Administratörsbehörigheter i Unity Catalog

I den här artikeln beskrivs behörigheter som Azure Databricks-kontoadministratörer, arbetsyteadministratörer och metaarkivadministratörer har för att hantera Unity Catalog.

Kommentar

Om din arbetsyta har aktiverats för Unity Catalog automatiskt har arbetsyteadministratörer standardprivilegier i det anslutna metaarkivet och arbetsytekatalogen om en arbetsytekatalog har etablerats. Se Administratörsbehörigheter för arbetsyta när arbetsytor aktiveras automatiskt för Unity Catalog.

Metaarkivadministratörer

Metaarkivadministratören är en mycket privilegierad användare eller grupp i Unity Catalog. Metaarkivadministratörer har som standard följande behörigheter i metaarkivet:

• CREATE CATALOG: Tillåter att en användare skapar kataloger i metaarkivet.

• CREATE CONNECTION: Tillåter att en användare skapar en anslutning till en extern databas i ett Lakehouse Federation-scenario.

• CREATE EXTERNAL LOCATION: Tillåter att en användare skapar externa platser.

• CREATE STORAGE CREDENTIAL: Tillåter att en användare skapar autentiseringsuppgifter för lagring.

• CREATE FOREIGN CATALOG: Tillåter att en användare skapar utländska kataloger med hjälp av en anslutning till en extern databas i ett Lakehouse Federation-scenario.

• CREATE SHARE: Tillåter att en dataprovideranvändare skapar en resurs i Deltadelning.

• CREATE RECIPIENT: Tillåter att en dataleverantörsanvändare skapar en mottagare i Deltadelning.

• CREATE PROVIDER: Gör att en datamottagare kan skapa en provider i DeltaDelning.

• MANAGE ALLOWLIST: Tillåter att en användare uppdaterar tillåtna listor som hanterar klusteråtkomst till init-skript och bibliotek.

• CREATE MATERIALIZED VIEW: Tillåter att en användare skapar materialiserade vyer.

Metaarkivadministratörer är också ägare till metaarkivet, vilket ger dem följande behörigheter:

• Hantera behörigheter eller överföra ägarskap för alla objekt i metaarkivet, inklusive autentiseringsuppgifter för lagring, externa platser, anslutningar, resurser, mottagare och leverantörer.

• Ge sig själva läs- och skrivåtkomst till alla data i metaarkivet.

  Metaarkivadministratörer har den här möjligheten indirekt genom sin möjlighet att överföra ägarskapet för alla objekt. Det finns ingen direkt åtkomst som standard. Beviljande av behörigheter är granskningsloggat.

• Läsa och uppdatera metadata för alla objekt i metaarkivet.

• Ta bort metaarkivet.

Metaarkivadministratörer är de enda användare som kan bevilja behörigheter för själva metaarkivet.

Vem har administratörsbehörighet för metaarkiv?

Om en kontoadministratör skapar metaarkivet manuellt är kontoadministratören metaarkivets första ägare och metaarkivadministratör. Alla metaarkiv som skapades före den 9 november 2023 skapades manuellt av en kontoadministratör.

Om metaarkivet etablerades som en del av automatisk aktivering av Unity Catalog skapades metaarkivet utan en metaarkivadministratör. I så fall beviljas arbetsyteadministratörer automatiskt behörigheter som gör metaarkivadministratören valfri. Vid behov kan kontoadministratörer tilldela rollen metaarkivadministratör till en användare, tjänstens huvudnamn eller grupp. Grupper rekommenderas starkt. Se Automatisk aktivering av Unity Catalog.

Tilldela en metaarkivadministratör

Metaarkivadministratör är en mycket privilegierad roll som du bör distribuera noggrant. Det är valfritt.

Kontoadministratörer kan tilldela administratörsrollen metaarkiv. Databricks rekommenderar att du nominerar en grupp som metaarkivadministratör. Genom att göra detta är alla medlemmar i gruppen automatiskt en metaarkivadministratör.

