Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Esta página descreve os objetos protegíveis do Unity Catalog e os privilégios que se aplicam a eles. Para saber como conceder privilégios no Catálogo Unity, consulte Mostrar, conceder e revogar privilégios.
Nota
Este artigo refere-se aos privilégios do Catálogo Unity e ao modelo de herança no Modelo de Privilégios versão 1.0. Se você criou seu metastore do Unity Catalog durante a visualização pública (antes de 25 de agosto de 2022), talvez esteja em um modelo de privilégio anterior que não suporta o modelo de herança atual. Você pode atualizar para o Modelo de Privilégios versão 1.0 para obter herança de privilégios. Consulte Atualização para herança de privilégios.
Objetos protegíveis no catálogo Unity
Um objeto segurável é um objeto definido no metastore do Unity Catalog, no qual os privilégios podem ser concedidos a um principal (usuário, principal de serviço ou grupo). Os objetos protegíveis no Unity Catalog são hierárquicos.
Os objetos protegíveis são:
METASTORE: O contêiner de nível superior para metadados. Cada metastore do Unity Catalog expõe um namespace de três níveis (
catalog.schema.table) que organiza seus dados.Ao gerenciar privilégios em um metastore, você não inclui o nome do metastore em um comando SQL. O Unity Catalog concede ou revoga o privilégio no metastore anexado ao seu espaço de trabalho. Por exemplo, o comando a seguir concede a um grupo chamado engineering a capacidade de criar um catálogo no metastore anexado ao espaço de trabalho:
GRANT CREATE CATALOG ON METASTORE TO engineeringCATALOG: A primeira camada da hierarquia de objetos, usada para organizar seus ativos de dados. Um catálogo estrangeiro é um tipo de catálogo especial que espelha uma base de dados num sistema de dados externo num cenário de Federação Lakehouse.
SCHEMA: Também conhecidos como bancos de dados, os esquemas são a segunda camada da hierarquia de objetos e contêm tabelas e exibições.
TABLE: No nível mais baixo na hierarquia de objetos, tabelas gerenciadas, tabelas externas, tabelas estrangeiras, tabelas de streaming, tabelas online e tabelas de recursos. Consulte Introdução às tabelas do Azure Databricks.
VIEW: Um objeto somente leitura criado a partir de uma consulta em uma ou mais tabelas contidas em um esquema.
MATERIALIZED VIEW: Um objeto criado a partir de uma consulta em uma ou mais tabelas contidas em um esquema. Seus resultados refletem o estado dos dados quando foram atualizados pela última vez.
METRIC VIEW: um objeto somente leitura que define um conjunto de definições de métrica, incluindo dimensões e medidas, com base em uma ou mais fontes de dados, que podem ser tabelas, exibições ou consultas SQL. Consulte Visualizações métricas do Catálogo Unity.
VOLUME: Um volume lógico de dados não estruturados. Pode ser externo (armazenado em locais externos no armazenamento em nuvem de sua escolha) ou gerenciado (armazenado em um contêiner de armazenamento em seu armazenamento em nuvem que você cria expressamente para o Azure Databricks).
FUNÇÃO: Uma função definida pelo usuário ou um modelo registrado MLflow contido em um esquema.
Modelo: Um modelo registrado MLflow é um tipo específico de função. Os modelos são listados separadamente de outras funções no Gerenciador de Catálogos, mas quando você concede um privilégio em um modelo usando SQL, você usa
GRANT ON FUNCTION.LOCALIZAÇÃO EXTERNA: Um objeto que contém uma referência a uma credencial de armazenamento e um caminho de armazenamento em nuvem, que está contido num metastore do Unity Catalog.
METADADOS EXTERNOS: um objeto que contém metadados para uma entidade num sistema externo, como um painel do Tableau ou um objeto do Salesforce, para que possa ser adicionado a configurações personalizadas de linhagem de dados. Consulte Traga sua própria linhagem de dados.
CREDENCIAL DE SERVIÇO: um objeto que encapsula uma credencial de nuvem de longo prazo que fornece acesso a um serviço externo. Contido em um metastore do Unity Catalog.
STORAGE CREDENTIAL: Um objeto que encapsula uma credencial de nuvem de longo prazo que fornece acesso ao armazenamento em nuvem contido em um metastore do Unity Catalog.
