Sdílet prostřednictvím


Oprávnění a zabezpečitelné objekty v katalogu Unity

Platí pro:zaškrtnutí označeného anoPouze katalog Unity Pro Databricks SQL zaškrtnutí označeného ano Databricks zaškrtnutí označeného ano

Oprávnění je právo udělené objektu zabezpečení pro provoz na zabezpečitelném objektu v metastoru. Model oprávnění a zabezpečitelné objekty se liší v závislosti na tom, jestli používáte metastore katalogu Unity nebo starší metastore Hive. Tento článek popisuje model oprávnění pro katalog Unity. Pokud používáte metastore Hive, přečtěte si téma Oprávnění a zabezpečitelné objekty v metastoru Hive.

Podrobné informace o správě oprávnění v katalogu Unity najdete v tématu Správa oprávnění v katalogu Unity.

Poznámka:

Tento článek se týká oprávnění katalogu Unity a modelu dědičnosti v modelu oprávnění verze 1.0. Pokud jste metastore katalogu Unity vytvořili ve verzi Public Preview (před 25. srpnem 2022), možná jste na modelu dřívějších oprávnění, který aktuální model dědičnosti nepodporuje. Pokud chcete získat dědičnost oprávnění, můžete upgradovat na Model oprávnění verze 1.0. Viz Upgrade na dědičnost oprávnění.

Zabezpečitelné objekty

Zabezpečitelný objekt je objekt definovaný v metastoru katalogu Unity, ke kterému je možné udělit oprávnění objektu zabezpečení. Úplný seznam zabezpečitelných objektů katalogu Unity a oprávnění, která je možné u nich udělit, najdete v tématu Oprávnění katalogu Unity a zabezpečitelné objekty.

Pokud chcete spravovat oprávnění pro libovolný objekt, musíte být jeho vlastníkem nebo mít oprávnění MANAGE k objektu a také mít USE CATALOG k nadřazenému katalogu objektu a USE SCHEMA k nadřazenému schématu objektu.

Syntaxe

securable_object
  { CATALOG [ catalog_name ] |
    CONNECTION connection_name |
    CLEAN ROOM clean_room_name |
    EXTERNAL LOCATION location_name |
    FUNCTION function_name |
    METASTORE |
    SCHEMA schema_name |
    SHARE share_name |
    [ STORAGE | SERVICE ] CREDENTIAL credential_name |
    [ TABLE ] table_name |
    MATERIALIZED VIEW view_name |
    VIEW view_name |
    VOLUME volume_name
  }

Můžete také zadat SERVER místo CONNECTION a DATABASE místo SCHEMA.

Parametry

  • CATALOG catalog_name

    Řídí přístup k celému katalogu dat.

  • CLEAN ROOM clean_room_name

    Řídí přístup k čisté místnosti.

  • CONNECTION connection_name

    Řídí přístup k připojení.

  • EXTERNAL LOCATION location_name

    Řídí přístup k externímu umístění.

  • FUNCTION function_name

    Řídí přístup k uživatelem definované funkci nebo registrovanému modelu MLflow.

  • MATERIALIZED VIEW view_name

    Řídí přístup k materializovanému zobrazení.

  • METASTORE

    Řídí přístup k metastoru katalogu Unity připojenému k pracovnímu prostoru. Při správě oprávnění k metastoru nezahrnete název metastoru do příkazu SQL. Katalog Unity udělí nebo odvolá oprávnění k metastoru připojenému k vašemu pracovnímu prostoru.

  • SCHEMA schema_name

    Řídí přístup ke schématu.

  • [ STORAGE | SERVICE ] CREDENTIAL credential_name

    Řídí přístup k přihlašovacím údajům.

    Klíčová slova STORAGE a SERVICE (zaškrtnutí označeného ano Databricks Runtime 15.4 a novější) jsou volitelné.

  • SHARE share_name

    Řídí přístup ke sdílené složce příjemci.

  • TABLE table_name

    Řídí přístup ke spravované nebo externí tabulce. Pokud tabulku nenajdete, Azure Databricks vyvolá TABLE_OR_VIEW_NOT_FOUND chybu.

  • VIEW view_name

    Řídí přístup k zobrazení. Pokud se zobrazení nenašlo, Azure Databricks vyvolá chybu TABLE_OR_VIEW_NOT_FOUND .

  • VOLUME volume_name

    Řídí přístup ke svazku. Pokud se svazek nepodařilo najít, Azure Databricks vyvolá chybu.

Typy oprávnění

Seznam typů oprávnění najdete v tématu Oprávnění katalogu Unity a zabezpečitelné objekty.

Příklady

-- Grant a privilege to the user alf@melmak.et
> GRANT SELECT ON TABLE t TO `alf@melmak.et`;

-- Revoke a privilege from the general public group.
> REVOKE USE SCHEMA ON SCHEMA some_schema FROM `alf@melmak.et`;