Oprávnění katalogu Unity a zabezpečitelné objekty
Tento článek popisuje zabezpečitelné objekty katalogu Unity a oprávnění, která se na ně vztahují. Informace o udělení oprávnění v katalogu Unity najdete v tématu Zobrazení, udělení a odvolání oprávnění.
Poznámka:
Tento článek se týká oprávnění katalogu Unity a modelu dědičnosti v modelu oprávnění verze 1.0. Pokud jste metastore katalogu Unity vytvořili ve verzi Public Preview (před 25. srpnem 2022), možná jste na modelu dřívějších oprávnění, který aktuální model dědičnosti nepodporuje. Pokud chcete získat dědičnost oprávnění, můžete upgradovat na Model oprávnění verze 1.0. Viz Upgrade na dědičnost oprávnění.
Zabezpečitelné objekty v katalogu Unity
Zabezpečitelný objekt je objekt definovaný v metastoru katalogu Unity, na kterém lze udělit oprávnění instančnímu objektu (uživatel, instanční objekt nebo skupina). Zabezpečitelné objekty v katalogu Unity jsou hierarchické.
Zabezpečitelné objekty jsou:
METASTORE: Kontejner nejvyšší úrovně pro metadata. Každý metastore katalogu Unity zveřejňuje tříúrovňový obor názvů (
catalog
.schema
.table
), který organizuje vaše data.Při správě oprávnění k metastoru nezahrnete název metastoru do příkazu SQL. Katalog Unity uděluje nebo odvolá oprávnění k metastoru připojenému k vašemu pracovnímu prostoru. Například následující příkaz udělí skupině s názvem engineering možnost vytvořit katalog v metastoru připojeném k pracovnímu prostoru:
GRANT CREATE CATALOG ON METASTORE TO engineering
KATALOG: První vrstva hierarchie objektů, která slouží k uspořádání datových prostředků. Cizí katalog je speciální typ katalogu, který zrcadlí databázi v externím datovém systému ve scénáři Federace Lakehouse.
SCHÉMA: Také známé jako databáze, schémata jsou druhou vrstvou hierarchie objektů a obsahují tabulky a zobrazení.
TABLE: Nejnižší úroveň v hierarchii objektů může být externí (uložená v externích umístěních ve zvoleném cloudovém úložišti) nebo spravované tabulky (uložené v kontejneru úložiště ve vašem cloudovém úložišti, které vytvoříte výslovně pro Azure Databricks).
VIEW: Objekt jen pro čtení vytvořený z dotazu na jednu nebo více tabulek obsažených ve schématu.
MATERIALIZOVANÉ ZOBRAZENÍ: Objekt vytvořený z dotazu na jednu nebo více tabulek obsažených ve schématu. Jeho výsledky odrážejí stav dat při poslední aktualizaci.
VOLUME: Nejnižší úroveň v hierarchii objektů může být externí (uložená v externích umístěních ve zvoleném cloudovém úložišti) nebo spravovaná (uložená v kontejneru úložiště v cloudovém úložišti, které vytvoříte výslovně pro Azure Databricks).
FUNKCE: Uživatelem definovaná funkce nebo registrovaný model MLflow, který je součástí schématu.
Model: Registrovaný model MLflow je konkrétní typ funkce. Modely jsou uvedeny odděleně od ostatních funkcí v Průzkumníku katalogu, ale když udělíte oprávnění k modelu pomocí SQL, použijete
GRANT ON FUNCTION
.EXTERNÍ UMÍSTĚNÍ: Objekt, který obsahuje odkaz na přihlašovací údaje úložiště a cestu cloudového úložiště obsaženou v metastore katalogu Unity.
SERVICE CREDENTIAL: Objekt, který zapouzdřuje dlouhodobé cloudové přihlašovací údaje, které poskytují přístup k externí službě. Obsaženo v metastoru katalogu Unity.
STORAGE CREDENTIAL: Objekt, který zapouzdřuje dlouhodobé cloudové přihlašovací údaje, které poskytují přístup ke cloudovému úložišti obsaženému v metastore katalogu Unity.
CONNECTION: Objekt, který určuje cestu a přihlašovací údaje pro přístup k externímu databázovému systému ve scénáři federace Lakehouse.
