Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
На этой странице описаны все защищаемые объекты в каталоге Unity. Защищаемый объект — это объект, определенный в каталоге Unity, для которого привилегии могут быть предоставлены субъекту (пользователю, субъекту-службе или группе).
Иерархия объектов каталога Unity
Защищаемые объекты в каталоге Unity являются иерархическими. Эта иерархическая структура предоставляет основу для управления доступом в каталоге Unity.
Хранилище метаданных — это защищаемый объект верхнего уровня. В этом хранилище метаданных ресурсы данных живут в трехуровневом пространстве имен, определяющем его каталог, схему и тип ресурса, например таблицу (catalog.schema.table). На следующей схеме выделены эти защищаемые объекты.
На предыдущей схеме показана следующая схема:
-
Каталоги — это уровень верхнего уровня для ресурсов данных. Каталоги существуют непосредственно в хранилище метаданных. Они используются для упорядочивания ресурсов данных и ИИ, как правило, по подразделениям или областям жизненного цикла разработки программного обеспечения.
-
Схемы существуют в каталогах. Они упорядочивают ресурсы данных и ИИ в категории, которые более детализируются, чем каталоги. Схема может представлять один вариант использования, проект или песочницу команды.
- Таблицы — это коллекции структурированных данных, упорядоченных по строкам и столбцам.
- Представления сохраняются в запросах к другим таблицам или представлениям.
- Тома представляют коллекции неструктурированных данных в облачном хранилище объектов.
- Функции — это единицы многократно используемых логики, возвращающие скалярное значение или набор строк.
- Модели — это модели ИИ, упакованные с помощью MLflow и зарегистрированные в каталоге Unity в качестве функций.
-
Схемы существуют в каталогах. Они упорядочивают ресурсы данных и ИИ в категории, которые более детализируются, чем каталоги. Схема может представлять один вариант использования, проект или песочницу команды.
В каталоге Unity также есть много других защищаемых объектов. Все эти объекты существуют непосредственно в хранилище метаданных. На следующей схеме выделены эти защищаемые объекты.
Эти защищаемые объекты можно разделить на две группы. Первая группа включает объекты, которые управляют доступом к облачному хранилищу и другим внешним источникам данных и службам:
- Учетные данные хранилища — это объекты, представляющие сведения о проверке подлинности, необходимые для доступа к определенному пути в облачном хранилище.
- Внешние расположения — это объекты, представляющие определенный путь в облачном хранилище. Она также содержит ссылку на учетные данные хранилища, необходимые для доступа к такому пути.
- Внешний объект метаданных используется для определения пользовательских связей происхождения данных для систем, работающих за пределами каталога Unity.
- Учетные данные службы — это объекты, представляющие сведения о проверке подлинности, необходимые для доступа к внешним облачным службам.
- Подключения — это объекты, представляющие подключение к внешней системе базы данных.
Вторая группа включает объекты, которые управляют доступом к данным и ресурсам искусственного интеллекта через хранилище метаданных или границы организации:
- Общие папки представляют собой объекты, представляющие логическую группирование ресурсов данных, которые вы планируете совместно использовать с внешними получателями.
- Поставщики — это объекты, представляющие внешнюю организацию или группу пользователей с общими данными в организации.
- Получатели — это объекты, представляющие внешнюю организацию или группу пользователей, с которыми поставщик предоставляет доступ к данным.
- Чистые комнаты — это объекты, представляющие безопасную среду для совместной работы с другими организациями без предоставления базовых данных.
В следующих разделах подробно описан каждый защищаемый объект.
Метастор
Хранилище метаданных — это защищаемый объект верхнего уровня в каталоге Unity. Хранилище метаданных содержит все защищаемые объекты, зарегистрированные в каталоге Unity в одном облачном регионе. Эти объекты включают не только каталоги, которые упорядочивают данные, но и объекты, управляющие доступом к данным и общим доступом, например учетными данными службы, учетными данными хранения, внешними расположениями, подключениями, общими папками, получателями, поставщиками и чистыми комнатами.
