Freigeben über

Unity Catalog-Berechtigungen und sicherungsfähige Objekte

  • Artikel

In diesem Artikel werden die sicherungsfähigen Objekte in Unity Catalog und die Berechtigungen beschrieben, die für sie gelten. Erfahren Sie, wie Sie Berechtigungen in Unity Catalog erteilen unter Anzeigen, Erteilen und Widerrufen von Berechtigungen.

Hinweis

Dieser Artikel bezieht sich auf die Unity Catalog-Berechtigungen und das Vererbungsmodell in Version 1.0 des Berechtigungsmodells (Privilege Model). Wenn Sie ihren Unity-Katalogmetastore während der öffentlichen Vorschau (vor dem 25. August 2022) erstellt haben, verwenden Sie möglicherweise ein früheres Berechtigungsmodell, welches das aktuelle Vererbungsmodell nicht unterstützt. Sie können ein Upgrade auf das Berechtigungsmodell, Version 1.0, durchführen, um die Berechtigungsvererbung zu erhalten. Siehe Upgrade auf Berechtigungsvererbung.

Sicherungsfähige Objekte in Unity Catalog

Ein sicherungsfähiges Objekt ist ein Objekt, das im Unity Catalog-Metastore definiert ist, für das Berechtigungen einem Prinzipal (Benutzer, Dienstprinzipal oder Gruppe) gewährt werden können. Sicherungsfähige Objekte in Unity Catalog sind hierarchisch.

Unity Catalog-Objekthierarchie

Sicherungsfähige Objekte sind:

  • METASTORE: Der Container der obersten Ebene für Metadaten. Jeder Unity Catalog-Metastore macht einen Namespace mit drei Ebenen (catalog.schema.table) verfügbar, der Ihre Daten organisiert.

    Wenn Sie Berechtigungen für einen Metastore verwalten, beziehen Sie den Metastorenamen nicht in einen SQL-Befehl mit ein. Unity Catalog gewährt oder widerruft die Berechtigung für den an Ihren Arbeitsbereich angefügten Metastore. Der folgende Befehl beispielsweise gewährt der Gruppe Engineering die Möglichkeit zum Erstellen eines Katalogs in dem Metastore, der an den Arbeitsbereich angefügt ist:

    GRANT CREATE CATALOG ON METASTORE TO engineering

  • KATALOG: Die erste Ebene der Objekthierarchie, die zum Organisieren Ihrer Datenressourcen verwendet wird. Ein Fremdkatalog ist ein spezieller Katalogtyp, der in einem Lakehouse-Verbundszenario eine Datenbank in einem externen Datensystem widerspiegelt.

  • SCHEMA: Schemas (auch als „Datenbanken“ bezeichnet) sind die zweite Ebene der Objekthierarchie und enthalten Tabellen und Sichten.

  • TABELLE: Tabellen stellen die niedrigste Ebene in der Objekthierarchie dar und können sein: externe Tabellen (an externen Speicherorten in einem Cloudspeicher Ihrer Wahl gespeichert) oder verwaltete Tabellen (in einem Speichercontainer in Ihrem Cloudspeicher gespeichert, den Sie ausdrücklich für Azure Databricks erstellen).

  • ANSICHT: Ein aus einer Abfrage auf einer oder mehreren Tabellen erstelltes schreibgeschütztes Objekt, das in einem Schema enthalten ist.

  • MATERIALISIERTE SICHT: Ein Objekt, das aus einer Abfrage in einer oder mehreren Tabellen erstellt wurde, die in einem Schema enthalten sind. Die Ergebnisse spiegeln den Status der Daten wider, als sie zuletzt aktualisiert wurden.

  • VOLUME: Volumes stellen die unterste Ebene der Objekthierarchie dar und können externe Volumes (an externen Speicherorten in einem Cloudspeicher Ihrer Wahl gespeichert) oder verwaltete Volumes (in einem Speichercontainer in Ihrem Cloudspeicher gespeichert, den Sie ausdrücklich für Azure Databricks erstellen) sein.

  • FUNCTION: Eine benutzerdefinierte Funktion oder ein registriertes MLflow-Modell, das in einem Schema enthalten ist.

  • Modell: Ein registriertes MLflow-Modell ist eine bestimmte Art von Funktion. Modelle werden im Katalog-Explorer getrennt von anderen Funktionen aufgeführt, aber wenn Sie einem Modell mit SQL eine Berechtigung gewähren, ist GRANT ON FUNCTION zu verwenden.

