Sdílet prostřednictvím


Oprávnění katalogu Unity a zabezpečitelné objekty

Tento článek popisuje zabezpečitelné objekty katalogu Unity a oprávnění, která se na ně vztahují. Informace o udělení oprávnění v katalogu Unity najdete v tématu Zobrazení, udělení a odvolání oprávnění.

Poznámka:

Tento článek se týká oprávnění katalogu Unity a modelu dědičnosti v modelu oprávnění verze 1.0. Pokud jste metastore katalogu Unity vytvořili ve verzi Public Preview (před 25. srpnem 2022), možná jste na modelu dřívějších oprávnění, který aktuální model dědičnosti nepodporuje. Pokud chcete získat dědičnost oprávnění, můžete upgradovat na Model oprávnění verze 1.0. Viz Upgrade na dědičnost oprávnění.

Zabezpečitelné objekty v katalogu Unity

Zabezpečitelný objekt je objekt definovaný v metastoru katalogu Unity, na kterém lze udělit oprávnění instančnímu objektu (uživatel, instanční objekt nebo skupina). Zabezpečitelné objekty v katalogu Unity jsou hierarchické.

Hierarchie objektů katalogu Unity

Zabezpečitelné objekty jsou:

  • METASTORE: Kontejner nejvyšší úrovně pro metadata. Každý metastore katalogu Unity zveřejňuje tříúrovňový obor názvů (catalog.schema.table), který organizuje vaše data.

    Při správě oprávnění k metastoru nezahrnete název metastoru do příkazu SQL. Katalog Unity uděluje nebo odvolá oprávnění k metastoru připojenému k vašemu pracovnímu prostoru. Například následující příkaz udělí skupině s názvem engineering možnost vytvořit katalog v metastoru připojeném k pracovnímu prostoru:

    GRANT CREATE CATALOG ON METASTORE TO engineering
    
  • KATALOG: První vrstva hierarchie objektů, která slouží k uspořádání datových prostředků. Cizí katalog je speciální typ katalogu, který zrcadlí databázi v externím datovém systému ve scénáři Federace Lakehouse.

  • SCHÉMA: Také známé jako databáze, schémata jsou druhou vrstvou hierarchie objektů a obsahují tabulky a zobrazení.

  • TABLE: Nejnižší úroveň v hierarchii objektů může být externí (uložená v externích umístěních ve zvoleném cloudovém úložišti) nebo spravované tabulky (uložené v kontejneru úložiště ve vašem cloudovém úložišti, které vytvoříte výslovně pro Azure Databricks).

  • VIEW: Objekt jen pro čtení vytvořený z dotazu na jednu nebo více tabulek obsažených ve schématu.

  • MATERIALIZOVANÉ ZOBRAZENÍ: Objekt vytvořený z dotazu na jednu nebo více tabulek obsažených ve schématu. Jeho výsledky odrážejí stav dat při poslední aktualizaci.

  • VOLUME: Nejnižší úroveň v hierarchii objektů může být externí (uložená v externích umístěních ve zvoleném cloudovém úložišti) nebo spravovaná (uložená v kontejneru úložiště v cloudovém úložišti, které vytvoříte výslovně pro Azure Databricks).

  • FUNKCE: Uživatelem definovaná funkce nebo registrovaný model MLflow, který je součástí schématu.

  • Model: Registrovaný model MLflow je konkrétní typ funkce. Modely jsou uvedeny odděleně od ostatních funkcí v Průzkumníku katalogu, ale když udělíte oprávnění k modelu pomocí SQL, použijete GRANT ON FUNCTION.

  • EXTERNÍ UMÍSTĚNÍ: Objekt, který obsahuje odkaz na přihlašovací údaje úložiště a cestu cloudového úložiště obsaženou v metastore katalogu Unity.

  • SERVICE CREDENTIAL: Objekt, který zapouzdřuje dlouhodobé cloudové přihlašovací údaje, které poskytují přístup k externí službě. Obsaženo v metastoru katalogu Unity.

  • STORAGE CREDENTIAL: Objekt, který zapouzdřuje dlouhodobé cloudové přihlašovací údaje, které poskytují přístup ke cloudovému úložišti obsaženému v metastore katalogu Unity.