CONNECTION: Um objeto que especifica um caminho e credenciais para acessar um sistema de banco de dados externo em um cenário de Lakehouse Federation.
SHARE: Um agrupamento lógico para as tabelas que você pretende compartilhar usando o Delta Sharing. Um compartilhamento está contido em um metastore do Unity Catalog.
DESTINATÁRIO: Um objeto que identifica uma organização ou grupo de usuários que podem ter dados compartilhados com eles usando o Compartilhamento Delta. Esses objetos estão contidos em um metastore do Unity Catalog.
PROVIDER: Um objeto que representa uma organização que disponibilizou dados para compartilhamento usando o Compartilhamento Delta. Esses objetos estão contidos em um metastore do Unity Catalog.
CLEAN ROOM: Um objeto que representa um ambiente seguro e que protege a privacidade, gerenciado pelo Databricks, onde várias partes podem colaborar sem acesso direto aos dados umas das outras.
Tipos de privilégio por objeto protegível no Unity Catalog
A tabela a seguir lista os tipos de privilégio que se aplicam a cada objeto protegível no Unity Catalog. Para saber como conceder privilégios no Catálogo Unity, consulte Mostrar, conceder e revogar privilégios.
| Protegível | Privilégios |
|---|---|
| Metaloja |
CREATE CATALOG, CREATE CLEAN ROOM, CREATE CONNECTION, CREATE EXTERNAL LOCATION, CREATE EXTERNAL METADATA, CREATE PROVIDER, CREATE RECIPIENT, CREATE SHARE, CREATE SERVICE CREDENTIAL, CREATE STORAGE CREDENTIAL, SET SHARE PERMISSION, USE MARKETPLACE ASSETS, USE PROVIDER, USE RECIPIENT, USE SHARE |
| Catálogo |
ALL PRIVILEGES, APPLY TAG, BROWSE, CREATE SCHEMA, USE CATALOGTodos os utilizadores têm USE CATALOG no catálogo main por predefinição.Os seguintes tipos de privilégio se aplicam a objetos protegíveis em um catálogo. Você pode conceder esses privilégios no nível do catálogo para aplicá-los a objetos atuais e futuros no catálogo. CREATE FUNCTION, CREATE TABLE, , CREATE MATERIALIZED VIEW, , CREATE MODELCREATE VOLUMEEXTERNAL USE SCHEMAREAD VOLUMEREFRESHWRITE VOLUMEEXECUTEMANAGEMODIFYSELECTUSE SCHEMA |
| Esquema |
ALL PRIVILEGES, APPLY TAG, , CREATE FUNCTION, CREATE TABLE, CREATE MODELCREATE VOLUME, CREATE MATERIALIZED VIEW, MANAGEEXTERNAL USE SCHEMA,USE SCHEMAOs seguintes tipos de privilégio se aplicam a objetos protegíveis dentro de um esquema. Você pode conceder esses privilégios no nível do esquema para aplicá-los a objetos atuais e futuros dentro do esquema. EXECUTE, MODIFY, READ VOLUME, REFRESH, SELECT, WRITE VOLUME |
| Tabela |
ALL PRIVILEGES, APPLY TAG, MANAGE, MODIFY, SELECT |
| Vista materializada |
ALL PRIVILEGES, APPLY TAG, MANAGE, REFRESH, SELECT |
| Vista |
ALL PRIVILEGES, APPLY TAG, MANAGE, SELECT |
| Volume |
ALL PRIVILEGES, MANAGE, READ VOLUME, WRITE VOLUME |
| Localização externa |
ALL PRIVILEGES, BROWSE, CREATE EXTERNAL TABLE, CREATE EXTERNAL VOLUME, CREATE FOREIGN SECURABLEMANAGE, READ FILES, WRITE FILES, CREATE MANAGED STORAGE |
| Metadados externos |
ALL PRIVILEGES, BROWSE, MANAGE, MODIFY |
| Credencial de serviço |
ALL PRIVILEGES, ACCESS, CREATE CONNECTION, MANAGE. |
| Credencial de armazenamento |
ALL PRIVILEGES, CREATE EXTERNAL LOCATION, CREATE EXTERNAL TABLE, MANAGE, READ FILES, WRITE FILES |
| Conexão |
ALL PRIVILEGES, CREATE FOREIGN CATALOG, MANAGE, USE CONNECTION |
| Função |
ALL PRIVILEGES, APPLY TAG (apenas modelos), EXECUTE, MANAGE, CREATE MODEL VERSION (apenas modelos) |
| Procedimento |
ALL PRIVILEGES, EXECUTE, MANAGE |
| Modelo | Os modelos registados são um tipo de função. |
| Partilhar |
SELECT (Pode ser concedido a RECIPIENT) |
| Destinatário | Nenhuma |
| Fornecedor | Nenhuma |
| Sala limpa |
ALL PRIVILEGES, BROWSE, EXECUTE CLEAN ROOM TASK, MANAGE, MODIFY CLEAN ROOM |
Tipos de privilégios gerais do Catálogo Unity
Esta seção fornece detalhes sobre os tipos de privilégio que se aplicam geralmente ao Catálogo Unity. Para saber como conceder privilégios no Catálogo Unity, consulte Mostrar, conceder e revogar privilégios.
