Privilegier och skyddsbara objekt i Unity Catalog

  • Artikel

Gäller endast för:markerad ja Databricks SQL markerad ja Databricks Runtime markerad ja Unity Catalog

En behörighet är en rättighet som beviljas ett huvudnamn att arbeta med ett skyddsbart objekt i metaarkivet. Behörighetsmodellen och skyddsbara objekt skiljer sig åt beroende på om du använder ett Unity Catalog-metaarkiv eller det äldre Hive-metaarkivet. I den här artikeln beskrivs behörighetsmodellen för Unity-katalogen. Om du använder Hive-metaarkivet läser du Privilegier och skyddsbara objekt i Hive-metaarkivet

Kommentar

Den här artikeln refererar till Unity Catalog-privilegier och arvsmodellen i Privilege Model version 1.0. Om du skapade unity-katalogmetaarkivet under den offentliga förhandsversionen (före den 25 augusti 2022) uppgraderar du till Privilege Model version 1.0 genom att följa Uppgradera till arv av privilegier.

Skyddsbara objekt

Ett skyddbart objekt är ett objekt som definierats i Unity Catalog-metaarkivet där privilegier kan beviljas till ett huvudkonto. Om du vill hantera privilegier för alla objekt måste du vara dess ägare.

Syntax

securable_object
  { CATALOG [ catalog_name ] |
    CONNECTION connection_name |
    EXTERNAL LOCATION location_name |
    FUNCTION function_name |
    METASTORE |
    SCHEMA schema_name |
    SHARE share_name |
    STORAGE CREDENTIAL credential_name |
    [ TABLE ] table_name |
    MATERIALIZED VIEW view_name |
    VIEW view_name |
    VOLUME volume_name
  }

Du kan också ange SERVER i stället för CONNECTION och DATABASE i stället för SCHEMA.

Parametrar

  • CATALOGcatalog_name

    Styr åtkomsten till hela datakatalogen.

  • CONNECTIONconnection_name

    Styr åtkomsten till anslutningen.

  • EXTERNAL LOCATIONlocation_name

    Styr åtkomsten till en extern plats.

  • FUNCTIONfunction_name

    Styr åtkomsten till en användardefinierad funktion.

  • MATERIALIZED VIEWview_name

    Viktigt!

    Den här funktionen finns som allmänt tillgänglig förhandsversion. Om du vill registrera dig för åtkomst fyller du i det här formuläret.

    Styr åtkomsten till en materialiserad vy.

  • METASTORE

    Styr åtkomsten till Unity Catalog-metaarkivet som är kopplat till arbetsytan. När du hanterar behörigheter i ett metaarkiv inkluderar du inte metaarkivnamnet i ett SQL-kommando. Unity Catalog beviljar eller återkallar behörigheten för det metaarkiv som är kopplat till din arbetsyta.

  • REGISTERED MODEL

    Styr åtkomsten till en MLflow-registrerad modell.

  • SCHEMAschema_name

    Styr åtkomsten till ett schema.

  • STORAGE CREDENTIALcredential_name

    Styr åtkomsten till en lagringsautentiseringsuppgift.

  • SHAREshare_name

    Styr åtkomsten på en resurs till en mottagare.

  • TABLETable_name

    Styr åtkomsten till en hanterad eller extern tabell. Om det inte går att hitta tabellen skapar Azure Databricks ett TABLE_OR_VIEW_NOT_FOUND fel.

  • VIEWview_name

    Styr åtkomsten till en vy. Om vyn inte kan hittas genererar Azure Databricks ett TABLE_OR_VIEW_NOT_FOUND fel.

  • VOLUMEvolume_name

    Styr åtkomsten till en volym. Om volymen inte kan hittas genererar Azure Databricks ett fel.

Arvsmodell

Skyddsbara objekt i Unity Catalog är hierarkiska och privilegier ärvs nedåt. Det innebär att beviljandet av en behörighet i katalogen automatiskt ger behörighet till alla aktuella och framtida scheman i katalogen. På samma sätt ärvs behörigheter som beviljas för ett schema av alla aktuella och framtida tabeller och vyer i det schemat.

