Unity Kataloğu'nda ayrıcalıklar ve güvenliği sağlanabilir nesneler
Şunlar için geçerlidir: Yalnızca Databricks SQL Databricks Runtime Unity Kataloğu
Ayrıcalık, meta veri deposunda güvenliği sağlanabilir bir nesne üzerinde çalışmak için sorumluya verilen bir haktır. Ayrıcalık modeli ve güvenliği sağlanabilir nesneler, Unity Kataloğu meta veri deposu mu yoksa eski Hive meta veri deposu mu kullandığınıza bağlı olarak farklılık gösterir. Bu makalede Unity Kataloğu'nun ayrıcalık modeli açıklanmaktadır. Hive meta veri deposu kullanıyorsanız bkz . Hive meta veri deposundaki Ayrıcalıklar ve güvenliği sağlanabilir nesneler
Not
Bu makale, Privilege Model sürüm 1.0'daki Unity Kataloğu ayrıcalıklarını ve devralma modelini ifade eder. Unity Kataloğu meta veri deponuzu genel önizleme sırasında oluşturduysanız (25 Ağustos 2022'den önce), Ayrıcalık devralmaya yükseltme'yi izleyerek Privilege Model sürüm 1.0'a yükseltin.
Güvenliği sağlanabilir nesneler
Güvenliği sağlanabilir nesne, Unity Kataloğu meta veri deposunda tanımlanan ve üzerinde bir sorumluya ayrıcalık verilebilen bir nesnedir. Herhangi bir nesnedeki ayrıcalıkları yönetmek için nesnenin sahibi olmanız gerekir.
Sözdizimi
securable_object
{ CATALOG [ catalog_name ] |
CONNECTION connection_name |
EXTERNAL LOCATION location_name |
FUNCTION function_name |
METASTORE |
SCHEMA schema_name |
SHARE share_name |
STORAGE CREDENTIAL credential_name |
[ TABLE ] table_name |
MATERIALIZED VIEW view_name |
VIEW view_name |
VOLUME volume_name
}
Yerine ve SCHEMA
yerine de belirtebilirsiniz CONNECTION
SERVER
.DATABASE
Parametreler
CATALOG
Catalog_nameVeri kataloğunun tamamına erişimi denetler.
CONNECTION
connection_nameBağlantıya erişimi denetler.
EXTERNAL LOCATION
location_nameDış konuma erişimi denetler.
FUNCTION
function_nameKullanıcı tanımlı işleve erişimi denetler.
MATERIALIZED VIEW
view_nameÖnemli
Bu özellik Genel Önizlemededir.
Gerçekleştirilmiş görünüme erişimi denetler.
METASTORE
Çalışma alanına bağlı Unity Kataloğu meta veri deposuna erişimi denetler. Meta veri deposundaki ayrıcalıkları yönetirken, meta veri deposu adını SQL komutuna eklemezsiniz. Unity Kataloğu, çalışma alanınıza eklenen meta veri deposunda ayrıcalık verir veya iptal eder.
REGISTERED MODEL
SCHEMA
Schema_nameŞemaya erişimi denetler.
STORAGE CREDENTIAL
credential_nameSHARE
share_nameBir paylaşımdaki alıcıya erişimi denetler.
TABLE
Table_nameYönetilen veya dış tabloya erişimi denetler. Tablo bulunamazsa Azure Databricks bir TABLE_OR_VIEW_NOT_FOUND hatası oluşturur.
VIEW
view_nameGörünüme erişimi denetler. Görünüm bulunamazsa Azure Databricks bir TABLE_OR_VIEW_NOT_FOUND hatası oluşturur.
VOLUME
volume_nameBir birime erişimi denetler. Birim bulunamazsa Azure Databricks bir hata oluşturur.
Devralma modeli
Unity Kataloğu'nda güvenliği sağlanabilir nesneler hiyerarşiktir ve ayrıcalıklar aşağı doğru devralınır. Bu, katalogda ayrıcalık verilmesinin katalogdaki tüm geçerli ve gelecekteki şemalara otomatik olarak ayrıcalık verme anlamına gelir. Benzer şekilde, bir şemada verilen ayrıcalıklar, bu şemadaki tüm geçerli ve gelecekteki tablolar ve görünümler tarafından devralınır.
Örneğin, bir şemada SELECT
kullanıcıya ayrıcalık verirseniz, kullanıcıya şemadaki SELECT
tüm geçerli ve gelecekteki tablolarda, görünümlerde ve gerçekleştirilmiş görünümlerde otomatik olarak ayrıcalık verilir.
Ayrıcalık türleri
Aşağıdaki tabloda hangi Unity Kataloğu ayrıcalıklarının hangi Unity Kataloğu güvenli hale getirilebilir nesnelerle ilişkilendirildiği gösterilmektedir.
