Privilegier och skyddsbara objekt i Unity Catalog
Gäller endast för: Databricks SQL Databricks Runtime Unity Catalog
En behörighet är en rättighet som beviljas ett huvudnamn att arbeta med ett skyddsbart objekt i metaarkivet. Behörighetsmodellen och skyddsbara objekt skiljer sig åt beroende på om du använder ett Unity Catalog-metaarkiv eller det äldre Hive-metaarkivet. I den här artikeln beskrivs behörighetsmodellen för Unity-katalogen. Om du använder Hive-metaarkivet läser du Privilegier och skyddsbara objekt i Hive-metaarkivet
Kommentar
Den här artikeln refererar till Unity Catalog-privilegier och arvsmodellen i Privilege Model version 1.0. Om du skapade unity-katalogmetaarkivet under den offentliga förhandsversionen (före den 25 augusti 2022) uppgraderar du till Privilege Model version 1.0 genom att följa Uppgradera till arv av privilegier.
Skyddsbara objekt
Ett skyddbart objekt är ett objekt som definierats i Unity Catalog-metaarkivet där privilegier kan beviljas till ett huvudkonto. Om du vill hantera privilegier för alla objekt måste du vara dess ägare.
Syntax
securable_object
{ CATALOG [ catalog_name ] |
CONNECTION connection_name |
EXTERNAL LOCATION location_name |
FUNCTION function_name |
METASTORE |
SCHEMA schema_name |
SHARE share_name |
STORAGE CREDENTIAL credential_name |
[ TABLE ] table_name |
MATERIALIZED VIEW view_name |
VIEW view_name |
VOLUME volume_name
}
Du kan också ange SERVER
i stället för CONNECTION
och DATABASE
i stället för SCHEMA
.
Parametrar
CATALOG
catalog_nameStyr åtkomsten till hela datakatalogen.
CONNECTION
connection_nameStyr åtkomsten till anslutningen.
EXTERNAL LOCATION
location_nameStyr åtkomsten till en extern plats.
FUNCTION
function_nameStyr åtkomsten till en användardefinierad funktion.
MATERIALIZED VIEW
view_nameViktigt!
Den här funktionen finns som allmänt tillgänglig förhandsversion. Om du vill registrera dig för åtkomst fyller du i det här formuläret.
Styr åtkomsten till en materialiserad vy.
METASTORE
Styr åtkomsten till Unity Catalog-metaarkivet som är kopplat till arbetsytan. När du hanterar behörigheter i ett metaarkiv inkluderar du inte metaarkivnamnet i ett SQL-kommando. Unity Catalog beviljar eller återkallar behörigheten för det metaarkiv som är kopplat till din arbetsyta.
REGISTERED MODEL
Styr åtkomsten till en MLflow-registrerad modell.
SCHEMA
schema_nameStyr åtkomsten till ett schema.
STORAGE CREDENTIAL
credential_nameStyr åtkomsten till en lagringsautentiseringsuppgift.
SHARE
share_nameTABLE
Table_nameStyr åtkomsten till en hanterad eller extern tabell. Om det inte går att hitta tabellen skapar Azure Databricks ett TABLE_OR_VIEW_NOT_FOUND fel.
VIEW
view_nameStyr åtkomsten till en vy. Om vyn inte kan hittas genererar Azure Databricks ett TABLE_OR_VIEW_NOT_FOUND fel.
VOLUME
volume_nameStyr åtkomsten till en volym. Om volymen inte kan hittas genererar Azure Databricks ett fel.
Arvsmodell
Skyddsbara objekt i Unity Catalog är hierarkiska och privilegier ärvs nedåt. Det innebär att beviljandet av en behörighet i katalogen automatiskt ger behörighet till alla aktuella och framtida scheman i katalogen. På samma sätt ärvs behörigheter som beviljas för ett schema av alla aktuella och framtida tabeller och vyer i det schemat.
Om du till exempel beviljar behörigheten SELECT
för ett schema till en användare beviljas användaren automatiskt behörigheten SELECT
för alla aktuella och framtida tabeller, vyer och materialiserade vyer i schemat.