  • CONNECTION: Objekt, který určuje cestu a přihlašovací údaje pro přístup k externímu databázovému systému ve scénáři federace Lakehouse.

  • SDÍLENÁ SLOŽKA: Logické seskupení pro tabulky, které chcete sdílet pomocí rozdílového sdílení. Sdílená složka je obsažena v metastoru katalogu Unity.

  • PŘÍJEMCE: Objekt, který identifikuje organizaci nebo skupinu uživatelů, kteří s nimi můžou sdílet data pomocí rozdílového sdílení. Tyto objekty jsou obsaženy v metastoru katalogu Unity.

  • POSKYTOVATEL: Objekt, který představuje organizaci, která zpřístupňuje data pro sdílení pomocí rozdílového sdílení. Tyto objekty jsou obsaženy v metastoru katalogu Unity.

  • ČISTÁ MÍSTNOST: Objekt, který představuje zabezpečené a chráněné prostředí ochrany osobních údajů spravované službou Databricks, kde může spolupracovat více stran bez přímého přístupu k datům ostatních.

Typy oprávnění podle zabezpečitelného objektu v katalogu Unity

Následující tabulka uvádí typy oprávnění, které se vztahují na každý zabezpečitelný objekt v katalogu Unity. Informace o udělení oprávnění v katalogu Unity najdete v tématu Zobrazení, udělení a odvolání oprávnění.

Zabezpečený Oprávnění
Metastore CREATE CATALOG, CREATE CLEAN ROOM, , CREATE CONNECTION, CREATE EXTERNAL LOCATION, CREATE PROVIDER, ,CREATE RECIPIENTCREATE SHARECREATE SERVICE CREDENTIALCREATE STORAGE CREDENTIALSET SHARE PERMISSIONUSE MARKETPLACE ASSETSUSE PROVIDERUSE RECIPIENTUSE SHARE
Katalog ALL PRIVILEGES, APPLY TAG, BROWSE, , CREATE SCHEMAUSE CATALOG

Všichni uživatelé mají USE CATALOG ve main výchozím nastavení katalog.

Následující typy oprávnění platí pro zabezpečitelné objekty v katalogu. Tato oprávnění můžete udělit na úrovni katalogu, abyste je mohli použít pro aktuální a budoucí objekty v katalogu.

CREATE FUNCTION, CREATE TABLE, CREATE MATERIALIZED VIEW, CREATE MODEL, CREATE VOLUME, EXTERNAL USE SCHEMA, READ VOLUME, REFRESH, WRITE VOLUME, EXECUTE, MANAGE, MODIFY, SELECT, USE SCHEMA
Schéma ALL PRIVILEGES, APPLY TAG, CREATE FUNCTION, CREATE TABLE, CREATE MODEL, CREATE VOLUME, CREATE MATERIALIZED VIEW, MANAGE, EXTERNAL USE SCHEMA, USE SCHEMA

Následující typy oprávnění platí pro zabezpečitelné objekty v rámci schématu. Tato oprávnění můžete udělit na úrovni schématu, abyste je mohli použít pro aktuální a budoucí objekty v rámci schématu.

EXECUTE, MODIFY, READ VOLUME, REFRESH, , SELECTWRITE VOLUME
Table ALL PRIVILEGES, APPLY TAG, MANAGE, , MODIFYSELECT
Materializované zobrazení ALL PRIVILEGES, APPLY TAG, MANAGE, , REFRESHSELECT
Zobrazení ALL PRIVILEGES, APPLY TAG, , MANAGESELECT
Objem ALL PRIVILEGES, MANAGE, , READ VOLUMEWRITE VOLUME
Externí umístění ALL PRIVILEGES, BROWSE, , CREATE EXTERNAL TABLECREATE EXTERNAL VOLUMECREATE FOREIGN SECURABLEMANAGEREAD FILES, , WRITE FILESCREATE MANAGED STORAGE
Přihlašovací údaje služby ALL PRIVILEGES, , ACCESSCREATE CONNECTION.
Přihlašovací údaje úložiště ALL PRIVILEGES, CREATE EXTERNAL LOCATION, CREATE EXTERNAL TABLE, MANAGE, , READ FILESWRITE FILES
Connection ALL PRIVILEGES, CREATE FOREIGN CATALOG, , MANAGEUSE CONNECTION
Function ALL PRIVILEGES, APPLY TAG (pouze modely), EXECUTE, MANAGE
Model Registrované modely jsou typem funkce.
Sdílení SELECT (Může být uděleno RECIPIENT)
Příjemce Žádné
Poskytovatel Žádné
Čistý pokoj ALL PRIVILEGES, BROWSE, EXECUTE CLEAN ROOM TASK, , MANAGEMODIFY CLEAN ROOM