SDÍLENÁ SLOŽKA: Logické seskupení pro tabulky, které chcete sdílet pomocí rozdílového sdílení. Sdílená složka je obsažena v metastoru katalogu Unity.
PŘÍJEMCE: Objekt, který identifikuje organizaci nebo skupinu uživatelů, kteří s nimi můžou sdílet data pomocí rozdílového sdílení. Tyto objekty jsou obsaženy v metastoru katalogu Unity.
POSKYTOVATEL: Objekt, který představuje organizaci, která zpřístupňuje data pro sdílení pomocí rozdílového sdílení. Tyto objekty jsou obsaženy v metastoru katalogu Unity.
ČISTÁ MÍSTNOST: Objekt, který představuje zabezpečené a chráněné prostředí ochrany osobních údajů spravované službou Databricks, kde může spolupracovat více stran bez přímého přístupu k datům ostatních.
Typy oprávnění podle zabezpečitelného objektu v katalogu Unity
Následující tabulka uvádí typy oprávnění, které se vztahují na každý zabezpečitelný objekt v katalogu Unity. Informace o udělení oprávnění v katalogu Unity najdete v tématu Zobrazení, udělení a odvolání oprávnění.
Zabezpečený | Oprávnění |
---|---|
Metastore |
CREATE CATALOG , CREATE CLEAN ROOM , , CREATE CONNECTION , CREATE EXTERNAL LOCATION , CREATE PROVIDER , ,CREATE RECIPIENT CREATE SHARE CREATE SERVICE CREDENTIAL CREATE STORAGE CREDENTIAL SET SHARE PERMISSION USE MARKETPLACE ASSETS USE PROVIDER USE RECIPIENT USE SHARE |
Katalog |
ALL PRIVILEGES , APPLY TAG , BROWSE , , CREATE SCHEMA USE CATALOG Všichni uživatelé mají USE CATALOG ve main výchozím nastavení katalog.Následující typy oprávnění platí pro zabezpečitelné objekty v katalogu. Tato oprávnění můžete udělit na úrovni katalogu, abyste je mohli použít pro aktuální a budoucí objekty v katalogu. CREATE FUNCTION , CREATE TABLE , CREATE MATERIALIZED VIEW , CREATE MODEL , CREATE VOLUME , EXTERNAL USE SCHEMA , READ VOLUME , REFRESH , WRITE VOLUME , EXECUTE , MANAGE , MODIFY , SELECT , USE SCHEMA |
Schéma |
ALL PRIVILEGES , APPLY TAG , CREATE FUNCTION , CREATE TABLE , CREATE MODEL , CREATE VOLUME , CREATE MATERIALIZED VIEW , MANAGE , EXTERNAL USE SCHEMA , USE SCHEMA Následující typy oprávnění platí pro zabezpečitelné objekty v rámci schématu. Tato oprávnění můžete udělit na úrovni schématu, abyste je mohli použít pro aktuální a budoucí objekty v rámci schématu. EXECUTE , MODIFY , READ VOLUME , REFRESH , , SELECT WRITE VOLUME |
Table |
ALL PRIVILEGES , APPLY TAG , MANAGE , , MODIFY SELECT |
Materializované zobrazení |
ALL PRIVILEGES , APPLY TAG , MANAGE , , REFRESH SELECT |
Zobrazení |
ALL PRIVILEGES , APPLY TAG , , MANAGE SELECT |
Objem |
ALL PRIVILEGES , MANAGE , , READ VOLUME WRITE VOLUME |
Externí umístění |
ALL PRIVILEGES , BROWSE , , CREATE EXTERNAL TABLE CREATE EXTERNAL VOLUME CREATE FOREIGN SECURABLE MANAGE READ FILES , , WRITE FILES CREATE MANAGED STORAGE |
Přihlašovací údaje služby |
ALL PRIVILEGES , , ACCESS CREATE CONNECTION . |
Přihlašovací údaje úložiště |
ALL PRIVILEGES , CREATE EXTERNAL LOCATION , CREATE EXTERNAL TABLE , MANAGE , , READ FILES WRITE FILES |
Connection |
ALL PRIVILEGES , CREATE FOREIGN CATALOG , , MANAGE USE CONNECTION |
Function |
ALL PRIVILEGES , APPLY TAG (pouze modely), EXECUTE , MANAGE |
Model | Registrované modely jsou typem funkce. |
Sdílení |
SELECT (Může být uděleno RECIPIENT ) |
Příjemce | Žádné |
Poskytovatel | Žádné |
Čistý pokoj |
ALL PRIVILEGES , BROWSE , EXECUTE CLEAN ROOM TASK , , MANAGE MODIFY CLEAN ROOM |
Obecné typy oprávnění katalogu Unity
Tato část obsahuje podrobnosti o typech oprávnění, které se obecně vztahují na katalog Unity. Informace o udělení oprávnění v katalogu Unity najdete v tématu Zobrazení, udělení a odvolání oprávnění.
