Права администратора в каталоге Unity
В этой статье описаны привилегии администраторов учетных записей Azure Databricks, администраторов рабочих областей и администраторов хранилища метаданных для управления каталогом Unity.
Примечание.
Если ваша рабочая область была включена для каталога Unity автоматически, администраторы рабочей области имеют привилегии по умолчанию в подключенном хранилище метаданных и каталоге рабочей области, если каталог рабочей области был подготовлен. Ознакомьтесь с правами администратора рабочей области, если рабочие области включены для каталога Unity автоматически.
Администраторы хранилища метаданных
Администратор хранилища метаданных является необязательным, но привилегированным пользователем или группой в каталоге Unity. Администраторы хранилища метаданных имеют следующие привилегии в хранилище метаданных по умолчанию:
CREATE CATALOG
: позволяет пользователю создавать каталоги в хранилище метаданных .CREATE CONNECTION
: позволяет пользователю создавать подключение к внешней базе данных в сценарии федерации Lakehouse.CREATE EXTERNAL LOCATION
: позволяет пользователю создавать внешние расположения.CREATE STORAGE CREDENTIAL
: позволяет пользователю создавать учетные данные хранения.CREATE FOREIGN CATALOG
: позволяет пользователю создавать внешние каталоги с помощью подключения к внешней базе данных в сценарии федерации Lakehouse.CREATE SHARE
: позволяет пользователю поставщика данных создавать общую папку в Delta Sharing.CREATE RECIPIENT
: позволяет пользователю поставщика данных создавать получателя в Delta Sharing.CREATE PROVIDER
: позволяет пользователю-получателю данных создавать поставщика в Delta Sharing.MANAGE ALLOWLIST
: позволяет пользователю обновлять списки разрешений, которые управляют доступом к кластерам к скриптам и библиотекам инициализации.CREATE MATERIALIZED VIEW
: позволяет пользователю создавать материализованные представления.
Администраторы хранилища метаданных также являются владельцами хранилища метаданных, которые предоставляют им следующие привилегии:
Управление привилегиями или передача владения любым объектом в хранилище метаданных, включая учетные данные хранения, внешние расположения, подключения, общие папки, получатели и поставщики.
Предоставьте себе доступ на чтение и запись к любым данным в хранилище метаданных.
Администраторы хранилища метаданных имеют эту возможность косвенно, благодаря их способности передавать владение всеми объектами. По умолчанию прямой доступ отсутствует. Предоставление разрешений регистрируется в журнале.
Чтение и обновление метаданных всех объектов в хранилище метаданных.
Удаление хранилища метаданных.
Администраторы хранилища метаданных — это единственные пользователи, которые могут предоставлять привилегии в самом хранилище метаданных.
Так как администраторы хранилища метаданных являются единственными пользователями, имеющими эти привилегии, необходимо назначить администратора хранилища метаданных, если вы хотите использовать любую из следующих функций:
- Измените владение каталогами после того, как кто-то покидает компанию.
- Управление и делегирование разрешений для скрипта init и jar allowlist.
- Делегировать возможность создавать каталоги и другие разрешения верхнего уровня администраторам, не являющихся рабочими областями.
- Получение общих данных через разностный общий доступ.
- Удалите разрешения администратора рабочей области по умолчанию.
- Добавьте управляемое хранилище в хранилище метаданных, если он отсутствует. См. статью "Добавление управляемого хранилища в существующее хранилище метаданных".
Кто имеет начальные права администратора хранилища метаданных?
Если администратор учетной записи создает хранилище метаданных вручную, администратор учетной записи является первоначальным владельцем хранилища метаданных и администратором хранилища метаданных. Все хранилища метаданных, созданные до 9 ноября 2023 года, были созданы вручную администратором учетной записи.
Если хранилище метаданных было подготовлено в рамках автоматического включения каталога Unity, хранилище метаданных было создано без администратора хранилища метаданных. Администраторы рабочей области в этом случае автоматически предоставляют права, которые делают администратор хранилища метаданных необязательным. При необходимости администраторы учетных записей могут назначать роль администратора хранилища метаданных пользователю, субъекту-службе или группе. Настоятельно рекомендуется использовать группы. См. Автоматическое включение каталога Unity.
Назначение администратора хранилища метаданных
Администратор хранилища метаданных — это очень привилегированная роль, которую следует тщательно распределить. Этот параметр необязателен.