Behörighetstyper
I följande tabell visas vilka Behörigheter i Unity Catalog som är associerade med vilka Skyddsbara objekt i Unity Catalog.
Skyddsbar | Privilegier |
---|---|
Metaarkiv | CREATE CATALOG , CREATE CONNECTION , CREATE EXTERNAL LOCATION , CREATE PROVIDER , CREATE RECIPIENT , CREATE SHARE , CREATE STORAGE CREDENTIAL , SET SHARE PERMISSION , , USE MARKETPLACE ASSETS , USE PROVIDER , , , USE RECIPIENT USE SHARE |
Katalog | ALL PRIVILEGES , APPLY TAG , BROWSE , , , CREATE SCHEMA USE CATALOG Alla användare har USE CATALOG i main katalogen som standard.Följande behörighetstyper gäller för skyddsbara objekt i en katalog. Du kan ge dessa behörigheter på katalognivå för att tillämpa dem på relevanta aktuella och framtida objekt i katalogen. CREATE FUNCTION , CREATE TABLE , CREATE MODEL , CREATE VOLUME , CREATE FOREIGN CATALOG , READ VOLUME , REFRESH , WRITE VOLUME , , EXECUTE , MODIFY , , , SELECT USE SCHEMA |
Schema | ALL PRIVILEGES , APPLY TAG , CREATE FUNCTION , CREATE TABLE , CREATE MODEL , , CREATE VOLUME , , CREATE MATERIALIZED VIEW USE SCHEMA Följande behörighetstyper gäller för skyddsbara objekt i ett schema. Du kan ge dessa behörigheter på schemanivå för att tillämpa dem på relevanta aktuella och framtida objekt i schemat. EXECUTE , MODIFY , SELECT , READ VOLUME , , , REFRESH WRITE VOLUME |
Register | ALL PRIVILEGES , APPLY TAG , , MODIFY SELECT |
Materialiserad vy | ALL PRIVILEGES , APPLY TAG , , REFRESH SELECT |
Visa | ALL PRIVILEGES , , APPLY TAG SELECT |
Volume | ALL PRIVILEGES , , READ VOLUME WRITE VOLUME |
Extern plats | ALL PRIVILEGES , BROWSE , CREATE EXTERNAL TABLE , CREATE EXTERNAL VOLUME , READ FILES , , , WRITE FILES CREATE MANAGED STORAGE |
Autentiseringsuppgift för lagring | ALL PRIVILEGES , CREATE EXTERNAL LOCATION , CREATE EXTERNAL TABLE , , , READ FILES WRITE FILES |
Connection | ALL PRIVILEGES , , CREATE FOREIGN CATALOG USE CONNECTION |
Funktion | ALL PRIVILEGES , EXECUTE |
Registrerad modell | ALL PRIVILEGES , , APPLY TAG EXECUTE |
Dela | SELECT (Kan beviljas till RECIPIENT ) |
Mottagare | Ingen |
Leverantör | Ingen |
APPLY TAG
Tillämpa och redigera taggar på ett objekt.
ALL PRIVILEGES
Används för att bevilja eller återkalla alla privilegier som gäller för det skyddbara objektet och dess underordnade objekt utan att uttryckligen ange dem. Detta utökas till alla tillgängliga privilegier när behörighetskontroller görs. Den beviljar inte användaren varje tillämpligt privilegium vid tidpunkten för beviljandet.
När
ALL PRIVILEGES
återkallas återkallas endast själva behörighetenALL PRIVILEGES
. Användarna behåller alla andra behörigheter som beviljats dem separat.BROWSE
Viktigt!
Den här funktionen finns som allmänt tillgänglig förhandsversion.
Visa ett objekts metadata med hjälp av Catalog Explorer, schemawebbläsaren, sökresultaten, ursprungsdiagrammet
information_schema
och REST-API:et. Användaren behöver inte behörighetenUSE CATALOG
för den överordnade katalogen ellerUSE SCHEMA
det överordnade schemat.CREATE CATALOG
Skapa kataloger i ett Unity Catalog-metaarkiv.
CREATE CONNECTION
Skapa externa anslutningar i ett Unity Catalog-metaarkiv.
