Sdílet prostřednictvím

Správa vlastnictví objektů katalogu Unity

  • Článek

Každý zabezpečitelný objekt v katalogu Unity má vlastníka. Vlastníkem může být libovolný objekt zabezpečení: uživatel, instanční objekt nebo skupina účtů. Objekt zabezpečení, který vytvoří objekt, se stane jeho počátečním vlastníkem. Vlastník objektu má všechna oprávnění k objektu, například SELECT a MODIFY v tabulce, a také oprávnění k přidělování oprávnění jiným subjektům. Vlastník objektu má možnost objektu vypustit.

Oprávnění vlastníka

Vlastníci objektu mají automaticky udělená všechna oprávnění k danému objektu. Vlastníci objektů mohou navíc udělit oprávnění k objektu samotnému a ke všem jeho podřízeným objektům. To znamená, že vlastníci schématu nemají automaticky všechna oprávnění k tabulkám ve schématu, ale mohou jim udělit oprávnění k tabulkám ve schématu.

Poznámka:

Existuje jedna výjimka z pravidla, že vlastníci mají veškerá oprávnění k objektu: aby se předešlo náhodné exfiltraci dat, vlastníci schématu nemají oprávnění EXTERNAL USE SCHEMA ve výchozím nastavení. Viz Povolení přístupu k externím datům k katalogu Unity.

Vlastnictví metastoru a katalogu

Správci metastoru jsou vlastníky metastoru. Role správce metastoru je volitelná. Správci metastoru můžou změnit přiřazení vlastnictví metastoru tak, že převedou roli správce metastoru, viz Přiřazení správce metastoru.

Pokud byl váš pracovní prostor pro katalog Unity automaticky zpřístupněn, ve výchozím nastavení je připojen k metastore a v metastore je vytvořen katalog pracovního prostoru pro váš pracovní prostor. Správci pracovního prostoru jsou výchozími vlastníky a můžou znovu přiřadit vlastnictví katalogu pracovních prostorů. V těchto pracovních prostorech není ve výchozím nastavení přiřazený žádný správce metastoru, ale správci účtu můžou v případě potřeby roli správce metastoru udělit. Viz správci metastoru.

Další informace o oprávněních správce v Katalogu Unity naleznete v tématu Oprávnění správce vKatalogu Unity .

vlastnictví versus privilegium MANAGE

MANAGE (Public Preview) je oprávnění, které se podobá vlastnictví objektu. Uděluje uživateli možnost upravovat, odstraňovat a spravovat oprávnění k objektu. Uživatelům s oprávněním MANAGE objektu však nejsou automaticky udělena všechna oprávnění k danému objektu. Stejně jako u jiných oprávnění vyžadují uživatelé USE CATALOG v nadřazeném katalogu objektu a USE SCHEMA v nadřazené schématu objektu. Pokud například chcete udělit oprávnění k tabulce, musí mít uživatelé oprávnění MANAGE pro danou tabulku a USE CATALOG oprávnění v nadřazeném katalogu spolu s oprávněními USE SCHEMA u nadřazeného schématu.

Vlastníkem objektu může být pouze jeden principál, včetně skupiny, zatímco MANAGE lze udělit více principálům.

Aby se zabránilo náhodné eskalaci oprávnění, ALL PRIVILEGES nezahrnuje oprávnění MANAGE

Zobrazení vlastníka objektu

K zobrazení vlastníka objektu můžete použít Průzkumníka katalogu nebo příkazy SQL.

Požadovaná oprávnění: Vlastník objektu může zobrazit libovolný uživatel s BROWSE oprávněním k objektu nebo nadřazený objekt.

Průzkumník katalogu

  1. V pracovním prostoru Azure Databricks klikněte na ikonu katalogu Katalog.

  2. Vyberte objekt, například katalog, schéma, tabulku, zobrazení, svazek, externí umístění nebo přihlašovací údaje úložiště.

    Postup přechodu na objekt závisí na objektu. Katalogy, schémata a obsah schémat (například tabulky a svazky) se dají vybrat v levém podokně katalogu. Další objekty, jako jsou externí umístění nebo sdílené položky Delta Sharing, najdete tak, že kliknete na ikonu ozubeného kola nad podoknem Katalog a v nabídce vyberete kategorii objektu.

