Unity Kataloğu'nda ayrıcalıklar ve güvenliği sağlanabilir nesneler

Şunlar için geçerlidir: Yalnızca Databricks SQL Databricks Runtime Unity Kataloğu

Ayrıcalık, meta veri deposunda güvenliği sağlanabilir bir nesne üzerinde çalışmak için sorumluya verilen bir haktır. Ayrıcalık modeli ve güvenliği sağlanabilir nesneler, Unity Kataloğu meta veri deposu mu yoksa eski Hive meta veri deposu mu kullandığınıza bağlı olarak farklılık gösterir. Bu makalede Unity Kataloğu'nun ayrıcalık modeli açıklanmaktadır. Hive meta veri deposu kullanıyorsanız bkz . Hive meta veri deposundaki Ayrıcalıklar ve güvenliği sağlanabilir nesneler

Not

Bu makale, Privilege Model sürüm 1.0'daki Unity Kataloğu ayrıcalıklarını ve devralma modelini ifade eder. Unity Kataloğu meta veri deponuzu genel önizleme sırasında oluşturduysanız (25 Ağustos 2022'den önce), Ayrıcalık devralmaya yükseltme'yi izleyerek Privilege Model sürüm 1.0'a yükseltin.

Güvenliği sağlanabilir nesneler

Güvenliği sağlanabilir nesne, Unity Kataloğu meta veri deposunda tanımlanan ve üzerinde bir sorumluya ayrıcalık verilebilen bir nesnedir. Herhangi bir nesnedeki ayrıcalıkları yönetmek için nesnenin sahibi olmanız gerekir.

Sözdizimi

securable_object
  { CATALOG [ catalog_name ] |
    CONNECTION connection_name |
    EXTERNAL LOCATION location_name |
    FUNCTION function_name |
    METASTORE |
    SCHEMA schema_name |
    SHARE share_name |
    STORAGE CREDENTIAL credential_name |
    [ TABLE ] table_name |
    MATERIALIZED VIEW view_name |
    VIEW view_name |
    VOLUME volume_name
  }

Yerine ve SCHEMAyerine de belirtebilirsiniz CONNECTIONSERVER.DATABASE

Parametreler

• CATALOGCatalog_name

  Veri kataloğunun tamamına erişimi denetler.

• CONNECTIONconnection_name

  Bağlantıya erişimi denetler.

• EXTERNAL LOCATIONlocation_name

  Dış konuma erişimi denetler.

• FUNCTIONfunction_name

  Kullanıcı tanımlı işleve erişimi denetler.

• MATERIALIZED VIEWview_name

  Önemli

  Bu özellik Genel Önizlemededir.

  Gerçekleştirilmiş görünüme erişimi denetler.

• METASTORE

  Çalışma alanına bağlı Unity Kataloğu meta veri deposuna erişimi denetler. Meta veri deposundaki ayrıcalıkları yönetirken, meta veri deposu adını SQL komutuna eklemezsiniz. Unity Kataloğu, çalışma alanınıza eklenen meta veri deposunda ayrıcalık verir veya iptal eder.

• REGISTERED MODEL

  MLflow kayıtlı modeline erişimi denetler.

• SCHEMASchema_name

  Şemaya erişimi denetler.

• STORAGE CREDENTIALcredential_name

  Depolama kimlik bilgilerine erişimi denetler.

• SHAREshare_name

  Bir paylaşımdaki alıcıya erişimi denetler.

• TABLETable_name

  Yönetilen veya dış tabloya erişimi denetler. Tablo bulunamazsa Azure Databricks bir TABLE_OR_VIEW_NOT_FOUND hatası oluşturur.

• VIEWview_name

  Görünüme erişimi denetler. Görünüm bulunamazsa Azure Databricks bir TABLE_OR_VIEW_NOT_FOUND hatası oluşturur.

• VOLUMEvolume_name

  Bir birime erişimi denetler. Birim bulunamazsa Azure Databricks bir hata oluşturur.

Devralma modeli

Unity Kataloğu'nda güvenliği sağlanabilir nesneler hiyerarşiktir ve ayrıcalıklar aşağı doğru devralınır. Bu, katalogda ayrıcalık verilmesinin katalogdaki tüm geçerli ve gelecekteki şemalara otomatik olarak ayrıcalık verme anlamına gelir. Benzer şekilde, bir şemada verilen ayrıcalıklar, bu şemadaki tüm geçerli ve gelecekteki tablolar ve görünümler tarafından devralınır.

Örneğin, bir şemada SELECT kullanıcıya ayrıcalık verirseniz, kullanıcıya şemadaki SELECT tüm geçerli ve gelecekteki tablolarda, görünümlerde ve gerçekleştirilmiş görünümlerde otomatik olarak ayrıcalık verilir.

