Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
На этой странице описываются защищаемые объекты каталога Unity и привилегии, которые применяются к ним. Сведения о предоставлении привилегий в каталоге Unity см. в разделе Показать, предоставить и отозвать привилегии.
Примечание.
Эта статья относится к привилегиям каталога Unity и модели наследования в модели привилегий версии 1.0. Если вы создали хранилище метаданных каталога Unity во время общедоступной предварительной версии (до 25 августа 2022 г.), возможно, вы используете более раннюю модель привилегий, которая не поддерживает текущую модель наследования. Вы можете обновить модель привилегий до версии 1.0, чтобы получить наследование привилегий. См. раздел "Обновление до наследования привилегий".
защищаемые объекты в каталоге Unity
Защищаемый объект — это объект, определенный в хранилище метаданных каталога Unity, в котором могут быть предоставлены привилегии субъекту (пользователю, субъекту-службе или группе). Защищаемые объекты в каталоге Unity являются иерархическими.
Защищаемые объекты:
METASTORE: контейнер верхнего уровня для метаданных. Каждое хранилище метаданных каталога Unity предоставляет трехуровневое пространство имен (
catalog.schema.table), которое упорядочивает данные.При управлении привилегиями в хранилище метаданных не включайте имя хранилища метаданных в команду SQL. Каталог Unity предоставляет или отменяет привилегии на хранилище метаданных, подключенное к рабочей области. Например, следующая команда предоставляет группе с именем инженерии возможность создавать каталог в метахранилище, подключенном к рабочей области.
GRANT CREATE CATALOG ON METASTORE TO engineeringCATALOG: первый слой иерархии объектов, используемый для упорядочивания ресурсов данных. внешний каталог — это специальный тип каталога, который отражает базу данных во внешней системе данных в сценарии Lakehouse Federation.
SCHEMA: также известные как базы данных, схемы являются вторым слоем иерархии объектов и содержат таблицы и представления.
TABLE: на самом низком уровне в иерархии объектов, управляемые таблицы, внешние таблицы, внешние таблицы, потоковые таблицы, онлайн-таблицы и таблицы признаков. Общие сведения о таблицах Azure Databricks.
VIEW: объект только для чтения, созданный из запроса на одну или несколько таблиц, содержащихся в схеме.
MATERIALIZED VIEW: объект, созданный из запроса на одну или несколько таблиц, содержащихся в схеме. Его результаты отражают состояние данных при последнем обновлении.
METRIC VIEW: объект только для чтения, который определяет набор определений метрик, включая измерения и меры, основанные на одном или нескольких источниках данных, которые могут быть таблицами, представлениями или SQL-запросами. Смотрите представления метрик каталога Unity.
VOLUME: логический том неструктурированных данных. Может быть внешним (хранящимся во внешних расположениях в выбранном облачном хранилище) или управляемым (хранящимся в контейнере хранилища в облачном хранилище, которое вы создаете специально для Azure Databricks).
FUNCTION: определяемая пользователем функция или зарегистрированная модель MLflow, содержащаяся в схеме.
Модель: зарегистрированная модель MLflow — это конкретный тип функции. Модели перечислены отдельно от других функций в обозревателе каталогов, но при предоставлении привилегий для модели с помощью SQL используется
GRANT ON FUNCTION.EXTERNAL LOCATION: объект, содержащий ссылку на удостоверение хранилища и путь к облачному хранилищу, который содержится в каталоге метаданных Unity.
EXTERNAL METADATA: объект, содержащий метаданные для сущности во внешней системе, например панель мониторинга Tableau или объект Salesforce, чтобы его можно было интегрировать в пользовательские конфигурации трассировки данных. См. Собственное происхождение данных.
SERVICE CREDENTIAL: объект, инкапсулирующий долгосрочные облачные учетные данные, предоставляющие доступ к внешней службе. Содержится в хранилище метаданных каталога Unity.
STORAGE CREDENTIAL: объект, который инкапсулирует долгосрочные облачные учетные данные, предоставляющие доступ к облачному хранилищу, содержащемуся в хранилище метаданных каталога Unity.
CONNECTION: объект, указывающий путь и учетные данные для доступа к внешней системе баз данных в сценарии федерации Lakehouse.
