Aracılığıyla paylaş

Hive meta veri deposundaki ayrıcalıklar ve güvenliği sağlanabilir nesneler

  • Makale

Şunlar için geçerlidir: onay işareti evet olarak işaretlenmiş Databricks SQL onay işareti evet olarak işaretlenmiş Databricks Runtime

Ayrıcalık, meta veri deposunda güvenliği sağlanabilir bir nesne üzerinde çalışmak için sorumluya verilen bir haktır.

Ayrıcalık modeli ve güvenliği sağlanabilir nesneler, Unity Kataloğu meta veri deposu mu yoksa eski Hive meta veri deposu mu kullandığınıza bağlı olarak farklılık gösterir. Bu makalede, eski Hive meta veri deposu için ayrıcalık modeli açıklanmaktadır. Unity Kataloğu kullanıyorsanız bkz . Unity Kataloğu'nda Ayrıcalıklar ve güvenliği sağlanabilir nesneler.

Hive meta veri deposunda güvenliği sağlanabilir nesneler

Güvenli hale getirilebilir nesne, meta veri deposunda tanımlanan ve bir sorumluya ayrıcalıkların verilebildiği bir nesnedir.

Herhangi bir nesnedeki ayrıcalıkları yönetmek için sahibi veya yöneticisi olmanız gerekir.

Sözdizimi

  securable_object
    { ANY FILE |
      CATALOG [ catalog_name ] |
      { SCHEMA | DATABASE } schema_name |
      FUNCTION function_name |
      [ TABLE ] table_name |
      VIEW view_name
      }

Parametreler

  • ANY FILE

    Temel alınan dosya sistemine erişimi denetler.

  • CATALOGcatalog_name

    Veri kataloğunun tamamına erişimi denetler.

  • { SCHEMA | DATABASE }schema_name

    Şemaya erişimi denetler.

  • FUNCTIONfunction_name

    Adlandırılmış işleve erişimi denetler.

  • [ TABLE ]table_name

    Yönetilen veya dış tabloya erişimi denetler.

  • VIEWview_name

    SQL görünümlerine erişimi denetler.

Devralma modeli

Hive meta veri deposundaki güvenliği sağlanabilir nesneler hiyerarşiktir ve ayrıcalıklar aşağı doğru devralınır. Bu, üzerinde bir ayrıcalığı vermenin veya reddetmenin CATALOG katalogdaki tüm şemalara otomatik olarak ayrıcalık verme veya reddetme anlamına gelir. Benzer şekilde, bir şema nesnesinde verilen ayrıcalıklar bu şemadaki tüm nesneler tarafından devralınır. Bu düzen, güvenliği sağlanabilir tüm nesneler için geçerlidir.

Bir tablodaki kullanıcı ayrıcalıklarını reddederseniz, kullanıcı şemadaki tüm tabloları listelemeyi deneyerek tabloyu göremez. Bir şemada kullanıcı ayrıcalıklarını reddederseniz, kullanıcı katalogdaki tüm şemaları listelemeye çalışarak şemanın var olduğunu göremez.

Ayrıcalık türleri

Aşağıdaki tabloda hangi ayrıcalıkların hangi güvenli hale getirilebilir nesnelerle ilişkilendirildiği gösterilmektedir.

Ayrıcalık türü ANONIM IŞLEV HERHANGİ Bİr DOSYA KATALOG ŞEMA FUNCTION TABLO GÖRÜNÜM
CREATE Evet Yes
DEĞİŞTİRMEK Yes Evet Evet Yes
READ_METADATA Yes Evet Evet Yes
SELECT Yes Evet Evet Evet Evet Evet Yes
KULLANIM Yes Yes

  • ALL PRIVILEGES

    Güvenliği sağlanabilir ve alt nesneleri için geçerli olan tüm ayrıcalıkları açıkça belirtmeden vermek veya iptal etmek için kullanılır. Bu ayrıcalık, izin denetimleri yapıldığında kullanılabilir olan tüm ayrıcalıkları kapsayacak şekilde genişletilir.

  • CREATE

    Katalog veya şema içinde nesneler oluşturun.

  • MODIFY

    TABLOYA KOPYALA, Sİl, EKLE veya BİRLEŞTİr.

    securable_object içindeki veya şemasıysa hive_metastore , verme MODIFY işlemi güvenli kılınabilir nesne içindeki tüm geçerli ve gelecekteki tablo ve görünümlerde verir MODIFY .

  • READ_METADATA

    SHOW'da güvenliği sağlanabilir nesneyi bulma ve DESCRIBE'da nesneyi sorgulama

    Güvenliği sağlanabilir nesne içindeki katalog veya şemaysa hive_metastore , verme READ_METADATA işlemi güvenli kılınabilir nesne içindeki tüm geçerli ve gelecekteki tablolarda ve görünümlerde verir READ_METADATA .

  • READ FILES

    Depolama kimlik bilgilerini veya dış konumu kullanarak dosyaları doğrudan sorgular.

  • SELECT

    Tablo veya görünümü sorgulama, kullanıcı tanımlı veya anonim işlev çağırma veya öğesini seçme ANY FILE. Kullanıcının hem tablo, görünüm veya işlevde hem de USAGE nesnenin şemasında ve kataloğunda olması gerekirSELECT.

    Güvenliği sağlanabilir nesne içinde veya bir şemaysa hive_metastore , verme SELECT işlemi güvenli kılınabilir nesne içindeki tüm geçerli ve gelecekteki tablo ve görünümlerde verir SELECT .

  • USAGE

    Gerekli, ancak bir katalog veya şemadaki nesnelere başvurmak için yeterli değildir. Sorumlunun tek tek güvenli hale getirilebilen nesneler üzerinde de ayrıcalıkları olması gerekir.

  • WRITE FILES

    Depolama kimlik bilgileri veya dış konum tarafından yönetilen dosyaları doğrudan KOPYALAYIN.

Örnekler

-- Grant a privilege to the user alf@melmak.et
> GRANT SELECT ON TABLE t TO `alf@melmak.et`;

-- Revoke a privilege from the general public group.
> REVOKE USAGE ON SCHEMA some_schema FROM `alf@melmak.et`;