VŠECHNA OPRÁVNĚNÍ
Použitelné typy objektů: CATALOG
, EXTERNAL LOCATION
, STORAGE CREDENTIAL
, , SCHEMA
( FUNCTION
včetně modelů) TABLE
, MATERIALIZED VIEW
, , VIEW,
VOLUME
Slouží k udělení nebo odvolání všech oprávnění vztahujících se k zabezpečitelnému objektu a jeho podřízeným objektům bez jejich explicitního zadání.
Pokud ALL PRIVILEGES
je u objektu udělena, neuděluje uživateli jednotlivá oprávnění v době udělení. Místo toho se rozbalí na všechna dostupná oprávnění v době, kdy se provádějí kontroly oprávnění. To znamená, že vzhledem k tomu, že Databricks uvolní nová oprávnění a nové zabezpečitelné objekty, stávající ALL PRIVILEGES
udělení automaticky zahrnuje všechna nová oprávnění použitelná pro zabezpečitelný objekt, jeho existující podřízené objekty a všechny nové podřízené objekty.
Když ALL PRIVILEGES
je odvolán, ALL PRIVILEGES
oprávnění je odvolána a všechna explicitní oprávnění udělená uživateli na objektu jsou také odvolána.
Aby nedošlo k náhodnému exfiltraci dat nebo eskalaci oprávnění, ALL PRIVILEGES
nezahrnuje oprávnění EXTERNAL USE SCHEMA
ani oprávnění MANAGE
.
Poznámka:
Tato oprávnění je výkonná při použití na vyšších úrovních v hierarchii. Například UDĚLIT VŠECHNA OPRÁVNĚNÍ V KATALOGU hlavní TO analysts
uděluje týmu analytika všechna existující a budoucí oprávnění ke každému existujícímu a budoucímu zabezpečitelnému objektu v katalogu.
PŘÍSTUP
Příslušné typy objektů: SERVICE CREDENTIAL
Umožňuje uživateli používat přihlašovací údaje služby pro přístup k externí službě nebo službám.
POUŽÍT ZNAČKU
Použitelné typy objektů: CATALOG
, SCHEMA
, TABLE
, VOLUME
MATERIALIZED VIEW
, VIEW
modely, které jsou registrovány jakoFUNCTION
Umožňuje uživateli přidávat a upravovat značky objektu. Udělení APPLY TAG
tabulce nebo zobrazení také umožňuje označování sloupců. Udělení APPLY TAG
registrovanému modelu také umožňuje označování verzí modelu.
Uživatel musí mít USE CATALOG
také oprávnění pro nadřazený katalog a USE SCHEMA
nadřazené schéma.
PROCHÁZET
Použitelné typy objektů: CATALOG
, EXTERNAL LOCATION
, CLEAN ROOM
Důležité
Tato funkce je ve verzi Public Preview.
Umožňuje uživateli zobrazit metadata objektu pomocí Průzkumníka katalogu, prohlížeče schématu, výsledků hledání, grafu information_schema
rodokmenu a rozhraní REST API.
Uživatel nevyžaduje USE CATALOG
oprávnění nadřazeného katalogu ani USE SCHEMA
nadřazeného schématu.
Všichni uživatelé mají ve výchozím nastavení oprávnění BROWSE
k novým katalogům vytvořeným pomocí Průzkumníka katalogu. Pokud chcete, můžete oprávnění odvolat. Katalogy vytvořené pomocí příkazů SQL, rozhraní REST API nebo rozhraní příkazového řádku Databricks ve výchozím nastavení neudělují BROWSE
oprávnění. Musíte mu to udělit nadlimitně.