Obecné typy oprávnění katalogu Unity

Tato část obsahuje podrobnosti o typech oprávnění, které se obecně vztahují na katalog Unity. Informace o udělení oprávnění v katalogu Unity najdete v tématu Zobrazení, udělení a odvolání oprávnění.

VŠECHNA OPRÁVNĚNÍ

Použitelné typy objektů: CATALOG, EXTERNAL LOCATION, STORAGE CREDENTIAL, , SCHEMA( FUNCTION včetně modelů) TABLE, MATERIALIZED VIEW, , VIEW,VOLUME

Slouží k udělení nebo odvolání všech oprávnění vztahujících se k zabezpečitelnému objektu a jeho podřízeným objektům bez jejich explicitního zadání.

Pokud ALL PRIVILEGES je u objektu udělena, neuděluje uživateli jednotlivá oprávnění v době udělení. Místo toho se rozbalí na všechna dostupná oprávnění v době, kdy se provádějí kontroly oprávnění. To znamená, že vzhledem k tomu, že Databricks uvolní nová oprávnění a nové zabezpečitelné objekty, stávající ALL PRIVILEGES udělení automaticky zahrnuje všechna nová oprávnění použitelná pro zabezpečitelný objekt, jeho existující podřízené objekty a všechny nové podřízené objekty.

Když ALL PRIVILEGES je odvolán, ALL PRIVILEGES oprávnění je odvolána a všechna explicitní oprávnění udělená uživateli na objektu jsou také odvolána.

Aby nedošlo k náhodnému exfiltraci dat nebo eskalaci oprávnění, ALL PRIVILEGES nezahrnuje oprávnění EXTERNAL USE SCHEMA ani oprávnění MANAGE.

Poznámka:

Tato oprávnění je výkonná při použití na vyšších úrovních v hierarchii. Například UDĚLIT VŠECHNA OPRÁVNĚNÍ V KATALOGU hlavní TO analysts uděluje týmu analytika všechna existující a budoucí oprávnění ke každému existujícímu a budoucímu zabezpečitelnému objektu v katalogu.

PŘÍSTUP

Příslušné typy objektů: SERVICE CREDENTIAL

Umožňuje uživateli používat přihlašovací údaje služby pro přístup k externí službě nebo službám.

POUŽÍT ZNAČKU

Použitelné typy objektů: CATALOG, SCHEMA, TABLE, VOLUMEMATERIALIZED VIEW, VIEWmodely, které jsou registrovány jakoFUNCTION

Umožňuje uživateli přidávat a upravovat značky objektu. Udělení APPLY TAG tabulce nebo zobrazení také umožňuje označování sloupců. Udělení APPLY TAG registrovanému modelu také umožňuje označování verzí modelu.

Uživatel musí mít USE CATALOG také oprávnění pro nadřazený katalog a USE SCHEMA nadřazené schéma.

PROCHÁZET

Použitelné typy objektů: CATALOG, EXTERNAL LOCATION, CLEAN ROOM

Důležité

Tato funkce je ve verzi Public Preview.

Umožňuje uživateli zobrazit metadata objektu pomocí Průzkumníka katalogu, prohlížeče schématu, výsledků hledání, grafu information_schemarodokmenu a rozhraní REST API.

Uživatel nevyžaduje USE CATALOG oprávnění nadřazeného katalogu ani USE SCHEMA nadřazeného schématu.

Všichni uživatelé mají ve výchozím nastavení oprávnění BROWSE k novým katalogům vytvořeným pomocí Průzkumníka katalogu. Pokud chcete, můžete oprávnění odvolat. Katalogy vytvořené pomocí příkazů SQL, rozhraní REST API nebo rozhraní příkazového řádku Databricks ve výchozím nastavení neudělují BROWSE oprávnění. Musíte mu to udělit nadlimitně.

