Administratorrechte im Unity Catalog

In diesem Artikel werden die Berechtigungen beschrieben, die Kontoadministrator*innen, Arbeitsbereichsadministrator*innen und Metastore-Administrator*innen in Azure Databricks für die Verwaltung von Unity Catalog haben.

Hinweis

Wenn Ihr Arbeitsbereich automatisch für Unity Catalog aktiviert wurde, verfügen Arbeitsbereichsadministrator*innen über Standardberechtigungen für den angefügten Metastore und den Arbeitsbereichskatalog, sofern dieser bereitgestellt wurde. Siehe Arbeitsbereichsadministratorberechtigungen, wenn Arbeitsbereiche automatisch für Unity Catalog aktiviert werden.

Metastore-Administratoren

Der Metastore-Administrator ist ein Benutzer oder eine Gruppe, der bzw. die optional ist, aber über umfassende Berechtigungen in Unity Catalog verfügt. Metastore-Administratoren haben standardmäßig die folgenden Berechtigungen für den Metastore:

• CREATE CATALOG: Ermöglicht es einem Benutzer, Kataloge im Metastore zu erstellen.

• CREATE CLEAN ROOM: Ermöglicht es einem Benutzer, einen reinen Raum für die sichere Zusammenarbeit an Projekten mit anderen Organisationen zu erstellen, ohne zugrunde liegende Daten frei zu geben.

• CREATE CONNECTION: Ermöglicht es einem Benutzer, eine Verbindung mit einer externen Datenbank in einem Lakehouse-Verbundszenario zu zu erstellen.

• CREATE EXTERNAL LOCATION: Ermöglicht einem Benutzer das Erstellen eines externen Speicherorts.

• CREATE SERVICE CREDENTIAL: Ermöglicht es einem Benutzer, Dienstanmeldeinformationen zu erstellen.

• CREATE STORAGE CREDENTIAL: Ermöglicht es Benutzern, Speicheranmeldeinformationen zu erstellen.

• CREATE FOREIGN CATALOG: Gewährt die Berechtigung, Fremdkataloge mithilfe einer Verbindung mit einer externen Datenbank in einem Lakehouse Federation-Szenario zu erstellen.

• CREATE SHARE: Ermöglicht einem Datenanbieter das Erstellen einer Freigabe in der Delta-Freigabe.

• CREATE RECIPIENT: Ermöglicht einem Datenanbieter das Erstellen eines Empfängers in der Delta-Freigabe.

• CREATE PROVIDER: Ermöglicht einem Datenempfänger das Erstellen eines Anbieters in der Delta-Freigabe.

• CREATE MATERIALIZED VIEW: Ermöglicht dem Benutzer, materialisierte Sichten zu erstellen.

• MANAGE ALLOWLIST: Ermöglicht einem Benutzer das Aktualisieren von Zulassungslisten, die den Clusterzugriff auf init-Skripts und -Bibliotheken verwalten.

Metastore-Administratoren sind auch Besitzer des Metastores, was ihnen die folgenden Berechtigungen gewährt:

• Verwalten Sie die Berechtigungen oder übertragen Sie den Besitz eines beliebigen Objekts innerhalb des Metastores, einschließlich Anmeldeinformationen für den Speicher, externe Speicherorte, Verbindungen, Freigaben, Empfänger und Anbieter.

• Gewähren Sie sich selbst Lese- und Schreibzugriff auf alle Daten im Metastore.

  Metastore-Administratoren haben diese Möglichkeit indirekt, indem sie den Besitz aller Objekte übertragen können. Standardmäßig ist kein direkter Zugriff vorhanden. Die Gewährung von Berechtigungen wird überwacht.

• Die Metadaten aller Objekte im Metastore lesen und aktualisieren.

• Den Metastore löschen.

Metastore-Administratoren sind die einzigen Benutzer, die Berechtigungen für den Metastore selbst erteilen können.