  • EXTERNAL LOCATION: Ein Objekt mit einem Verweis auf Speicheranmeldeinformationen und einem Cloudspeicherpfad, der in einem Unity Catalog-Metastore enthalten ist.

  • SERVICE-ANMELDEINFORMATIONEN: Ein Objekt, das eine langfristige Cloudanmeldeinformationen kapselt, die Zugriff auf einen externen Dienst bieten. In einem Unity-Katalog-Metastore enthalten.

  • STORAGE CREDENTIAL: Ein Objekt, das langfristige Cloudanmeldeinformationen kapselt, die Zugriff auf den in einem Unity Catalog-Metastore enthaltenen Cloudspeicher bieten.

  • CONNECTION: Ein Objekt, das einen Pfad und Anmeldeinformationen für den Zugriff auf ein externes Datenbanksystem in einem Lakehouse-Verbundszenario angibt.

  • FREIGABE: Eine logische Gruppierung für die Tabellen, die Sie mithilfe von Delta Sharing freigeben möchten. Eine Freigabe ist in einem Unity Catalog-Metastore enthalten.

  • EMPFÄNGER: Ein Objekt, das eine Organisation oder eine Gruppe von Benutzern identifiziert, für die Daten mithilfe von Delta Sharing freigegeben werden können. Diese Objekte sind in einem Unity Catalog-Metastore enthalten.

  • ANBIETER: Ein Objekt, das eine Organisation darstellt, die Daten für die Freigabe mithilfe von Delta Sharing verfügbar gemacht hat. Diese Objekte sind in einem Unity Catalog-Metastore enthalten.

  • REINRAUM: Ein Objekt, das eine sichere und datenschutzfreundliche, von Databricks verwaltete Umgebung darstellt, in der mehrere Parteien ohne direkten Zugriff auf die Daten der anderen zusammenarbeiten können.

Berechtigungstypen nach sicherungsfähigem Objekt in Unity Catalog

In der folgenden Tabelle sind die Berechtigungstypen aufgeführt, die für jedes sicherungsfähige Objekt in Unity Catalog gelten. Erfahren Sie, wie Sie Berechtigungen in Unity Catalog erteilen unter Anzeigen, Erteilen und Widerrufen von Berechtigungen.

Sicherungsfähig Rechte
Metastore CREATE CATALOG, CREATE CLEAN ROOM, , CREATE CONNECTION, CREATE EXTERNAL LOCATION, CREATE PROVIDER, CREATE SHARECREATE RECIPIENT,CREATE SERVICE CREDENTIAL , USE PROVIDERSET SHARE PERMISSIONUSE MARKETPLACE ASSETSUSE RECIPIENTCREATE STORAGE CREDENTIALUSE SHARE
Katalog ALL PRIVILEGES, , APPLY TAGBROWSE, , CREATE SCHEMAUSE CATALOG

Alle Benutzer verfügen standardmäßig über USE CATALOG für den main-Katalog.

Die folgenden Berechtigungstypen gelten für sicherungsfähige Objekte in einem Katalog. Sie können diese Berechtigungen auf Katalogebene gewähren, um sie auf die aktuellen und zukünftigen Objekte im Katalog anzuwenden.

CREATE FUNCTION, CREATE TABLE, , CREATE MATERIALIZED VIEW, CREATE MODEL, EXTERNAL USE SCHEMACREATE VOLUME, READ VOLUME, , REFRESH, WRITE VOLUME, , EXECUTEMODIFY, , SELECTUSE SCHEMA
Schema ALL PRIVILEGES, APPLY TAG, , CREATE TABLECREATE FUNCTION, CREATE MODEL, CREATE VOLUME, CREATE MATERIALIZED VIEW, , EXTERNAL USE SCHEMAUSE SCHEMA

Die folgenden Berechtigungstypen gelten für sicherungsfähige Objekte in einem Schema. Sie können diese Berechtigungen auf Schemaebene gewähren, um sie auf die aktuellen und zukünftigen Objekte im Schema anzuwenden.