SHARE: логическая группировка таблиц, к которым вы планируете предоставить общий доступ с помощью Delta Sharing. Доля содержится в метахранилище каталога Unity.
ПОЛУЧАТЕЛЬ: объект, определяющий организацию или группу пользователей, с которыми можно делиться данными с помощью Delta Sharing. Эти объекты содержатся в хранилище метаданных каталога Unity.
ПОСТАВЩИК: объект, который представляет организацию, предоставившую доступ к данным для совместного использования посредством Delta Sharing. Эти объекты содержатся в хранилище метаданных каталога Unity.
CLEAN ROOM: объект, представляющий безопасную и безопасную среду защиты конфиденциальности, управляемую Databricks, где несколько сторон могут работать без прямого доступа к данным друг друга.
Типы привилегий по объектам, подлежащим защите, в каталоге Unity
В следующей таблице перечислены типы привилегий, которые применяются к каждому защищаемому объекту в каталоге Unity. Сведения о предоставлении привилегий в каталоге Unity см. в разделе Показать, предоставить и отозвать привилегии.
| Защищаемый | Привилегии |
|---|---|
| Хранилище мета-данных |
CREATE CATALOG, CREATE CLEAN ROOM, CREATE CONNECTION, CREATE EXTERNAL LOCATION, CREATE EXTERNAL METADATA, CREATE PROVIDER, CREATE RECIPIENT, CREATE SHARE, CREATE SERVICE CREDENTIAL, CREATE STORAGE CREDENTIAL, SET SHARE PERMISSION, USE MARKETPLACE ASSETS, USE PROVIDER, USE RECIPIENT, USE SHARE |
| Каталог |
ALL PRIVILEGES, , APPLY TAGBROWSE, CREATE SCHEMAUSE CATALOGВсе пользователи по умолчанию имеют USE CATALOG в каталоге main.Следующие типы привилегий применяются к защищаемым объектам в каталоге. Эти привилегии можно предоставить на уровне каталога, чтобы применить их к текущим и будущим объектам в каталоге. CREATE FUNCTION, CREATE TABLECREATE MATERIALIZED VIEWCREATE MODELCREATE VOLUMEEXTERNAL USE SCHEMAREAD VOLUMEREFRESHWRITE VOLUMEEXECUTEMANAGEMODIFYSELECTUSE SCHEMA |
| Схема |
ALL PRIVILEGES, APPLY TAG, CREATE FUNCTIONCREATE TABLECREATE MODELCREATE VOLUMECREATE MATERIALIZED VIEWMANAGEEXTERNAL USE SCHEMAUSE SCHEMAСледующие типы привилегий применяются к защищаемым объектам в схеме. Эти привилегии можно предоставить на уровне схемы, чтобы применить их к текущим и будущим объектам в схеме. EXECUTE, , MODIFYREAD VOLUMEREFRESHSELECT,WRITE VOLUME |
| Стол |
ALL PRIVILEGES, , APPLY TAGMANAGE, MODIFYSELECT |
| Материализованное представление |
ALL PRIVILEGES, , APPLY TAGMANAGE, REFRESHSELECT |
| Просмотр |
ALL PRIVILEGES
APPLY TAG
MANAGE
SELECT
|
| Громкость |
ALL PRIVILEGES
MANAGE
READ VOLUME
WRITE VOLUME
|
| Внешнее расположение |
ALL PRIVILEGES, BROWSECREATE EXTERNAL TABLECREATE EXTERNAL VOLUMECREATE FOREIGN SECURABLEMANAGEREAD FILESWRITE FILESCREATE MANAGED STORAGE |
| Внешние метаданные |
ALL PRIVILEGES
BROWSE
MANAGE
MODIFY
|
| Учетные данные службы |
ALL PRIVILEGES, , ACCESSCREATE CONNECTIONMANAGE. |
| Учетные данные хранилища |
ALL PRIVILEGES, , CREATE EXTERNAL LOCATIONCREATE EXTERNAL TABLEMANAGEREAD FILES,WRITE FILES |
| Соединение |
ALL PRIVILEGES
CREATE FOREIGN CATALOG
MANAGE
USE CONNECTION
|
| Функция |
ALL PRIVILEGES, APPLY TAG (только модели), EXECUTE, MANAGE, CREATE MODEL VERSION (только модели) |
| Процедура |
ALL PRIVILEGES, , EXECUTEMANAGE |
| Модель | Зарегистрированные модели — это тип функции. |
| Поделиться |
SELECT (может быть предоставлено RECIPIENT) |
| Получатель | Нет |
| Поставщик | Нет |
| Чистая комната |
ALL PRIVILEGES, , BROWSEEXECUTE CLEAN ROOM TASK, MANAGEMODIFY CLEAN ROOM |
Типы привилегий в каталоге Unity
В этом разделе содержатся сведения о типах привилегий, которые обычно применяются к каталогу Unity. Сведения о предоставлении привилегий в каталоге Unity см. в разделе Показать, предоставить и отозвать привилегии.