Da Metastore-Administratoren die einzigen Benutzer mit diesen Berechtigungen sind, müssen Sie einen Metastore-Administrator zuweisen, wenn Sie eine der folgenden Funktionen verwenden möchten:

• Ändern Sie den Besitz von Katalogen, nachdem jemand das Unternehmen verlassen hat.
• Verwalten und Delegieren von Berechtigungen für das Init-Skript und die Jar-Positivliste.
• Delegieren Sie die Fähigkeit, Kataloge und andere Berechtigungen auf oberster Ebene an Nicht-Arbeitsbereichsadministratoren zu erstellen.
• Empfangen freigegebener Daten über die Delta-Freigabe.
• Entfernen Sie standardmäßige Administratorberechtigungen für Arbeitsbereiche.
• Fügen Sie dem Metastore verwalteten Speicher hinzu, wenn er noch keinen aufweist. Weitere Informationen finden Sie unter Hinzufügen von verwaltetem Speicher zu einem vorhandenen Metastore.

Wer hat anfänglich Metastore-Administratorrechte?

Wenn ein Kontoadministrator den Metastore manuell erstellt, ist dieser Kontoadministrator der ursprüngliche Besitzer und Metastore-Administrator des Metastores. Alle Metastores, die vor dem 9. November 2023 erstellt wurden, wurden manuell von einem Kontoadministrator erstellt.

Wenn der Metastore als Teil der automatischen Aktivierung des Unity Catalog bereitgestellt wurde, wurde der Metastore ohne einen Metastore-Administrator erstellt. In diesem Fall werden Arbeitsbereichsadministratoren automatisch Berechtigungen gewährt, die den Metastore-Administrator optional machen. Bei Bedarf können Kontoadministratoren die Metastore-Administratorrolle einem Benutzer, Dienstprinzipal oder einer Gruppe zuweisen. Gruppen werden dringend empfohlen. Siehe Automatische Aktivierung des Unity Catalog.

Zuweisen eines Metastoreadministrators

Die Rolle „Metastore-Administrator“ ist mit umfassenden Berechtigungen ausgestattet, weshalb Sie sie mit Bedacht zuweisen sollten. Der Vorgang ist optional.

Kontoadministratoren können die Metastore-Administratorrolle zuweisen. Databricks empfiehlt, eine Gruppe als Metastore-Administrator zu benennen. Dadurch ist jedes Mitglied der Gruppe automatisch ein Metastore-Administrator.

So weisen Sie die Metastore-Administratorrolle an eine Gruppe zu.

1. Melden Sie sich als Kontoadministrator*in bei der Kontokonsole an.
2. Klicken Sie auf Katalog.
3. Klicken Sie auf den Namen eines Metastores, um dessen Eigenschaften zu öffnen.
4. Klicken Sie unter Metastoreadministrator auf Bearbeiten.
5. Wählen Sie eine Gruppe aus der Dropdownliste aus. Sie können Text in das Feld eingeben, um nach Optionen zu suchen.
6. Klicken Sie auf Speichern.

Wichtig

Es kann bis zu 30 Sekunden dauern, bis sich eine Änderung der Metastore-Administratorzuweisung in Ihrem Konto widerspiegelt, und in einigen Arbeitsbereichen kann es länger als in anderen dauern, bis sie wirksam wird. Diese Verzögerung ist auf das Zwischenspeichern von Protokollen zurückzuführen.

Kontoadministratoren

Die Rolle „Kontoadministrator“ ist mit umfassenden Berechtigungen ausgestattet, weshalb Sie sie mit Bedacht zuweisen sollten. Kontoadministratoren haben die folgenden Berechtigungen:

• Kann Metastores erstellen und wird standardmäßig der anfängliche Metastoreadministrator.
• Kann Metastores mit Arbeitsbereichen verknüpfen.
• Kann die Metastore-Administratorrolle zuweisen.
• Kann Berechtigungen für Metastores gewähren.
• Kann die Deltafreigabe für einen Metastore aktivieren.
• Kann Speicheranmeldeinformationen konfigurieren.
• Kann Systemtabellen aktivieren und den Zugriff auf sie delegieren.