В следующей таблице приведены важные сведения о хранилище метаданных.
| Detail | Описание |
|---|---|
| Объем | Хранилище метаданных распространяется на один облачный регион. Для организации требуется одно хранилище метаданных для каждого региона, в котором она работает. Одно хранилище метаданных может быть присоединено к нескольким рабочим областям в одном регионе. Разрешения, предоставленные в хранилище метаданных, применяются ко всем рабочим областям, подключенным к хранилищу метаданных. Другими словами, привилегия, предоставленная в одной рабочей области, действует во всех других рабочих областях, совместно использующих хранилище метаданных. |
| Привилегии хранилища метаданных | Привилегии хранилища метаданных разрешают операции на уровне хранилища метаданных. Например, CREATE CATALOG пользователь может создать каталог в хранилище метаданных. Однако это не предоставляет пользователю доступ к данным в каталоге. Полный список применимых привилегий см. в таблице типов привилегий.Важно, что привилегии, предоставленные на уровне хранилища метаданных, не наследуются дочерним объектам в иерархии. Предоставление разрешений на уровне хранилища метаданных распространяется только на операции на уровне хранилища метаданных. Это отличается от поведения наследования привилегий для предоставления каталога и схем, где унаследованные привилегии автоматически применяются ко всем текущим и будущим дочерним объектам. См. наследование привилегий. |
| Администраторы хранилища метаданных | Администратор хранилища метаданных является необязательной ролью в Azure Databricks. Он назначается администраторами учетных записей. Некоторые возможности доступны только администраторам хранилища метаданных, включая удаление хранилища метаданных, управление назначениями рабочей области и владение любым объектом в хранилище метаданных, что дает косвенный доступ ко всем данным в хранилище метаданных. Эти возможности нельзя предоставить через стандартные гранты привилегий. См. Администраторы Metastore. Если рабочая область включена для каталога Unity автоматически, администраторы рабочих областей получают набор привилегий на уровне хранилища метаданных по умолчанию, включая CREATE CATALOGи . CREATE STORAGE CREDENTIALCREATE EXTERNAL LOCATION Они не передаются в другие рабочие области, подключенные к тому же хранилищу метаданных. Ознакомьтесь с правами администратора рабочей области , если рабочие области автоматически включены для Unity Catalog. |
Каталог
В хранилище метаданныхкаталог является первым и самым высоким уровнем для ресурсов данных. Каталоги — это объекты контейнеров. Каталог содержит схемы, которые, в свою очередь, содержат таблицы, представления, тома и функции.
Мы часто ссылаемся на пространство имен трехуровневого уровня (catalog.schematable) для данных в каталоге Unity. Здесь каталог является первым слоем трехуровневого пространства имен.
В следующей таблице приведены важные сведения о каталогах:
| Detail | Описание |
|---|---|
| Наследство | Привилегии, предоставляемые в каталоге, автоматически применяются ко всем текущим и будущим схемам, таблицам, представлениям, томам и функциям в нем. Например, предоставление SELECT каталога позволяет пользователю читать любую таблицу в этом каталоге (с соответствующими USE CATALOGUSE SCHEMAпривилегиями использования). См. наследование привилегий.Из-за наследования привилегии уровня каталога являются широкими. Будьте осторожны при предоставлении им пользователям. |
Привилегии использования (USE CATALOG) |
Привилегия USE CATALOGна использование требуется, прежде чем пользователь сможет взаимодействовать с любым объектом в каталоге. Это независимо от того, какие привилегии они удерживают на дочерних объектах. |
Привилегия BROWSE |
Предоставление BROWSE пользователю привилегий в каталоге позволяет им обнаруживать и просматривать метаданные для всех объектов каталога, включая дочерние схемы, таблицы, представления, тома и функции без предоставления доступа к данным.
BROWSE можно предоставить только на уровне каталога.Databricks рекомендует предоставить BROWSEAll account users группе, чтобы пользователи могли обнаруживать данные и запрашивать доступ по мере необходимости. |
| Привязка рабочей области | По умолчанию каталог доступен из всех рабочих областей, подключенных к одному хранилищу метаданных. Это можно ограничить, привязав каталог к определенным рабочим областям, при необходимости как только для чтения. Привязка рабочей области заменяет предоставление отдельных привилегий. Даже пользователь с явным SELECT предоставлением не может получить доступ к объекту в каталоге, который не привязан к своей рабочей области. См. раздел "Ограничить доступ к каталогам" для определенных рабочих областей. |
Дополнительные сведения о каталогах см. в статье "Что такое каталоги в Azure Databricks?".