ВСЕ ПРИВИЛЕГИИ
Применимые типы объектов: CATALOG, EXTERNAL LOCATION, EXTERNAL METADATAFUNCTIONSCHEMASERVICE CREDENTIALSTORAGE CREDENTIAL(включая модели), PROCEDURE, , TABLEMATERIALIZED VIEWVIEW,VOLUME
Используется для предоставления или отзыва всех привилегий, применимых к защищаемому объекту и его дочерним объектам без явного указания их.
Если ALL PRIVILEGES предоставляется для объекта, это не даёт пользователю каждую применимую привилегию в момент предоставления. Вместо этого он расширяется до всех доступных привилегий при проверке разрешений. Это означает, что когда Databricks выпускает новые привилегии и охраняемые объекты, существующий ALL PRIVILEGES автоматически включает любые новые привилегии, применимые к охраняемому объекту, его существующим дочерним объектам, а также к любым новым дочерним объектам.
Когда ALL PRIVILEGES привилегия отзывается, привилегия ALL PRIVILEGES и любые явные привилегии, предоставленные пользователю на объекте, также отзываются.
Чтобы избежать случайной утечки данных или эскалации привилегий, ALL PRIVILEGES не включает привилегию EXTERNAL USE SCHEMA или привилегию MANAGE.
Примечание.
Эта привилегия эффективна при применении на более высоких уровнях в иерархии. Например, GRANT ALL PRIVILEGES ON CATALOG main TO analysts предоставляет группе аналитиков все существующие и будущие привилегии для каждого существующего и будущего защищаемого объекта в каталоге.
ДОСТУП
Применимые типы объектов: SERVICE CREDENTIAL
Позволяет пользователю использовать учетные данные службы для доступа к внешней службе или службам.
ПРИМЕНЕНИЕ ТЕГА
Применимые типы объектов: CATALOG, SCHEMA, TABLEVOLUME, MATERIALIZED VIEW, VIEWмодели, зарегистрированные в качествеFUNCTION
Позволяет пользователю добавлять и изменять теги в объекте. Предоставление APPLY TAG таблице или представлению также позволяет использовать метки столбцов. Предоставление APPLY TAG зарегистрированной модели также позволяет добавлять теги версиям модели.
Пользователь также должен иметь права USE CATALOG в родительском каталоге и USE SCHEMA в родительской схеме.
Чтобы применить управляемый тег к защищаемым объектам каталога Unity, необходимо также иметь разрешение ASSIGN для политики тегов. См. раздел "Управление разрешениями политики тегов".
ОБЗОР
Применимые типы объектов: CATALOG, CLEAN ROOM, EXTERNAL METADATAEXTERNAL LOCATION
Позволяет пользователю просматривать данные о данных объекта с помощью обозревателя каталогов, браузера схем, результатов поиска, графа происхождения, information_schema, и REST API.
Пользователю не требуется привилегия USE CATALOG на родительский каталог или USE SCHEMA на родительскую схему.
Все пользователи по умолчанию получают привилегии BROWSE на новых каталогах, созданных с помощью Catalog Explorer. Вы можете отозвать привилегию, если вы предпочитаете. Каталоги, созданные с помощью инструкций SQL, REST API или интерфейса командной строки Databricks, по умолчанию не предоставляют права BROWSE. Вы должны предоставить его открыто.