Администраторы учетных записей могут назначать роль администратора хранилища метаданных. Databricks рекомендует номинировать группу в качестве администратора хранилища метаданных. При этом любой член группы автоматически является администратором хранилища метаданных.
Чтобы назначить роль администратора хранилища метаданных группе, выполните следующие действия.
- Войдите в консоль учетной записи с правами администратора учетных записей.
- Щелкните каталог.
- Нажмите на имя хранилища метаданных, чтобы открыть его свойства.
- В разделе Администратор хранилища метаданных нажмите Изменить.
- Выберите группу из раскрывающегося списка. Для поиска параметров можно ввести текст в поле.
- Нажмите кнопку Сохранить.
Внимание
Изменение назначения администратора хранилища метаданных может занять до 30 секунд, чтобы отразиться в вашей учетной записи, и в некоторых рабочих областях может потребоваться больше времени, чем другие. Эта задержка возникает из-за протоколов кэширования.
Администраторы учетной записи
Администратор учетной записи — это роль с высоким уровнем привилегий, которую следует тщательно распределить. Администраторы учетных записей имеют следующие привилегии:
- Могут создавать хранилища метаданных и по умолчанию становится начальным администратором хранилища метаданных.
- Может связывать хранилища метаданных с рабочими областями.
- Может назначить роль администратора хранилища метаданных.
- Может предоставлять привилегии в хранилищах метаданных.
- Могут включить разностный общий доступ для хранилища метаданных.
- Могут настраивать учетные данных хранилища.
- Может включить системные таблицы и делегировать к ним доступ.
Чтобы установить первого администратора учетной записи Azure Databricks, см. статью "Установка первого администратора учетной записи".
Администраторы рабочей области
Администратор рабочей области — это очень привилегированная роль, которую следует тщательно распределить. Администраторы рабочего пространства имеют следующие привилегии:
- Могут добавлять пользователей, субъекты-службы и группы в рабочее пространство.
- Могут делегировать задачи другим администраторам рабочего пространства.
- Могут управлять владением заданиями. См. раздел "Управление доступом к заданию".
- Может управлять заданием запуска от имени . См. раздел "Настройка удостоверения для выполнения заданий".
- Могут просматривать и управлять записными книжками, панелями мониторинга, запросами и другими объектами рабочего пространства. См. раздел Списки управления доступом.
Администраторы учетных записей могут ограничить права администратора рабочей области с помощью RestrictWorkspaceAdmins
параметра. См. раздел "Ограничить администраторы рабочей области".
Права администратора рабочей области, если рабочие области включены для каталога Unity автоматически
Если ваша рабочая область была включена для каталога Unity автоматически, рабочая область будет присоединена к хранилищу метаданных по умолчанию. Дополнительные сведения см. в статье автоматическое включение каталога Unity.
Если ваше рабочее пространство автоматически включено для каталога Unity, его администраторы имеют следующие привилегии в подключенном хранилище метаданных по умолчанию:
CREATE CATALOG
CREATE EXTERNAL LOCATION
CREATE STORAGE CREDENTIAL
CREATE CONNECTION
CREATE SHARE
CREATE RECIPIENT
CREATE PROVIDER
CREATE MATERIALIZED VIEW
Администраторы рабочего пространства являются владельцами его каталога по умолчанию, если такой каталог подготовлен для рабочего пространства. Владение этим каталогом предоставляет следующие привилегии:
Управление привилегиями для любого объекта в каталоге рабочего пространства или его передача.
Это включает возможность предоставлять себе доступ на чтение и запись ко всем данным в каталоге (прямой доступ по умолчанию отсутствует; предоставление разрешений регистрируется в журнале).
Передача права владения самим каталогом рабочего пространства.
Все пользователи рабочей области получают привилегии USE CATALOG
в каталоге рабочих областей. Пользователи рабочей области также получают права на схему в каталоге, а также получают USE SCHEMA
привилегии , а CREATE MODEL
CREATE VOLUME
CREATE FUNCTION
CREATE TABLE
CREATE MATERIALIZED VIEW
также привилегии.default
Примечание.
Привилегии по умолчанию, предоставленные в подключенном хранилище метаданных и каталоге рабочих областей, не поддерживаются в рабочих областях (например, если каталог рабочей области также привязан к другой рабочей области).