VYTVOŘIT KATALOG

Použitelné typy objektů: Metastore katalogu Unity

Umožňuje uživateli vytvořit katalog v metastoru katalogu Unity. Chcete-li vytvořit cizí katalog, musíte mít také oprávnění CREATE FOREIGN CATALOG pro připojení, které obsahuje cizí katalog nebo metastor.

VYTVOŘENÍ ČISTÉ MÍSTNOSTI

Použitelné typy objektů: Metastore katalogu Unity

Umožňuje uživateli vytvořit čistou místnost pro bezpečnou spolupráci na projektech s jinými organizacemi bez sdílení podkladových dat.

VYTVOŘENÍ PŘIPOJENÍ

Použitelné typy objektů: Metastore katalogu Unity, SERVICE CREDENTIAL

Umožňuje uživateli vytvořit připojení k externí databázi ve scénáři federace Lakehouse. Pokud chcete k vytvoření připojení použít přihlašovací údaje služby, musí mít uživatel toto oprávnění k metastoru i přihlašovacím údajům služby.

VYTVOŘIT EXTERNÍ UMÍSTĚNÍ

Použitelné typy objektů: Metastore katalogu Unity, STORAGE CREDENTIAL

Aby uživatel mohl vytvořit externí umístění, musí mít toto oprávnění pro metastor i přihlašovací údaje úložiště, na které se odkazuje v externím umístění.

VYTVOŘENÍ EXTERNÍ TABULKY

Použitelné typy objektů: EXTERNAL LOCATION, STORAGE CREDENTIAL

Umožňuje uživateli vytvářet externí tabulky přímo ve vašem cloudovém tenantovi pomocí externího umístění nebo přihlašovacích údajů úložiště. Databricks doporučuje udělit toto oprávnění externímu umístění místo přihlašovacích údajů úložiště (protože je vymezená na cestu, umožňuje větší kontrolu nad tím, kde můžou uživatelé vytvářet externí tabulky ve vašem cloudovém tenantovi).

VYTVOŘENÍ EXTERNÍHO SVAZKU

Příslušné typy objektů: EXTERNAL LOCATION

Umožňuje uživateli vytvářet externí svazky pomocí externího umístění.

VYTVOŘIT CIZÍ KATALOG

Příslušné typy objektů: CONNECTION

Umožňuje uživateli vytvářet cizí katalogy pomocí připojení k externí databázi ve scénáři federace Lakehouse.

VYTVOŘENÍ CIZÍHO OBJEKTU PRO ZABEZPEČENÍ

Příslušné typy objektů: EXTERNAL LOCATION

Umožňuje uživateli, který vytváří externí katalog, určit autorizované cesty, které jsou pokryté externím umístěním.

Uživatel musí mít také CREATE CATALOG na katalogovém metastoru Unity a CREATE FOREIGN CATALOG na připojení.

CREATE FUNCTION

Příslušné typy objektů: SCHEMA

Umožňuje uživateli vytvořit funkci ve schématu. Vzhledem k tomu, že jsou zděděná oprávnění, CREATE FUNCTION lze také udělit v katalogu, což uživateli umožňuje vytvořit funkci v jakémkoli existujícím nebo budoucím schématu v katalogu.

Uživatel musí mít USE CATALOG také oprávnění pro nadřazený katalog a USE SCHEMA nadřazené schéma.

VYTVOŘENÍ MODELU

Příslušné typy objektů: SCHEMA

Umožňuje uživateli vytvořit zaregistrovaný model MLflow (což je typ funkce) ve schématu. Vzhledem k tomu, že jsou zděděná oprávnění, CREATE MODEL lze také udělit v katalogu, což uživateli umožňuje vytvořit registrovaný model v jakémkoli existujícím nebo budoucím schématu v katalogu.

Uživatel musí mít USE CATALOG také oprávnění pro nadřazený katalog a USE SCHEMA nadřazené schéma.

VYTVOŘENÍ SPRAVOVANÉHO ÚLOŽIŠTĚ

Příslušné typy objektů: EXTERNAL LOCATION

Umožňuje uživateli zadat umístění pro ukládání spravovaných tabulek na úrovni katalogu nebo schématu a přepisovat výchozí kořenové úložiště pro metastore.