VYTVOŘIT KATALOG
Použitelné typy objektů: Metastore katalogu Unity
Umožňuje uživateli vytvořit katalog v metastoru katalogu Unity. Chcete-li vytvořit cizí katalog, musíte mít také oprávnění CREATE FOREIGN CATALOG pro připojení, které obsahuje cizí katalog nebo metastor.
VYTVOŘENÍ ČISTÉ MÍSTNOSTI
Použitelné typy objektů: Metastore katalogu Unity
Umožňuje uživateli vytvořit čistou místnost pro bezpečnou spolupráci na projektech s jinými organizacemi bez sdílení podkladových dat.
VYTVOŘENÍ PŘIPOJENÍ
Použitelné typy objektů: Metastore katalogu Unity, SERVICE CREDENTIAL
Umožňuje uživateli vytvořit připojení k externí databázi ve scénáři federace Lakehouse. Pokud chcete k vytvoření připojení použít přihlašovací údaje služby, musí mít uživatel toto oprávnění k metastoru i přihlašovacím údajům služby.
VYTVOŘIT EXTERNÍ UMÍSTĚNÍ
Použitelné typy objektů: Metastore katalogu Unity, STORAGE CREDENTIAL
Aby uživatel mohl vytvořit externí umístění, musí mít toto oprávnění pro metastor i přihlašovací údaje úložiště, na které se odkazuje v externím umístění.
VYTVOŘENÍ EXTERNÍ TABULKY
Použitelné typy objektů: EXTERNAL LOCATION
, STORAGE CREDENTIAL
Umožňuje uživateli vytvářet externí tabulky přímo ve vašem cloudovém tenantovi pomocí externího umístění nebo přihlašovacích údajů úložiště. Databricks doporučuje udělit toto oprávnění externímu umístění místo přihlašovacích údajů úložiště (protože je vymezená na cestu, umožňuje větší kontrolu nad tím, kde můžou uživatelé vytvářet externí tabulky ve vašem cloudovém tenantovi).
VYTVOŘENÍ EXTERNÍHO SVAZKU
Příslušné typy objektů: EXTERNAL LOCATION
Umožňuje uživateli vytvářet externí svazky pomocí externího umístění.
VYTVOŘIT CIZÍ KATALOG
Příslušné typy objektů: CONNECTION
Umožňuje uživateli vytvářet cizí katalogy pomocí připojení k externí databázi ve scénáři federace Lakehouse.
VYTVOŘENÍ CIZÍHO OBJEKTU PRO ZABEZPEČENÍ
Příslušné typy objektů: EXTERNAL LOCATION
Umožňuje uživateli, který vytváří externí katalog, určit autorizované cesty, které jsou pokryté externím umístěním.
Uživatel musí mít také CREATE CATALOG
na katalogovém metastoru Unity a CREATE FOREIGN CATALOG
na připojení.
CREATE FUNCTION
Příslušné typy objektů: SCHEMA
Umožňuje uživateli vytvořit funkci ve schématu. Vzhledem k tomu, že jsou zděděná oprávnění, CREATE FUNCTION
lze také udělit v katalogu, což uživateli umožňuje vytvořit funkci v jakémkoli existujícím nebo budoucím schématu v katalogu.
Uživatel musí mít USE CATALOG
také oprávnění pro nadřazený katalog a USE SCHEMA
nadřazené schéma.
VYTVOŘENÍ MODELU
Příslušné typy objektů: SCHEMA
Umožňuje uživateli vytvořit zaregistrovaný model MLflow (což je typ funkce) ve schématu. Vzhledem k tomu, že jsou zděděná oprávnění, CREATE MODEL
lze také udělit v katalogu, což uživateli umožňuje vytvořit registrovaný model v jakémkoli existujícím nebo budoucím schématu v katalogu.
Uživatel musí mít USE CATALOG
také oprávnění pro nadřazený katalog a USE SCHEMA
nadřazené schéma.
VYTVOŘENÍ SPRAVOVANÉHO ÚLOŽIŠTĚ
Příslušné typy objektů: EXTERNAL LOCATION
Umožňuje uživateli zadat umístění pro ukládání spravovaných tabulek na úrovni katalogu nebo schématu a přepisovat výchozí kořenové úložiště pro metastore.