EXECUTE, , MODIFYREAD VOLUME, REFRESH, , SELECTWRITE VOLUME
Tabelle ALL PRIVILEGES, , APPLY TAGMODIFYSELECT
Materialisierte Sicht ALL PRIVILEGES, , APPLY TAGREFRESHSELECT
Sicht ALL PRIVILEGES, APPLY TAGSELECT
Volume ALL PRIVILEGES, READ VOLUMEWRITE VOLUME
Externer Speicherort ALL PRIVILEGES, , BROWSECREATE EXTERNAL TABLE, CREATE EXTERNAL VOLUME, READ FILES, , WRITE FILESCREATE MANAGED STORAGE
Dienstanmeldeinformationen ALL PRIVILEGES, , ACCESSCREATE CONNECTION.
Speicheranmeldeinformationen ALL PRIVILEGES, , CREATE EXTERNAL LOCATIONCREATE EXTERNAL TABLE, , READ FILESWRITE FILES
Verbindung ALL PRIVILEGES, CREATE FOREIGN CATALOGUSE CONNECTION
Funktion ALL PRIVILEGES, APPLY TAG (nur Modelle), EXECUTE
Modell Registrierte Modelle sind eine Art von Funktion.
Freigabe SELECT (kann gewährt RECIPIENT werden)
Recipient Keine
Anbieter Keine
Reinraum ALL PRIVILEGES, , BROWSEEXECUTE CLEAN ROOM TASKMODIFY CLEAN ROOM

Allgemeine Unity Catalog-Berechtigungstypen

Dieser Abschnitt enthält Details zu den Berechtigungstypen, die im Allgemeinen für Unity Catalog gelten. Erfahren Sie, wie Sie Berechtigungen in Unity Catalog erteilen unter Anzeigen, Erteilen und Widerrufen von Berechtigungen.

ALLE BERECHTIGUNGEN

Entsprechende Objekttypen: CATALOG, EXTERNAL LOCATION, STORAGE CREDENTIAL, SCHEMA, FUNCTION (einschließlich Modelle) TABLE, MATERIALIZED VIEW, VIEW,VOLUME

Wird zum Gewähren oder Widerrufen aller Berechtigungen verwendet, die für die sicherungsfähigen Objekte und deren untergeordnete Objekte gelten, ohne sie explizit anzugeben.

Wenn ALL PRIVILEGES für ein Objekt erteilt wird, wird Benutzer*innen zum Zeitpunkt der Erteilung nicht jede anwendbare Berechtigung einzeln gewährt. Stattdessen wird dies zum Zeitpunkt der Berechtigungsprüfungen auf alle verfügbaren Berechtigungen erweitert. Das bedeutet: Wenn Databricks neue Berechtigungen und neue sicherungsfähige Objekte veröffentlicht, enthält eine bereits vorhandene ALL PRIVILEGES-Zuweisung automatisch alle neuen Berechtigungen, die für das sicherungsfähige Objekt sowie für seine bereits vorhandenen untergeordneten Objekte und für alle neuen untergeordneten Objekte gelten.

Wenn ALL PRIVILEGES widerrufen wird, wird die Berechtigung ALL PRIVILEGES widerrufen, und alle expliziten Berechtigungen, die Benutzer*innen für das Objekt gewährt werden, werden ebenfalls widerrufen.

Um eine versehentliche Datenexfiltration zu vermeiden, schließt ALL PRIVILEGES die Berechtigung EXTERNAL USE SCHEMA nicht ein.

Hinweis

Diese Berechtigung ist leistungsstark, wenn sie auf höheren Ebenen in der Hierarchie angewendet wird. So erteilt „GRANT ALL PRIVILEGES ON CATALOG main TO analysts“ beispielsweise dem Analystenteam alle bereits vorhandenen und zukünftigen Berechtigungen für alle bereits vorhandenen und zukünftigen sicherungsfähigen Objekte im Katalog.

ZUGRIFF

Anwendbare Objekttypen: SERVICE CREDENTIAL

Ermöglicht einem Benutzer die Verwendung von Dienstanmeldeinformationen für den Zugriff auf einen externen Dienst oder dienste.

APPLY TAG

Entsprechende Objekttypen: CATALOG, SCHEMA, TABLE, VOLUME, MATERIALIZED VIEW, VIEW, als FUNCTION registrierte Modelle

Ermöglicht Benutzer*innen das Hinzufügen von Tags zu einem Objekt sowie das Bearbeiten von Tags. Das Festlegen von APPLY TAG für eine Tabelle oder Sicht ermöglicht auch die Spaltenmarkierung. Das Gewähren von APPLY TAG für ein registriertes Modell ermöglicht auch das Tagging der Modellversion.

Der Benutzer muss auch über die USE CATALOG Berechtigung im übergeordneten Katalog und USE SCHEMAdie Berechtigung im übergeordneten Schema verfügen.