Om du till exempel beviljar behörigheten SELECT för ett schema till en användare beviljas användaren automatiskt behörigheten SELECT för alla aktuella och framtida tabeller, vyer och materialiserade vyer i schemat.

Behörighetstyper

I följande tabell visas vilka Behörigheter i Unity Catalog som är associerade med vilka Skyddsbara objekt i Unity Catalog.

Skyddsbar Privilegier
Metaarkiv CREATE CATALOG, CREATE CONNECTION, CREATE EXTERNAL LOCATION, CREATE PROVIDER, CREATE RECIPIENT, CREATE SHARE, CREATE STORAGE CREDENTIAL, SET SHARE PERMISSION, , USE MARKETPLACE ASSETS, USE PROVIDER, , , USE RECIPIENTUSE SHARE
Katalog ALL PRIVILEGES, APPLY TAG, BROWSE, , , CREATE SCHEMAUSE CATALOG

Alla användare har USE CATALOG i main katalogen som standard.

Följande behörighetstyper gäller för skyddsbara objekt i en katalog. Du kan ge dessa behörigheter på katalognivå för att tillämpa dem på relevanta aktuella och framtida objekt i katalogen.

CREATE FUNCTION, CREATE TABLE, CREATE MODEL, CREATE VOLUME, CREATE FOREIGN CATALOG, READ VOLUME, REFRESH, WRITE VOLUME, , EXECUTE, MODIFY, , , SELECTUSE SCHEMA
Schema ALL PRIVILEGES, APPLY TAG, CREATE FUNCTION, CREATE TABLE, CREATE MODEL, , CREATE VOLUME, , CREATE MATERIALIZED VIEWUSE SCHEMA

Följande behörighetstyper gäller för skyddsbara objekt i ett schema. Du kan ge dessa behörigheter på schemanivå för att tillämpa dem på relevanta aktuella och framtida objekt i schemat.

EXECUTE, MODIFY, SELECT, READ VOLUME, , , REFRESHWRITE VOLUME
Register ALL PRIVILEGES, APPLY TAG, , MODIFYSELECT
Materialiserad vy ALL PRIVILEGES, APPLY TAG, , REFRESHSELECT
Visa ALL PRIVILEGES, , APPLY TAGSELECT
Volume ALL PRIVILEGES, , READ VOLUMEWRITE VOLUME
Extern plats ALL PRIVILEGES, BROWSE, CREATE EXTERNAL TABLE, CREATE EXTERNAL VOLUME, READ FILES, , , WRITE FILESCREATE MANAGED STORAGE
Autentiseringsuppgift för lagring ALL PRIVILEGES, CREATE EXTERNAL LOCATION, CREATE EXTERNAL TABLE, , , READ FILESWRITE FILES
Connection ALL PRIVILEGES, , CREATE FOREIGN CATALOGUSE CONNECTION
Funktion ALL PRIVILEGES, EXECUTE
Registrerad modell ALL PRIVILEGES, , APPLY TAGEXECUTE
Dela SELECT (Kan beviljas till RECIPIENT)
Mottagare Ingen
Leverantör Ingen

  • APPLY TAG

    Tillämpa och redigera taggar på ett objekt.

  • ALL PRIVILEGES

    Används för att bevilja eller återkalla alla privilegier som gäller för det skyddbara objektet och dess underordnade objekt utan att uttryckligen ange dem. Detta utökas till alla tillgängliga privilegier när behörighetskontroller görs. Den beviljar inte användaren varje tillämpligt privilegium vid tidpunkten för beviljandet.

    När ALL PRIVILEGES återkallas återkallas endast själva behörigheten ALL PRIVILEGES . Användarna behåller alla andra behörigheter som beviljats dem separat.

  • BROWSE

    Viktigt!

    Den här funktionen finns som allmänt tillgänglig förhandsversion.

    Visa ett objekts metadata med hjälp av Catalog Explorer, schemawebbläsaren, sökresultaten, ursprungsdiagrammet information_schemaoch REST-API:et. Användaren behöver inte behörigheten USE CATALOG för den överordnade katalogen eller USE SCHEMA det överordnade schemat.

  • CREATE CATALOG

    Skapa kataloger i ett Unity Catalog-metaarkiv.

