencial de armazenamento em um metastore do Catálogo do Unity.
CREATE TABLE
Tipos de objeto aplicáveis: SCHEMA
Permite que um usuário crie uma tabela ou exibição no esquema. Como os privilégios são herdados, CREATE TABLE também pode ser concedido em um catálogo, o que permite que um usuário crie uma tabela ou exibição em qualquer esquema existente ou futuro no catálogo.
O usuário também deve ter o privilégio USE CATALOG no catálogo pai e o privilégio USE SCHEMA no esquema pai.
CREATE MATERIALIZED VIEW
Tipos de objeto aplicáveis: SCHEMA
Permite que um usuário crie uma exibição materializada no esquema. Como os privilégios são herdados, CREATE MATERIALIZED VIEW também pode ser concedido em um catálogo, o que permite que um usuário crie uma tabela ou exibição em qualquer esquema existente ou futuro no catálogo.
O usuário também deve ter o privilégio USE CATALOG no catálogo pai e o privilégio USE SCHEMA no esquema pai.
CREATE VOLUME
Tipos de objeto aplicáveis: SCHEMA
Permite ao usuário criar um volume no esquema. Como os privilégios são herdados, CREATE VOLUME também pode ser concedido em um catálogo, o que permite que um usuário crie um volume em qualquer esquema existente ou futuro no catálogo.
O usuário também deve ter o privilégio USE CATALOG no catálogo pai do volume e o privilégio USE SCHEMA no seu esquema pai.
Execute
Tipos de objeto aplicáveis: FUNCTION, Modelo
Permite que um usuário invoque uma função definida pelo usuário ou carregue um modelo para inferência, caso ele também tenha USE CATALOG no catálogo pai e USE SCHEMA no esquema pai. Para funções, EXECUTE concede a capacidade de exibir a definição de função e os metadados. Para modelos registrados, EXECUTE concede a capacidade de exibir metadados para todas as versões do modelo registrado e baixar arquivos de modelo.
Como os privilégios são herdados, você pode conceder a um usuário o privilégio EXECUTE em um catálogo ou esquema, que concede automaticamente ao usuário o privilégio EXECUTE em todas as funções atuais e futuras no catálogo ou esquema.
EXECUTE CLEAN ROOM TASK
Tipos de objeto aplicáveis: CLEAN ROOM
Permite que um usuário execute tarefas (notebooks) em uma sala limpa. Também permite que o usuário exiba detalhes limpos da sala.
EXTERNAL USE SCHEMA
Tipos de objeto aplicáveis: SCHEMA
Permite que um usuário receba uma credencial temporária para acessar tabelas do Catálogo do Unity de um mecanismo de processamento externo usando as APIs abertas do Catálogo do Unity ou APIs REST do Iceberg.
Somente o proprietário do catálogo pode conceder esse privilégio.
Para evitar a exfiltração acidental de dados, o ALL PRIVILEGES não inclui o privilégio EXTERNAL USE SCHEMA, e os proprietários de esquemas não têm esse privilégio por padrão.
Consulte Ativar o acesso aos dados externos ao Catálogo do Unity.
MANAGE
tipos de objeto aplicáveis: CATALOG, EXTERNAL LOCATION, SERVICE CREDENTIAL, STORAGE CREDENTIAL, SCHEMA, FUNCTION (incluindo modelos), CONNECTION, TABLE, MATERIALIZED VIEW, VIEW,VOLUME, CLEAN ROOM
Importante
Esse recurso está em uma versão prévia.
Permite que um usuário exiba e gerencie privilégios, transfira a propriedade, solte e renomeie um objeto. MANAGE é semelhante à propriedade do objeto, mas os usuários com o privilégio MANAGE não recebem automaticamente todos os privilégios nesse objeto (no entanto, eles podem conceder-se privilégios).
O usuário também deve ter o privilégio USE CATALOG no catálogo pai do objeto e o privilégio USE SCHEMA no seu esquema pai.
ALL PRIVILEGES não inclui o privilégio MANAGE
GERENCIAR LISTA DE PERMISSÕES
Tipos de objeto aplicáveis: metastore do Unity Catalog
Permite que um usuário adicione ou modifique caminhos nos scripts de inicialização, JARs e coordenadas Maven na lista de permissões que rege os clusters habilitados para o Catálogo do Unity com modo de acesso compartilhado. Veja Bibliotecas da lista de permitidos e scripts de inicialização na computação com modo de acesso padrão (antigo modo de acesso compartilhado).
MODIFY
Tipos de objeto aplicáveis: TABLE
Permite que um usuário adicione, atualize e exclua dados na ou da tabela, caso o usuário também tenha SELECT na tabela, bem como USE CATALOG no catálogo pai e USE SCHEMA no esquema pai.
Como os privilégios são herdados, você pode conceder a um usuário o privilégio MODIFY em um catálogo ou esquema, que concede automaticamente ao usuário o privilégio MODIFY em todas as tabelas atuais e futuras no catálogo ou esquema.
Observação
MODIFY não pode ser concedido em uma tabela estrangeira porque as tabelas estrangeiras são somente leitura.