VYTVOŘENÍ SCHÉMATU
Příslušné typy objektů: CATALOG
Umožňuje uživateli vytvořit schéma. Uživatel musí mít v katalogu také oprávnění USE CATALOG
.
VYTVOŘENÍ PŘIHLAŠOVACÍCH ÚDAJŮ SLUŽBY
Použitelné typy objektů: Metastore katalogu Unity
Umožňuje uživateli vytvořit přihlašovací údaje služby v metastoru katalogu Unity.
VYTVOŘENÍ PŘIHLAŠOVACÍCH ÚDAJŮ ÚLOŽIŠTĚ
Použitelné typy objektů: Metastore katalogu Unity
Umožňuje uživateli vytvořit přihlašovací údaje úložiště v metastoru katalogu Unity.
CREATE TABLE
Příslušné typy objektů: SCHEMA
Umožňuje uživateli vytvořit tabulku nebo zobrazení ve schématu. Protože jsou práva dědičná, CREATE TABLE
je možné udělit také v katalogu, což uživateli umožňuje vytvořit tabulku nebo pohled v jakémkoli existujícím nebo budoucím schématu v katalogu.
Uživatel musí mít USE CATALOG
také oprávnění pro nadřazený katalog a USE SCHEMA
oprávnění nadřazeného schématu.
VYTVOŘENÍ MATERIALIZOVANÉHO ZOBRAZENÍ
Příslušné typy objektů: SCHEMA
Umožňuje uživateli vytvořit materializované zobrazení ve schématu. Protože jsou práva dědičná, CREATE MATERIALIZED VIEW
je možné udělit také v katalogu, což uživateli umožňuje vytvořit tabulku nebo pohled v jakémkoli existujícím nebo budoucím schématu v katalogu.
Uživatel musí mít USE CATALOG
také oprávnění pro nadřazený katalog a USE SCHEMA
oprávnění nadřazeného schématu.
VYTVOŘIT SVAZEK
Příslušné typy objektů: SCHEMA
Umožňuje uživateli vytvořit svazek ve schématu. Vzhledem k tomu, že jsou zděděná oprávnění, CREATE VOLUME
lze také udělit v katalogu, což uživateli umožňuje vytvořit svazek v jakémkoli existujícím nebo budoucím schématu v katalogu.
Uživatel musí mít USE CATALOG
také oprávnění pro nadřazený katalog svazku USE SCHEMA
a oprávnění nadřazeného schématu.
SPUSTIT
Použitelné typy objektů: FUNCTION
, Model
Umožňuje uživateli vyvolat uživatelem definovanou funkci nebo načíst model pro odvozování, pokud má USE CATALOG
uživatel také ve svém nadřazeném katalogu a USE SCHEMA
ve svém nadřazené schématu. U funkcí EXECUTE
umožňuje zobrazit definici a metadata funkce. U registrovaných modelů EXECUTE
umožňuje zobrazit metadata pro všechny verze registrovaného modelu a stahovat soubory modelu.
Vzhledem k tomu, že jsou oprávnění zděděna, můžete uživateli EXECUTE
udělit oprávnění k katalogu nebo schématu, což uživateli automaticky udělí EXECUTE
oprávnění pro všechny aktuální a budoucí funkce v katalogu nebo schématu.
PROVEDENÍ ÚKOLU ČISTÉ MÍSTNOSTI
Příslušné typy objektů: CLEAN ROOM
Umožňuje uživateli spouštět úkoly (poznámkové bloky) v čisté místnosti. Umožňuje také uživateli zobrazit podrobnosti o čisté místnosti.
SCHÉMA EXTERNÍHO POUŽITÍ
Příslušné typy objektů: SCHEMA
Umožňuje uživateli udělit dočasné přihlašovací údaje pro přístup k tabulkám katalogu Unity z externího modulu zpracování pomocí otevřených rozhraní API katalogu Unity nebo rozhraní REST API icebergu.
Toto oprávnění může udělit pouze vlastník katalogu.
Aby nedošlo k náhodnému exfiltraci dat, ALL PRIVILEGES
nezahrnuje EXTERNAL USE SCHEMA
oprávnění a vlastníci schématu ve výchozím nastavení toto oprávnění nemají.
Viz Řízení externího přístupu k datům v katalogu Unity.