  • CREATE CONNECTION

    Skapa externa anslutningar i ett Unity Catalog-metaarkiv.

  • CREATE EXTERNAL LOCATION

    Skapa en extern plats med hjälp av lagringsautentiseringsuppgifterna. När den tillämpas på en lagringsautentiseringsuppgift kan en användare skapa en extern plats med hjälp av lagringsautentiseringsuppgifterna. Den här behörigheten måste också beviljas en användare i metaarkivet så att de kan skapa en extern plats i metaarkivet.

  • CREATE EXTERNAL TABLE

    Skapa externa tabeller med lagringsautentiseringsuppgifter ellerextern plats.

  • CREATE EXTERNAL VOLUME

    Skapa externa volymer med hjälp av den externa platsen.

  • CREATE FOREIGN CATALOG

    Skapa kataloger på en extern anslutning. Varje extern katalog exponerar sedan de scheman som är tillgängliga i det federerade målsystemet.

  • CREATE FUNCTION

    Skapa en funktion i ett schema. Användaren kräver också behörigheten USE CATALOG för katalogen och behörigheten USE SCHEMA för schemat.

  • CREATE MANAGED STORAGE

    Tillåter att en användare anger en plats för lagring av hanterade tabeller på katalog- eller schemanivå, vilket överskrider standardrotlagringen för Unity Catalog-metaarkivet.

  • CREATE MATERIALIZED VIEW

    Tillåter att en användare skapar en materialiserad vy i schemat. Eftersom privilegier ärvs CREATE MATERIALIZED VIEW kan även beviljas i en katalog, vilket gör att en användare kan skapa en tabell eller vy i ett befintligt eller framtida schema i katalogen.

    Användaren måste också ha behörigheten USE CATALOG för den överordnade katalogen och USE SCHEMA det överordnade schemat.

  • CREATE MODEL

    Ger en användare möjlighet att skapa en MLflow-registrerad modell i schemat. Eftersom behörigheter ärvs CREATE MODEL kan även beviljas i en katalog, vilket gör att en användare kan skapa en registrerad modell i ett befintligt eller framtida schema i katalogen.

    Användaren måste också ha behörigheten USE CATALOG för den överordnade katalogen och USE SCHEMA det överordnade schemat.

  • CREATE PROVIDER

    (För mottagare av deltadelningsdata) Skapa en provider i ett Unity Catalog-metaarkiv.

  • CREATE RECIPIENT

    (För deltadelningsdataprovidrar) Skapa en mottagare i ett Unity Catalog-metaarkiv.

  • CREATE SCHEMA

    Skapa ett schema i en katalog. Användaren kräver också behörigheten USE CATALOG i katalogen.

  • CREATE SHARE

    (För deltadelningsdataprovidrar) Skapa en resurs i ett Unity Catalog-metaarkiv.

  • CREATE STORAGE CREDENTIAL

    Skapa en lagringsautentiseringsuppgift i ett Unity Catalog-metaarkiv.

  • CREATE TABLE

    Skapa en tabell eller vy i ett schema. Användaren kräver också behörigheten USE CATALOG för katalogen och behörigheten USE SCHEMA för schemat. För att skapa en extern tabell kräver användaren också behörigheten CREATE EXTERNAL TABLE på den externa platsen eller lagringsautentiseringsuppgifterna.

  • CREATE VOLUME

    Skapa en volym i ett schema. Användaren kräver också behörigheten USE CATALOG för katalogen och behörigheten USE SCHEMA för schemat. För att skapa en extern volym kräver användaren också behörigheten CREATE EXTERNAL VOLUME på den externa platsen.

  • EXECUTE

    Anropa en användardefinierad funktion. Användaren kräver också behörigheten USE CATALOG för katalogen och behörigheten USE SCHEMA för schemat.

  • MODIFY

    KOPIERA TILL, UPPDATERATA BORT, INFOGA ELLER SAMMANFOGA TILL tabellen.

  • READ FILES

    Fråga filer direkt med hjälp av lagringsautentiseringsuppgifterna eller den externa platsen.

  • READ VOLUME

    Fråga efter filer i volymen.