Схема
В каталогесхема (также называемая базой данных) является вторым слоем иерархии объектов для ресурсов данных. Схемы — это объекты-контейнеры. Схема содержит таблицы, представления, тома и функции.
Мы часто ссылаемся на пространство имен трех уровней (то есть catalog.schema.table) для данных в каталоге Unity. Здесь схема является вторым слоем трехуровневого пространства имен.
В следующей таблице приведены важные сведения о схемах:
| Detail | Описание |
|---|---|
| Наследство | Привилегии, предоставленные схеме, автоматически применяются ко всем текущим и будущим таблицам, представлениям, томам и функциям в ней. Например, предоставление SELECT схемы позволяет пользователю читать любую таблицу в этой схеме (с соответствующими USE CATALOGUSE SCHEMAпривилегиями использования). См. наследование привилегий.Из-за наследования привилегии уровня схемы могут быть широкими. Проверьте, какие объекты содержатся в схеме, прежде чем предоставлять права пользователям. |
Привилегии использования (USE SCHEMA) |
Привилегия USE SCHEMAна использование требуется, прежде чем пользователь сможет взаимодействовать с любым объектом в схеме. Это в дополнение к USE CATALOG родительскому каталогу схемы. Грант USE SCHEMA сам по себе не предоставляет доступ к данным в схеме. |
Дополнительные сведения о схемах см. в разделе "Схемы".
таблица
В схеметаблица является основным защищаемым объектом для структурированных данных в каталоге Unity. Ниже приведены типы таблиц в Azure Databricks:
- Управляемые таблицы — это таблицы, в которых путь к расположению хранилища определяется каталогом Unity. Важно, что сами данные по-прежнему находятся в облачной учетной записи. Databricks рекомендует использовать управляемые таблицы для использования новейших функций таблицы. См. таблицы под управлением каталога Unity в Azure Databricks для Delta Lake и Apache Iceberg.
- Внешние таблицы — это таблицы, в которых указывается путь к расположению хранилища. Каталог Unity продолжает управлять метаданными таблицы, но не управляет жизненным циклом данных, оптимизацией, расположением хранилища или макетом. См. статью " Работа с внешними таблицами".
- Внешние таблицы — это таблицы из внешнего каталога, зарегистрированного в каталоге Unity. См. статью "Работа с внешними таблицами".
В следующей таблице приведены важные сведения о таблицах:
| Detail | Описание |
|---|---|
| Привилегии использования | Чтобы получить доступ к таблице, пользователь должен иметь USE CATALOG в родительском каталоге и USE SCHEMA родительской схеме (привилегии использования) в дополнение к соответствующим привилегиям на уровне таблицы, таким как SELECT или MODIFY. |
| Наследство | Привилегии таблицы можно наследовать от родительской схемы или каталога. Например, предоставление SELECT схемы автоматически предоставляет SELECT все текущие и будущие таблицы в этой схеме. См. наследование привилегий. |
| Доступ на чтение и запись | Используйте SELECT для предоставления доступа на чтение и MODIFY предоставления доступа на запись (вставка, обновление, удаление). Внешние таблицы, доступные через Федерацию Lakehouse , доступны только для чтения, и не поддерживают привилегии MODIFY . |
Дополнительные сведения о таблицах см. в таблицах Azure Databricks.
Просмотр
В схемепредставление представляет собой объект только для чтения, определенный хранимым SQL-запросом по одной или нескольким таблицам или другим представлениям. Представления перекомпьютируют результаты для каждого запроса.
В следующей таблице приведены важные сведения о представлениях:
| Detail | Описание |
|---|---|
| Привилегии использования | Чтобы получить доступ к представлению, пользователь должен иметь USE CATALOG в родительском каталоге и USE SCHEMA родительской схеме (привилегии использования) в дополнение к SELECT представлению.Пользователь не нуждается в привилегиях в базовых таблицах, которые запрашиваются в представлении. Привилегии владельца представления используются для разрешения базовых таблиц во время запроса. Для владельцев таблиц это делает представления полезными для ограничения доступа к определенным строкам или столбцам без прямого предоставления базовых таблиц. |
| Наследство |
SELECT предоставляется на уровне схемы или каталога, применяется ко всем текущим и будущим представлениям в этой схеме или каталоге. См. наследование привилегий. |
Дополнительные сведения о представлениях см. в разделе "Что такое представление?".
