Oprávnění a zabezpečitelné objekty v katalogu Unity
Platí pro:Pouze katalog Unity Pro Databricks SQL Databricks
Oprávnění je právo udělené objektu zabezpečení pro provoz na zabezpečitelném objektu v metastoru. Model oprávnění a zabezpečitelné objekty se liší v závislosti na tom, jestli používáte metastore katalogu Unity nebo starší metastore Hive. Tento článek popisuje model oprávnění pro katalog Unity. Pokud používáte metastore Hive, přečtěte si téma Oprávnění a zabezpečitelné objekty v metastoru Hive.
Podrobné informace o správě oprávnění v katalogu Unity najdete v tématu Správa oprávnění v katalogu Unity.
Poznámka:
Tento článek se týká oprávnění katalogu Unity a modelu dědičnosti v modelu oprávnění verze 1.0. Pokud jste metastore katalogu Unity vytvořili ve verzi Public Preview (před 25. srpnem 2022), možná jste na modelu dřívějších oprávnění, který aktuální model dědičnosti nepodporuje. Pokud chcete získat dědičnost oprávnění, můžete upgradovat na Model oprávnění verze 1.0. Viz Upgrade na dědičnost oprávnění.
Zabezpečitelné objekty
Zabezpečitelný objekt je objekt definovaný v metastoru katalogu Unity, ke kterému je možné udělit oprávnění objektu zabezpečení. Úplný seznam zabezpečitelných objektů katalogu Unity a oprávnění, která je možné u nich udělit, najdete v tématu Oprávnění katalogu Unity a zabezpečitelné objekty.
Pokud chcete spravovat oprávnění pro libovolný objekt, musíte být jeho vlastníkem nebo mít oprávnění MANAGE
k objektu a také mít USE CATALOG
k nadřazenému katalogu objektu a USE SCHEMA
k nadřazenému schématu objektu.
Syntaxe
securable_object
{ CATALOG [ catalog_name ] |
CONNECTION connection_name |
CLEAN ROOM clean_room_name |
EXTERNAL LOCATION location_name |
FUNCTION function_name |
METASTORE |
SCHEMA schema_name |
SHARE share_name |
[ STORAGE | SERVICE ] CREDENTIAL credential_name |
[ TABLE ] table_name |
MATERIALIZED VIEW view_name |
VIEW view_name |
VOLUME volume_name
}
Můžete také zadat SERVER
místo CONNECTION
a DATABASE
místo SCHEMA
.
Parametry
CATALOG
catalog_nameŘídí přístup k celému katalogu dat.
CLEAN ROOM
clean_room_nameŘídí přístup k čisté místnosti.
CONNECTION
connection_nameŘídí přístup k připojení.
EXTERNAL LOCATION
location_nameŘídí přístup k externímu umístění.
FUNCTION
function_nameŘídí přístup k uživatelem definované funkci nebo registrovanému modelu MLflow.
MATERIALIZED VIEW
view_nameŘídí přístup k materializovanému zobrazení.
METASTORE
Řídí přístup k metastoru katalogu Unity připojenému k pracovnímu prostoru. Při správě oprávnění k metastoru nezahrnete název metastoru do příkazu SQL. Katalog Unity udělí nebo odvolá oprávnění k metastoru připojenému k vašemu pracovnímu prostoru.
SCHEMA
schema_nameŘídí přístup ke schématu.
[ STORAGE | SERVICE ] CREDENTIAL
credential_nameŘídí přístup k přihlašovacím údajům.
Klíčová slova
STORAGE
aSERVICE
( Databricks Runtime 15.4 a novější) jsou volitelné.SHARE
share_nameTABLE
table_nameŘídí přístup ke spravované nebo externí tabulce. Pokud tabulku nenajdete, Azure Databricks vyvolá TABLE_OR_VIEW_NOT_FOUND chybu.
VIEW
view_nameŘídí přístup k zobrazení. Pokud se zobrazení nenašlo, Azure Databricks vyvolá chybu TABLE_OR_VIEW_NOT_FOUND .
VOLUME
volume_nameŘídí přístup ke svazku. Pokud se svazek nepodařilo najít, Azure Databricks vyvolá chybu.
Typy oprávnění
Seznam typů oprávnění najdete v tématu Oprávnění katalogu Unity a zabezpečitelné objekty.
Příklady
-- Grant a privilege to the user alf@melmak.et
> GRANT SELECT ON TABLE t TO `alf@melmak.et`;
-- Revoke a privilege from the general public group.
> REVOKE USE SCHEMA ON SCHEMA some_schema FROM `alf@melmak.et`;