SPRAVOVAT
použitelné typy objektů: CATALOG
, EXTERNAL LOCATION
, STORAGE CREDENTIAL
, SCHEMA
, FUNCTION
(včetně modelů), CONNECTION
, TABLE
, MATERIALIZED VIEW
, VIEW,
VOLUME
, CLEAN ROOM
Důležité
Tato funkce je ve verzi Public Preview.
Umožňuje uživateli zobrazit a spravovat oprávnění k objektu, vypustit objekt, přejmenovat objekt a přenést vlastnictví objektu.
MANAGE
se podobá vlastnictví objektu, ale uživatelům s oprávněním MANAGE
objektu nejsou automaticky udělena všechna oprávnění k danému objektu. Uživatelé s oprávněním MANAGE
mohou udělit oprávnění k objektu sami sobě.
Uživatel musí mít také oprávnění USE CATALOG
pro nadřazený katalog objektu a oprávnění USE SCHEMA
u nadřazeného schématu.
Aby se zabránilo náhodné eskalaci oprávnění, ALL PRIVILEGES
nezahrnuje oprávnění MANAGE
SPRÁVA SEZNAMU POVOLENÝCH
Použitelné typy objektů: Metastore katalogu Unity
Umožňuje uživateli přidávat nebo upravovat cesty pro inicializační skripty, jary a souřadnice Mavenu v seznamu povolených, které řídí clustery s podporou katalogu Unity s režimem sdíleného přístupu. Viz Knihovny allowlist a inicializační skripty pro sdílené výpočetní prostředky.
UPRAVIT
Příslušné typy objektů: TABLE
Umožňuje uživateli přidávat, aktualizovat a odstraňovat data do tabulky nebo z tabulky, pokud má SELECT
uživatel také tabulku a USE CATALOG
nadřazený katalog a USE SCHEMA
nadřazené schéma.
Vzhledem k tomu, že jsou zděděná oprávnění, můžete uživateli MODIFY
udělit oprávnění k katalogu nebo schématu, což uživateli automaticky udělí MODIFY
oprávnění pro všechny aktuální a budoucí tabulky v katalogu nebo schématu.
ÚPRAVA ČISTÉ MÍSTNOSTI
Příslušné typy objektů: CLEAN ROOM
Umožňuje uživateli aktualizovat čistou místnost, včetně přidávání a odebírání datových prostředků, přidávání a odebírání poznámkových bloků a aktualizace komentářů. Umožňuje také uživateli zobrazit podrobnosti o čisté místnosti.
ČTENÍ SOUBORŮ
Příslušné typy objektů: EXTERNAL LOCATION
Databrick doporučuje spravovat přístup pro čtení k datům v cloudovém úložišti objektů pomocí svazků a oprávnění READ VOLUME
.
READ FILES
umožňuje uživateli číst soubory přímo z cloudového úložiště objektů nakonfigurovaného jako externí umístění. Další pokyny najdete v tématu Správa externích umístění, externích tabulek a externích svazků.
ČTENÍ SVAZKU
Příslušné typy objektů: VOLUME
Umožňuje uživateli číst soubory a adresáře uložené ve svazku, pokud má USE CATALOG
uživatel také v nadřazeného katalogu a USE SCHEMA
nadřazené schéma.
Oprávnění se dědí. Když můžete uživateli READ VOLUME
udělit oprávnění v katalogu nebo schématu, automaticky mu udělíte READ VOLUME
oprávnění pro všechny aktuální a budoucí svazky v katalogu nebo schématu.
REFRESH
Příslušné typy objektů: MATERIALIZED VIEW
Umožňuje uživateli aktualizovat materializované zobrazení, pokud má USE CATALOG
uživatel také svůj nadřazený katalog a USE SCHEMA
nadřazené schéma.
Oprávnění se dědí. Když uživateli udělíte REFRESH
oprávnění k katalogu nebo schématu, automaticky mu udělíte REFRESH
oprávnění pro všechna aktuální a budoucí materializovaná zobrazení v katalogu nebo schématu.
VÝBĚR
Použitelné typy objektů: TABLE
, VIEW
, MATERIALIZED VIEW
, SHARE
Pokud je použitá u tabulky nebo zobrazení, umožňuje uživateli vybrat z tabulky nebo zobrazení, pokud má USE CATALOG
uživatel také nadřazený katalog a USE SCHEMA
nadřazené schéma. Pokud se použije na sdílenou složku, umožní příjemci vybrat ze sdílené složky.