Материализованное представление
Материализованное представление — это представление, которое предварительно вычисляет и сохраняет результаты запроса. Результаты отражают состояние данных во время последнего обновления материализованного представления.
Модель разрешений для материализованных представлений совпадает с моделью стандартных представлений.
SELECT Кроме тогоMANAGE, материализованные представления поддерживают REFRESH привилегию, которая позволяет пользователю активировать обновление результатов материализованного представления. Пользователи только SELECT с соответствующими привилегиями использования могут запрашивать сохраненные результаты, но не могут активировать обновление.
Дополнительные сведения о материализованных представлениях см. в разделе "Материализованные представления".
Представление метрик
Представление метрик — это объект, доступный только для чтения, который определяет набор повторно используемых определений метрик на основе одной или нескольких таблиц, представлений или запросов SQL. Пользователи запрашивают представление метрик, так как они будут стандартным представлением.
Модель разрешений для материализованных представлений совпадает с моделью стандартных представлений. Пользователи должны SELECT и соответствующие привилегии использования для запроса представления метрик. Привилегии владельца представления метрик используются для разрешения базовых источников данных во время запроса.
Дополнительные сведения о представлениях метрик см. в представлениях метрик каталога Unity.
Объем
В схеметом — это защищаемый объект для неструктурированных данных в облачном хранилище. Тома можно управлять (расположение хранилища, определенное каталогом Unity) или внешним (указать путь к хранилищу). В отличие от таблиц и представлений, тома не поддерживают операции SQL-запросов— они предоставляют доступ на чтение и запись файлов к данным в облачном хранилище. Ниже приведены типы томов в Azure Databricks:
- Управляемые тома — это тома , в которых путь к расположению хранилища определяется каталогом Unity. Важно, что сами данные по-прежнему находятся в облачной учетной записи. Databricks рекомендует использовать управляемые тома, чтобы каталог Unity автоматически управлял доступом ко всем данным.
- Внешние тома — это тома , в которых указывается путь к расположению хранилища. Внешние тома можно использовать, если требуется доступ к внешней системе за пределами Azure Databricks, но быть осторожным, что внешние системы могут обойти управление каталогом Unity.
В следующей таблице приведены важные сведения о томах:
| Detail | Описание |
|---|---|
| Привилегии использования | Чтобы получить доступ к файлам в томе, пользователь должен иметь USE CATALOG в родительском каталоге и USE SCHEMA родительской схеме (привилегии использования), помимо READ VOLUME тома или WRITE VOLUME на томе. |
| Доступ на чтение и запись | Используйте READ VOLUME для предоставления возможности чтения файлов и каталогов, хранящихся в томе, и WRITE VOLUME предоставления возможности добавлять, изменять или удалять файлы. |
| Наследство |
READ VOLUME и WRITE VOLUME предоставлено на уровне схемы или каталога, применяются ко всем текущим и будущим томам в этой схеме или каталоге. См. наследование привилегий. |
Дополнительные сведения о томах см. в разделе "Что такое тома каталога Unity?".
Функция
В схемефункция — это защищаемый объект в каталоге Unity, представляющий многократно используемый исполняемый логика. Функции включают определяемые пользователем функции (определяемые пользователем функции), хранимые процедуры и зарегистрированные модели (модели MLflow, зарегистрированные в каталоге Unity).
- Определяемые пользователем функции — это пользовательские функции, написанные в SQL или Python, которые могут вызываться в запросах и записных книжках SQL. См. раздел "Что такое пользовательские функции?".
- Хранимые процедуры — это определяемые пользователем подпрограммы, которые выполняют последовательность инструкций SQL и могут включать побочные эффекты, такие как вставка или обновление данных.
- Зарегистрированные модели — это модели машинного обучения MLflow, зарегистрированные в каталоге Unity. В каталоге Unity зарегистрированные модели реализуются как тип функции. См. статью "Управление жизненным циклом модели" в каталоге Unity.