BROWSE

Anwendbare Objekttypen: CATALOG, EXTERNAL LOCATION, CLEAN ROOM

Wichtig

Dieses Feature befindet sich in der Public Preview.

Gewährt die Berechtigung, die Metadaten eines Objekts über den Katalog-Explorer, den Schemabrowser, die Suchergebnisse, das Herkunftsdiagramm, information_schema und die REST-API anzuzeigen.

Die Berechtigung USE CATALOG für den übergeordneten Katalog und die Berechtigung USE SCHEMA für das übergeordnete Schema sind nicht erforderlich.

Allen Benutzern wird standardmäßig die BROWSE-Berechtigung für neue Kataloge gewährt, die mit dem Katalog-Explorer erstellt werden. Sie können die Berechtigung widerrufen, wenn Sie dies bevorzugen. Kataloge, die mit SQL-Anweisungen, der REST-API oder der Databricks-CLI erstellt wurden, gewähren die BROWSE-Berechtigung nicht standardmäßig. Sie müssen sie explizit erteilen.

CREATE CATALOG

Anwendbare Objekttypen: Unity Catalog-Metastore

Ermöglicht es einem Benutzer, einen Katalog in einem Unity Catalog-Metastore zu erstellen. Um einen Fremdkatalog zu erstellen, müssen Sie auch über die Berechtigung CREATE FOREIGN CATALOG für die Verbindung verfügen, die den Fremdkatalog enthält, oder für den Metastore.

ERSTELLEN EINES REINRAUMS

Anwendbare Objekttypen: Unity Catalog-Metastore

Ermöglicht es einem Benutzer, einen Reinraum für die sichere Zusammenarbeit an Projekten mit anderen Organisationen zu erstellen, ohne zugrunde liegende Daten freizugeben

CREATE CONNECTION

Anwendbare Objekttypen: Unity Catalog-Metastore, SERVICE CREDENTIAL

Gewährt die Berechtigung, eine Verbindung mit einer externen Datenbank in einem Lakehouse Federation-Szenario herzustellen. Um eine Dienstanmeldeinformationen zum Erstellen einer Verbindung zu verwenden, muss der Benutzer über diese Berechtigung sowohl für den Metaspeicher als auch für die Dienstanmeldeinformationen verfügen.

CREATE EXTERNAL LOCATION

Anwendbare Objekttypen: Unity Catalog-Metastore, STORAGE CREDENTIAL

Um einen externen Speicherort zu erstellen, muss der/die Benutzer*in über diese Berechtigung sowohl für den Metastore als auch für die Speicheranmeldeinformationen verfügen, auf die im externen Speicherort verwiesen wird.

CREATE EXTERNAL TABLE

Anwendbare Objekttypen: EXTERNAL LOCATION, STORAGE CREDENTIAL

Ermöglicht es einem Benutzer, externe Tabellen mithilfe eines externen Speicherorts oder mithilfe von Speicheranmeldeinformationen direkt in Ihrem Cloudmandanten zu erstellen. Databricks empfiehlt, diese Berechtigung für einen externen Speicherort und nicht für Speicheranmeldeinformationen zu erteilen (da sie für einen Pfad gilt, ermöglicht sie mehr Kontrolle darüber, wo Benutzer externe Tabellen in Ihrem Cloudmandanten erstellen können).

CREATE EXTERNAL VOLUME

Anwendbare Objekttypen: EXTERNAL LOCATION

Gewährt die Berechtigung, externe Volumes unter Verwendung eines externen Speicherorts zu erstellen.

CREATE FOREIGN CATALOG

Anwendbare Objekttypen: CONNECTION

Gewährt die Berechtigung, Fremdkataloge mithilfe einer Verbindung mit einer externen Datenbank in einem Lakehouse Federation-Szenario zu erstellen.

CREATE FUNCTION

Anwendbare Objekttypen: SCHEMA

Ermöglicht es einem Benutzer, eine Funktion im Schema zu erstellen. Weil Berechtigungen vererbt werden, kann CREATE FUNCTION auch für einen Katalog gewährt werden. Dies ermöglicht es einem Benutzer, eine Funktion in jedem beliebigen vorhandenen oder zukünftigen Schema im Katalog zu erstellen.

Der Benutzer muss auch über die USE CATALOG Berechtigung im übergeordneten Katalog und USE SCHEMAdie Berechtigung im übergeordneten Schema verfügen.

