Privilégios e objetos protegíveis do Catálogo do Unity
Este artigo descreve o modelo de privilégio do Catálogo do Unity. Para saber mais sobre como esse modelo difere do metastore do Hive, consulte Trabalhar com o Catálogo do Unity e o metastore herdado do Hive.
Observação
Este artigo refere-se aos privilégios do Catálogo do Unity e ao modelo de herança no Modelo de Privilégios versão 1.0. Se você criou o metastore do Catálogo do Unity durante a visualização pública (antes de 25 de agosto de 2022), será possível atualizar para o Modelo de Privilégios versão 1.0 após Atualizar para herança de privilégios
Quem pode gerenciar privilégios?
Os privilégios podem ser concedidos por um administrador de metastore, o proprietário de um objeto ou o proprietário do catálogo ou esquema que contém o objeto.
Se o seu espaço de trabalho foi habilitado para o Catálogo do Unity automaticamente, o espaço de trabalho será anexado a um metastore por padrão e um catálogo de espaço de trabalho será criado no seu espaço de trabalho no metastore. Os administradores do espaço de trabalho são os proprietários padrão do catálogo do espaço de trabalho. Como proprietários, eles podem gerenciar os privilégios no catálogo do espaço de trabalho e em todos os objetos filhos.
Todos os usuários do espaço de trabalho recebem o privilégio USE CATALOG no catálogo do espaço de trabalho. Os usuários do workspace também recebem os privilégios USE SCHEMA, CREATE TABLE, CREATE VOLUME, CREATE MODEL, CREATE FUNCTION e CREATE MATERIALIZED VIEW no esquema default do catálogo.
Para obter mais informações, confira Habilitação automática do Catálogo do Unity.
Como gerenciar privilégios
Você pode gerenciar privilégios para objetos do metastore usando os comandos SQL, a CLI do Databricks ou no Explorador de Catálogos. Para saber como usar o Explorador de Catálogos para gerenciar privilégios, consulte Gerenciar permissões do Catálogo do Unity no Explorador de Catálogos.
Para gerenciar privilégios no SQL, use as instruções GRANT e REVOKE em um notebook ou no editor de consultas SQL do Databricks, usando a sintaxe:
GRANT privilege_type ON securable_object TO principal
Em que:
privilege_typeé um tipo de privilégio do Catálogo do Unitysecurable_objecté um objeto protegível no Catálogo do Unity.principalé um usuário, uma entidade de serviço (representada pelo seu valor applicationId) ou um grupo. Você deve colocar os usuários, entidades de serviço e nomes de grupo com caracteres especiais entre aspas invertidas (` `). Consulte Entidade de segurança.
Por exemplo, o comando a seguir concede acesso a um grupo chamado finance-team para criar tabelas em um esquema denominado padrão com o catálogo pai chamado principal:
GRANT CREATE TABLE ON SCHEMA main.default TO `finance-team`;
A maioria das instruções que concedem ou revogam um privilégio segue a sintaxe mostrada no exemplo anterior, informando o tipo de objeto protegível (SCHEMA) seguido pelo nome do objeto protegível (main.default). No entanto, ao conceder privilégios em um metastore, você não inclui o nome do metastore, porque o metastore que está anexado ao seu espaço de trabalho é presumido:
GRANT CREATE CATALOG ON METASTORE TO `account users`;
Para obter mais informações sobre a concessão de privilégios usando comandos SQL, consulte Privilégios e objetos protegíveis no Catálogo do Unity.
Você também pode gerenciar privilégios usando o provedor e o databricks_grants do Databricks Terraform.
Modelo de herança
Os objetos protegíveis no Catálogo do Unity são hierárquicos e os privilégios são herdados para baixo. O objeto de nível mais alto do qual os privilégios são herdados é o catálogo. Isso significa que a concessão de um privilégio em um catálogo ou esquema concede automaticamente o privilégio a todos os objetos atuais e futuros no catálogo ou esquema. Os privilégios concedidos em um metastore do Catálogo do Unity não são herdados.