MODIFY CLEAN ROOM
Tipos de objeto aplicáveis: CLEAN ROOM
Permite que um usuário atualize uma sala limpa, incluindo adicionar e remover ativos de dados, adicionar e remover notebooks e atualizar comentários. Também permite que o usuário exiba detalhes limpos da sala.
READ FILES
Tipos de objeto aplicáveis: EXTERNAL LOCATION
READ FILES permite que um usuário leia arquivos diretamente do armazenamento de objetos de nuvem configurado como um local externo. A Databricks desaconselha essa prática. Em vez disso, você deve gerenciar o acesso de leitura aos dados no armazenamento de objetos de nuvem usando volumes e o privilégio READ VOLUME. Para obter mais diretrizes, consulte locais externos.
READ VOLUME
Tipos de objeto aplicáveis: VOLUME
Permite ao usuário fazer a leitura de arquivos e diretórios armazenados em um volume se o usuário também tiver USE CATALOG no catálogo pai e USE SCHEMA no esquema pai.
Privilégios são herdados. Ao conceder a um usuário o privilégio READ VOLUME em um catálogo ou esquema, você concede automaticamente ao usuário o privilégio READ VOLUME em todos os volumes atuais e futuros no catálogo ou esquema.
REFRESH
Tipos de objeto aplicáveis: MATERIALIZED VIEW
Permite que um usuário atualize uma exibição materializada se o usuário também tiver USE CATALOG no seu catálogo pai e USE SCHEMA no seu esquema pai.
Privilégios são herdados. Ao conceder a um usuário o privilégio REFRESH em um catálogo ou esquema para um usuário, você concede automaticamente ao usuário o privilégio REFRESH em todas as exibições materializadas atuais e futuras no catálogo ou esquema.
SELECT
Tipos de objeto aplicáveis: TABLE, VIEW, MATERIALIZED VIEW, SHARE
Se aplicado a uma tabela ou exibição, permite que um usuário selecione na tabela ou exibição, se o usuário também tiver USE CATALOG no seu catálogo pai e USE SCHEMA no seu esquema pai. Se aplicado a um compartilhamento, permite que um destinatário selecione do compartilhamento.
Como os privilégios são herdados, você pode conceder a um usuário o privilégio SELECT em um catálogo ou esquema, que concede automaticamente ao usuário o privilégio SELECT em todas as tabelas atuais e futuras e exibições no catálogo ou esquema.
USE CATALOG
Tipos de objeto aplicáveis: CATALOG
Esse privilégio não concede acesso ao catálogo em si, mas é necessário para que um usuário interaja com qualquer objeto dentro do catálogo. Por exemplo, para selecionar dados de uma tabela, os usuários precisam ter o privilégio SELECT nessa tabela, os privilégios USE CATALOG em seu catálogo pai, bem como os privilégios USE SCHEMA em seu esquema pai.
Isso é útil para permitir que os proprietários de catálogos possam limitar até que ponto os proprietários de tabelas e esquemas individuais podem compartilhar os dados que produzem. Por exemplo, um proprietário de tabela que concede SELECT a outro usuário não permite que esse usuário leia o acesso à tabela, a menos que ele também tenha recebido privilégios USE CATALOG no seu catálogo pai, bem como privilégios USE SCHEMA no seu esquema pai.
O privilégio USE CATALOG no catálogo pai não é necessário para ler os metadados de um objeto se o usuário tiver o privilégio BROWSE nesse catálogo.
USE CONNECTION
Tipos de objeto aplicáveis: CONNECTION
Permite ao usuário listar e exibir detalhes sobre conexões com um banco de dados externo em um cenário de Federação do Lakehouse. Para criar catálogos estrangeiros para uma conexão, você precisa ter CREATE FOREIGN CATALOG na conexão ou propriedade da conexão.
USE SCHEMA
Tipos de objeto aplicáveis: SCHEMA
Esse privilégio não concede acesso ao esquema em si, mas é necessário para que um usuário interaja com qualquer objeto dentro do esquema. Por exemplo, para selecionar dados de uma tabela, os usuários precisam ter o privilégio SELECT nessa tabela, USE SCHEMA em seu esquema pai, bem como USE CATALOG em seu catálogo pai.
Como os privilégios são herdados, você pode conceder a um usuário o privilégio USE SCHEMA em um catálogo, que concede automaticamente ao usuário o privilégio USE SCHEMA em todos os esquemas atuais e futuros no catálogo.
Isso é útil para permitir que os proprietários de esquema limitem até que ponto os proprietários de tabelas individuais podem compartilhar dados que produzem. Por exemplo, um proprietário de tabela que concede SELECT a outro usuário não permite que esse usuário tenha acesso de leitura à tabela a menos que ele também tenha recebido privilégios USE SCHEMA privilégios sobre seu esquema pai e USE CATALOG sobre seu catálogo pai.
O USE SCHEMA privilégio no esquema pai não é necessário para ler os metadados de um objeto se o usuário tiver o BROWSE privilégio no catálogo pai desse esquema.