TODOS OS PRIVILÉGIOS
Tipos de objetos aplicáveis: CATALOG, EXTERNAL LOCATION, EXTERNAL METADATA, SERVICE CREDENTIAL, STORAGE CREDENTIAL, SCHEMA, ( FUNCTION incluindo modelos), PROCEDURE, , MATERIALIZED VIEWTABLE, ,VIEW,VOLUME
Utilizado para conceder ou revogar todos os privilégios aplicáveis ao objeto com capacidade de segurança e aos respetivos objetos subordinados sem especificar explicitamente os mesmos.
Quando ALL PRIVILEGES é concedido em um objeto, ele não concede individualmente ao usuário cada privilégio aplicável no momento da concessão. Em vez disso, ele se expande para todos os privilégios disponíveis no momento em que as verificações de permissões são feitas. Isso significa que, à medida que o Databricks libera novos privilégios e novos objetos protegíveis, uma concessão existente ALL PRIVILEGES inclui automaticamente quaisquer novos privilégios aplicáveis ao objeto protegível, seus objetos filho existentes e quaisquer novos objetos filho.
Quando ALL PRIVILEGES é revogado, o privilégio é revogado ALL PRIVILEGES e quaisquer privilégios explícitos concedidos ao usuário no objeto também são revogados.
Para evitar a exfiltração acidental de dados ou o escalonamento de privilégios, ALL PRIVILEGES não inclui o privilégio EXTERNAL USE SCHEMA ou o privilégio MANAGE.
Nota
Este privilégio é poderoso quando aplicado em níveis mais altos na hierarquia. Por exemplo, GRANT TODOS OS PRIVILÉGIOS EM CATALOG principal PARA analysts concede à equipa de analistas todos os privilégios existentes e futuros sobre todos os objetos securizáveis existentes e futuros no catálogo.
ACESSO
Tipos de objeto aplicáveis: SERVICE CREDENTIAL
Permite que um usuário use uma credencial de serviço para acessar um serviço ou serviços externos.
APLICAR ETIQUETA
Tipos de objeto aplicáveis: CATALOG, SCHEMA, TABLE, VOLUME, MATERIALIZED VIEW, VIEW, modelos registrados como um FUNCTION
Permite que um utilizador adicione e edite etiquetas num objeto. A concessão APPLY TAG a uma tabela ou exibição também permite a marcação de coluna. A concessão APPLY TAG a um modelo registrado também permite a marcação da versão do modelo.
O usuário também deve ter o USE CATALOG privilégio no catálogo pai e USE SCHEMA no esquema pai.
Para aplicar uma tag governada a objetos protegíveis do Unity Catalog, você também deve ter a permissão ASSIGN na política de tag. Consulte Gerenciar permissões de política de tags.
PROCURAR
Tipos de objetos aplicáveis: CATALOG, CLEAN ROOM, EXTERNAL METADATA, EXTERNAL LOCATION
Permite que um usuário visualize os metadados de um objeto usando o Catalog Explorer, o navegador de esquema, os resultados da pesquisa, information_schemao gráfico de linhagem e a API REST.
O utilizador não requer o USE CATALOG privilégio no catálogo pai ou USE SCHEMA no esquema pai.