Примечание.
Пользователи с привилегиями только для объекта имеют ограниченные BROWSE возможности для изучения метаданных с помощью SQL.
CREATE CATALOG
Применимые типы объектов: хранилище метаданных каталога Unity
Позволяет пользователю создавать каталог в хранилище метаданных каталога Unity. Чтобы создать внешний каталог, необходимо также иметь права CREATE FOREIGN CATALOG для подключения, содержащего внешний каталог или хранилище метаданных.
СОЗДАНИЕ ЧИСТОЙ КОМНАТЫ
Применимые типы объектов: хранилище метаданных каталога Unity
Позволяет пользователю создать чистую комнату для безопасной совместной работы над проектами с другими организациями без предоставления общего доступа к базовым данным.
CREATE CONNECTION
Применимые типы объектов: хранилище метаданных каталога Unity, SERVICE CREDENTIAL
Позволяет пользователю создать подключение к внешней базе данных в сценарии федерации Lakehouse. Чтобы использовать учетные данные службы для создания подключения, пользователь должен иметь эту привилегию как в хранилище метаданных, так и на учетных данных службы.
CREATE EXTERNAL LOCATION
Применимые типы объектов: хранилище метаданных каталога Unity, STORAGE CREDENTIAL
Чтобы создать внешнее расположение, пользователь должен иметь эту привилегию как в метахранилище, так и в учетных данных хранилища, на которые ссылается внешнее расположение.
СОЗДАНИЕ ВНЕШНИХ МЕТАДАННЫХ
Применимые типы объектов: хранилище метаданных каталога Unity
Позволяет пользователю создавать внешние метаданные, которые можно защищать для использования в настраиваемом происхождении. Чтобы добавить связи происхождения во внешний объект метаданных, у пользователя должно быть право MODIFY на внешний объект метаданных, а также права на объект каталога Unity, с которым они указывают связь.
СОЗДАТЬ ВНЕШНИЙ TABLE
Применимые типы объектов: EXTERNAL LOCATION, STORAGE CREDENTIAL
Позволяет пользователю создавать внешние таблицы непосредственно в вашем облачном арендаторе с использованием внешнего расположения или учетных данных хранилища. Databricks рекомендует предоставлять эту привилегию для внешнего расположения, а не для учетных данных хранения (так как она ограничена определённым путем, это позволяет получить более полный контроль над тем, где пользователи могут создавать внешние таблицы в вашем облачном тенанте).
СОЗДАНИЕ ВНЕШНЕГО ТОМА
Применимые типы объектов: EXTERNAL LOCATION
Позволяет пользователю создавать внешние тома с использованием внешнего носителя.
CREATE FOREIGN CATALOG
Применимые типы объектов: CONNECTION
Позволяет пользователю создавать внешние каталоги с помощью подключения к внешней базе данных в сценарии федерации Lakehouse.
СОЗДАНИЕ ВНЕШНЕГО ЗАЩИЩАЕМОГО ОБЪЕКТА
Применимые типы объектов: EXTERNAL LOCATION
Позволяет пользователю, создающему внешний каталог, указать авторизованные пути, охваченные внешним расположением.
Пользователь также должен иметь CREATE CATALOG на хранилище метаданных Unity Catalog и CREATE FOREIGN CATALOG на подключении.
CREATE FUNCTION
Применимые типы объектов: SCHEMA
Позволяет пользователю создавать функцию или процедуру в схеме. Так как привилегии наследуются, CREATE FUNCTION также можно предоставить в каталоге, что позволяет пользователю создавать функцию или процедуру в любой существующей или будущей схеме в каталоге.
Пользователь также должен иметь права USE CATALOG в родительском каталоге и USE SCHEMA в родительской схеме.
СОЗДАТЬ МОДЕЛЬ
Применимые типы объектов: SCHEMA
Позволяет пользователю создавать зарегистрированную модель MLflow (которая является типом FUNCTION) в схеме. Так как привилегии наследуются, CREATE MODEL также можно предоставить на уровне каталога, что позволяет пользователю создавать зарегистрированную модель в любой существующей или будущей схеме в каталоге.