Güvenilir | Ayrıcalıklar |
---|---|
Meta veri deposu | CREATE CATALOG , CREATE CONNECTION , , CREATE EXTERNAL LOCATION , CREATE PROVIDER , CREATE RECIPIENT , CREATE SHARE , , CREATE STORAGE CREDENTIAL , SET SHARE PERMISSION , USE MARKETPLACE ASSETS USE PROVIDER , USE RECIPIENT ,USE SHARE |
Katalog | ALL PRIVILEGES , APPLY TAG , BROWSE , CREATE SCHEMA , , USE CATALOG Tüm kullanıcılar USE CATALOG varsayılan olarak katalogdadır main .Aşağıdaki ayrıcalık türleri katalogdaki güvenli hale getirilebilir nesneler için geçerlidir. Bu ayrıcalıkları katalogdaki geçerli ve gelecekteki nesnelere uygulamak için katalog düzeyinde vekleyebilirsiniz. CREATE FUNCTION , CREATE TABLE , , CREATE MODEL , CREATE VOLUME , CREATE FOREIGN CATALOG , READ VOLUME , , REFRESH , WRITE VOLUME , EXECUTE MODIFY , SELECT ,USE SCHEMA |
Şema | ALL PRIVILEGES , APPLY TAG , CREATE FUNCTION , , CREATE TABLE , CREATE MODEL , CREATE VOLUME , CREATE MATERIALIZED VIEW , USE SCHEMA Aşağıdaki ayrıcalık türleri, şema içindeki güvenli hale getirilebilir nesneler için geçerlidir. Bu ayrıcalıkları şemadaki ilgili geçerli ve gelecekteki nesnelere uygulamak için şema düzeyinde vekleyebilirsiniz. EXECUTE , MODIFY , SELECT , , READ VOLUME , REFRESH , WRITE VOLUME |
Tablo | ALL PRIVILEGES , APPLY TAG , MODIFY , SELECT |
Gerçekleştirilmiş görünüm | ALL PRIVILEGES , APPLY TAG , REFRESH , SELECT |
Görünüm | ALL PRIVILEGES , APPLY TAG , SELECT |
Hacim | ALL PRIVILEGES , READ VOLUME , WRITE VOLUME |
Dış konum | ALL PRIVILEGES , BROWSE , CREATE EXTERNAL TABLE , , CREATE EXTERNAL VOLUME , READ FILES , WRITE FILES , CREATE MANAGED STORAGE |
Depolama kimlik bilgisi | ALL PRIVILEGES , CREATE EXTERNAL LOCATION , CREATE EXTERNAL TABLE , READ FILES , , WRITE FILES |
Connection | ALL PRIVILEGES , CREATE FOREIGN CATALOG , USE CONNECTION |
İşlev | ALL PRIVILEGES , EXECUTE |
Kayıtlı Model | ALL PRIVILEGES , APPLY TAG , EXECUTE |
Paylaş | SELECT (RECIPIENT için verilebilir) |
Alıcı | Hiçbiri |
Sağlayıcı | Hiçbiri |
APPLY TAG
Bir nesneye etiket uygulama ve düzenleme.
ALL PRIVILEGES
Güvenliği sağlanabilir nesne ve alt nesneler için geçerli olan tüm ayrıcalıkları açıkça belirtmeden vermek veya iptal etmek için kullanılır. Bu ayrıcalık, izin denetimleri yapıldığında kullanılabilir olan tüm ayrıcalıkları kapsayacak şekilde genişletilir. Kullanıcıya, izin verme sırasında geçerli olan her ayrıcalığı ayrı ayrı vermez.
İptal edildiğinde
ALL PRIVILEGES
yalnızcaALL PRIVILEGES
ayrıcalık iptal edilir. Kullanıcılar kendilerine ayrı olarak verilen diğer ayrıcalıkları korur.BROWSE
Önemli
Bu özellik Genel Önizlemededir.
Katalog Gezgini'ni, şema tarayıcısını, arama sonuçlarını, köken grafiğini
information_schema
ve REST API'yi kullanarak nesnenin meta verilerini görüntüleyin. Kullanıcı, üst katalogda veyaUSE SCHEMA
üst şemada ayrıcalık gerektirmezUSE CATALOG
.CREATE CATALOG
Unity Kataloğu meta veri deposunda kataloglar oluşturun.
CREATE CONNECTION
Unity Kataloğu meta veri deposunda yabancı bağlantılar oluşturun.
CREATE EXTERNAL LOCATION
Depolama kimlik bilgilerini kullanarak bir dış konum oluşturun. Depolama kimlik bilgilerine uygulandığında kullanıcının, depolama kimlik bilgilerini kullanarak dış konum oluşturmasına izin verir. Bu ayrıca meta veri deposunda bir dış konum oluşturmasına izin vermek için meta veri deposundaki bir kullanıcıya da verilmelidir.