CREATE EXTERNAL LOCATION
Skapa en extern plats med hjälp av lagringsautentiseringsuppgifterna. När den tillämpas på en lagringsautentiseringsuppgift kan en användare skapa en extern plats med hjälp av lagringsautentiseringsuppgifterna. Den här behörigheten måste också beviljas en användare i metaarkivet så att de kan skapa en extern plats i metaarkivet.
CREATE EXTERNAL TABLE
Skapa externa tabeller med lagringsautentiseringsuppgifter ellerextern plats.
CREATE EXTERNAL VOLUME
Skapa externa volymer med hjälp av den externa platsen.
CREATE FOREIGN CATALOG
Skapa kataloger på en extern anslutning. Varje extern katalog exponerar sedan de scheman som är tillgängliga i det federerade målsystemet.
CREATE FUNCTION
Skapa en funktion i ett schema. Användaren kräver också behörigheten
USE CATALOG
för katalogen och behörighetenUSE SCHEMA
för schemat.CREATE MANAGED STORAGE
Tillåter att en användare anger en plats för lagring av hanterade tabeller på katalog- eller schemanivå, vilket överskrider standardrotlagringen för Unity Catalog-metaarkivet.
CREATE MATERIALIZED VIEW
Tillåter att en användare skapar en materialiserad vy i schemat. Eftersom privilegier ärvs
CREATE MATERIALIZED VIEW
kan även beviljas i en katalog, vilket gör att en användare kan skapa en tabell eller vy i ett befintligt eller framtida schema i katalogen.Användaren måste också ha behörigheten
USE CATALOG
för den överordnade katalogen ochUSE SCHEMA
det överordnade schemat.CREATE MODEL
Ger en användare möjlighet att skapa en MLflow-registrerad modell i schemat. Eftersom behörigheter ärvs
CREATE MODEL
kan även beviljas i en katalog, vilket gör att en användare kan skapa en registrerad modell i ett befintligt eller framtida schema i katalogen.Användaren måste också ha behörigheten
USE CATALOG
för den överordnade katalogen ochUSE SCHEMA
det överordnade schemat.CREATE PROVIDER
(För mottagare av deltadelningsdata) Skapa en provider i ett Unity Catalog-metaarkiv.
CREATE RECIPIENT
(För deltadelningsdataprovidrar) Skapa en mottagare i ett Unity Catalog-metaarkiv.
CREATE SCHEMA
Skapa ett schema i en katalog. Användaren kräver också behörigheten
USE CATALOG
i katalogen.CREATE SHARE
(För deltadelningsdataprovidrar) Skapa en resurs i ett Unity Catalog-metaarkiv.
CREATE STORAGE CREDENTIAL
Skapa en lagringsautentiseringsuppgift i ett Unity Catalog-metaarkiv.
CREATE TABLE
Skapa en tabell eller vy i ett schema. Användaren kräver också behörigheten
USE CATALOG
för katalogen och behörighetenUSE SCHEMA
för schemat. För att skapa en extern tabell kräver användaren också behörighetenCREATE EXTERNAL TABLE
på den externa platsen eller lagringsautentiseringsuppgifterna.CREATE VOLUME
Skapa en volym i ett schema. Användaren kräver också behörigheten
USE CATALOG
för katalogen och behörighetenUSE SCHEMA
för schemat. För att skapa en extern volym kräver användaren också behörighetenCREATE EXTERNAL VOLUME
på den externa platsen.EXECUTE
Anropa en användardefinierad funktion. Användaren kräver också behörigheten
USE CATALOG
för katalogen och behörighetenUSE SCHEMA
för schemat.MODIFY
KOPIERA TILL, UPPDATERATA BORT, INFOGA ELLER SAMMANFOGA TILL tabellen.
READ FILES
Fråga filer direkt med hjälp av lagringsautentiseringsuppgifterna eller den externa platsen.
READ VOLUME
Fråga efter filer i volymen.