Todos os usuários recebem o privilégio por padrão em novos catálogos criados usando o BROWSE Gerenciador de Catálogos. Você pode revogar o privilégio, se preferir. Os catálogos criados usando instruções SQL, a API REST ou a CLI do Databricks não concedem o BROWSE privilégio por padrão. Você deve concedê-lo abertamente.
Nota
Os usuários com apenas o BROWSE privilégio em um objeto têm capacidade limitada de explorar metadados usando SQL.
CREATE CATALOG
Tipos de objeto aplicáveis: metastore do Unity Catalog
Permite que um utilizador crie um catálogo num metastore do Catálogo Unity. Para criar um catálogo estrangeiro, você também deve ter o privilégio CREATE FOREIGN CATALOG na conexão que contém o catálogo estrangeiro ou no metastore.
CRIAR SALA LIMPA
Tipos de objeto aplicáveis: metastore do Unity Catalog
Permite que um usuário crie uma sala limpa para colaborar com segurança em projetos com outras organizações sem compartilhar dados subjacentes.
CREATE CONNECTION
Tipos de objeto aplicáveis: metastore do Unity Catalog, SERVICE CREDENTIAL
Permite que um utilizador crie uma ligação a uma base de dados externa num cenário de Lakehouse Federation. Para usar uma credencial de serviço para criar uma conexão, o usuário deve ter esse privilégio no metastore e na credencial de serviço.
CREATE EXTERNAL LOCATION
Tipos de objeto aplicáveis: metastore do Unity Catalog, STORAGE CREDENTIAL
Para criar um local externo, o usuário deve ter esse privilégio no metastore e na credencial de armazenamento que está sendo referenciada no local externo.
CRIAR METADADOS EXTERNOS
Tipos de objeto aplicáveis: metastore do Unity Catalog
Permite que um usuário crie metadados externos protegíveis para uso em linhagem personalizada. Para adicionar relações de linhagem ao objeto de metadados externos, o usuário deve ter o MODIFY privilégio no objeto de metadados externos, juntamente com privilégios no objeto Unity Catalog com o qual está especificando a relação.
CRIAR EXTERNO TABLE
Tipos de objetos aplicáveis: EXTERNAL LOCATION, STORAGE CREDENTIAL
Permite que um usuário crie tabelas externas diretamente em seu locatário de nuvem usando um local externo ou uma credencial de armazenamento. A Databricks recomenda conceder este privilégio num local externo em vez de numa credencial de armazenamento (como está limitado a um caminho específico, permite mais controlo sobre onde os utilizadores podem criar tabelas externas no arrendatário da nuvem).
CRIAR VOLUME EXTERNO
Tipos de objeto aplicáveis: EXTERNAL LOCATION
Permite que um usuário crie volumes externos usando um local externo.
CRIAR ESTRANGEIROCATALOG
Tipos de objeto aplicáveis: CONNECTION
Permite que um usuário crie catálogos estrangeiros usando uma conexão com um banco de dados externo em um cenário de Federação Lakehouse.
CRIAR OBJETO SEGURÁVEL EXTERNO
Tipos de objeto aplicáveis: EXTERNAL LOCATION
Permite que um utilizador que está a criar um catálogo externo especifique caminhos autorizados cobertos pelo local externo.
O usuário também deve ter CREATE CATALOG no metastore do Unity Catalog e CREATE FOREIGN CATALOG na conexão.
CREATE FUNCTION
Tipos de objeto aplicáveis: SCHEMA
Permite que um usuário crie uma função ou procedimento no esquema. Como os privilégios são herdados, CREATE FUNCTION também podem ser concedidos em um catálogo, o que permite que um usuário crie uma função ou procedimento em qualquer esquema existente ou futuro no catálogo.
O usuário também deve ter o USE CATALOG privilégio no catálogo pai e USE SCHEMA no esquema pai.
CRIAR MODELO
Tipos de objeto aplicáveis: SCHEMA
Permite que um utilizador crie um modelo registado MLflow (que é um tipo de FUNÇÃO) no contexto do esquema. Como os privilégios são herdados, CREATE MODEL também podem ser concedidos em um catálogo, o que permite que um usuário crie um modelo registrado em qualquer esquema existente ou futuro no catálogo.