    U většiny objektů se vlastník zobrazí na kartě Přehled na stránce podrobností objektu. U některých objektů, jako jsou externí umístění, se zobrazí v horní části stránky podrobností objektu.

SQL

V poznámkovém bloku nebo editoru dotazů SQL spusťte následující příkaz SQL. Nahraďte zástupné hodnoty:

  • <securable-type>: Typ zabezpečitelného, například CATALOG nebo TABLE.
  • <catalog>: Nadřazený katalog, pokud si prohlížíte schéma nebo obsah schématu.
  • <schema>: Nadřazené schéma, pokud si prohlížíte obsah schématu, například tabulku nebo zobrazení.
  • <securable-name>: Název zabezpečitelného objektu.
DESCRIBE <securable-type> EXTENDED <catalog>.<schema>.<securable-name>;

Převedení vlastnictví

K zobrazení vlastníka objektu můžete použít Průzkumníka katalogu nebo příkazy SQL.

požadovaná oprávnění: Vlastnictví objektu můžete přenést, pokud jste aktuálním vlastníkem, správcem metastoru, vlastníkem kontejneru (katalog schématu, schématu tabulky) nebo uživatelem s oprávněním MANAGE objektu. Objekty sdílené složky Delta jsou výjimkou: objekty zabezpečení s oprávněními USE SHARESET SHARE PERMISSION můžou také přenášet vlastnictví sdílené složky.

Poznámka:

Aby se zabránilo eskalaci oprávnění, může vlastnictví zobrazení, funkce nebo modelu převést pouze správce metastoru do libovolného uživatele, instančního objektu nebo skupiny v účtu. Aktuální vlastníci a uživatelé s oprávněním MANAGE jsou omezeni na převod vlastnictví na své uživatelské jméno nebo do skupiny, které jsou členy.

Průzkumník katalogu

  1. V pracovním prostoru Azure Databricks klikněte na ikonu katalogu Katalog.

  2. Vyberte objekt, například katalog, schéma, tabulku, zobrazení, externí umístění nebo přihlašovací údaje úložiště.

    Postup přechodu na objekt závisí na objektu. Katalogy, schémata a obsah schémat (například tabulky a svazky) se dají vybrat v levém podokně katalogu. Další objekty, jako jsou externí umístění nebo sdílené položky Delta Sharing, najdete tak, že kliknete na ikonu ozubeného kola nad podoknem Katalog a v nabídce vyberete kategorii objektu.

    U většiny objektů se vlastník zobrazí na kartě Přehled na stránce podrobností objektu. U některých objektů, jako jsou externí umístění, se zobrazí v horní části stránky podrobností objektu.

  3. Klikněte na Ikona Upravit ikonu úprav vedle vlastníka.

  4. Vyhledejte a vyberte skupinu, uživatele nebo služební účet.

  5. Klikněte na Uložit.

SQL

V poznámkovém bloku nebo editoru dotazů SQL spusťte následující příkaz SQL. Nahraďte zástupné hodnoty:

  • <securable-type>: Typ zabezpečitelného objektu, například CATALOG nebo TABLE. METASTORE není v tomto příkazu podporován jako zabezpečitelný objekt.
  • <securable-name>: Název zabezpečitelného. Pokud upravujete schéma nebo obsah schématu, musíte použít úplný tříúrovňový obor názvů (catalog.schema.object), pokud jste ještě nezadáli nadřazený katalog nebo schéma.
  • <principal> je uživatel, instanční objekt (reprezentovaný hodnotou applicationId) nebo skupina. Musíte uzavřít uživatele, instanční objekty a názvy skupin, které obsahují speciální znaky v zpětných znacích (` `). Viz objekt zabezpečení.
ALTER <securable-type> <securable-name> OWNER TO <principal>;

Pokud chcete například převést vlastnictví tabulky orders do skupiny accounting:

ALTER TABLE mycatalog.myschema.orders OWNER TO `accounting`;