Пользователь также должен иметь права USE CATALOG в родительском каталоге и USE SCHEMA в родительской схеме.
СОЗДАНИЕ ВЕРСИИ МОДЕЛИ
Применимые типы объектов: MODEL
Позволяет пользователю зарегистрировать новую версию зарегистрированной модели MLflow (которая является типом FUNCTION). Не предоставляет пользователю разрешение на выполнение, изменение или добавление тегов в версию модели.
Пользователь также должен иметь права USE CATALOG в родительском каталоге и USE SCHEMA в родительской схеме.
СОЗДАНИЕ УПРАВЛЯЕМОГО ХРАНИЛИЩА
Применимые типы объектов: EXTERNAL LOCATION
Позволяет пользователю указать расположение для хранения управляемых таблиц на уровне каталога или схемы, переопределяя корневое хранилище по умолчанию для хранилища метаданных.
CREATE SCHEMA
Применимые типы объектов: CATALOG
Позволяет пользователю создавать схему. Пользователь также должен иметь привилегию USE CATALOG в каталоге.
СОЗДАНИЕ УЧЕТОЧНЫХ ДАННЫХ ДЛЯ СЕРВИСА
Применимые типы объектов: хранилище метаданных каталога Unity
Позволяет пользователю создавать учетные данные службы в хранилище метаданных каталога Unity.
СОЗДАНИЕ УЧЕТНЫХ ДАННЫХ ХРАНИЛИЩА
Применимые типы объектов: хранилище метаданных каталога Unity
Позволяет пользователю создавать учетные данные хранения в хранилище метаданных каталога Unity.
CREATE TABLE
Применимые типы объектов: SCHEMA
Позволяет пользователю создавать таблицу или представление в схеме. Так как привилегии наследуются, CREATE TABLE также можно предоставить в каталоге, что позволяет пользователю создавать таблицу или представление в любой существующей или будущей схеме в каталоге.
Пользователь также должен иметь привилегии USE CATALOG в родительском каталоге и USE SCHEMA в родительской схеме.
CREATE MATERIALIZED VIEW
Применимые типы объектов: SCHEMA
Позволяет пользователю создать материализованное представление в схеме. Так как привилегии наследуются, CREATE MATERIALIZED VIEW также можно предоставить в каталоге, что позволяет пользователю создавать таблицу или представление в любой существующей или будущей схеме в каталоге.
Пользователь также должен иметь привилегии USE CATALOG в родительском каталоге и USE SCHEMA в родительской схеме.
CREATE VOLUME
Применимые типы объектов: SCHEMA
Позволяет пользователю создавать том в схеме данных. Поскольку привилегии наследуются, CREATE VOLUME также может быть предоставлено в каталоге, что позволяет пользователю создавать том в любой существующей или будущей схеме внутри каталога.
Пользователь также должен иметь USE CATALOG привилегию в родительском каталоге тома и USE SCHEMA привилегию в родительской схеме.
Выполнять
Применимые типы объектов: FUNCTION, модель
Позволяет пользователю вызывать функцию, определенную пользователем, или загружать модель для проведения инференса, если у пользователя также есть роль USE CATALOG в родительском каталоге и роль USE SCHEMA в родительской схеме. Для функций EXECUTE предоставляет возможность просматривать определение и метаданные функции. Для зарегистрированных моделей EXECUTE предоставляет возможность просматривать метаданные для всех версий зарегистрированной модели и загружать файлы моделей.
Так как привилегии наследуются, вы можете предоставить пользователю привилегию EXECUTE в каталоге или схеме, которая автоматически предоставляет пользователю привилегию EXECUTE для всех текущих и будущих функций в каталоге или схеме.
ВЫПОЛНЕНИЕ ЗАДАНИЯ "ОЧИСТКА КОМНАТЫ"
Применимые типы объектов: CLEAN ROOM
Позволяет пользователю выполнять задачи (записные книжки) в чистом помещении. Кроме того, пользователь может просматривать сведения о чистом помещении.
ВНЕШНИЕ USE SCHEMA
Применимые типы объектов: SCHEMA
Позволяет пользователю получить временные учетные данные для доступа к таблицам Unity Catalog из внешнего обработчика данных с помощью API интерфейсов с открытым доступом для Unity Catalog или REST API Iceberg.