O usuário também deve ter o USE CATALOG privilégio no catálogo pai e USE SCHEMA no esquema pai.
CRIAR VERSÃO DO MODELO
Tipos de objeto aplicáveis: MODEL
Permite que um utilizador registe uma nova versão de um modelo registado MLflow (que é um tipo de função). Não dá permissão ao usuário para executar, modificar ou adicionar tags a uma versão do modelo.
O usuário também deve ter o USE CATALOG privilégio no catálogo pai e USE SCHEMA no esquema pai.
CRIAR ARMAZENAMENTO GERENCIADO
Tipos de objeto aplicáveis: EXTERNAL LOCATION
Permite que um usuário especifique um local para armazenar tabelas gerenciadas no nível de catálogo ou esquema, substituindo o armazenamento raiz padrão para o metastore.
CREATE SCHEMA
Tipos de objeto aplicáveis: CATALOG
Permite que um utilizador crie um esquema. O utilizador também tem de ter o privilégio USE CATALOG no catálogo.
CRIAR CREDENCIAL DE SERVIÇO
Tipos de objeto aplicáveis: metastore do Unity Catalog
Permite que um usuário crie uma credencial de serviço em um metastore do Unity Catalog.
CRIAR CREDENCIAL DE ARMAZENAMENTO
Tipos de objeto aplicáveis: metastore do Unity Catalog
Permite que um usuário crie uma credencial de armazenamento em um metastore do Unity Catalog.
CREATE TABLE
Tipos de objeto aplicáveis: SCHEMA
Permite que um utilizador crie uma tabela ou vista no esquema. Uma vez que os privilégios são herdados, CREATE TABLE também pode ser concedido num catálogo, o que permite que um utilizador crie uma tabela ou vista em qualquer esquema existente ou futuro no catálogo.
O utilizador também deve ter o USE CATALOG privilégio no seu catálogo pai e o USE SCHEMA privilégio no seu esquema pai.
CREATE MATERIALIZED VIEW
Tipos de objeto aplicáveis: SCHEMA
Permite que um usuário crie uma exibição materializada no esquema. Uma vez que os privilégios são herdados, CREATE MATERIALIZED VIEW também pode ser concedido num catálogo, o que permite que um utilizador crie uma tabela ou vista em qualquer esquema existente ou futuro no catálogo.
O utilizador também deve ter o USE CATALOG privilégio no seu catálogo pai e o USE SCHEMA privilégio no seu esquema pai.
CREATE VOLUME
Tipos de objeto aplicáveis: SCHEMA
Permite que um utilizador crie um volume no esquema. Como os privilégios são herdados, CREATE VOLUME também podem ser concedidos em um catálogo, o que permite que um usuário crie um volume em qualquer esquema existente ou futuro no catálogo.
O utilizador também deve ter o USE CATALOG privilégio sobre o catálogo pai do volume e o USE SCHEMA privilégio sobre o seu esquema pai.
EXECUTAR
Tipos de objeto aplicáveis: FUNCTION, Modelo
Permite que um usuário invoque uma função definida pelo usuário ou carregue um modelo para inferência, se o usuário também tiver USE CATALOG em seu catálogo pai e USE SCHEMA em seu esquema pai. Para funções, EXECUTE concede a capacidade de visualizar a definição de função e metadados. Para modelos registrados, EXECUTE concede a capacidade de visualizar metadados para todas as versões do modelo registrado e baixar arquivos de modelo.
Como os privilégios são herdados, você pode conceder a um usuário o EXECUTE privilégio em um catálogo ou esquema, o que concede automaticamente ao usuário o EXECUTE privilégio em todas as funções atuais e futuras no catálogo ou esquema.
EXECUTAR TAREFA EM SALA LIMPA
Tipos de objeto aplicáveis: CLEAN ROOM
Permite que um usuário execute tarefas (blocos de anotações) em uma sala limpa. Também permite que o usuário visualize os detalhes da sala limpa.
EXTERNA USE SCHEMA
Tipos de objeto aplicáveis: SCHEMA
Permite que um usuário receba uma credencial temporária para acessar tabelas do Unity Catalog a partir de um mecanismo de processamento externo usando as APIs abertas do Unity Catalog ou as APIs REST do Iceberg.