VYTVOŘENÍ SCHÉMATU

Příslušné typy objektů: CATALOG

Umožňuje uživateli vytvořit schéma. Uživatel musí mít v katalogu také oprávnění USE CATALOG.

VYTVOŘENÍ PŘIHLAŠOVACÍCH ÚDAJŮ SLUŽBY

Použitelné typy objektů: Metastore katalogu Unity

Umožňuje uživateli vytvořit přihlašovací údaje služby v metastoru katalogu Unity.

VYTVOŘENÍ PŘIHLAŠOVACÍCH ÚDAJŮ ÚLOŽIŠTĚ

Použitelné typy objektů: Metastore katalogu Unity

Umožňuje uživateli vytvořit přihlašovací údaje úložiště v metastoru katalogu Unity.

CREATE TABLE

Příslušné typy objektů: SCHEMA

Umožňuje uživateli vytvořit tabulku nebo zobrazení ve schématu. Protože jsou práva dědičná, CREATE TABLE je možné udělit také v katalogu, což uživateli umožňuje vytvořit tabulku nebo pohled v jakémkoli existujícím nebo budoucím schématu v katalogu.

Uživatel musí mít USE CATALOG také oprávnění pro nadřazený katalog a USE SCHEMA oprávnění nadřazeného schématu.

VYTVOŘENÍ MATERIALIZOVANÉHO ZOBRAZENÍ

Příslušné typy objektů: SCHEMA

Umožňuje uživateli vytvořit materializované zobrazení ve schématu. Protože jsou práva dědičná, CREATE MATERIALIZED VIEW je možné udělit také v katalogu, což uživateli umožňuje vytvořit tabulku nebo pohled v jakémkoli existujícím nebo budoucím schématu v katalogu.

Uživatel musí mít USE CATALOG také oprávnění pro nadřazený katalog a USE SCHEMA oprávnění nadřazeného schématu.

VYTVOŘIT SVAZEK

Příslušné typy objektů: SCHEMA

Umožňuje uživateli vytvořit svazek ve schématu. Vzhledem k tomu, že jsou zděděná oprávnění, CREATE VOLUME lze také udělit v katalogu, což uživateli umožňuje vytvořit svazek v jakémkoli existujícím nebo budoucím schématu v katalogu.

Uživatel musí mít USE CATALOG také oprávnění pro nadřazený katalog svazku USE SCHEMA a oprávnění nadřazeného schématu.

SPUSTIT

Použitelné typy objektů: FUNCTION, Model

Umožňuje uživateli vyvolat uživatelem definovanou funkci nebo načíst model pro odvozování, pokud má USE CATALOG uživatel také ve svém nadřazeném katalogu a USE SCHEMA ve svém nadřazené schématu. U funkcí EXECUTE umožňuje zobrazit definici a metadata funkce. U registrovaných modelů EXECUTE umožňuje zobrazit metadata pro všechny verze registrovaného modelu a stahovat soubory modelu.

Vzhledem k tomu, že jsou oprávnění zděděna, můžete uživateli EXECUTE udělit oprávnění k katalogu nebo schématu, což uživateli automaticky udělí EXECUTE oprávnění pro všechny aktuální a budoucí funkce v katalogu nebo schématu.

PROVEDENÍ ÚKOLU ČISTÉ MÍSTNOSTI

Příslušné typy objektů: CLEAN ROOM

Umožňuje uživateli spouštět úkoly (poznámkové bloky) v čisté místnosti. Umožňuje také uživateli zobrazit podrobnosti o čisté místnosti.

SCHÉMA EXTERNÍHO POUŽITÍ

Příslušné typy objektů: SCHEMA

Umožňuje uživateli udělit dočasné přihlašovací údaje pro přístup k tabulkám katalogu Unity z externího modulu zpracování pomocí otevřených rozhraní API katalogu Unity nebo rozhraní REST API icebergu.

Toto oprávnění může udělit pouze vlastník katalogu.

Aby nedošlo k náhodnému exfiltraci dat, ALL PRIVILEGES nezahrnuje EXTERNAL USE SCHEMA oprávnění a vlastníci schématu ve výchozím nastavení toto oprávnění nemají.