Por exemplo, o comando a seguir concede o privilégio SELECT em todas as tabelas e exibições em qualquer esquema no catálogo principal para o grupo finanças:
GRANT SELECT ON CATALOG main TO finance;
Da mesma forma, você pode realizar concessões em um esquema para um escopo menor de acesso:
GRANT SELECT ON SCHEMA main.default TO finance;
O modelo de herança fornece uma maneira fácil de configurar as regras de acesso padrão para os dados. Por exemplo, os comandos a seguir permitem que a equipe de aprendizado de máquina crie tabelas dentro de um esquema e leia as tabelas umas das outras:
CREATE CATALOG ml;
CREATE SCHEMA ml.team_sandbox;
GRANT USE_CATALOG ON CATALOG ml TO ml_team;
GRANT USE_SCHEMA ON SCHEMA ml.team_sandbox TO ml_team;
GRANT CREATE TABLE ON SCHEMA ml.team_sandbox TO ml_team;
GRANT SELECT ON SCHEMA ml.team_sandbox TO ml_team;
Os proprietários de um objeto recebem automaticamente todos os privilégios nesse objeto e em todos os objetos filho. Além disso, os proprietários de objetos podem conceder privilégios no próprio objeto e em todos os seus objetos filho. Isso significa que os proprietários de um esquema não têm automaticamente todos os privilégios nas tabelas no esquema, mas podem conceder a si mesmos privilégios nas tabelas no esquema.
Objetos protegíveis no Catálogo do Unity
Um objeto protegível é um objeto definido no metastore do Catálogo do Unity, no qual os privilégios podem ser concedidos a uma entidade de segurança. Os objetos protegíveis no Catálogo do Unity são hierárquicos.
Os objetos protegíveis são:
METASTORE: o contêiner de nível superior para metadados. Cada metastore do Catálogo do Unity expõe um namespace de três níveis (
catalog.schema.table) que organiza seus dados.CATÁLOGO: a primeira camada da hierarquia de objetos usada para organizar seus ativos de dados. Um catálogo estrangeiro é um tipo de catálogo especial que espelha um banco de dados em um sistema de dados externo em um cenário de Federação do Lakehouse.
ESQUEMA: também conhecidos como bancos de dados, os esquemas são a segunda camada da hierarquia de objetos e contêm tabelas e exibições.
TABELA: consideradas o nível mais baixo na hierarquia de objetos, as tabelas podem ser externas (armazenadas em locais externos no armazenamento em nuvem de sua escolha) ou tabelas gerenciadas (armazenadas em um contêiner de armazenamento no armazenamento em nuvem criado expressamente para o Azure Databricks).
EXIBIÇÃO: um objeto somente leitura criado com base em uma consulta em uma ou mais tabelas contidas em um esquema.
EXIBIÇÃO MATERIALIZADA: um objeto criado a partir de uma consulta em uma ou mais tabelas contidas em um esquema. Seus resultados refletem o estado dos dados quando foram atualizados pela última vez.
VOLUME: considerados o nível mais baixo na hierarquia de objetos, os volumes podem ser externos (armazenados em locais externos no armazenamento em nuvem de sua escolha) ou gerenciados (armazenados em um contêiner de armazenamento no armazenamento em nuvem criado expressamente para o Azure Databricks).
MODELO REGISTRADO: um modelo registrado do MLflow contido em um esquema.
FUNCTION: uma função definida pelo usuário que está contida em um esquema. Consulte UDFs (funções definidas pelo usuário) no Catálogo do Unity.
EXTERNAL LOCATION: um objeto que contém uma referência a uma credencial de armazenamento e um caminho de armazenamento em nuvem que está contido em um metastore do Catálogo do Unity.
STORAGE CREDENTIAL: um objeto que encapsula uma credencial de nuvem de longo prazo que fornece acesso ao armazenamento em nuvem contido em um metastore do Catálogo do Unity.
CONNECTION: um objeto que especifica um caminho e as credenciais para acessar um sistema de banco de dados externo em um cenário de Federação do Lakehouse.
COMPARTILHAMENTO: um agrupamento lógico das tabelas que você pretende compartilhar usando o Compartilhamento Delta. Um compartilhamento está contido em um metastore do Catálogo do Unity.
DESTINATÁRIO: um objeto que identifica uma organização ou um grupo de usuários que podem ter dados compartilhados com eles usando o Compartilhamento Delta. Esses objetos estão contidos em um metastore do Catálogo do Unity.
PROVEDOR: um objeto que representa uma organização que disponibilizou dados para compartilhamento usando o Compartilhamento Delta. Esses objetos estão contidos em um metastore do Catálogo do Unity.