  • REFRESH

    Gör att en användare kan uppdatera en materialiserad vy om användaren också har USE CATALOG på sin överordnade katalog och USE SCHEMA i sitt överordnade schema. Användaren kräver också behörigheten USE CATALOG för katalogen och behörigheten USE SCHEMA för schemat.

  • SELECT

    Fråga en tabell eller vy, anropa en användardefinierad eller anonym funktion eller välj ANY FILE. Användaren behöver SELECT i tabellen, vyn eller funktionen, samt USE CATALOG i objektets katalog och USE SCHEMA i objektets schema.

  • SET SHARE PERMISSION

    I Deltadelning ger den här behörigheten i kombination med USE SHARE och USE RECIPIENT (eller mottagarägarskap) en provideranvändare möjlighet att bevilja en mottagare åtkomst till en resurs. I kombination med USE SHAREger det möjlighet att överföra ägarskapet för en resurs till en annan användare, grupp eller tjänstens huvudnamn.

  • USE CATALOG

    Krävs, men inte tillräckligt för att referera till några objekt i en katalog. Huvudkontot måste också ha behörighet för de enskilda skyddsbara objekten. Krävs inte för att en användare ska kunna använda läsa ett objekts metadata med hjälp av BROWSE privilegiet.

  • USE CONNECTION

    Krävs för att läsa metadata på en extern anslutning eller alla externa anslutningar när de används i metaarkivet.

  • USE MARKETPLACE ASSETS

    Aktiverad som standard för alla Unity Catalog-metaarkiv. På Databricks Marketplace ger det här privilegiet en användare möjlighet att få omedelbar åtkomst eller begära åtkomst för dataprodukter som delas i en Marketplace-lista. Det gör också att en användare kan komma åt den skrivskyddade katalogen som skapas när en provider delar en dataprodukt. Utan den här behörigheten skulle användaren kräva administratörsrollen CREATE CATALOG och USE PROVIDER och eller metaarkivets administratörsroll. På så sätt kan du begränsa antalet användare med dessa kraftfulla behörigheter.

  • USE PROVIDER

    I Deltadelning ger en mottagare skrivskyddad åtkomst till alla leverantörer i ett mottagarmetaarkiv och deras resurser. I kombination med CREATE CATALOG privilegiet tillåter det här privilegiet en mottagaranvändare som inte är metaarkivadministratör att montera en resurs som en katalog. På så sätt kan du begränsa antalet användare med den kraftfulla administratörsrollen för metaarkivet.

  • USE RECIPIENT

    I Deltadelning ger en provideranvändare skrivskyddad åtkomst till alla mottagare i ett providermetaarkiv och deras resurser. På så sätt kan en provideranvändare som inte är metaarkivadministratör visa mottagarinformation, status för mottagarautentisering och listan över resurser som leverantören har delat med mottagaren.

    Databricks Marketplace ger detta provideranvändare möjlighet att visa listor och konsumentförfrågningar i providerkonsolen.

  • USE SCHEMA

    Krävs, men inte tillräckligt för att referera till några objekt i ett schema. Huvudkontot måste också ha behörighet för de enskilda skyddsbara objekten. Krävs inte för att en användare ska kunna använda läsa ett objekts metadata med hjälp av BROWSE privilegiet.

  • USE SHARE

    I Deltadelning ger en provideranvändare skrivskyddad åtkomst till alla resurser som definierats i ett providermetaarkiv. Detta gör det möjligt för en provideranvändare som inte är metaarkivadministratör att lista resurser och lista tillgångarna (tabeller och notebook-filer) i en resurs, tillsammans med resursens mottagare.

    Databricks Marketplace ger detta provideranvändare möjlighet att visa information om data som delas i en lista.

  • WRITE FILES

    Kopiera direkt till filer som styrs av lagringsautentiseringsuppgifterna eller den externa platsen.

  • WRITE VOLUME

    Kopiera direkt till filer till en volym.

Exempel

-- Grant a privilege to the user alf@melmak.et
> GRANT SELECT ON TABLE t TO `alf@melmak.et`;

-- Revoke a privilege from the general public group.
> REVOKE USE SCHEMA ON SCHEMA some_schema FROM `alf@melmak.et`;