Ayrıcalık türleri

Aşağıdaki tabloda hangi Unity Kataloğu ayrıcalıklarının hangi Unity Kataloğu güvenli hale getirilebilir nesnelerle ilişkilendirildiği gösterilmektedir.

Güvenilir	Ayrıcalıklar
Meta veri deposu	CREATE CATALOG, CREATE CONNECTION, , CREATE EXTERNAL LOCATION, CREATE PROVIDER, CREATE RECIPIENT, CREATE SHARE, , CREATE STORAGE CREDENTIAL, SET SHARE PERMISSION, USE MARKETPLACE ASSETSUSE PROVIDER, USE RECIPIENT,USE SHARE
Katalog	ALL PRIVILEGES, APPLY TAG, BROWSE, CREATE SCHEMA, , USE CATALOG Tüm kullanıcılar USE CATALOG varsayılan olarak katalogdadır main . Aşağıdaki ayrıcalık türleri katalogdaki güvenli hale getirilebilir nesneler için geçerlidir. Bu ayrıcalıkları katalogdaki geçerli ve gelecekteki nesnelere uygulamak için katalog düzeyinde vekleyebilirsiniz. CREATE FUNCTION, CREATE TABLE, , CREATE MODEL, CREATE VOLUME, CREATE FOREIGN CATALOG, READ VOLUME, , REFRESH, WRITE VOLUME, EXECUTEMODIFY, SELECT,USE SCHEMA
Şema	ALL PRIVILEGES, APPLY TAG, CREATE FUNCTION, , CREATE TABLE, CREATE MODEL, CREATE VOLUME, CREATE MATERIALIZED VIEW, USE SCHEMA Aşağıdaki ayrıcalık türleri, şema içindeki güvenli hale getirilebilir nesneler için geçerlidir. Bu ayrıcalıkları şemadaki ilgili geçerli ve gelecekteki nesnelere uygulamak için şema düzeyinde vekleyebilirsiniz. EXECUTE, MODIFY, SELECT, , READ VOLUME, REFRESH, WRITE VOLUME
Tablo	ALL PRIVILEGES, APPLY TAG, MODIFY, SELECT
Gerçekleştirilmiş görünüm	ALL PRIVILEGES, APPLY TAG, REFRESH, SELECT
Görünüm	ALL PRIVILEGES, APPLY TAG, SELECT
Hacim	ALL PRIVILEGES, READ VOLUME, WRITE VOLUME
Dış konum	ALL PRIVILEGES, BROWSE, CREATE EXTERNAL TABLE, , CREATE EXTERNAL VOLUME, READ FILES, WRITE FILES, CREATE MANAGED STORAGE
Depolama kimlik bilgisi	ALL PRIVILEGES, CREATE EXTERNAL LOCATION, CREATE EXTERNAL TABLE, READ FILES, , WRITE FILES
Connection	ALL PRIVILEGES, CREATE FOREIGN CATALOG, USE CONNECTION
İşlev	ALL PRIVILEGES, EXECUTE
Kayıtlı Model	ALL PRIVILEGES, APPLY TAG, EXECUTE
Paylaş	SELECT (RECIPIENT için verilebilir)
Alıcı	Hiçbiri
Sağlayıcı	Hiçbiri

• APPLY TAG

  Bir nesneye etiket uygulama ve düzenleme.

• ALL PRIVILEGES

  Güvenliği sağlanabilir nesne ve alt nesneler için geçerli olan tüm ayrıcalıkları açıkça belirtmeden vermek veya iptal etmek için kullanılır. Bu ayrıcalık, izin denetimleri yapıldığında kullanılabilir olan tüm ayrıcalıkları kapsayacak şekilde genişletilir. Kullanıcıya, izin verme sırasında geçerli olan her ayrıcalığı ayrı ayrı vermez.

  İptal edildiğinde ALL PRIVILEGES yalnızca ALL PRIVILEGES ayrıcalık iptal edilir. Kullanıcılar kendilerine ayrı olarak verilen diğer ayrıcalıkları korur.

• BROWSE

  Önemli

  Bu özellik Genel Önizlemededir.

  Katalog Gezgini'ni, şema tarayıcısını, arama sonuçlarını, köken grafiğini information_schemave REST API'yi kullanarak nesnenin meta verilerini görüntüleyin. Kullanıcı, üst katalogda veya USE SCHEMA üst şemada ayrıcalık gerektirmezUSE CATALOG.

• CREATE CATALOG

  Unity Kataloğu meta veri deposunda kataloglar oluşturun.

• CREATE CONNECTION

  Unity Kataloğu meta veri deposunda yabancı bağlantılar oluşturun.