Viz Řízení externího přístupu k datům v katalogu Unity.

SPRAVOVAT

použitelné typy objektů: CATALOG, EXTERNAL LOCATION, STORAGE CREDENTIAL, SCHEMA, FUNCTION (včetně modelů), CONNECTION, TABLE, MATERIALIZED VIEW, VIEW,VOLUME, CLEAN ROOM

Důležité

Tato funkce je ve verzi Public Preview.

Umožňuje uživateli zobrazit a spravovat oprávnění k objektu, vypustit objekt, přejmenovat objekt a přenést vlastnictví objektu. MANAGE se podobá vlastnictví objektu, ale uživatelům s oprávněním MANAGE objektu nejsou automaticky udělena všechna oprávnění k danému objektu. Uživatelé s oprávněním MANAGE mohou udělit oprávnění k objektu sami sobě.

Uživatel musí mít také oprávnění USE CATALOG pro nadřazený katalog objektu a oprávnění USE SCHEMA u nadřazeného schématu.

Aby se zabránilo náhodné eskalaci oprávnění, ALL PRIVILEGES nezahrnuje oprávnění MANAGE

SPRÁVA SEZNAMU POVOLENÝCH

Použitelné typy objektů: Metastore katalogu Unity

Umožňuje uživateli přidávat nebo upravovat cesty pro inicializační skripty, jary a souřadnice Mavenu v seznamu povolených, které řídí clustery s podporou katalogu Unity s režimem sdíleného přístupu. Viz Knihovny allowlist a inicializační skripty pro sdílené výpočetní prostředky.

UPRAVIT

Příslušné typy objektů: TABLE

Umožňuje uživateli přidávat, aktualizovat a odstraňovat data do tabulky nebo z tabulky, pokud má SELECT uživatel také tabulku a USE CATALOG nadřazený katalog a USE SCHEMA nadřazené schéma.

Vzhledem k tomu, že jsou zděděná oprávnění, můžete uživateli MODIFY udělit oprávnění k katalogu nebo schématu, což uživateli automaticky udělí MODIFY oprávnění pro všechny aktuální a budoucí tabulky v katalogu nebo schématu.

ÚPRAVA ČISTÉ MÍSTNOSTI

Příslušné typy objektů: CLEAN ROOM

Umožňuje uživateli aktualizovat čistou místnost, včetně přidávání a odebírání datových prostředků, přidávání a odebírání poznámkových bloků a aktualizace komentářů. Umožňuje také uživateli zobrazit podrobnosti o čisté místnosti.

ČTENÍ SOUBORŮ

Příslušné typy objektů: EXTERNAL LOCATION

Databrick doporučuje spravovat přístup pro čtení k datům v cloudovém úložišti objektů pomocí svazků a oprávnění READ VOLUME.

READ FILES umožňuje uživateli číst soubory přímo z cloudového úložiště objektů nakonfigurovaného jako externí umístění. Další pokyny najdete v tématu Správa externích umístění, externích tabulek a externích svazků.

ČTENÍ SVAZKU

Příslušné typy objektů: VOLUME

Umožňuje uživateli číst soubory a adresáře uložené ve svazku, pokud má USE CATALOG uživatel také v nadřazeného katalogu a USE SCHEMA nadřazené schéma.

Oprávnění se dědí. Když můžete uživateli READ VOLUME udělit oprávnění v katalogu nebo schématu, automaticky mu udělíte READ VOLUME oprávnění pro všechny aktuální a budoucí svazky v katalogu nebo schématu.

REFRESH

Příslušné typy objektů: MATERIALIZED VIEW

Umožňuje uživateli aktualizovat materializované zobrazení, pokud má USE CATALOG uživatel také svůj nadřazený katalog a USE SCHEMA nadřazené schéma.

Oprávnění se dědí. Když uživateli udělíte REFRESH oprávnění k katalogu nebo schématu, automaticky mu udělíte REFRESH oprávnění pro všechna aktuální a budoucí materializovaná zobrazení v katalogu nebo schématu.