Informationen zum Einrichten Ihres ersten Azure Databricks-Kontoadministrators finden Sie unter Einrichten Ihres ersten Kontoadministrators.

Arbeitsbereichsadministratoren

Die Rolle „Arbeitsbereichsadministrator“ ist mit umfassenden Berechtigungen ausgestattet, weshalb Sie sie mit Bedacht zuweisen sollten. Arbeitsbereichsadministratoren verfügen über die folgenden Berechtigungen:

• Kann einem Arbeitsbereich Benutzer*innen, Dienstprinzipale und Gruppen hinzufügen.
• Kann andere Arbeitsbereichsadministrator*innen delegieren.
• Kann den Auftragsbesitz verwalten. Weitere Informationen finden Sie unter Steuern des Zugriffs auf einen Auftrag.
• Kann die Einstellung Ausführen als für Aufträge verwalten. Siehe Konfigurieren der Identität für Auftragsausführungen.
• Kann Notebooks, Dashboards, Abfragen und andere Arbeitsbereichsobjekte anzeigen und verwalten. Siehe Zugriffssteuerungslisten.

Kontoadministratoren können die Rechte von Arbeitsbereichsadministratoren mithilfe der Einstellung RestrictWorkspaceAdmins einschränken. Siehe Restrict workspace admins (Einschränken von Arbeitsbereichsadministratoren).

Arbeitsbereichsadministratorberechtigungen, wenn Arbeitsbereiche automatisch für Unity Catalog aktiviert sind

Wenn Ihr Arbeitsbereich automatisch für Unity Catalog aktiviert wurde, wird der Arbeitsbereich standardmäßig an einen Metastore angefügt. Weitere Informationen finden Sie unter Automatische Aktivierung des Unity Catalog.

Wenn Ihr Arbeitsbereich automatisch für Unity Catalog aktiviert wurde, verfügen Arbeitsbereichsadministratoren standardmäßig über die folgenden Berechtigungen für den angefügten Metastore:

• CREATE CATALOG

• CREATE CLEAN ROOM

• CREATE EXTERNAL LOCATION

• CREATE SERVICE CREDENTIAL

• CREATE STORAGE CREDENTIAL

• CREATE CONNECTION

• CREATE SHARE

• CREATE RECIPIENT

• CREATE PROVIDER

• CREATE MATERIALIZED VIEW

Arbeitsbereichsadministrator*innen sind die Standardbesitzer*innen des Arbeitsbereichskatalogs, sofern ein Arbeitsbereichskatalog für Ihren Arbeitsbereich bereitgestellt wurde. Der Besitz dieses Katalogs gewährt die folgenden Berechtigungen:

• Verwalten Sie die Berechtigungen für oder übertragen Sie den Besitz eines Objekts innerhalb des Arbeitsbereichkatalogs.

  Dies umfasst die Möglichkeit, sich selbst Lese- und Schreibzugriff auf alle Daten im Katalog zu gewähren (standardmäßig kein direkter Zugriff; das Erteilen von Berechtigungen wird überwacht).

• Übertragen des Besitzes des Arbeitsbereichkatalogs selbst.

Alle Arbeitsbereichsbenutzer erhalten die USE CATALOG-Berechtigung für den Arbeitsbereichkatalog. Arbeitsbereichsbenutzer*innen erhalten außerdem die Berechtigungen USE SCHEMA, CREATE TABLE, CREATE VOLUME, CREATE MODEL, CREATE FUNCTION und CREATE MATERIALIZED VIEW für das default-Schema im Katalog.

Hinweis

Die im angefügten Metastore und Arbeitsbereichkatalog gewährten Standardberechtigungen werden nicht über Arbeitsbereiche hinweg verwaltet (wenn der Arbeitsbereichkatalog beispielsweise auch an einen anderen Arbeitsbereich gebunden ist).