Vzhledem k tomu, že jsou zděděná oprávnění, můžete uživateli SELECT
udělit oprávnění k katalogu nebo schématu, které automaticky uděluje oprávnění uživatele SELECT
pro všechny aktuální a budoucí tabulky a zobrazení v katalogu nebo schématu.
POUŽITÍ KATALOGU
Příslušné typy objektů: CATALOG
Toto oprávnění neumožňuje přístup k samotnému katalogu, ale je nutné, aby uživatel mohl pracovat s jakýmkoli objektem v rámci katalogu. Pokud například chcete vybrat data z tabulky, musí mít SELECT
uživatelé oprávnění k této tabulce a oprávněním nadřazeného katalogu i USE CATALOG
USE SCHEMA
oprávnění k nadřazeným schématu.
To je užitečné pro umožnění, aby vlastníci katalogu mohli omezit, jak daleko jednotlivá schémata a vlastníci tabulek můžou sdílet data, která vytvářejí. Vlastník tabulky, který uděluje SELECT
jinému uživateli, například nepovoluje přístup pro čtení k tabulce, pokud mu nebyla udělena USE CATALOG
oprávnění k jeho nadřazeného katalogu ani USE SCHEMA
oprávnění k nadřazeným schématu.
Oprávnění USE CATALOG
nadřazeného katalogu není nutné ke čtení metadat objektu, pokud má BROWSE
uživatel oprávnění k sadě.
POUŽITÍ PŘIPOJENÍ
Příslušné typy objektů: CONNECTION
Umožňuje uživateli vypsat a zobrazit podrobnosti o připojení k externí databázi ve scénáři federace Lakehouse. Chcete-li vytvořit cizí katalogy pro připojení, musíte mít CREATE FOREIGN CATALOG
připojení nebo vlastnictví připojení.
POUŽITÍ SCHÉMATU
Příslušné typy objektů: SCHEMA
Toto oprávnění neumožňuje přístup k samotnému schématu, ale je nutné, aby uživatel mohl pracovat s jakýmkoli objektem v rámci schématu. Pokud například chcete vybrat data z tabulky, musí mít SELECT
uživatelé oprávnění k této tabulce a USE SCHEMA
nadřazené schéma i USE CATALOG
nadřazený katalog.
Vzhledem k tomu, že jsou oprávnění zděděna, můžete uživateli USE SCHEMA
udělit oprávnění v katalogu, což uživateli automaticky udělí USE SCHEMA
oprávnění pro všechna aktuální a budoucí schémata v katalogu.
Oprávnění USE SCHEMA
nadřazeného schématu není nutné ke čtení metadat objektu, pokud má BROWSE
uživatel oprávnění pro toto schéma nebo jeho nadřazený katalog.
ZÁPIS SOUBORŮ
Příslušné typy objektů: EXTERNAL LOCATION
Databrick doporučuje spravovat přístup k zápisu k datům v cloudovém úložišti objektů pomocí svazků a oprávnění WRITE VOLUME
.
WRITE FILES
umožňuje uživateli zapisovat soubory přímo do cloudového úložiště objektů nakonfigurovaného jako externí umístění. Další pokyny najdete v tématu Správa externích umístění, externích tabulek a externích svazků.
ZÁPIS SVAZKU
Příslušné typy objektů: VOLUME
Umožňuje uživateli přidávat, odebírat nebo upravovat soubory a adresáře uložené ve svazku, pokud má USE CATALOG
uživatel také nadřazený katalog a USE SCHEMA
nadřazené schéma.
Oprávnění se dědí. Když můžete uživateli WRITE VOLUME
udělit oprávnění v katalogu nebo schématu, automaticky mu udělíte WRITE VOLUME
oprávnění pro všechny aktuální a budoucí svazky v katalogu nebo schématu.
Typy oprávnění, které platí jenom pro rozdílové sdílení nebo Databricks Marketplace
Tato část obsahuje podrobnosti o typech oprávnění, které platí jenom pro rozdílové sdílení.