В следующей таблице приведены важные сведения о функциях:
| Detail | Описание |
|---|---|
| Привилегии использования | Чтобы выполнить функцию или загрузить зарегистрированную модель, пользователь должен иметь USE CATALOG в родительском каталоге и USE SCHEMA родительской схеме (привилегии использования) в дополнение к EXECUTE функции. |
Привилегия EXECUTE |
EXECUTE Предоставление пользователю функции позволяет вызывать функцию и просматривать ее определение и метаданные. Для зарегистрированных моделей EXECUTE также позволяет пользователю просматривать метаданные для всех версий зарегистрированной модели и загружать файлы моделей. |
| Наследство |
EXECUTE предоставляется на уровне схемы или каталога, применяется ко всем текущим и будущим функциям в этой схеме или каталоге. См. наследование привилегий. |
Модель
Модель — это модель машинного обучения MLflow, сохраненная в каталоге Unity в качестве объекта функции. Сама модель является контейнером. Артефакты и метаданные для каждого учебного запуска хранятся в виде версий модели .
Модель разрешений для зарегистрированных моделей совпадает с моделью функций. Следующие дополнительные привилегии применяются специально к моделям:
APPLY TAG: позволяет добавлять и изменять теги в модели и ее версиях. Пользователь также должен иметьUSE CATALOGродительский каталог иUSE SCHEMAна родительской схеме.CREATE MODEL VERSION: позволяет пользователю регистрировать новые версии модели без предоставления возможности выполнять, изменять или добавлять теги в модель. Пользователь также должен иметьUSE CATALOGродительский каталог иUSE SCHEMAна родительской схеме.
Для создания модели требуется CREATE MODEL привилегия схемы, а не CREATE FUNCTION.
CREATE MODEL также можно предоставить в каталоге разрешение на создание моделей в любой схеме в этом каталоге.
Дополнительные сведения о моделях см. в разделе "Управление жизненным циклом модели" в каталоге Unity.
Учетные данные хранилища
В хранилище метаданныхучетные данные хранилища — это защищаемый объект, который хранит сведения о проверке подлинности, необходимые для доступа к определенному пути в облачном хранилище. Хранимый метод проверки подлинности зависит от поставщика облачных служб: роли IAM в AWS, субъекта-службы в Azure или учетной записи службы в GCP.
Учетные данные хранения чаще всего используются в качестве стандартного блока для внешних расположений, которые объединяют учетные данные хранения с определенным облачным путем хранения. Учетные данные хранения также можно использовать непосредственно для создания внешних таблиц.
Чтобы создать учетные данные хранения, пользователю требуется CREATE STORAGE CREDENTIAL привилегия в хранилище метаданных каталога Unity.
Дополнительные сведения об учетных данных хранения см. в разделе "Обзор учетных данных хранилища".
Внешнее расположение
В хранилище метаданныхвнешний объект — это защищаемый объект, который связывает учетные данные хранения с путем облачного хранилища. Он управляет доступом к определенному пути в облачном хранилище.
Чтобы создать внешнее расположение, пользователю требуется CREATE EXTERNAL LOCATION привилегия в хранилище метаданных каталога Unity.
После создания внешнего расположения пользователям требуется READ FILES разрешение на чтение файлов непосредственно из пути к хранилищу, а также WRITE FILES права на запись файлов. Однако Databricks рекомендует управлять доступом к облачному хранилищу через тома и READ VOLUME привилегии, а не предоставлять READ FILES и WRITE FILESWRITE VOLUME напрямую в внешних расположениях.
Дополнительные сведения о внешних расположениях см. в разделе "Обзор внешних расположений".
Внешние метаданные
В хранилищеметаданных внешний объект метаданных — это защищаемый объект, используемый для определения пользовательских связей происхождения данных для систем, работающих за пределами собственного отслеживания происхождения каталога Unity.
Чтобы создать внешний объект метаданных, пользователю требуется CREATE EXTERNAL METADATA привилегия в хранилище метаданных каталога Unity. Чтобы добавить или изменить связи происхождения объекта, пользователь должен MODIFY использовать внешний объект метаданных, а также соответствующие привилегии для любых объектов каталога Unity, на которые ссылается связь.
Дополнительные сведения о внешних метаданных см. в разделе "Просмотр происхождения данных с помощью каталога Unity".