Только владелец каталога может предоставить этому привилегию.
Чтобы избежать случайного кражи данных, ALL PRIVILEGES не включает привилегию EXTERNAL USE SCHEMA, а владельцы схем по умолчанию не имеют этой привилегии.
См. раздел Включение доступа к внешним данным в каталоге Unity.
УПРАВЛЯТЬ
Применимые типы объектов: CATALOG, EXTERNAL LOCATION, EXTERNAL METADATAFUNCTIONSCHEMASERVICE CREDENTIALSTORAGE CREDENTIAL(включая модели), CONNECTION, , , MATERIALIZED VIEWVIEW,VOLUMETABLECLEAN ROOM
Внимание
Эта функция предоставляется в режиме общедоступной предварительной версии.
Позволяет пользователю просматривать привилегии и управлять ими, передавать права владения, удалять и переименовать объект.
MANAGE похож на владение объектом, но пользователи с привилегией MANAGE не получают автоматически все привилегии этого объекта (однако они могут предоставить себе привилегии).
Пользователь также должен иметь USE CATALOG привилегии на родительский каталог объекта и USE SCHEMA привилегии на родительскую схему.
ALL PRIVILEGES не включает привилегию MANAGE
УПРАВЛЕНИЕ СПИСКОМ РАЗРЕШЕННЫХ АДРЕСОВ
Применимые типы объектов: хранилище метаданных каталога Unity
Позволяет пользователю добавлять или изменять пути для скриптов инициализации, JAR-файлов и координат Maven в списке разрешений, который управляет кластерами с поддержкой Unity Catalog в стандартном режиме доступа. См. библиотеки допустимых списков и скрипты инициализации для вычислений в стандартном режиме доступа (ранее называвшегося режимом общего доступа).
ИЗМЕНИТЬ
Применимые типы объектов: EXTERNAL METADATA, TABLE
Позволяет пользователю добавлять, обновлять и удалять данные в таблице или из нее, если у него также есть SELECT для таблицы, а также USE CATALOG для родительского каталога и USE SCHEMA для родительской схемы.
Так как привилегии наследуются, вы можете предоставить пользователю привилегию MODIFY в каталоге или схеме, которая автоматически предоставляет пользователю права MODIFY привилегии для всех текущих и будущих таблиц в каталоге или схеме.
Примечание.
MODIFY нельзя предоставить для внешней таблицы, так как внешние таблицы доступны только для чтения.
ИЗМЕНИТЬ ЧИСТУЮ КОМНАТУ
Применимые типы объектов: CLEAN ROOM
Позволяет пользователю обновлять чистую комнату, включая добавление и удаление ресурсов данных, добавление и удаление записных книжек и обновление комментариев. Кроме того, пользователь может просматривать сведения о чистом помещении.
ЧИТАТЬ ФАЙЛЫ
Применимые типы объектов: EXTERNAL LOCATION
READ FILES позволяет пользователю считывать файлы непосредственно из облачного хранилища объектов, настроенного как внешнее расположение. Databricks не рекомендует эту практику. Вместо этого следует управлять доступом на чтение к данным в облачном хранилище объектов с помощью томов и привилегий READ VOLUME . Дополнительные рекомендации см. в разделе "Внешние расположения".
ЧТЕНИЕ ОБЪЕМА
Применимые типы объектов: VOLUME
Позволяет пользователю читать файлы и каталоги, хранящиеся в томе, если у пользователя также имеются права USE CATALOG в родительском каталоге и USE SCHEMA в родительской схеме.
Привилегии наследуются. Когда вы можете предоставить пользователю привилегию READ VOLUME в каталоге или схеме, вы автоматически предоставляете ему привилегию READ VOLUME на все текущие и будущие тома в этом каталоге или схеме.
REFRESH
Применимые типы объектов: MATERIALIZED VIEW
Позволяет пользователю обновить материализованное представление, если у пользователя также есть USE CATALOG в родительском каталоге и USE SCHEMA в родительской схеме.
Привилегии наследуются. При предоставлении пользователю привилегии REFRESH в каталоге или схеме, ему автоматически предоставляется привилегия REFRESH на все текущие и будущие материализованные представления в этом каталоге или схеме.