Somente o proprietário do catálogo pode conceder esse privilégio.
Para evitar a exfiltração acidental de dados, ALL PRIVILEGES não inclui esses privilégios, e os proprietários dos esquemas não os possuem por padrão.
Consulte para habilitar o acesso a dados externos no Catálogo Unity.
GERIR
Tipos de objetos aplicáveis: CATALOG, EXTERNAL LOCATION, EXTERNAL METADATA, SERVICE CREDENTIAL, STORAGE CREDENTIAL, SCHEMA, FUNCTION (incluindo modelos), CONNECTION, , MATERIALIZED VIEWTABLE, VIEW,VOLUME,CLEAN ROOM
Importante
Esta funcionalidade está em Pré-visualização Pública.
Permite que um usuário visualize e gerencie privilégios, transfira propriedade, solte e renomeie um objeto.
MANAGE é semelhante à propriedade do objeto, mas os usuários com o privilégio MANAGE não recebem automaticamente todos os privilégios nesse objeto (no entanto, eles podem conceder a si mesmos privilégios).
O utilizador deve também ter o privilégio USE CATALOG no catálogo pai do objeto e o privilégio USE SCHEMA no seu esquema pai.
ALL PRIVILEGES não inclui o privilégio MANAGE
GERIR LISTA DE PERMISSÕES
Tipos de objeto aplicáveis: metastore do Unity Catalog
Permite que um usuário adicione ou modifique caminhos para scripts init, JARs e coordenadas Maven na lista de permissões que rege clusters habilitados para Unity Catalog com modo de acesso padrão. Consulte bibliotecas de Lista de Permissões e scripts de inicialização em computadores com o modo de acesso padrão (anteriormente modo de acesso compartilhado).
MODIFICAR
Tipos de objetos aplicáveis: EXTERNAL METADATA, TABLE
Permite que um usuário adicione, atualize e exclua dados de ou para a tabela se o usuário também tiver SELECT na tabela, bem como USE CATALOG em seu catálogo pai e USE SCHEMA em seu esquema pai.
Como os privilégios são herdados, você pode conceder a um usuário o MODIFY privilégio em um catálogo ou esquema, o que concede automaticamente ao usuário o MODIFY privilégio em todas as tabelas atuais e futuras no catálogo ou esquema.
Nota
MODIFY não pode ser concedido em uma tabela externa porque as tabelas externas são de leitura única.
MODIFICAR SALA LIMPA
Tipos de objeto aplicáveis: CLEAN ROOM
Permite que um usuário atualize uma sala limpa, incluindo adicionar e remover ativos de dados, adicionar e remover blocos de anotações e atualizar comentários. Também permite que o usuário visualize os detalhes da sala limpa.
LER FICHEIROS
Tipos de objeto aplicáveis: EXTERNAL LOCATION
READ FILES Permite que um usuário leia arquivos diretamente do Cloud Object Storage configurado como um local externo. A Databricks desaconselha esta prática. Em vez disso, você deve gerenciar o acesso de leitura aos dados no armazenamento de objetos na nuvem usando volumes e o READ VOLUME privilégio. Para obter mais orientações, consulte Locais externos.
VOLUME DE LEITURA
Tipos de objeto aplicáveis: VOLUME
Permite que um usuário leia arquivos e diretórios armazenados dentro de um volume se o usuário também tiver USE CATALOG em seu catálogo pai e USE SCHEMA em seu esquema pai.
Os privilégios são herdados. Quando você pode conceder a um usuário o READ VOLUME privilégio em um catálogo ou esquema, você concede automaticamente ao usuário o READ VOLUME privilégio em todos os volumes atuais e futuros no catálogo ou esquema.
REFRESH
Tipos de objeto aplicáveis: MATERIALIZED VIEW
Permite que um usuário atualize uma exibição materializada se o usuário também tiver USE CATALOG em seu catálogo pai e USE SCHEMA em seu esquema pai.
Os privilégios são herdados. Ao conceder o REFRESH privilégio em um catálogo ou esquema a um usuário, você concede automaticamente ao usuário o REFRESH privilégio em todas as exibições materializadas atuais e futuras no catálogo ou esquema.