• CREATE EXTERNAL LOCATION

  Depolama kimlik bilgilerini kullanarak bir dış konum oluşturun. Depolama kimlik bilgilerine uygulandığında kullanıcının, depolama kimlik bilgilerini kullanarak dış konum oluşturmasına izin verir. Bu ayrıca meta veri deposunda bir dış konum oluşturmasına izin vermek için meta veri deposundaki bir kullanıcıya da verilmelidir.

• CREATE EXTERNAL TABLE

  Depolama kimlik bilgilerini veya dış konumu kullanarak dış tablolar oluşturun.

• CREATE EXTERNAL VOLUME

  Dış konumu kullanarak dış birimler oluşturun.

• CREATE FOREIGN CATALOG

  Yabancı bir bağlantıda kataloglar oluşturun. Ardından her yabancı katalog, federasyon hedef sisteminde kullanılabilen şemaları kullanıma sunar.

• CREATE FUNCTION

  Şemada işlev oluşturma. Kullanıcı ayrıca katalogda USE CATALOG ayrıcalığı ve şemada USE SCHEMA ayrıcalığı gerektirir.

• CREATE MANAGED STORAGE

  Kullanıcının yönetilen tabloları katalog veya şema düzeyinde depolamak için bir konum belirtmesine izin verir ve Unity Kataloğu meta veri deposu için varsayılan kök depolamayı geçersiz kılar.

• CREATE MATERIALIZED VIEW

  Kullanıcının şemada gerçekleştirilmiş bir görünüm oluşturmasına izin verir. Ayrıcalıklar devralındığından CREATE MATERIALIZED VIEW katalogda da verilebilir ve bu, kullanıcının katalogdaki mevcut veya gelecekteki şemalarda tablo veya görünüm oluşturmasına olanak tanır.

  Ayrıca kullanıcının üst katalogda ve USE SCHEMA üst şemada ayrıcalığı olmalıdırUSE CATALOG.

• CREATE MODEL

  Kullanıcının şemada kayıtlı MLflow modeli oluşturmasına izin verir. Ayrıcalıklar devralındığından, CREATE MODEL bir kullanıcının katalogdaki mevcut veya gelecekteki herhangi bir şemada kayıtlı bir model oluşturmasına olanak tanıyan bir katalogda da verilebilir.

  Ayrıca kullanıcının üst katalogda ve USE SCHEMA üst şemada ayrıcalığı olmalıdırUSE CATALOG.

• CREATE PROVIDER

  (Delta Sharing veri alıcıları için) Unity Kataloğu meta veri deposunda sağlayıcı oluşturma.

• CREATE RECIPIENT

  (Delta Sharing veri sağlayıcıları için) Unity Kataloğu meta veri deposunda alıcı oluşturma.

• CREATE SCHEMA

  Katalogda şema oluşturma. Kullanıcı ayrıca katalogda USE CATALOG ayrıcalık gerektirir.

• CREATE SHARE

  (Delta Sharing veri sağlayıcıları için) Unity Kataloğu meta veri deposunda bir paylaşım oluşturun.

• CREATE STORAGE CREDENTIAL

  Unity Kataloğu meta veri deposunda depolama kimlik bilgileri oluşturun.

• CREATE TABLE

  Şemada tablo veya görünüm oluşturma. Kullanıcı ayrıca katalogda USE CATALOG ayrıcalığı ve şemada USE SCHEMA ayrıcalığı gerektirir. Dış tablo oluşturmak için, kullanıcı ayrıca dış konum veya depolama kimlik bilgileri üzerinde de ayrıcalık gerektirir CREATE EXTERNAL TABLE .

• CREATE VOLUME

  Şemada birim oluşturma. Kullanıcı ayrıca katalogda USE CATALOG ayrıcalığı ve şemada USE SCHEMA ayrıcalığı gerektirir. Dış birim oluşturmak için, kullanıcı dış konumda da ayrıcalık gerektirirCREATE EXTERNAL VOLUME.

• EXECUTE

  Kullanıcı tanımlı bir işlevi çağırma. Kullanıcı ayrıca katalogda USE CATALOG ayrıcalığı ve şemada USE SCHEMA ayrıcalığı gerektirir.

• MODIFY

  TABLOYA KOPYALA, Sİl, EKLE veya BİRLEŞTİr.

• READ FILES

  Depolama kimlik bilgilerini veya dış konumu kullanarak dosyaları doğrudan sorgular.

• READ VOLUME

  Birim içindeki dosyaları sorgula.

• REFRESH

  Kullanıcının üst kataloğunda ve USE SCHEMA üst şemasında da varsaUSE CATALOG, kullanıcının gerçekleştirilmiş bir görünümü yenilemesine izin verir. Kullanıcı ayrıca katalogda USE CATALOG ayrıcalığı ve şemada USE SCHEMA ayrıcalığı gerektirir.