SELECT
Применимые типы объектов: TABLE, VIEW, MATERIALIZED VIEWSHARE
При применении к таблице или представлению пользователь имеет доступ к таблице или представлению, если он также имеет USE CATALOG в родительском каталоге и USE SCHEMA в родительской схеме. При применении к общей папке получатель может выбрать из общей папки.
Так как привилегии наследуются, вы можете предоставить пользователю привилегию SELECT в каталоге или схеме, которая автоматически предоставляет пользователю SELECT привилегии для всех текущих и будущих таблиц, а также представлений в каталоге или схеме.
USE CATALOG
Применимые типы объектов: CATALOG
Эта привилегия не предоставляет доступ к самому каталогу, но требуется для взаимодействия пользователя с любым объектом в каталоге. Например, чтобы выбрать данные из таблицы, пользователям необходимо иметь привилегии SELECT для этой таблицы, USE CATALOG привилегии для родительского каталога, а также USE SCHEMA привилегии для родительской схемы.
Это полезно для того, чтобы владельцы каталога могли ограничивать уровень, до которого отдельные схемы и владельцы таблиц могут предоставлять общий доступ к данным, которые они производят. Например, владелец таблицы, предоставляющий SELECT другому пользователю, не разрешает доступ пользователя на чтение к таблице, пока им также не были предоставлены привилегии USE CATALOG на родительский каталог, а также привилегии USE SCHEMA на родительскую схему.
Привилегия USE CATALOG родительского каталога не требуется для чтения метаданных объекта, если у пользователя есть BROWSE привилегии в этом каталоге.
ИСПОЛЬЗОВАНИЕ ПОДКЛЮЧЕНИЯ
Применимые типы объектов: CONNECTION
Позволяет пользователю перечислять и просматривать сведения о подключениях к внешней базе данных в сценарии федерации Lakehouse. Чтобы создать внешние каталоги для подключения, необходимо иметь CREATE FOREIGN CATALOG на подключении или обладать правами владельца подключения.
USE SCHEMA
Применимые типы объектов: SCHEMA
Эта привилегия не предоставляет доступ к самой схеме, но требуется для взаимодействия пользователя с любым объектом в схеме. Например, чтобы выбрать данные из таблицы, пользователям необходимо иметь права SELECT для этой таблицы и USE SCHEMA на родительской схеме, а также USE CATALOG в родительском каталоге.
Так как привилегии наследуются, вы можете предоставить пользователю привилегию USE SCHEMA в каталоге, которая автоматически предоставляет пользователю привилегию USE SCHEMA для всех текущих и будущих схем в каталоге.
Это полезно для того, чтобы владельцы схем ограничивали, насколько далеко отдельные владельцы таблиц могут совместно использовать данные, которые они производят. Например, владелец таблицы, предоставляющий SELECT другому пользователю, не разрешает этому пользователю читать таблицу, если ему также не предоставили привилегии USE SCHEMA для родительской схемы и привилегии USE CATALOG для родительского каталога.
Привилегия USE SCHEMA родительской схемы не требуется для чтения метаданных объекта, если пользователь имеет BROWSE привилегию в родительском каталоге этой схемы.
ЗАПИСАТЬ ФАЙЛЫ
Применимые типы объектов: EXTERNAL LOCATION
Databricks рекомендует управлять доступом на запись к данным в облачном хранилище объектов с помощью томов и привилегий WRITE VOLUME .
WRITE FILES позволяет пользователю записывать файлы непосредственно в облачное хранилище объектов, настроенное как внешнее местоположение. Дополнительные сведения см. в разделе "Управляемые и внешние тома".
Выполнить запись тома
Применимые типы объектов: VOLUME
Позволяет пользователю добавлять, удалять или изменять файлы и каталоги, хранящиеся в томе, в случае, если у пользователя есть USE CATALOG в родительском каталоге и USE SCHEMA в родительской схеме.
Привилегии наследуются. Когда вы можете предоставить пользователю привилегию WRITE VOLUME в каталоге или схеме, вы автоматически предоставляете ему привилегию WRITE VOLUME на все текущие и будущие тома в этом каталоге или схеме.