CREATE EXTERNAL TABLE
Depolama kimlik bilgilerini veya dış konumu kullanarak dış tablolar oluşturun.
CREATE EXTERNAL VOLUME
Dış konumu kullanarak dış birimler oluşturun.
CREATE FOREIGN CATALOG
Yabancı bir bağlantıda kataloglar oluşturun. Ardından her yabancı katalog, federasyon hedef sisteminde kullanılabilen şemaları kullanıma sunar.
CREATE FUNCTION
Şemada işlev oluşturma. Kullanıcı ayrıca katalogda
USE CATALOG
ayrıcalığı ve şemadaUSE SCHEMA
ayrıcalığı gerektirir.CREATE MANAGED STORAGE
Kullanıcının yönetilen tabloları katalog veya şema düzeyinde depolamak için bir konum belirtmesine izin verir ve Unity Kataloğu meta veri deposu için varsayılan kök depolamayı geçersiz kılar.
CREATE MATERIALIZED VIEW
Kullanıcının şemada gerçekleştirilmiş bir görünüm oluşturmasına izin verir. Ayrıcalıklar devralındığından
CREATE MATERIALIZED VIEW
katalogda da verilebilir ve bu, kullanıcının katalogdaki mevcut veya gelecekteki şemalarda tablo veya görünüm oluşturmasına olanak tanır.Ayrıca kullanıcının üst katalogda ve
USE SCHEMA
üst şemada ayrıcalığı olmalıdırUSE CATALOG
.CREATE MODEL
Kullanıcının şemada kayıtlı MLflow modeli oluşturmasına izin verir. Ayrıcalıklar devralındığından,
CREATE MODEL
bir kullanıcının katalogdaki mevcut veya gelecekteki herhangi bir şemada kayıtlı bir model oluşturmasına olanak tanıyan bir katalogda da verilebilir.Ayrıca kullanıcının üst katalogda ve
USE SCHEMA
üst şemada ayrıcalığı olmalıdırUSE CATALOG
.CREATE PROVIDER
(Delta Sharing veri alıcıları için) Unity Kataloğu meta veri deposunda sağlayıcı oluşturma.
CREATE RECIPIENT
(Delta Sharing veri sağlayıcıları için) Unity Kataloğu meta veri deposunda alıcı oluşturma.
CREATE SCHEMA
Katalogda şema oluşturma. Kullanıcı ayrıca katalogda
USE CATALOG
ayrıcalık gerektirir.CREATE SHARE
(Delta Sharing veri sağlayıcıları için) Unity Kataloğu meta veri deposunda bir paylaşım oluşturun.
CREATE STORAGE CREDENTIAL
Unity Kataloğu meta veri deposunda depolama kimlik bilgileri oluşturun.
CREATE TABLE
Şemada tablo veya görünüm oluşturma. Kullanıcı ayrıca katalogda
USE CATALOG
ayrıcalığı ve şemadaUSE SCHEMA
ayrıcalığı gerektirir. Dış tablo oluşturmak için, kullanıcı ayrıca dış konum veya depolama kimlik bilgileri üzerinde de ayrıcalık gerektirirCREATE EXTERNAL TABLE
.CREATE VOLUME
Şemada birim oluşturma. Kullanıcı ayrıca katalogda
USE CATALOG
ayrıcalığı ve şemadaUSE SCHEMA
ayrıcalığı gerektirir. Dış birim oluşturmak için, kullanıcı dış konumda da ayrıcalık gerektirirCREATE EXTERNAL VOLUME
.EXECUTE
Kullanıcı tanımlı bir işlevi çağırma. Kullanıcı ayrıca katalogda
USE CATALOG
ayrıcalığı ve şemadaUSE SCHEMA
ayrıcalığı gerektirir.MODIFY
TABLOYA KOPYALA, Sİl, EKLE veya BİRLEŞTİr.
READ FILES
Depolama kimlik bilgilerini veya dış konumu kullanarak dosyaları doğrudan sorgular.