CREATE PROVIDER
Použitelné typy objektů: Metastore katalogu Unity
Umožňuje uživateli vytvořit objekt zprostředkovatele rozdílového sdílení v metastoru. Poskytovatel identifikuje organizaci nebo skupinu uživatelů, kteří mají sdílená data pomocí rozdílového sdílení. Vytvoření poskytovatele provádí uživatel v účtu Databricks příjemce. Podívejte se, co je rozdílové sdílení?
VYTVOŘIT PŘÍJEMCE
Použitelné typy objektů: Metastore katalogu Unity
Umožňuje uživateli vytvořit objekt příjemce rozdílového sdílení v metastoru. Příjemce identifikuje organizaci nebo skupinu uživatelů, kteří s nimi můžou sdílet data pomocí rozdílového sdílení. Vytvoření příjemce provádí uživatel v účtu Databricks poskytovatele. Podívejte se, co je rozdílové sdílení?
VYTVOŘIT SDÍLENOU SLOŽKU
Použitelné typy objektů: Metastore katalogu Unity
Umožňuje uživateli vytvořit sdílenou složku v metastoru. Sdílená složka je logické seskupení pro tabulky, které chcete sdílet pomocí rozdílového sdílení.
NASTAVENÍ OPRÁVNĚNÍ KE SDÍLENÉ SLOŽCE
Použitelné typy objektů: Metastore katalogu Unity
V případě rozdílového sdílení tato oprávnění v kombinaci s vlastnictvím USE SHARE
a USE RECIPIENT
(nebo vlastnictvím příjemce) poskytuje uživateli poskytovatele možnost udělit příjemci přístup ke sdílené složce. V kombinaci s USE SHARE
tím dává možnost převést vlastnictví sdílené složky jinému uživateli, skupině nebo instančnímu objektu.
POUŽITÍ PROSTŘEDKŮ MARKETPLACE
Použitelné typy objektů: Metastore katalogu Unity
Ve výchozím nastavení je povoleno pro všechny metastore katalogu Unity. V Databricks Marketplace toto oprávnění uživateli umožňuje získat okamžitý přístup nebo požádat o přístup k datovým produktům sdíleným v seznamu Marketplace. Umožňuje také uživateli přístup k katalogu jen pro čtení, který se vytvoří, když poskytovatel sdílí datový produkt. Bez tohoto oprávnění by uživatel vyžadoval CREATE CATALOG
roli a USE PROVIDER
oprávnění nebo roli správce metastoru. To vám umožní omezit počet uživatelů s těmito výkonnými oprávněními.
POUŽITÍ ZPROSTŘEDKOVATELE
Použitelné typy objektů: Metastore katalogu Unity
V režimu Delta Sharing poskytuje uživateli přístup jen pro čtení všem poskytovatelům v metastoru příjemce a jejich sdílených složkách. V kombinaci s CREATE CATALOG
oprávněním tato oprávnění umožňuje uživateli příjemce, který není správcem metastoru, připojit sdílenou složku jako katalog. Díky tomu můžete omezit počet uživatelů s výkonnou rolí správce metastoru.
POUŽÍT PŘÍJEMCE
Použitelné typy objektů: Metastore katalogu Unity
V případě rozdílového sdílení poskytuje poskytovateli přístup jen pro čtení všem příjemcům v metastoru poskytovatele a jejich sdílených složkách. To umožňuje uživateli poskytovatele, který není správcem metastoru, zobrazit podrobnosti o příjemci, stav ověření příjemce a seznam sdílených složek, které poskytovatel sdílel s příjemcem.
V Databricks Marketplace to umožňuje uživatelům poskytovatele zobrazit výpisy a žádosti uživatelů v konzole poskytovatele.
POUŽITÍ SDÍLENÉ SLOŽKY
Použitelné typy objektů: Metastore katalogu Unity
V případě rozdílového sdílení poskytuje poskytovateli přístup jen pro čtení ke všem sdíleným složkám definovaným v metastoru zprostředkovatele. To umožňuje uživateli poskytovatele, který není správcem metastoru, vypsat sdílené složky a vypsat prostředky (tabulky a poznámkové bloky) ve sdílené složce spolu s příjemci sdílené složky.
V Databricks Marketplace můžou uživatelé poskytovatele zobrazit podrobnosti o datech sdílených v seznamu.