SELECT
Tipos de objetos aplicáveis: TABLE, VIEW, MATERIALIZED VIEW, SHARE
Se aplicado a uma tabela ou exibição, permite que um usuário selecione a partir da tabela ou exibição, se o usuário também tiver USE CATALOG em seu catálogo pai e USE SCHEMA em seu esquema pai. Se aplicado a uma partilha, permite que um destinatário seleccione a partir da partilha.
Como os privilégios são herdados, você pode conceder a um usuário o SELECT privilégio em um catálogo ou esquema, que concede automaticamente ao usuário SELECT privilégio em todas as tabelas atuais e futuras e exibições no catálogo ou esquema.
USE CATALOG
Tipos de objeto aplicáveis: CATALOG
Este privilégio não concede acesso ao próprio catálogo, mas é necessário para que um utilizador interaja com qualquer objeto no catálogo. Por exemplo, para selecionar dados de uma tabela, os usuários precisam ter o SELECT privilégio nessa tabela, o USE CATALOG privilégio em seu catálogo pai, bem como o USE SCHEMA privilégio em seu esquema pai.
Isso é útil para permitir que os proprietários de catálogo possam limitar até que ponto os proprietários de esquemas e tabelas individuais podem compartilhar os dados que produzem. Por exemplo, um proprietário de tabela que concede SELECT a um outro usuário não permite que esse usuário tenha acesso de leitura à tabela, a menos que também lhe tenham sido concedidos USE CATALOG privilégios em seu catálogo pai e também USE SCHEMA privilégios em seu esquema pai.
O USE CATALOG privilégio no catálogo pai não é necessário para ler os metadados de um objeto se o utilizador tiver o BROWSE privilégio naquele catálogo.
USAR CONEXÃO
Tipos de objeto aplicáveis: CONNECTION
Permite que um usuário liste e visualize detalhes sobre conexões com um banco de dados externo em um cenário de Federação Lakehouse. Para criar catálogos estrangeiros para uma conexão, você deve ter CREATE FOREIGN CATALOG na conexão ou propriedade da conexão.
USE SCHEMA
Tipos de objeto aplicáveis: SCHEMA
Este privilégio não concede acesso ao próprio esquema, mas é necessário para que um utilizador interaja com qualquer objeto dentro do esquema. Por exemplo, para selecionar dados de uma tabela, os usuários precisam ter o SELECT privilégio nessa tabela e USE SCHEMA em seu esquema pai, bem como USE CATALOG em seu catálogo pai.
Como os privilégios são herdados, você pode conceder a um usuário o USE SCHEMA privilégio em um catálogo, o que concede automaticamente ao usuário o USE SCHEMA privilégio em todos os esquemas atuais e futuros no catálogo.
Isso é útil para permitir que os proprietários de esquemas limitem até onde os proprietários de tabelas individuais podem compartilhar os dados que produzem. Por exemplo, um proprietário de tabela que concede SELECT a outro usuário não permite que esse usuário tenha acesso de leitura à tabela, a menos que também lhes tenham sido concedidos privilégios USE SCHEMA no seu esquema pai e privilégios USE CATALOG no seu catálogo pai.
O USE SCHEMA privilégio no esquema pai não é necessário para ler os metadados de um objeto se o usuário tiver o BROWSE privilégio no catálogo pai desse esquema.
ESCREVER FICHEIROS
Tipos de objeto aplicáveis: EXTERNAL LOCATION
A Databricks recomenda gerir o acesso de escrita a dados no armazenamento de objetos na nuvem usando volumes e o privilégio WRITE VOLUME.
WRITE FILES permite que um usuário grave arquivos diretamente em seu armazenamento de objetos na nuvem configurado como um local externo. Para obter mais orientações, consulte Volumes gerenciados e externos.
VOLUME DE GRAVAÇÃO
Tipos de objeto aplicáveis: VOLUME
Permite que um usuário adicione, remova ou modifique arquivos e diretórios armazenados dentro de um volume se o usuário também tiver USE CATALOG em seu catálogo pai e USE SCHEMA em seu esquema pai.
Os privilégios são herdados. Quando você pode conceder a um usuário o WRITE VOLUME privilégio em um catálogo ou esquema, você concede automaticamente ao usuário o WRITE VOLUME privilégio em todos os volumes atuais e futuros no catálogo ou esquema.