READ VOLUME
REFRESH
Kullanıcının üst kataloğunda ve
USE SCHEMA
üst şemasında da varsaUSE CATALOG
, kullanıcının gerçekleştirilmiş bir görünümü yenilemesine izin verir. Kullanıcı ayrıca katalogdaUSE CATALOG
ayrıcalığı ve şemadaUSE SCHEMA
ayrıcalığı gerektirir.SELECT
Tablo veya görünümü sorgulama, kullanıcı tanımlı veya anonim işlev çağırma veya öğesini seçme
ANY FILE
. Kullanıcının tablo, görünüm veya işleve ek olarakUSE CATALOG
nesne kataloğunda veUSE SCHEMA
nesnenin şemasında olması gerekirSELECT
.SET SHARE PERMISSION
Delta Sharing'de, ve
USE RECIPIENT
(veya alıcı sahipliği) ile birlikteUSE SHARE
bu izin, sağlayıcı kullanıcısına bir paylaşıma alıcı erişimi verme yetkisi verir. ile birlikteUSE SHARE
, bir paylaşımın sahipliğini başka bir kullanıcı, grup veya hizmet sorumlusuna aktarma olanağı sağlar.USE CATALOG
Gerekli, ancak katalogdaki nesnelere başvurmak için yeterli değildir. Sorumlunun tek tek güvenli hale getirilebilen nesneler üzerinde de ayrıcalıkları olması gerekir. Kullanıcının ayrıcalığı kullanarak nesnenin meta verilerini okuması
BROWSE
gerekmez.USE CONNECTION
Meta veri deposunda kullanıldığında yabancı bir bağlantıda veya tüm yabancı bağlantılarda meta verileri okumak için gereklidir.
USE MARKETPLACE ASSETS
Tüm Unity Kataloğu meta veri depoları için varsayılan olarak etkindir. Databricks Market'te bu ayrıcalık, kullanıcıya Market listesinde paylaşılan veri ürünlerine anında erişim elde etme veya erişim isteme olanağı sağlar. Ayrıca, bir sağlayıcı bir veri ürününü paylaştığında kullanıcının oluşturulan salt okunur kataloğa erişmesine de olanak tanır. Bu ayrıcalık olmadan, kullanıcı ve
USE PROVIDER
ayrıcalıklarını veya meta veri deposu yönetici rolünü gerektirirCREATE CATALOG
. Bu, bu güçlü izinlere sahip kullanıcı sayısını sınırlamanıza olanak tanır.USE PROVIDER
Delta Sharing'de, alıcı kullanıcısına alıcı meta veri deposundaki tüm sağlayıcılara ve paylaşımlarına salt okunur erişim verir. Ayrıcalıkla
CREATE CATALOG
birlikte, bu ayrıcalık meta veri deposu yöneticisi olmayan bir alıcı kullanıcının bir paylaşımı katalog olarak bağlamasına olanak tanır. Bu, güçlü meta veri deposu yönetici rolüne sahip kullanıcı sayısını sınırlamanıza olanak tanır.USE RECIPIENT
Delta Sharing'de, sağlayıcı kullanıcısına bir sağlayıcı meta veri deposundaki tüm alıcılara ve paylaşımlarına salt okunur erişim verir. Bu, meta veri deposu yöneticisi olmayan bir sağlayıcı kullanıcısının alıcı ayrıntılarını, alıcı kimlik doğrulaması durumunu ve sağlayıcının alıcıyla paylaştığı paylaşımların listesini görüntülemesine olanak tanır.
Databricks Market'te bu, sağlayıcı kullanıcılarına Sağlayıcı konsolunda listeleri ve tüketici isteklerini görüntüleme olanağı sağlar.
USE SCHEMA
Gerekli, ancak şemadaki herhangi bir nesneye başvurmak için yeterli değildir. Sorumlunun tek tek güvenli hale getirilebilen nesneler üzerinde de ayrıcalıkları olması gerekir. Kullanıcının ayrıcalığı kullanarak nesnenin meta verilerini okuması
BROWSE
gerekmez.USE SHARE
Delta Sharing'de, sağlayıcı kullanıcısına bir sağlayıcı meta veri deposunda tanımlanan tüm paylaşımlara salt okunur erişim verir. Bu, meta veri deposu yöneticisi olmayan bir sağlayıcı kullanıcısının paylaşımları listelemesine ve paylaşımdaki varlıkları (tablolar ve not defterleri) ve paylaşımın alıcılarını listelemesine olanak tanır.
Databricks Market'te bu, sağlayıcı kullanıcılarına bir listede paylaşılan veriler hakkındaki ayrıntıları görüntüleme olanağı sağlar.
WRITE FILES
Depolama kimlik bilgileri veya dış konum tarafından yönetilen dosyaları doğrudan KOPYALAYIN.
WRITE VOLUME
Dosyaları bir birime doğrudan KOPYALA.
Örnekler
-- Grant a privilege to the user alf@melmak.et
> GRANT SELECT ON TABLE t TO `alf@melmak.et`;
-- Revoke a privilege from the general public group.
> REVOKE USE SCHEMA ON SCHEMA some_schema FROM `alf@melmak.et`;
İlişkili
Geri Bildirim
https://aka.ms/ContentUserFeedback.
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz.Gönderin ve geri bildirimi görüntüleyin