• SELECT

  Tablo veya görünümü sorgulama, kullanıcı tanımlı veya anonim işlev çağırma veya öğesini seçme ANY FILE. Kullanıcının tablo, görünüm veya işleve ek olarak USE CATALOG nesne kataloğunda ve USE SCHEMA nesnenin şemasında olması gerekirSELECT.

• SET SHARE PERMISSION

  Delta Sharing'de, ve USE RECIPIENT (veya alıcı sahipliği) ile birlikte USE SHARE bu izin, sağlayıcı kullanıcısına bir paylaşıma alıcı erişimi verme yetkisi verir. ile birlikte USE SHARE, bir paylaşımın sahipliğini başka bir kullanıcı, grup veya hizmet sorumlusuna aktarma olanağı sağlar.

• USE CATALOG

  Gerekli, ancak katalogdaki nesnelere başvurmak için yeterli değildir. Sorumlunun tek tek güvenli hale getirilebilen nesneler üzerinde de ayrıcalıkları olması gerekir. Kullanıcının ayrıcalığı kullanarak nesnenin meta verilerini okuması BROWSE gerekmez.

• USE CONNECTION

  Meta veri deposunda kullanıldığında yabancı bir bağlantıda veya tüm yabancı bağlantılarda meta verileri okumak için gereklidir.

• USE MARKETPLACE ASSETS

  Tüm Unity Kataloğu meta veri depoları için varsayılan olarak etkindir. Databricks Market'te bu ayrıcalık, kullanıcıya Market listesinde paylaşılan veri ürünlerine anında erişim elde etme veya erişim isteme olanağı sağlar. Ayrıca, bir sağlayıcı bir veri ürününü paylaştığında kullanıcının oluşturulan salt okunur kataloğa erişmesine de olanak tanır. Bu ayrıcalık olmadan, kullanıcı ve USE PROVIDER ayrıcalıklarını veya meta veri deposu yönetici rolünü gerektirirCREATE CATALOG. Bu, bu güçlü izinlere sahip kullanıcı sayısını sınırlamanıza olanak tanır.

• USE PROVIDER

  Delta Sharing'de, alıcı kullanıcısına alıcı meta veri deposundaki tüm sağlayıcılara ve paylaşımlarına salt okunur erişim verir. Ayrıcalıkla CREATE CATALOG birlikte, bu ayrıcalık meta veri deposu yöneticisi olmayan bir alıcı kullanıcının bir paylaşımı katalog olarak bağlamasına olanak tanır. Bu, güçlü meta veri deposu yönetici rolüne sahip kullanıcı sayısını sınırlamanıza olanak tanır.

• USE RECIPIENT

  Delta Sharing'de, sağlayıcı kullanıcısına bir sağlayıcı meta veri deposundaki tüm alıcılara ve paylaşımlarına salt okunur erişim verir. Bu, meta veri deposu yöneticisi olmayan bir sağlayıcı kullanıcısının alıcı ayrıntılarını, alıcı kimlik doğrulaması durumunu ve sağlayıcının alıcıyla paylaştığı paylaşımların listesini görüntülemesine olanak tanır.

  Databricks Market'te bu, sağlayıcı kullanıcılarına Sağlayıcı konsolunda listeleri ve tüketici isteklerini görüntüleme olanağı sağlar.

• USE SCHEMA

  Gerekli, ancak şemadaki herhangi bir nesneye başvurmak için yeterli değildir. Sorumlunun tek tek güvenli hale getirilebilen nesneler üzerinde de ayrıcalıkları olması gerekir. Kullanıcının ayrıcalığı kullanarak nesnenin meta verilerini okuması BROWSE gerekmez.

• USE SHARE

  Delta Sharing'de, sağlayıcı kullanıcısına bir sağlayıcı meta veri deposunda tanımlanan tüm paylaşımlara salt okunur erişim verir. Bu, meta veri deposu yöneticisi olmayan bir sağlayıcı kullanıcısının paylaşımları listelemesine ve paylaşımdaki varlıkları (tablolar ve not defterleri) ve paylaşımın alıcılarını listelemesine olanak tanır.

  Databricks Market'te bu, sağlayıcı kullanıcılarına bir listede paylaşılan veriler hakkındaki ayrıntıları görüntüleme olanağı sağlar.

• WRITE FILES

  Depolama kimlik bilgileri veya dış konum tarafından yönetilen dosyaları doğrudan KOPYALAYIN.

• WRITE VOLUME

  Dosyaları bir birime doğrudan KOPYALA.

Örnekler

-- Grant a privilege to the user alf@melmak.et
> GRANT SELECT ON TABLE t TO `alf@melmak.et`;

-- Revoke a privilege from the general public group.
> REVOKE USE SCHEMA ON SCHEMA some_schema FROM `alf@melmak.et`;

İlişkili

• GRANT
• Asıl
• REVOKE