Tipos de privilégio por objeto protegível no Unity Catalog
A tabela a seguir lista os tipos de privilégios que se aplicam a cada objeto protegível no Unity Catalog:
| Protegível | Privilégios |
|---|---|
| Metastore | CREATE CATALOG, CREATE CONNECTION, CREATE EXTERNAL LOCATION, CREATE PROVIDER, CREATE RECIPIENT, CREATE SHARE, CREATE STORAGE CREDENTIAL, SET SHARE PERMISSION, USE MARKETPLACE ASSETS, USE PROVIDER, USE RECIPIENT, USE SHARE |
| Catálogo | ALL PRIVILEGES, APPLY TAG, BROWSE, CREATE SCHEMA, USE CATALOGTodos os usuários têm USE CATALOG no catálogo main por padrão.Os tipos de privilégio a seguir se aplicam a objetos protegíveis em um catálogo. Você pode conceder esses privilégios no nível do catálogo para aplicá-los aos objetos atuais e futuros relevantes no catálogo. CREATE FUNCTION, CREATE TABLE, CREATE MODEL, CREATE VOLUME, CREATE FOREIGN CATALOG, READ VOLUME, REFRESH, WRITE VOLUME, EXECUTE, MODIFY, SELECT, USE SCHEMA |
| Esquema | ALL PRIVILEGES, APPLY TAG, CREATE FUNCTION, CREATE TABLE, CREATE MODEL, CREATE VOLUME, CREATE MATERIALIZED VIEW, USE SCHEMAOs tipos de privilégio a seguir se aplicam a objetos protegíveis em um esquema. Você pode conceder esses privilégios no nível do esquema para aplicá-los aos objetos atuais e futuros relevantes no esquema. EXECUTE, MODIFY, SELECT, READ VOLUME, REFRESH, WRITE VOLUME |
| Tabela | ALL PRIVILEGES, APPLY TAG, MODIFY, SELECT |
| Exibição materializada | ALL PRIVILEGES, APPLY TAG, REFRESH, SELECT |
| Visualizar | ALL PRIVILEGES, APPLY TAG, SELECT |
| Volume | ALL PRIVILEGES, READ VOLUME, WRITE VOLUME |
| Local externo | ALL PRIVILEGES, BROWSE, CREATE EXTERNAL TABLE, CREATE EXTERNAL VOLUME, READ FILES, WRITE FILES, CREATE MANAGED STORAGE |
| Credencial de armazenamento | ALL PRIVILEGES, CREATE EXTERNAL LOCATION, CREATE EXTERNAL TABLE, READ FILES, WRITE FILES |
| Conexão | ALL PRIVILEGES, CREATE FOREIGN CATALOG, USE CONNECTION |
| Função | ALL PRIVILEGES, EXECUTE |
| Modelo registrado | ALL PRIVILEGES, APPLY TAG, EXECUTE |
| Compartilhar | SELECT (pode ser concedido a RECIPIENT) |
| Destinatário | Nenhum |
| Provedor | Nenhum |
Ao gerenciar privilégios em um metastore, você não inclui o nome do metastore em um comando SQL. O Catálogo do Unity concede ou revoga o privilégio no metastore anexado ao seu workspace. Por exemplo, o comando a seguir concede a um grupo chamado engenharia a capacidade de criar um catálogo no metastore anexado ao workspace:
GRANT CREATE CATALOG ON METASTORE TO engineering
Tipos de privilégios gerais do Catálogo do Unity
Esta seção fornece detalhes sobre os tipos de privilégios que geralmente se aplicam ao Unity Catalog.
TODOS OS PRIVILÉGIOS
Tipos de objeto aplicáveis: CATALOG, EXTERNAL LOCATION, STORAGE CREDENTIAL, SCHEMA, FUNCTION, REGISTERED MODEL, TABLE, MATERIALIZED VIEW, VIEW,VOLUME
Usado para conceder ou revogar todos os privilégios aplicáveis ao objeto protegível e a seus objetos filhos sem especificá-los explicitamente.
Quando ALL PRIVILEGES é concedido em um objeto, isso não concede individualmente ao usuário cada privilégio aplicável no momento da concessão. Em vez disso, isso se expande para todos os privilégios disponíveis no momento em que as verificações de permissões são feitas.
Quando ALL PRIVILEGES é revogado, o privilégio ALL PRIVILEGES, assim como todos os privilégios explícitos concedidos ao usuário no objeto são revogados.