Tipos de privilégio que se aplicam apenas ao Delta Sharing ou ao Databricks Marketplace
Esta seção fornece detalhes sobre os tipos de privilégio que se aplicam somente ao Compartilhamento Delta.
CRIAR PROVEDOR
Tipos de objeto aplicáveis: metastore do Unity Catalog
Permite que um usuário crie um objeto de provedor de compartilhamento delta no metastore. Um provedor identifica uma organização ou grupo de usuários que compartilharam dados usando o Compartilhamento Delta. A criação do provedor é realizada por um usuário na conta Databricks do destinatário. Consulte O que é Delta Sharing?.
CREATE RECIPIENT
Tipos de objeto aplicáveis: metastore do Unity Catalog
Permite que um usuário crie um objeto de destinatário de Compartilhamento Delta no metastore. Um destinatário identifica uma organização ou grupo de usuários que podem ter dados compartilhados com eles usando o Compartilhamento Delta. A criação de destinatários é realizada por um usuário na conta Databricks do provedor. Consulte O que é Delta Sharing?.
CREATE SHARE
Tipos de objeto aplicáveis: metastore do Unity Catalog
Permite que um usuário crie um compartilhamento no metastore. Um compartilhamento é um agrupamento lógico para as tabelas que você pretende compartilhar usando o Compartilhamento Delta
SET PERMISSÃO DE COMPARTILHAMENTO
Tipos de objeto aplicáveis: metastore do Unity Catalog
No Delta Sharing, esse privilégio, combinado com USE SHARE e USE RECIPIENT (ou propriedade do destinatário), dá a um usuário provedor a capacidade de conceder a um destinatário acesso a um compartilhamento. Combinado com USE SHARE, ela oferece a capacidade de transferência da propriedade de um compartilhamento para outro usuário, grupo ou entidade de serviço.
UTILIZAR ATIVOS DO MERCADO
Tipos de objeto aplicáveis: metastore do Unity Catalog
Ativado por padrão para todos os metastores do Unity Catalog. No Databricks Marketplace, esse privilégio dá ao usuário a capacidade de obter acesso instantâneo ou solicitar acesso a produtos de dados compartilhados em uma listagem do Marketplace. Além disso, permite que um utilizador aceda ao catálogo de leitura apenas, que é criado quando um fornecedor partilha dados. Sem esse privilégio, o utilizador precisaria dos privilégios CREATE CATALOG e USE PROVIDER ou da função de administrador do metastore. Isso permite que você limite o número de usuários com essas permissões poderosas.
PROVEDOR DE USO
Tipos de objeto aplicáveis: metastore do Unity Catalog
No Compartilhamento Delta, dá a um usuário destinatário acesso somente leitura a todos os provedores em um metastore de destinatário e seus compartilhamentos. Combinado com o CREATE CATALOG privilégio, esse privilégio permite que um usuário destinatário que não seja um administrador de metastore monte um compartilhamento como um catálogo. Isso permite limitar o número de usuários com a poderosa função de administrador do metastore.
USAR DESTINATÁRIO
Tipos de objeto aplicáveis: metastore do Unity Catalog
No Delta Sharing, dá a um utilizador de um fornecedor acesso somente leitura a todos os destinatários de um fornecedor no metastore e as suas partilhas. Isso permite que um usuário do provedor que não seja um administrador de metastore exiba os detalhes do destinatário, o status da autenticação do destinatário e a lista de compartilhamentos que o provedor compartilhou com o destinatário.
No Databricks Marketplace, isso dá aos usuários do provedor a capacidade de visualizar listagens e solicitações de consumidores no console do provedor.
USAR PARTILHAR
Tipos de objeto aplicáveis: metastore do Unity Catalog
No Delta Sharing, oferece a um utilizador fornecedor acesso apenas de leitura a todas as partilhas definidas num metastore do fornecedor. Isso permite que um usuário provedor que não seja um administrador de metastore liste compartilhamentos e liste os ativos (tabelas e blocos de anotações) em um compartilhamento, juntamente com os destinatários do compartilhamento.
No Databricks Marketplace, isso dá aos usuários do provedor a capacidade de visualizar detalhes sobre os dados compartilhados em uma listagem.