Учетные данные службы
В хранилище метаданныхучетные данные службы — это защищаемый объект, в который хранятся сведения о проверке подлинности для доступа к внешним облачным службам. Это в отличие от учетных данных хранения, которые управляют доступом к облачному хранилищу.
Чтобы создать учетные данные службы, пользователю требуется CREATE SERVICE CREDENTIAL привилегия в хранилище метаданных каталога Unity.
Привилегия ACCESS позволяет пользователю использовать учетные данные службы для доступа к внешней службе.
CREATE CONNECTION учетные данные службы (в сочетании с CREATE CONNECTION хранилищем метаданных) позволяют пользователю создавать подключение к внешней базе данных с помощью этой учетной записи.
Дополнительные сведения об учетных данных службы см. в разделе "Создание учетных данных службы".
Подключение
В хранилище метаданныхподключение — это защищаемый объект, определяющий подключение к внешней системе базы данных в сценарии федерации Lakehouse .
Чтобы создать подключение, пользователю требуется CREATE CONNECTION привилегия в хранилище метаданных каталога Unity. Если подключение использует учетные данные службы, пользователь также должен CREATE CONNECTION использовать эти учетные данные службы.
Привилегия USE CONNECTION позволяет пользователю перечислять и просматривать сведения о подключении и использовать remote_query функцию для выполнения запросов SQL непосредственно в внешней базе данных.
CREATE FOREIGN CATALOG при подключении пользователь может создать внешний каталог, поддерживаемый этим подключением.
Дополнительные сведения о подключениях см. в разделе "Управление подключениями для Федерации Lakehouse".
Поделиться
В хранилище метаданныхобщий ресурс — это защищаемый объект в Delta Sharing, представляющий логическую группу ресурсов данных (таблиц, представлений и томов). Затем поставщик может сделать общую папку доступной для внешних получателей.
Привилегии SELECT для общей папки предоставляются получателю (а не отдельным пользователям), чтобы разрешить получателю читать ресурсы в общей папке. Чтобы создать общую папку, пользователю требуется CREATE SHARE привилегия в хранилище метаданных каталога Unity.
Дополнительные сведения об общих ресурсах см. в статье "Создание общих папок и управление ими для общего доступа к разностным ресурсам".
Поставщик
В хранилище метаданныхпоставщик — это защищаемый объект в Delta Sharing, представляющий внешнюю организацию, которая имеет общие данные с вашей организацией. Объекты поставщика создаются в хранилище метаданных каталога Unity получателя. Привилегия USE PROVIDER позволяет пользователю просматривать все поставщики и их общие папки, а также CREATE CATALOGподключать общий каталог, не требуя роли администратора хранилища метаданных.
Чтобы создать поставщика, пользователю требуется CREATE PROVIDER привилегия в хранилище метаданных каталога Unity.
Дополнительные сведения о поставщиках см. в разделе "Что такое разностный общий доступ?".
Recipient
В хранилище метаданныхполучатель — это защищаемый объект в Delta Sharing, представляющий внешнюю организацию или группу пользователей, с которыми поставщик предоставляет доступ к данным. Объекты-получатели создаются в хранилище метаданных каталога Unity поставщика. Привилегии не могут быть предоставлены в самом объекте получателя. Доступ к общим данным управляется предоставлением SELECTобщей папки получателю.
Чтобы создать получателя, пользователю требуется CREATE RECIPIENT привилегия в хранилище метаданных каталога Unity.
Дополнительные сведения о получателях см. в разделе "Создание получателей данных" и управление ими для разностного общего доступа (совместное использование Databricks в Databricks).
Чистая комната
В хранилище метаданныхчистый объект — это защищаемый объект, предоставляющий безопасную среду для совместной работы с другими организациями с общими данными, не предоставляя другим пользователям базовые данные.
Чтобы создать чистую комнату, пользователю требуется CREATE CLEAN ROOM привилегия в хранилище метаданных каталога Unity.
Привилегия EXECUTE CLEAN ROOM TASK позволяет пользователю запускать записные книжки в чистом помещении и просматривать сведения о чистом номере. Привилегия MODIFY CLEAN ROOM позволяет пользователю обновлять чистую комнату, включая добавление или удаление ресурсов данных, записных книжек и комментариев.
Дополнительные сведения о чистых комнатах см. в статье "Что такое чистые комнаты Azure Databricks?".