Observação
Esse privilégio é poderoso quando aplicado em níveis mais altos na hierarquia. Por exemplo, GRANT ALL PRIVILEGES ON CATALOG main TO analysts daria à equipe de analista todos os privilégios em cada objeto (esquemas, tabelas, exibições, funções) no catálogo.
APLICAR MARCA
Tipos de objeto aplicáveis: CATALOG, SCHEMA, REGISTERED MODEL, TABLE, MATERIALIZED VIEW, VIEW
Permite que o usuário adicione e edite marcas em um objeto. A concessão de APPLY TAG a uma tabela ou exibição também habilita a marcação de coluna.
O usuário também deve ter o privilégio USE CATALOG no catálogo pai e USE SCHEMA no esquema pai.
BROWSE
Tipos de objeto aplicáveis: CATALOG, EXTERNAL LOCATION
Importante
Esse recurso está em uma versão prévia.
Permite que um usuário pode exiba os metadados de um objeto usando o Catalog Explorer, o navegador de esquemas, os resultados da pesquisa, o gráfico de linhagem information_schema e a API REST.
O usuário não requer o privilégio USE CATALOG no catálogo pai ou USE SCHEMA no esquema pai.
CRIAR CATÁLOGO
Tipos de objeto aplicáveis: metastore do Catálogo do Unity
Permite que um usuário crie um catálogo em um metastore do Catálogo do Unity. Para criar um catálogo estrangeiro, também é preciso ter o privilégio CREATE FOREIGN CATALOG na conexão que contém o catálogo estrangeiro ou no metastore.
CREATE CONNECTION
Tipos de objeto aplicáveis: metastore do Catálogo do Unity
Permite ao usuário criar uma conexão com um banco de dados externo em um cenário de Federação do Lakehouse.
CRIAR LOCAL EXTERNO
Tipos de objeto aplicáveis: metastore do Catálogo do Unity, STORAGE CREDENTIAL
Para criar um local externo, o usuário deve ter esse privilégio no metastore e na credencial de armazenamento que está sendo referenciada no local externo.
CREATE EXTERNAL TABLE
Tipos de objeto aplicáveis: EXTERNAL LOCATION, STORAGE CREDENTIAL
Permite que um usuário crie tabelas externas diretamente no seu locatário de nuvem usando um local externo ou uma credencial de armazenamento. O Databricks recomenda conceder esse privilégio em um local externo em vez de credencial de armazenamento (como tem o escopo de um caminho, ele permite mais controle sobre onde os usuários podem criar tabelas externas em seu locatário de nuvem).
CREATE EXTERNAL VOLUME
Tipos de objeto aplicáveis: EXTERNAL LOCATION
Permite ao usuário criar volumes externos usando o local externo.
CREATE FOREIGN CATALOG
Tipos de objeto aplicáveis: CONNECTION
Permite ao usuário criar catálogos estrangeiros usando uma conexão com um banco de dados externo em um cenário de Federação do Lakehouse.
CREATE FUNCTION
Tipos de objeto aplicáveis: SCHEMA
Permite que um usuário crie uma função no esquema. Como os privilégios são herdados, CREATE FUNCTION também pode ser concedido em um catálogo, o que permite que um usuário crie uma função em qualquer esquema existente ou futuro no catálogo.
O usuário também deve ter o privilégio USE CATALOG no catálogo pai e USE SCHEMA no esquema pai.
CRIAR MODELO
Tipos de objeto aplicáveis: SCHEMA
Permite que um usuário crie um modelo registrado do MLflow no esquema. Como os privilégios são herdados, CREATE MODEL também pode ser concedido em um catálogo, o que permite que um usuário crie um modelo registrado em qualquer esquema existente ou futuro no catálogo.
O usuário também deve ter o privilégio USE CATALOG no catálogo pai e USE SCHEMA no esquema pai.
CREATE MANAGED STORAGE
Tipos de objeto aplicáveis: EXTERNAL LOCATION
Permite que um usuário especifique um local para armazenar tabelas gerenciadas no nível do catálogo ou do esquema, substituindo o armazenamento raiz padrão para o metastore.
CREATE SCHEMA
Tipos de objeto aplicáveis: CATALOG
Permite que um usuário crie um esquema. O usuário também deve ter o privilégio USE CATALOG no catálogo.