VÝBĚR

Použitelné typy objektů: TABLE, VIEW, MATERIALIZED VIEW, SHARE

Pokud je použitá u tabulky nebo zobrazení, umožňuje uživateli vybrat z tabulky nebo zobrazení, pokud má USE CATALOG uživatel také nadřazený katalog a USE SCHEMA nadřazené schéma. Pokud se použije na sdílenou složku, umožní příjemci vybrat ze sdílené složky.

Vzhledem k tomu, že jsou zděděná oprávnění, můžete uživateli SELECT udělit oprávnění k katalogu nebo schématu, které automaticky uděluje oprávnění uživatele SELECT pro všechny aktuální a budoucí tabulky a zobrazení v katalogu nebo schématu.

POUŽITÍ KATALOGU

Příslušné typy objektů: CATALOG

Toto oprávnění neumožňuje přístup k samotnému katalogu, ale je nutné, aby uživatel mohl pracovat s jakýmkoli objektem v rámci katalogu. Pokud například chcete vybrat data z tabulky, musí mít SELECT uživatelé oprávnění k této tabulce a oprávněním nadřazeného katalogu i USE CATALOGUSE SCHEMA oprávnění k nadřazeným schématu.

To je užitečné pro umožnění, aby vlastníci katalogu mohli omezit, jak daleko jednotlivá schémata a vlastníci tabulek můžou sdílet data, která vytvářejí. Vlastník tabulky, který uděluje SELECT jinému uživateli, například nepovoluje přístup pro čtení k tabulce, pokud mu nebyla udělena USE CATALOG oprávnění k jeho nadřazeného katalogu ani USE SCHEMA oprávnění k nadřazeným schématu.

Oprávnění USE CATALOG nadřazeného katalogu není nutné ke čtení metadat objektu, pokud má BROWSE uživatel oprávnění k sadě.

POUŽITÍ PŘIPOJENÍ

Příslušné typy objektů: CONNECTION

Umožňuje uživateli vypsat a zobrazit podrobnosti o připojení k externí databázi ve scénáři federace Lakehouse. Chcete-li vytvořit cizí katalogy pro připojení, musíte mít CREATE FOREIGN CATALOG připojení nebo vlastnictví připojení.

POUŽITÍ SCHÉMATU

Příslušné typy objektů: SCHEMA

Toto oprávnění neumožňuje přístup k samotnému schématu, ale je nutné, aby uživatel mohl pracovat s jakýmkoli objektem v rámci schématu. Pokud například chcete vybrat data z tabulky, musí mít SELECT uživatelé oprávnění k této tabulce a USE SCHEMA nadřazené schéma i USE CATALOG nadřazený katalog.

Vzhledem k tomu, že jsou oprávnění zděděna, můžete uživateli USE SCHEMA udělit oprávnění v katalogu, což uživateli automaticky udělí USE SCHEMA oprávnění pro všechna aktuální a budoucí schémata v katalogu.

Oprávnění USE SCHEMA nadřazeného schématu není nutné ke čtení metadat objektu, pokud má BROWSE uživatel oprávnění pro toto schéma nebo jeho nadřazený katalog.

ZÁPIS SOUBORŮ

Příslušné typy objektů: EXTERNAL LOCATION

Databrick doporučuje spravovat přístup k zápisu k datům v cloudovém úložišti objektů pomocí svazků a oprávnění WRITE VOLUME.

WRITE FILES umožňuje uživateli zapisovat soubory přímo do cloudového úložiště objektů nakonfigurovaného jako externí umístění. Další pokyny najdete v tématu Správa externích umístění, externích tabulek a externích svazků.

ZÁPIS SVAZKU

Příslušné typy objektů: VOLUME

Umožňuje uživateli přidávat, odebírat nebo upravovat soubory a adresáře uložené ve svazku, pokud má USE CATALOG uživatel také nadřazený katalog a USE SCHEMA nadřazené schéma.

Oprávnění se dědí. Když můžete uživateli WRITE VOLUME udělit oprávnění v katalogu nebo schématu, automaticky mu udělíte WRITE VOLUME oprávnění pro všechny aktuální a budoucí svazky v katalogu nebo schématu.

Typy oprávnění, které platí jenom pro rozdílové sdílení nebo Databricks Marketplace

Tato část obsahuje podrobnosti o typech oprávnění, které platí jenom pro rozdílové sdílení.