CREATE MODEL

Anwendbare Objekttypen: SCHEMA

Ermöglicht es einem Benutzer, ein bei MLflow registriertes Modell (eine Art von Funktion) im Schema zu erstellen. Da Berechtigungen vererbt werden, kann CREATE MODEL auch für einen Katalog gewährt werden. Dies ermöglicht es einem Benutzer, ein registriertes Modell in jedem beliebigen vorhandenen oder zukünftigen Schema im Katalog zu erstellen.

Der Benutzer muss auch über die USE CATALOG Berechtigung im übergeordneten Katalog und USE SCHEMAdie Berechtigung im übergeordneten Schema verfügen.

CREATE MANAGED STORAGE

Anwendbare Objekttypen: EXTERNAL LOCATION

Ermöglicht einem Benutzer das Angeben eines Speicherorts für verwaltete Tabellen auf Katalog- oder Schemaebene, wobei der Standardstammspeicher für den Metastore außer Kraft gesetzt wird.

CREATE SCHEMA

Anwendbare Objekttypen: CATALOG

Ermöglicht es einem Benutzer, ein Schema zu erstellen. Der Benutzer muss auch über die Berechtigung USE CATALOG im Katalog verfügen.

DIENSTANMELDEINFORMATIONEN ERSTELLEN

Anwendbare Objekttypen: Unity Catalog-Metastore

Ermöglicht einem Benutzer das Erstellen von Dienstanmeldeinformationen in einem Unity-Katalog-Metastore.

SPEICHERANMELDEINFORMATIONEN ERSTELLEN

Anwendbare Objekttypen: Unity Catalog-Metastore

Ermöglicht einem Benutzer das Erstellen von Speicheranmeldeinformationen in einem Unity Catalog-Metastore.

Kann weder einem Microsoft Entra-ID noch einem nativen Azure Databricks-Dienstprinzipal gewährt werden

CREATE TABLE

Anwendbare Objekttypen: SCHEMA

Ermöglicht es einem Benutzer, eine Tabelle oder Ansicht im Schema zu erstellen. Da Berechtigungen vererbt werden, kann CREATE TABLE auch für einen Katalog gewährt werden. Dies ermöglicht es einem Benutzer, eine Tabelle oder Ansicht in jedem beliebigen vorhandenen oder zukünftigen Schema im Katalog zu erstellen.

Der Benutzer muss auch über die Berechtigung USE CATALOG im übergeordneten Katalog und die Berechtigung USE SCHEMA im übergeordneten Schema verfügen.

CREATE MATERIALIZED VIEW

Anwendbare Objekttypen: SCHEMA

Ermöglicht es einem Benutzer, eine materialisierte Sicht im Schema zu erstellen. Da Berechtigungen vererbt werden, kann CREATE MATERIALIZED VIEW auch für einen Katalog gewährt werden. Dies ermöglicht es einem Benutzer, eine Tabelle oder Ansicht in jedem beliebigen vorhandenen oder zukünftigen Schema im Katalog zu erstellen.

Der Benutzer muss auch über die Berechtigung USE CATALOG im übergeordneten Katalog und die Berechtigung USE SCHEMA im übergeordneten Schema verfügen.

CREATE VOLUME

Anwendbare Objekttypen: SCHEMA

Ermöglicht es Benutzer*innen, eine Tabelle im Schema zu erstellen. Weil Berechtigungen vererbt werden, kann CREATE VOLUME auch für einen Katalog gewährt werden. Dies ermöglicht es Benutzer*innen, ein Volume in jedem beliebigen vorhandenen oder zukünftigen Schema im Katalog zu erstellen.

Die Benutzer*innen müssen auch über die Berechtigung USE CATALOG im übergeordneten Katalog und die Berechtigung USE SCHEMA im übergeordneten Schema verfügen.

Führen Sie

Anwendbare Objekttypen: FUNCTION, Modell

Ermöglicht es einem Benutzer, eine benutzerdefinierte Funktion aufzurufen oder ein Modell für den Rückschluss zu laden, wenn er außerdem die Berechtigung USE CATALOG für seinen übergeordneten Katalog und die Berechtigung USE SCHEMA für sein übergeordnetes Schema hat. EXECUTE gewährt Funktionen die Möglichkeit, die Funktionsdefinition und Metadaten anzuzeigen. Bei registrierten Modellen ermöglicht EXECUTE das Anzeigen der Metadaten für alle Versionen des registrierten Modells und das Herunterladen von Modelldateien.