GRAVAR ARQUIVOS
Tipos de objeto aplicáveis: EXTERNAL LOCATION
O Databricks recomenda gerenciar o acesso de gravação aos dados no armazenamento de objetos de nuvem usando volumes e o privilégio WRITE VOLUME.
WRITE FILES permite que um usuário escreva arquivos diretamente no armazenamento de objetos de nuvem configurado como um local externo. Para obter mais diretrizes, consulte Volumes gerenciados e externos.
WRITE VOLUME
Tipos de objeto aplicáveis: VOLUME
Permite ao usuário adicionar, remover ou modificar arquivos e diretórios armazenados em um volume se o usuário também tiver USE CATALOG no catálogo pai e USE SCHEMA no esquema pai.
Privilégios são herdados. Ao conceder a um usuário o privilégio WRITE VOLUME em um catálogo ou esquema, você concede automaticamente ao usuário o privilégio WRITE VOLUME em todos os volumes atuais e futuros no catálogo ou esquema.
Tipos de privilégio que se aplicam somente ao Compartilhamento Delta ou ao Databricks Marketplace
Esta seção fornece detalhes sobre os tipos de privilégios que se aplicam somente ao Compartilhamento Delta.
CREATE PROVIDER
Tipos de objeto aplicáveis: metastore do Unity Catalog
Permite que um usuário crie um objeto de provedor de Compartilhamento Delta no metastore. Um provedor identifica uma organização ou um grupo de usuários que podem ter dados compartilhados usando o Compartilhamento Delta. A criação do provedor é executada por um usuário na conta do Databricks do destinatário. Confira O que é o Compartilhamento Delta?.
CREATE RECIPIENT
Tipos de objeto aplicáveis: metastore do Unity Catalog
Permite que um usuário crie um objeto de destinatário do Compartilhamento Delta no metastore. Um destinatário identifica uma organização ou um grupo de usuários que podem ter dados compartilhados com eles usando o Compartilhamento Delta. A criação do destinatário é executada por um usuário na conta do Databricks do provedor. Confira O que é o Compartilhamento Delta?.
CREATE SHARE
Tipos de objeto aplicáveis: metastore do Unity Catalog
Permite que um usuário crie um compartilhamento no metastore. Um compartilhamento é um agrupamento lógico das tabelas que você pretende compartilhar usando o Compartilhamento Delta
SET PERMISSÃO DE COMPARTILHAMENTO
Tipos de objeto aplicáveis: metastore do Unity Catalog
No Compartilhamento Delta, esse privilégio, combinado a USE SHARE e USE RECIPIENT (ou propriedade do destinatário), dá a um usuário do provedor a capacidade de conceder para um destinatário o acesso a um compartilhamento. Combinado com USE SHARE, ele oferece a capacidade de transferir a propriedade de um compartilhamento para outro usuário, grupo ou entidade de serviço.
USE MARKETPLACE ASSETS
Tipos de objeto aplicáveis: metastore do Unity Catalog
Ativado por padrão em todos os metastores do Catálogo Unity. No Databricks Marketplace, esse privilégio fornece a um usuário a capacidade de obter acesso instantâneo ou solicitar acesso a produtos de dados compartilhados em uma listagem do Marketplace. Ele também permite que um usuário acesse o catálogo somente leitura criado quando um provedor compartilha um produto de dados. Sem esse privilégio, o usuário exigiria os privilégios CREATE CATALOG e USE PROVIDER ou a função de administrador do metastore. Isso permite limitar o número de usuários com essas funções poderosas.
USE PROVIDER
Tipos de objeto aplicáveis: metastore do Unity Catalog
No Compartilhamento Delta, dá ao usuário destinatário acesso somente de leitura a todos os provedores em um metastore de destinatário e seus compartilhamentos. Combinado com o privilégio CREATE CATALOG, esse privilégio permite que um usuário destinatário que não seja um administrador do metastore monte um compartilhamento como um catálogo. Isso permite limitar o número de usuários com a poderosa função de administrador de metastore.
USE RECIPIENT
Tipos de objeto aplicáveis: metastore do Unity Catalog
No Compartilhamento Delta, dá ao usuário do provedor acesso somente de leitura a todos os destinatários em um metastore do provedor e seus compartilhamentos. Isso permite que um usuário do provedor que não é um administrador de metastore exiba detalhes do destinatário, o status de autenticação do destinatário e a lista de compartilhamentos que o provedor compartilhou com o destinatário.
No Databricks Marketplace, isso fornece aos usuários do provedor a capacidade de exibir listagens e solicitações de consumidor no console do provedor.
USE SHARE
Tipos de objeto aplicáveis: metastore do Unity Catalog
No Compartilhamento Delta, dá ao usuário do provedor acesso somente leitura a todos os compartilhamentos definidos em um metastore do provedor. Isso permite que um usuário provedor que não seja um administrador do metastore liste compartilhamentos e liste os ativos (tabelas e blocos de anotações) em um compartilhamento, juntamente com os destinatários do compartilhamento.
No Databricks Marketplace, isso fornece aos usuários do provedor a capacidade de exibir detalhes sobre os dados compartilhados em uma listagem.