Så här tilldelar du administratörsrollen för metaarkivet till en grupp:

1. Logga in på kontokonsolen som kontoadministratör.
2. Klicka på Katalog.
3. Klicka på namnet på ett metaarkiv för att öppna dess egenskaper.
4. Under Metaarkivadministratör klickar du på Redigera.
5. Välj en grupp i listrutan. Du kan ange text i fältet för att söka efter alternativ.
6. Klicka på Spara.

Viktigt!

Det kan ta upp till 30 sekunder innan en ändring av administratörstilldelningen för metaarkiv återspeglas i ditt konto, och det kan ta längre tid att börja gälla på vissa arbetsytor än andra. Den här fördröjningen beror på cachelagringsprotokoll.

Kontoadministratörer

Kontoadministratör är en mycket privilegierad roll som du bör distribuera noggrant. Kontoadministratörer har följande behörigheter:

• Kan skapa metaarkiv och blir som standard den första metaarkivadministratören.
• Kan länka metaarkiv till arbetsytor.
• Kan tilldela administratörsrollen för metaarkivet.
• Kan bevilja behörigheter för metaarkiv.
• Kan aktivera deltadelning för ett metaarkiv.
• Kan konfigurera autentiseringsuppgifter för lagring.
• Kan aktivera systemtabeller och delegera åtkomst till dem.

Administratörer för arbetsytan

Arbetsyteadministratör är en mycket privilegierad roll som du bör distribuera noggrant. Arbetsyteadministratörer har följande privilegier:

• Kan lägga till användare, tjänstens huvudnamn och grupper till en arbetsyta.
• Kan delegera andra arbetsyteadministratörer.
• Kan hantera jobbägarskap. Se Kontrollera åtkomst till ett jobb.
• Kan hantera inställningen Kör som för jobbet. Se Kör ett jobb som tjänstens huvudnamn.
• Kan visa och hantera notebooks, instrumentpaneler, frågor och andra arbetsyteobjekt. Se Åtkomstkontrollistor.

Kontoadministratörer kan begränsa administratörsbehörigheter för arbetsytan med hjälp av inställningen RestrictWorkspaceAdmins . Se Begränsa administratörer för arbetsytor.

Administratörsbehörigheter för arbetsytor när arbetsytor aktiveras automatiskt för Unity Catalog

Om din arbetsyta aktiverades automatiskt för Unity Catalog kopplas arbetsytan till ett metaarkiv som standard. Mer information finns i Automatisk aktivering av Unity Catalog.

Om din arbetsyta har aktiverats automatiskt för Unity Catalog har arbetsyteadministratörer följande privilegier i det anslutna metaarkivet som standard:

• CREATE CATALOG

• CREATE EXTERNAL LOCATION

• CREATE STORAGE CREDENTIAL

• CREATE CONNECTION

• CREATE SHARE

• CREATE RECIPIENT

• CREATE PROVIDER

• CREATE MATERIALIZED VIEW

Arbetsyteadministratörer är standardägare för arbetsytekatalogen om en arbetsytekatalog har etablerats för din arbetsyta. Ägarskapet för den här katalogen ger följande privilegier:

• Hantera privilegier för eller överföra ägarskap för alla objekt i arbetsytekatalogen.

  Detta inkluderar möjligheten att ge sig själva läs- och skrivåtkomst till alla data i katalogen (ingen direkt åtkomst som standard, beviljande av behörigheter är granskningsloggad).

• Överföra ägarskapet för själva arbetsytekatalogen.

Alla arbetsyteanvändare får behörigheten USE CATALOG i arbetsytekatalogen. Arbetsyteanvändare får också behörigheterna USE SCHEMA, CREATE TABLE, CREATE VOLUME, CREATE MODELoch CREATE MATERIALIZED VIEWCREATE FUNCTIONi default schemat i katalogen.

Kommentar

Standardprivilegier som beviljas för det anslutna metaarkivet och arbetsytekatalogen underhålls inte mellan arbetsytor (om till exempel arbetsytekatalogen också är bunden till en annan arbetsyta).