CREATE STORAGE CREDENTIAL
Tipos de objeto aplicáveis: metastore do Catálogo do Unity
Permite que um usuário crie uma credencial de armazenamento em um metastore do Catálogo do Unity.
Não é possível conceder a uma entidade de serviço, seja um Microsoft Entra ID (antigo Azure Active Directory) ou uma entidade de serviço nativa do Azure Databricks.
CREATE TABLE
Tipos de objeto aplicáveis: SCHEMA
Permite que um usuário crie uma tabela ou exibição no esquema. Como os privilégios são herdados, CREATE TABLE também pode ser concedido em um catálogo, o que permite que um usuário crie uma tabela ou exibição em qualquer esquema existente ou futuro no catálogo.
O usuário também deve ter o privilégio USE CATALOG no catálogo pai e o privilégio USE SCHEMA no esquema pai.
CRIAR A EXIBIÇÃO MATERIALIZADA
Importante
Esse recurso está em uma versão prévia. Para se inscrever para o acesso, preencha este formulário.
Tipos de objeto aplicáveis: SCHEMA
Permite que um usuário crie uma exibição materializada no esquema. Como os privilégios são herdados, CREATE MATERIALIZED VIEW também pode ser concedido em um catálogo, o que permite que um usuário crie uma tabela ou exibição em qualquer esquema existente ou futuro no catálogo.
O usuário também deve ter o privilégio USE CATALOG no catálogo pai e o privilégio USE SCHEMA no esquema pai.
CREATE VOLUME
Tipos de objeto aplicáveis: SCHEMA
Permite ao usuário criar um volume no esquema. Como os privilégios são herdados, CREATE VOLUME também pode ser concedido em um catálogo, o que permite que um usuário crie um volume em qualquer esquema existente ou futuro no catálogo.
O usuário também deve ter o privilégio USE CATALOG no catálogo de volume pai e o privilégio USE SCHEMA no seu esquema pai.
Execute
Tipos de objeto aplicáveis: FUNCTION, REGISTERED MODEL
Permite que um usuário invoque uma função definida pelo usuário ou carregue um modelo para inferência, caso ele também tenha USE CATALOG no catálogo pai e USE SCHEMA no esquema pai. Para funções, EXECUTE concede a capacidade de exibir a definição de função e os metadados. Para modelos registrados, EXECUTE concede a capacidade de exibir metadados para todas as versões do modelo registrado e baixar arquivos de modelo.
Como os privilégios são herdados, você pode conceder a um usuário o privilégio EXECUTE em um catálogo ou esquema, que concede automaticamente ao usuário o privilégio EXECUTE em todas as funções atuais e futuras no catálogo ou esquema.
GERENCIAR LISTA DE PERMITIDOS
Tipos de objeto aplicáveis: metastore do Catálogo do Unity
Permite que um usuário adicione ou modifique caminhos nos scripts de inicialização, JARs e coordenadas Maven na lista de permissões que rege os clusters habilitados para o Catálogo do Unity com modo de acesso compartilhado. Consulte Bibliotecas de lista de permitidos e scripts de inicialização na computação compartilhada.
MODIFY
Tipos de objeto aplicáveis: TABLE
Permite que um usuário adicione, atualize e exclua dados na ou da tabela, caso o usuário também tenha SELECT na tabela, bem como USE CATALOG no catálogo pai e USE SCHEMA no esquema pai.
Como os privilégios são herdados, você pode conceder a um usuário o privilégio MODIFY em um catálogo ou esquema, que concede automaticamente ao usuário o privilégio MODIFY em todas as tabelas atuais e futuras no catálogo ou esquema.
READ FILES
Tipos de objeto aplicáveis: VOLUME, EXTERNAL LOCATION
Permite que um usuário leia arquivos diretamente do armazenamento de objetos na nuvem. O Databricks recomenda conceder esse privilégio em volumes e em locais externos para casos de uso limitados. Para obter mais diretrizes, consulte Gerenciar locais externos, tabelas externas e volumes externos.
READ VOLUME
Tipos de objeto aplicáveis: VOLUME
Permite ao usuário fazer a leitura de arquivos e diretórios armazenados em um volume se o usuário também tiver USE CATALOG no catálogo pai e USE SCHEMA no esquema pai.
Privilégios são herdados. Ao conceder a um usuário o privilégio READ VOLUME em um catálogo ou esquema, você concede automaticamente ao usuário o privilégio READ VOLUME em todos os volumes atuais e futuros no catálogo ou esquema.
