Sdílet prostřednictvím

Správa vlastnictví objektů katalogu Unity

  • Článek

Každý zabezpečitelný objekt v katalogu Unity má vlastníka. Vlastníkem může být libovolný objekt zabezpečení: uživatel, instanční objekt nebo skupina účtů. Objekt zabezpečení, který vytvoří objekt, se stane jeho počátečním vlastníkem. Vlastník objektu má všechna oprávnění k objektu, například SELECT tabulce, MODIFY a také oprávnění k udělení oprávnění jiným objektům zabezpečení. Vlastník objektu má možnost objektu vypustit.

Oprávnění vlastníka

Vlastníci objektu mají automaticky udělená všechna oprávnění k danému objektu. Vlastníci objektů navíc můžou udělit oprávnění k samotnému objektu a ke všem jeho podřízeným objektům. To znamená, že vlastníci schématu nemají automaticky všechna oprávnění k tabulkám ve schématu, ale mohou jim udělit oprávnění k tabulkám ve schématu.

Poznámka:

Existuje jedna výjimka pravidla, které vlastníci mají všechna oprávnění k objektu: aby se zabránilo náhodnému exfiltraci dat, vlastníci schématu nemají EXTERNAL USE SCHEMA ve výchozím nastavení oprávnění. Viz Řízení externího přístupu k datům v katalogu Unity.

Vlastnictví metastoru a katalogu

Správci metastoru jsou vlastníky metastoru. Role správce metastoru je volitelná. Správci metastoru můžou změnit přiřazení vlastnictví metastoru tak, že převedou roli správce metastoru, viz Přiřazení správce metastoru.

Pokud byl váš pracovní prostor pro katalog Unity povolen automaticky, pracovní prostor se ve výchozím nastavení připojí k metastoru a vytvoří se pro váš pracovní prostor v metastoru. Správci pracovního prostoru jsou výchozími vlastníky a můžou znovu přiřadit vlastnictví katalogu pracovních prostorů. V těchto pracovních prostorech není ve výchozím nastavení přiřazený žádný správce metastoru, ale správci účtu můžou v případě potřeby roli správce metastoru udělit. Viz správci metastoru.

Další informace o oprávněních správce v katalogu Unity najdete v tématu Oprávnění správce v katalogu Unity.

vlastnictví versus privilegium MANAGE

MANAGE (Public Preview) je oprávnění, které se podobá vlastnictví objektu. Uděluje uživateli možnost upravovat, odstraňovat a spravovat oprávnění k objektu. Uživatelům s oprávněním MANAGE objektu však nejsou automaticky udělena všechna oprávnění k danému objektu. Stejně jako u jiných oprávnění vyžadují uživatelé USE CATALOG v nadřazeném katalogu objektu a USE SCHEMA v nadřazené schématu objektu. Pokud například chcete udělit oprávnění k tabulce, musí mít uživatelé oprávnění MANAGE pro danou tabulku a USE CATALOG oprávnění v nadřazeném katalogu spolu s oprávněními USE SCHEMA u nadřazeného schématu.

Objekt může mít pouze jednoho hlavního subjektu, včetně skupiny, zatímco MANAGE lze udělit více hlavním subjektům.

Aby se zabránilo náhodné eskalaci oprávnění, ALL PRIVILEGES nezahrnuje oprávnění MANAGE

Zobrazení vlastníka objektu

K zobrazení vlastníka objektu můžete použít Průzkumníka katalogu nebo příkazy SQL.

Požadovaná oprávnění: Vlastník objektu může zobrazit libovolný uživatel s BROWSE oprávněním k objektu nebo nadřazený objekt.

Průzkumník katalogu

  1. V pracovním prostoru Azure Databricks klikněte na Ikona kataloguKatalog.

  2. Vyberte objekt, například katalog, schéma, tabulku, zobrazení, svazek, externí umístění nebo přihlašovací údaje úložiště.

    Postup přechodu na objekt závisí na objektu. Katalogy, schémata a obsah schémat (například tabulky a svazky) se dají vybrat v levém podokně katalogů . Kliknutím na Ikona ozubeného kolečka ikonu ozubeného kolečka nad podoknem Katalog a výběrem kategorie objektů v nabídce můžete najít další objekty, jako jsou externí umístění nebo sdílené složky Sdílení delta.

