Unity 目錄中 管理員 許可權

本文說明 Azure Databricks 帳戶管理員、工作區管理員和中繼存放區管理員管理 Unity 目錄的許可權。

注意

如果您的工作區已針對 Unity 目錄自動啟用，則如果已布建工作區目錄，工作區管理員在附加中繼存放區和工作區目錄上具有默認許可權。 當工作區自動啟用 Unity 目錄時，請參閱工作區管理員許可權。

中繼存放區管理員

中繼存放區系統管理員是 Unity 目錄中具有高度特殊許可權的使用者或群組。 根據預設，中繼存放區管理員在中繼存放區上具有下列許可權：

• CREATE CATALOG：允許使用者 在中繼存放區中建立目錄 。

• CREATE CONNECTION：允許使用者 在 Lakehouse 同盟案例中建立與外部資料庫的連線 。

• CREATE EXTERNAL LOCATION：允許使用者 建立外部位置。

• CREATE STORAGE CREDENTIAL：允許使用者 建立記憶體認證。

• CREATE FOREIGN CATALOG：允許使用者 在 Lakehouse 同盟案例中使用外部資料庫的連線來建立外部目錄 。

• CREATE SHARE：允許數據提供者使用者在 Delta Sharing 中建立共用。

• CREATE RECIPIENT：允許數據提供者使用者在 Delta 共用中建立收件者。

• CREATE PROVIDER：允許數據收件者使用者在 Delta Sharing 中建立提供者。

• MANAGE ALLOWLIST：允許使用者 更新管理 init 腳本和連結庫之叢集存取的allowlist 。

• CREATE MATERIALIZED VIEW：允許使用者 建立具體化檢視。

中繼存放區系統管理員也是中繼存放區的擁有者，其會授與他們下列許可權：

• 管理中繼存放區內任何對象的許可權或傳輸擁有權，包括記憶體認證、外部位置、連線、共用、收件者和提供者。

• 授與自己對中繼存放區中任何數據的讀取和寫入存取權。

  中繼存放區管理員透過能夠轉移所有對象的擁有權，間接擁有此功能。 默認沒有直接存取權。 授與許可權是稽核記錄的。

• 讀取並更新中繼存放區中所有物件的中繼資料。

• 刪除中繼存放區。

中繼存放區系統管理員是唯一可以授與中繼存放區本身許可權的使用者。

神秘 具有中繼存放區系統管理員許可權嗎？

如果帳戶管理員手動建立中繼存放區，該帳戶管理員就是中繼存放區的初始擁有者和中繼存放區管理員。在 2023 年 11 月 9 日之前建立的所有中繼存放區都是由帳戶管理員手動建立。

如果中繼存放區已布建為自動 Unity 目錄啟用的一部分，則會建立中繼存放區，而不需要中繼存放區管理員。在此情況下，工作區系統管理員會自動獲得許可權，讓中繼存放區管理員成為選擇性。 如有需要，帳戶管理員可以將中繼存放區管理員角色指派給使用者、服務主體或群組。 強烈建議使用群組。 請參閱自動啟用 Unity 目錄。

指派中繼存放區管理員

中繼存放區系統管理員是一個高度特殊許可權的角色，您應該謹慎散發。 此為選用項目。

帳戶管理員可以指派中繼存放區管理員角色。 Databricks 建議將群組提名為中繼存放區管理員。如此一來，群組的任何成員都會自動成為中繼存放區管理員。

若要將中繼存放區管理員角色指派給群組：

1. 身為帳戶管理員，登入 帳戶控制台。
2. 按兩下 [目錄]。
3. 按兩下中繼存放區的名稱，以開啟其屬性。
4. 在 [中繼存放區 管理員] 下，按兩下 [編輯]。
5. 從下拉式清單中選取群組。 您可以在欄位中輸入文字來搜尋選項。
6. 按一下 [檔案] 。

重要

中繼存放區管理員指派變更最多可能需要 30 秒的時間才會反映在您的帳戶中，而且在某些工作區中可能需要更長的時間才會生效。 此延遲是由於快取通訊協定所造成。

帳戶管理員

帳戶管理員是一個高度特殊許可權的角色，您應該謹慎散發。 帳戶管理員具有下列許可權：

• 可以建立中繼存放區，而且預設會成為初始中繼存放區管理員。
• 可以將中繼存放區連結至工作區。
• 可以指派中繼存放區管理員角色。
• 可以啟用中繼存放區的差異共用。
• 可以設定儲存體認證。
• 可以啟用系統數據表並委派其存取權。

工作區系統管理員

工作區系統管理員是高度特殊許可權的角色，您應該謹慎散發。 工作區管理員具有下列權限：

• 可將使用者、服務主體和群組新增至工作區。
• 可委派其他工作區管理員。
• 可管理工作所有權。 請參閱 控制作業的存取權。
• 可以管理作業 執行身分 設定。 檢視以服務主體身分執行工作。
• 可檢視和管理筆記本、儀表板、查詢和其他工作區物件。 請參閱存取控制清單。

帳戶管理員可以使用 RestrictWorkspaceAdmins 設定來限制工作區系統管理員許可權。 請參閱 限制工作區管理員。

自動為 Unity 目錄啟用工作區時，工作區系統管理員許可權

如果您的工作區已針對 Unity 目錄自動啟用，則預設會將工作區附加至中繼存放區。 如需詳細資訊，請參閱 自動啟用 Unity 目錄。

如果工作區已為 Unity 目錄自動啟用，則工作區管理員預設在附加的中繼存放區上具有下列權限：

• CREATE CATALOG

• CREATE EXTERNAL LOCATION

• CREATE STORAGE CREDENTIAL

• CREATE CONNECTION

• CREATE SHARE

• CREATE RECIPIENT

• CREATE PROVIDER

• CREATE MATERIALIZED VIEW

如果工作區目錄已針對工作區佈建，則工作區管理員是工作區目錄的預設擁有者。 擁有此目錄的所有權會授與下列權限：

• 管理工作區目錄內任何物件的權限或轉移權限。

  這包括授與自己讀取和寫入目錄中所有數據的許可權的能力（預設不會直接存取;授與許可權是稽核記錄的）。

• 轉移工作區目錄本身的所有權。

所有工作區用戶都會收到 USE CATALOG 工作區目錄的許可權。 工作區使用者也會收到USE SCHEMA目錄中架構的 default 、CREATE TABLE、CREATE VOLUME、CREATE MODEL、CREATE FUNCTION、 和 CREATE MATERIALIZED VIEW 許可權。

注意

附加中繼存放區和工作區目錄上授與的默認許可權不會在工作區之間維護（例如，如果工作區目錄也會系結至另一個工作區）。