Поделиться через


Права администратора в каталоге Unity

В этой статье описаны привилегии администраторов учетных записей Azure Databricks, администраторов рабочих областей и администраторов хранилища метаданных для управления каталогом Unity.

Примечание.

Если ваша рабочая область была включена для каталога Unity автоматически, администраторы рабочей области имеют привилегии по умолчанию в подключенном хранилище метаданных и каталоге рабочей области, если каталог рабочей области был подготовлен. Ознакомьтесь с правами администратора рабочей области, если рабочие области включены для каталога Unity автоматически.

Администраторы хранилища метаданных

Администратор хранилища метаданных является необязательным, но привилегированным пользователем или группой в каталоге Unity. Администраторы хранилища метаданных имеют следующие привилегии в хранилище метаданных по умолчанию:

Администраторы хранилища метаданных также являются владельцами хранилища метаданных, которые предоставляют им следующие привилегии:

  • Управление привилегиями или передача владения любым объектом в хранилище метаданных, включая учетные данные хранения, внешние расположения, подключения, общие папки, получатели и поставщики.

  • Предоставьте себе доступ на чтение и запись к любым данным в хранилище метаданных.

    Администраторы хранилища метаданных имеют эту возможность косвенно, благодаря их способности передавать владение всеми объектами. По умолчанию прямой доступ отсутствует. Предоставление разрешений регистрируется в журнале.

  • Чтение и обновление метаданных всех объектов в хранилище метаданных.

  • Удаление хранилища метаданных.

Администраторы хранилища метаданных — это единственные пользователи, которые могут предоставлять привилегии в самом хранилище метаданных.

Так как администраторы хранилища метаданных являются единственными пользователями, имеющими эти привилегии, необходимо назначить администратора хранилища метаданных, если вы хотите использовать любую из следующих функций:

Кто имеет начальные права администратора хранилища метаданных?

Если администратор учетной записи создает хранилище метаданных вручную, администратор учетной записи является первоначальным владельцем хранилища метаданных и администратором хранилища метаданных. Все хранилища метаданных, созданные до 9 ноября 2023 года, были созданы вручную администратором учетной записи.

Если хранилище метаданных было подготовлено в рамках автоматического включения каталога Unity, хранилище метаданных было создано без администратора хранилища метаданных. Администраторы рабочей области в этом случае автоматически предоставляют права, которые делают администратор хранилища метаданных необязательным. При необходимости администраторы учетных записей могут назначать роль администратора хранилища метаданных пользователю, субъекту-службе или группе. Настоятельно рекомендуется использовать группы. См. Автоматическое включение каталога Unity.

Назначение администратора хранилища метаданных

Администратор хранилища метаданных — это очень привилегированная роль, которую следует тщательно распределить. Этот параметр необязателен.

Администраторы учетных записей могут назначать роль администратора хранилища метаданных. Databricks рекомендует номинировать группу в качестве администратора хранилища метаданных. При этом любой член группы автоматически является администратором хранилища метаданных.

Чтобы назначить роль администратора хранилища метаданных группе, выполните следующие действия.

  1. Войдите в консоль учетной записи с правами администратора учетных записей.
  2. Щелкните Значок каталога каталог.
  3. Нажмите на имя хранилища метаданных, чтобы открыть его свойства.
  4. В разделе Администратор хранилища метаданных нажмите Изменить.
  5. Выберите группу из раскрывающегося списка. Для поиска параметров можно ввести текст в поле.
  6. Нажмите кнопку Сохранить.

Внимание

Изменение назначения администратора хранилища метаданных может занять до 30 секунд, чтобы отразиться в вашей учетной записи, и в некоторых рабочих областях может потребоваться больше времени, чем другие. Эта задержка возникает из-за протоколов кэширования.

Администраторы учетной записи

Администратор учетной записи — это роль с высоким уровнем привилегий, которую следует тщательно распределить. Администраторы учетных записей имеют следующие привилегии:

  • Могут создавать хранилища метаданных и по умолчанию становится начальным администратором хранилища метаданных.
  • Может связывать хранилища метаданных с рабочими областями.
  • Может назначить роль администратора хранилища метаданных.
  • Может предоставлять привилегии в хранилищах метаданных.
  • Могут включить разностный общий доступ для хранилища метаданных.
  • Могут настраивать учетные данных хранилища.
  • Может включить системные таблицы и делегировать к ним доступ.

Чтобы установить первого администратора учетной записи Azure Databricks, см. статью "Установка первого администратора учетной записи".

Администраторы рабочей области

Администратор рабочей области — это очень привилегированная роль, которую следует тщательно распределить. Администраторы рабочего пространства имеют следующие привилегии:

Администраторы учетных записей могут ограничить права администратора рабочей области с помощью RestrictWorkspaceAdmins параметра. См. раздел "Ограничить администраторы рабочей области".

Права администратора рабочей области, если рабочие области включены для каталога Unity автоматически

Если ваша рабочая область была включена для каталога Unity автоматически, рабочая область будет присоединена к хранилищу метаданных по умолчанию. Дополнительные сведения см. в статье автоматическое включение каталога Unity.

Если ваше рабочее пространство автоматически включено для каталога Unity, его администраторы имеют следующие привилегии в подключенном хранилище метаданных по умолчанию:

  • CREATE CATALOG

  • CREATE EXTERNAL LOCATION

  • CREATE STORAGE CREDENTIAL

  • CREATE CONNECTION

  • CREATE SHARE

  • CREATE RECIPIENT

  • CREATE PROVIDER

  • CREATE MATERIALIZED VIEW

Администраторы рабочего пространства являются владельцами его каталога по умолчанию, если такой каталог подготовлен для рабочего пространства. Владение этим каталогом предоставляет следующие привилегии:

  • Управление привилегиями для любого объекта в каталоге рабочего пространства или его передача.

    Это включает возможность предоставлять себе доступ на чтение и запись ко всем данным в каталоге (прямой доступ по умолчанию отсутствует; предоставление разрешений регистрируется в журнале).

  • Передача права владения самим каталогом рабочего пространства.

Все пользователи рабочей области получают привилегии USE CATALOG в каталоге рабочих областей. Пользователи рабочей области также получают права на схему в каталоге, а также получают USE SCHEMAпривилегии , а CREATE MODELCREATE VOLUMECREATE FUNCTIONCREATE TABLECREATE MATERIALIZED VIEW также привилегии.default

Примечание.

Привилегии по умолчанию, предоставленные в подключенном хранилище метаданных и каталоге рабочих областей, не поддерживаются в рабочих областях (например, если каталог рабочей области также привязан к другой рабочей области).