CREATE PROVIDER

Použitelné typy objektů: Metastore katalogu Unity

Umožňuje uživateli vytvořit objekt zprostředkovatele rozdílového sdílení v metastoru. Poskytovatel identifikuje organizaci nebo skupinu uživatelů, kteří mají sdílená data pomocí rozdílového sdílení. Vytvoření poskytovatele provádí uživatel v účtu Databricks příjemce. Podívejte se, co je rozdílové sdílení?

VYTVOŘIT PŘÍJEMCE

Použitelné typy objektů: Metastore katalogu Unity

Umožňuje uživateli vytvořit objekt příjemce rozdílového sdílení v metastoru. Příjemce identifikuje organizaci nebo skupinu uživatelů, kteří s nimi můžou sdílet data pomocí rozdílového sdílení. Vytvoření příjemce provádí uživatel v účtu Databricks poskytovatele. Podívejte se, co je rozdílové sdílení?

VYTVOŘIT SDÍLENOU SLOŽKU

Použitelné typy objektů: Metastore katalogu Unity

Umožňuje uživateli vytvořit sdílenou složku v metastoru. Sdílená složka je logické seskupení pro tabulky, které chcete sdílet pomocí rozdílového sdílení.

NASTAVENÍ OPRÁVNĚNÍ KE SDÍLENÉ SLOŽCE

Použitelné typy objektů: Metastore katalogu Unity

V případě rozdílového sdílení tato oprávnění v kombinaci s vlastnictvím USE SHARE a USE RECIPIENT (nebo vlastnictvím příjemce) poskytuje uživateli poskytovatele možnost udělit příjemci přístup ke sdílené složce. V kombinaci s USE SHAREtím dává možnost převést vlastnictví sdílené složky jinému uživateli, skupině nebo instančnímu objektu.

POUŽITÍ PROSTŘEDKŮ MARKETPLACE

Použitelné typy objektů: Metastore katalogu Unity

Ve výchozím nastavení je povoleno pro všechny metastore katalogu Unity. V Databricks Marketplace toto oprávnění uživateli umožňuje získat okamžitý přístup nebo požádat o přístup k datovým produktům sdíleným v seznamu Marketplace. Umožňuje také uživateli přístup k katalogu jen pro čtení, který se vytvoří, když poskytovatel sdílí datový produkt. Bez tohoto oprávnění by uživatel vyžadoval CREATE CATALOG roli a USE PROVIDER oprávnění nebo roli správce metastoru. To vám umožní omezit počet uživatelů s těmito výkonnými oprávněními.

POUŽITÍ ZPROSTŘEDKOVATELE

Použitelné typy objektů: Metastore katalogu Unity

V režimu Delta Sharing poskytuje uživateli přístup jen pro čtení všem poskytovatelům v metastoru příjemce a jejich sdílených složkách. V kombinaci s CREATE CATALOG oprávněním tato oprávnění umožňuje uživateli příjemce, který není správcem metastoru, připojit sdílenou složku jako katalog. Díky tomu můžete omezit počet uživatelů s výkonnou rolí správce metastoru.

POUŽÍT PŘÍJEMCE

Použitelné typy objektů: Metastore katalogu Unity

V případě rozdílového sdílení poskytuje poskytovateli přístup jen pro čtení všem příjemcům v metastoru poskytovatele a jejich sdílených složkách. To umožňuje uživateli poskytovatele, který není správcem metastoru, zobrazit podrobnosti o příjemci, stav ověření příjemce a seznam sdílených složek, které poskytovatel sdílel s příjemcem.

V Databricks Marketplace to umožňuje uživatelům poskytovatele zobrazit výpisy a žádosti uživatelů v konzole poskytovatele.

POUŽITÍ SDÍLENÉ SLOŽKY

Použitelné typy objektů: Metastore katalogu Unity

V případě rozdílového sdílení poskytuje poskytovateli přístup jen pro čtení ke všem sdíleným složkám definovaným v metastoru zprostředkovatele. To umožňuje uživateli poskytovatele, který není správcem metastoru, vypsat sdílené složky a vypsat prostředky (tabulky a poznámkové bloky) ve sdílené složce spolu s příjemci sdílené složky.

V Databricks Marketplace můžou uživatelé poskytovatele zobrazit podrobnosti o datech sdílených v seznamu.