Типы привилегий, которые применяются только к Delta Sharing или Databricks Marketplace
В этом разделе содержатся сведения о типах привилегий, которые применяются только к delta Sharing.
СОЗДАТЬ ПРОВАЙДЕРА
Применимые типы объектов: хранилище метаданных каталога Unity
Позволяет пользователю создать объект поставщика Delta Sharing в хранилище метаданных. Поставщик определяет организацию или группу пользователей, которые использовали Delta Sharing для передачи данных. Создание поставщика выполняется пользователем в учетной записи Databricks получателя. См. раздел "Что такое Delta Sharing?".
CREATE RECIPIENT
Применимые типы объектов: хранилище метаданных каталога Unity
Позволяет пользователю создавать объект получателя Delta Sharing в хранилище метаданных. Получатель определяет организацию или группу пользователей, с которыми могут передаваться данные с помощью Delta Sharing. Создание получателя осуществляется пользователем в аккаунте Databricks у поставщика. См. раздел "Что такое Delta Sharing?".
CREATE SHARE
Применимые типы объектов: хранилище метаданных каталога Unity
Позволяет пользователю создать раздел в хранилище метаданных. Доля — это логическая группировка для таблиц, которыми вы планируете делиться с использованием Delta Sharing.
SET ПРАВА ОБЩЕГО ДОСТУПА
Применимые типы объектов: хранилище метаданных каталога Unity
В Delta Sharing эта привилегия в сочетании с USE SHARE и USE RECIPIENT (или владением получателем) предоставляет пользователю-поставщику возможность предоставлять получателю доступ к ресурсу. В сочетании с USE SHARE предоставляется возможность передавать владение долей другому пользователю, группе или принципалу услуги.
ИСПОЛЬЗОВАНИЕ РЕСУРСОВ MARKETPLACE
Применимые типы объектов: хранилище метаданных каталога Unity
Включен по умолчанию для всех хранилищ метаданных каталога Unity. В Databricks Marketplace эта привилегия дает пользователю возможность получать мгновенный доступ или запрашивать доступ к продуктам данных, размещённым в Databricks Marketplace. Он также позволяет пользователю получить доступ к каталогу только для чтения, который создается при совместном использовании поставщиком продукта данных. Без этой привилегии пользователю потребуются привилегии CREATE CATALOG и USE PROVIDER или роль администратора хранилища метаданных. Это позволяет ограничить количество пользователей этими мощными разрешениями.
ИСПОЛЬЗУЙТЕ ПОСТАВЩИКА
Применимые типы объектов: хранилище метаданных каталога Unity
Delta Sharing предоставляет пользователю-получателю доступ только для чтения ко всем провайдерам в хранилище метаданных получателя и их общим данным. В сочетании с привилегией CREATE CATALOG эта привилегия позволяет пользователю-получателю, который не является администратором хранилища метаданных, монтировать общую папку в качестве каталога. Это позволяет ограничить количество пользователей с помощью мощной роли администратора хранилища метаданных.
ИСПОЛЬЗОВАТЬ ПОЛУЧАТЕЛЯ
Применимые типы объектов: хранилище метаданных каталога Unity
В Delta Sharing дает пользователю-поставщику доступ только для чтения ко всем получателям в метахранилище поставщика и их долям. Это позволяет пользователю поставщика, который не является администратором хранилища метаданных, просматривать сведения о получателе, состояние проверки подлинности получателя и список общих папок, которым поставщик предоставил общий доступ получателю.
В Databricks Marketplace это дает пользователям возможность просматривать списки и запросы потребителей в консоли поставщика.
ИСПОЛЬЗУЙТЕ ДОЛЮ
Применимые типы объектов: хранилище метаданных каталога Unity
В Delta Sharing пользователю поставщика предоставляется доступ только для чтения ко всем долям, определенным в хранилище метаданных поставщика. Это позволяет пользователю из числа поставщиков, который не является администратором хранилища метаданных, перечислять доли и активы (таблицы и записные книжки) в долях, а также их получателей.
В Databricks Marketplace это дает пользователям возможность просматривать сведения о данных, предоставляемых в списке.