SELECT
Tipos de objeto aplicáveis: TABLE, VIEW, MATERIALIZED VIEW, SHARE
Se aplicado a uma tabela ou exibição, permite que um usuário selecione na tabela ou exibição, se o usuário também tiver USE CATALOG em seu catálogo pai e USE SCHEMA em seu esquema pai. Se aplicado a um compartilhamento, permite que um destinatário selecione no compartilhamento.
Como os privilégios são herdados, você pode conceder a um usuário o privilégio SELECT em um catálogo ou esquema, que concede automaticamente ao usuário o privilégio SELECT em todas as tabelas atuais e futuras e exibições no catálogo ou esquema.
USAR CATÁLOGO
Tipos de objeto aplicáveis: CATALOG
Esse privilégio não concede acesso ao catálogo em si, mas é necessário para que um usuário interaja com qualquer objeto dentro do catálogo. Por exemplo, para selecionar dados de uma tabela, os usuários precisam ter o privilégio SELECT nessa tabela, os privilégios USE CATALOG em seu catálogo pai, bem como os privilégios USE SCHEMA em seu esquema pai.
Isso é útil para permitir que os proprietários de catálogos possam limitar até que ponto os proprietários de tabelas e esquemas individuais podem compartilhar os dados que produzem. Por exemplo, um proprietário de tabela que concede SELECT a outro usuário não permite que esse usuário leia o acesso à tabela, a menos que ele também tenha recebido privilégios USE CATALOG em seu catálogo pai, bem como privilégios USE SCHEMA em seu esquema pai.
O privilégio USE CATALOG no catálogo pai não será necessário para ler os metadados de um objeto se o usuário tiver o privilégio BROWSE nesse catálogo.
USE CONNECTION
Tipos de objeto aplicáveis: CONNECTION
Permite ao usuário listar e exibir detalhes sobre conexões com um banco de dados externo em um cenário de Federação do Lakehouse. A fim de criar catálogos estrangeiros para uma conexão, é preciso ter CREATE FOREIGN CATALOG na conexão ou propriedade da conexão.
USAR ESQUEMA
Tipos de objeto aplicáveis: SCHEMA
Esse privilégio não concede acesso ao esquema em si, mas é necessário para que um usuário interaja com qualquer objeto dentro do esquema. Por exemplo, para selecionar dados de uma tabela, os usuários precisam ter o privilégio SELECT nessa tabela, USE SCHEMA em seu esquema pai, bem como USE CATALOG em seu catálogo pai.
Como os privilégios são herdados, você pode conceder a um usuário o privilégio USE SCHEMA em um catálogo, que concede automaticamente ao usuário o privilégio USE SCHEMA em todos os esquemas atuais e futuros no catálogo.
O privilégio USE SCHEMA no esquema pai não é necessário para ler os metadados de um objeto se o usuário tiver o privilégio BROWSE nesse esquema ou em seu catálogo pai.
WRITE FILES
Tipos de objeto aplicáveis:VOLUME,EXTERNAL LOCATION
Permite que um usuário grave arquivos diretamente no armazenamento de objetos na nuvem. O Databricks recomenda conceder esse privilégio em volumes. Conceda esse privilégio com moderação em locais externos. Para obter mais diretrizes, consulte Gerenciar locais externos, tabelas externas e volumes externos.
WRITE VOLUME
Tipos de objeto aplicáveis: VOLUME
Permite ao usuário adicionar, remover ou modificar arquivos e diretórios armazenados em um volume se o usuário também tiver USE CATALOG no catálogo pai e USE SCHEMA no esquema pai.
Privilégios são herdados. Ao conceder a um usuário o privilégio WRITE VOLUME em um catálogo ou esquema, você concede automaticamente ao usuário o privilégio WRITE VOLUME em todos os volumes atuais e futuros no catálogo ou esquema.
REFRESH
Tipos de objeto aplicáveis: MATERIALIZED VIEW
Permite que um usuário atualize uma exibição materializada se o usuário também tiver USE CATALOG em seu catálogo pai e USE SCHEMA em seu esquema pai.
Privilégios são herdados. Ao conceder a um usuário o privilégio REFRESH em um catálogo ou esquema para um usuário, você concede automaticamente ao usuário o privilégio REFRESH em todas as exibições materializadas atuais e futuras no catálogo ou esquema.