    U většiny objektů se vlastník zobrazí na kartě Přehled na stránce podrobností objektu. U některých objektů, jako jsou externí umístění, se zobrazí v horní části stránky podrobností objektu.

SQL

V poznámkovém bloku nebo editoru dotazů SQL spusťte následující příkaz SQL. Nahraďte zástupné hodnoty:

  • <securable-type>: Typ zabezpečitelného, například CATALOG nebo TABLE.
  • <catalog>: Nadřazený katalog, pokud si prohlížíte schéma nebo obsah schématu.
  • <schema>: Nadřazené schéma, pokud si prohlížíte obsah schématu, například tabulku nebo zobrazení.
  • <securable-name>: Název zabezpečitelného objektu.
DESCRIBE <securable-type> EXTENDED <catalog>.<schema>.<securable-name>;

Převedení vlastnictví

K zobrazení vlastníka objektu můžete použít Průzkumníka katalogu nebo příkazy SQL.

požadovaná oprávnění: Vlastnictví objektu můžete přenést, pokud jste aktuálním vlastníkem, správcem metastoru, vlastníkem kontejneru (katalog schématu, schématu tabulky) nebo uživatelem s oprávněním MANAGE objektu. Objekty sdílené složky Delta jsou výjimkou: objekty zabezpečení s oprávněními USE SHARESET SHARE PERMISSION můžou také přenášet vlastnictví sdílené složky.

Poznámka:

Aby se zabránilo eskalaci oprávnění, může vlastnictví zobrazení, funkce nebo modelu převést pouze správce metastoru do libovolného uživatele, instančního objektu nebo skupiny v účtu. Aktuální vlastníci a uživatelé s oprávněním MANAGE jsou omezeni na převod vlastnictví na své uživatelské jméno nebo do skupiny, které jsou členy.

Průzkumník katalogu

  1. V pracovním prostoru Azure Databricks klikněte na Ikona kataloguKatalog.

  2. Vyberte objekt, například katalog, schéma, tabulku, zobrazení, externí umístění nebo přihlašovací údaje úložiště.

    Postup přechodu na objekt závisí na objektu. Katalogy, schémata a obsah schémat (například tabulky a svazky) se dají vybrat v levém podokně katalogů . Kliknutím na Ikona ozubeného kolečka ikonu ozubeného kolečka nad podoknem Katalog a výběrem kategorie objektů v nabídce můžete najít další objekty, jako jsou externí umístění nebo sdílené složky Sdílení delta.

    U většiny objektů se vlastník zobrazí na kartě Přehled na stránce podrobností objektu. U některých objektů, jako jsou externí umístění, se zobrazí v horní části stránky podrobností objektu.

  3. Klikněte na Ikona Upravit ikonu úprav vedle vlastníka.

  4. Vyhledejte a vyberte skupinu, uživatele nebo instanční objekt.

  5. Klikněte na Uložit.

SQL

V poznámkovém bloku nebo editoru dotazů SQL spusťte následující příkaz SQL. Nahraďte zástupné hodnoty:

  • <securable-type>: Typ zabezpečitelného objektu, například CATALOG nebo TABLE. METASTORE není v tomto příkazu podporován jako zabezpečitelný objekt.
  • <securable-name>: Název zabezpečitelného. Pokud upravujete schéma nebo obsah schématu, musíte použít úplný tříúrovňový obor názvů (catalog.schema.object), pokud jste ještě nezadáli nadřazený katalog nebo schéma.
  • <principal> je uživatel, instanční objekt (reprezentovaný hodnotou applicationId) nebo skupina. Musíte uzavřít uživatele, instanční objekty a názvy skupin, které obsahují speciální znaky v zpětných znacích (` `). Viz objekt zabezpečení.
ALTER <securable-type> <securable-name> OWNER TO <principal>;

Pokud chcete například přenést vlastnictví orders tabulky do accounting skupiny:

ALTER TABLE mycatalog.myschema.orders OWNER TO `accounting`;