REFRESH
Gör att en användare kan uppdatera en materialiserad vy om användaren också har
USE CATALOG
på sin överordnade katalog ochUSE SCHEMA
i sitt överordnade schema. Användaren kräver också behörighetenUSE CATALOG
för katalogen och behörighetenUSE SCHEMA
för schemat.SELECT
Fråga en tabell eller vy, anropa en användardefinierad eller anonym funktion eller välj
ANY FILE
. Användaren behöverSELECT
i tabellen, vyn eller funktionen, samtUSE CATALOG
i objektets katalog ochUSE SCHEMA
i objektets schema.SET SHARE PERMISSION
I Deltadelning ger den här behörigheten i kombination med
USE SHARE
ochUSE RECIPIENT
(eller mottagarägarskap) en provideranvändare möjlighet att bevilja en mottagare åtkomst till en resurs. I kombination medUSE SHARE
ger det möjlighet att överföra ägarskapet för en resurs till en annan användare, grupp eller tjänstens huvudnamn.USE CATALOG
Krävs, men inte tillräckligt för att referera till några objekt i en katalog. Huvudkontot måste också ha behörighet för de enskilda skyddsbara objekten. Krävs inte för att en användare ska kunna använda läsa ett objekts metadata med hjälp av
BROWSE
privilegiet.USE CONNECTION
Krävs för att läsa metadata på en extern anslutning eller alla externa anslutningar när de används i metaarkivet.
USE MARKETPLACE ASSETS
Aktiverad som standard för alla Unity Catalog-metaarkiv. På Databricks Marketplace ger det här privilegiet en användare möjlighet att få omedelbar åtkomst eller begära åtkomst för dataprodukter som delas i en Marketplace-lista. Det gör också att en användare kan komma åt den skrivskyddade katalogen som skapas när en provider delar en dataprodukt. Utan den här behörigheten skulle användaren kräva administratörsrollen
CREATE CATALOG
ochUSE PROVIDER
och eller metaarkivets administratörsroll. På så sätt kan du begränsa antalet användare med dessa kraftfulla behörigheter.USE PROVIDER
I Deltadelning ger en mottagare skrivskyddad åtkomst till alla leverantörer i ett mottagarmetaarkiv och deras resurser. I kombination med
CREATE CATALOG
privilegiet tillåter det här privilegiet en mottagaranvändare som inte är metaarkivadministratör att montera en resurs som en katalog. På så sätt kan du begränsa antalet användare med den kraftfulla administratörsrollen för metaarkivet.USE RECIPIENT
I Deltadelning ger en provideranvändare skrivskyddad åtkomst till alla mottagare i ett providermetaarkiv och deras resurser. På så sätt kan en provideranvändare som inte är metaarkivadministratör visa mottagarinformation, status för mottagarautentisering och listan över resurser som leverantören har delat med mottagaren.
På Databricks Marketplace ger detta provideranvändare möjlighet att visa listor och konsumentförfrågningar i providerkonsolen.
USE SCHEMA
Krävs, men inte tillräckligt för att referera till några objekt i ett schema. Huvudkontot måste också ha behörighet för de enskilda skyddsbara objekten. Krävs inte för att en användare ska kunna använda läsa ett objekts metadata med hjälp av
BROWSE
privilegiet.USE SHARE
I Deltadelning ger en provideranvändare skrivskyddad åtkomst till alla resurser som definierats i ett providermetaarkiv. Detta gör det möjligt för en provideranvändare som inte är metaarkivadministratör att lista resurser och lista tillgångarna (tabeller och notebook-filer) i en resurs, tillsammans med resursens mottagare.
På Databricks Marketplace ger detta provideranvändare möjlighet att visa information om data som delas i en lista.
WRITE FILES
Kopiera direkt till filer som styrs av lagringsautentiseringsuppgifterna eller den externa platsen.
WRITE VOLUME
Exempel
-- Grant a privilege to the user alf@melmak.et
> GRANT SELECT ON TABLE t TO `alf@melmak.et`;
-- Revoke a privilege from the general public group.
> REVOKE USE SCHEMA ON SCHEMA some_schema FROM `alf@melmak.et`;
Relaterade
Feedback
https://aka.ms/ContentUserFeedback.
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i:Skicka och visa feedback för