Tipos de privilégio que se aplicam somente ao Compartilhamento Delta ou ao Databricks Marketplace
Esta seção fornece detalhes sobre os tipos de privilégios que se aplicam somente ao Compartilhamento Delta.
CREATE PROVIDER
Tipos de objeto aplicáveis: metastore do Catálogo do Unity
Permite que um usuário crie um objeto de provedor de Compartilhamento Delta no metastore. Um provedor identifica uma organização ou um grupo de usuários que podem ter dados compartilhados usando o Compartilhamento Delta. A criação do provedor é executada por um usuário na conta do Databricks do destinatário. Confira Compartilhar dados e ativos de IA com segurança usando o Compartilhamento Delta.
CRIAR DESTINATÁRIO
Tipos de objeto aplicáveis: metastore do Catálogo do Unity
Permite que um usuário crie um objeto de destinatário do Compartilhamento Delta no metastore. Um destinatário identifica uma organização ou um grupo de usuários que podem ter dados compartilhados com eles usando o Compartilhamento Delta. A criação do destinatário é executada por um usuário na conta do Databricks do provedor. Confira Compartilhar dados e ativos de IA com segurança usando o Compartilhamento Delta.
CRIAR COMPARTILHAMENTO
Tipos de objeto aplicáveis: metastore do Catálogo do Unity
Permite que um usuário crie um compartilhamento no metastore. Um compartilhamento é um agrupamento lógico das tabelas que você pretende compartilhar usando o Compartilhamento Delta
DEFINIR PERMISSÃO DE COMPARTILHAMENTO
Tipos de objeto aplicáveis: metastore do Catálogo do Unity
No Compartilhamento Delta, esse privilégio, combinado a USE SHARE e USE RECIPIENT (ou propriedade do destinatário), dá a um usuário do provedor a capacidade de conceder para um destinatário o acesso a um compartilhamento. Combinado com USE SHARE, ele oferece a capacidade de transferir a propriedade de um compartilhamento para outro usuário, grupo ou entidade de serviço.
USAR ATIVOS DO MARKETPLACE
Tipos de objeto aplicáveis: metastore do Catálogo do Unity
Habilitado por padrão para todos os metastores do Catálogo do Unity. No Databricks Marketplace, esse privilégio fornece a um usuário a capacidade de obter acesso instantâneo ou solicitar acesso a produtos de dados compartilhados em uma listagem do Marketplace. Ele também permite que um usuário acesse o catálogo somente leitura criado quando um provedor compartilha um produto de dados. Sem esse privilégio, o usuário exigiria os privilégios CREATE CATALOG e USE PROVIDER ou a função de administrador do metastore. Isso permite limitar o número de usuários com essas funções poderosas.
USAR PROVEDOR
Tipos de objeto aplicáveis: metastore do Catálogo do Unity
No Compartilhamento Delta, fornece a um usuário destinatário acesso somente leitura a todos os provedores em um metastore de destinatário e seus compartilhamentos. Combinado com o privilégio CREATE CATALOG, esse privilégio permite que um usuário destinatário que não seja um administrador. Isso permite limitar o número de usuários com a poderosa função de administrador de metastore.
USAR DESTINATÁRIO
Tipos de objeto aplicáveis: metastore do Catálogo do Unity
No Compartilhamento Delta, fornece a um usuário do provedor acesso somente leitura a todos os destinatários em um metastore de provedor e seus compartilhamentos. Isso permite que um usuário do provedor que não é um administrador de metastore exiba detalhes do destinatário, o status de autenticação do destinatário e a lista de compartilhamentos que o provedor compartilhou com o destinatário.
No Databricks Marketplace, isso fornece aos usuários do provedor a capacidade de exibir listagens e solicitações de consumidor no console do provedor.
USAR COMPARTILHAMENTO
Tipos de objeto aplicáveis: metastore do Catálogo do Unity
No Compartilhamento Delta, fornece a um usuário do provedor acesso somente leitura a todos os compartilhamentos definidos em um metastore de provedor. Isso permite que um usuário do provedor que não seja um administrador de metastore liste compartilhamentos e liste os ativos (tabelas e notebooks) em um compartilhamento, juntamente com os destinatários do compartilhamento.
No Databricks Marketplace, isso fornece aos usuários do provedor a capacidade de exibir detalhes sobre os dados compartilhados em uma listagem.