Weil Berechtigungen vererbt werden, können Sie einem Benutzer die Berechtigung EXECUTE für einen Katalog oder ein Schema gewähren. Dadurch wird ihm automatisch die Berechtigung EXECUTE für alle aktuellen und zukünftigen Funktionen im Katalog oder Schema gewährt.

AUFGABE „REINRAUM AUSFÜHREN“

Anwendbare Objekttypen: CLEAN ROOM

Ermöglicht es einem Benutzer, Aufgaben (Notebooks) in einem Reinraum auszuführen. Ermöglicht dem Benutzer auch das Anzeigen von Reinraumdetails

SCHEMA FÜR EXTERNE VERWENDUNG

Anwendbare Objekttypen: SCHEMA

Ermöglicht es einem Benutzer, temporäre Anmeldeinformationen für den Zugriff auf Unity Catalog-Tabellen aus einem externen Verarbeitungsmodul mithilfe der geöffneten APIs von Unity Catalog oder Iceberg-REST-APIs zu erhalten.

Nur der Katalogbesitzer kann diese Berechtigung erteilen.

Um versehentliche Datenexfiltration zu vermeiden, ALL PRIVILEGES nicht die EXTERNAL USE SCHEMA-Berechtigung, und Schemabesitzer verfügen nicht standardmäßig über diese Berechtigung.

Siehe Steuern des externen Zugriffs auf Daten in Unity Catalog.

POSITIVLISTE VERWALTEN

Anwendbare Objekttypen: Unity Catalog-Metastore

Ermöglicht es einem Benutzer, Pfade für Initialisierungsskripts, JARs und Maven-Koordinaten in der Positivliste hinzuzufügen oder zu ändern, die Unity Catalog-fähige Cluster mit freigegebenem Zugriffsmodus steuert. Weitere Informationen finden Sie unter Positivliste von Bibliotheken und Initialisierungsskripts auf freigegebenem Compute.

MODIFY

Anwendbare Objekttypen: TABLE

Ermöglicht einem Benutzer das Hinzufügen zu, Aktualisieren in oder Löschen von Daten aus der Tabelle, wenn er auch die Berechtigung SELECT für die Tabelle sowie die Berechtigung USE CATALOG für seinen übergeordneten Katalog und die Berechtigung USE SCHEMA für sein übergeordnetes Schema hat.

Weil Berechtigungen vererbt werden, können Sie einem Benutzer die Berechtigung MODIFY für einen Katalog oder ein Schema gewähren. Dadurch wird ihm automatisch die Berechtigung MODIFY für alle aktuellen und zukünftigen Tabellen im Katalog oder Schema gewährt.

REINRAUM ÄNDERN

Anwendbare Objekttypen: CLEAN ROOM

Ermöglicht es einem Benutzer, einen Reinraum zu aktualisieren, einschließlich Hinzufügen und Entfernen von Datenressourcen, Hinzufügen und Entfernen von Notebooks und Aktualisieren von Kommentaren. Ermöglicht dem Benutzer auch das Anzeigen von Reinraumdetails

READ FILES

Anwendbare Objekttypen: VOLUME, EXTERNAL LOCATION

Ermöglicht einem Benutzer, Dateien direkt aus Ihrem Cloudobjektspeicher zu lesen. Databricks empfiehlt, diese Berechtigung für Volumes und für begrenzte Anwendungsfälle an externen Standorten zu erteilen. Weitere Anleitungen finden Sie unter Verwalten externer Standorte, externer Tabellen und externer Volumes.

READ VOLUME

Anwendbare Objekttypen: VOLUME

Erlaubt Benutzer*innen das Lesen von Dateien und Verzeichnissen, die in einem Volume gespeichert sind, wenn sie auch die Berechtigung USE CATALOG für den übergeordneten Katalog und USE SCHEMA für das übergeordnete Schema haben.

Berechtigungen werden geerbt. Wenn Sie Benutzer*innen die Berechtigung READ VOLUME für einen Katalog oder ein Schema gewähren können, erteilen Sie ihnen automatisch die Berechtigung READ VOLUME für alle aktuellen und zukünftigen Volumes im Katalog oder Schema.

REFRESH

Anwendbare Objekttypen: MATERIALIZED VIEW

Ermöglicht es einem Benutzer, eine materialisierte Sicht zu aktualisieren, wenn der Benutzer auch USE CATALOG im übergeordneten Katalog und USE SCHEMA im übergeordneten Schema hat.

Berechtigungen werden geerbt. Wenn Sie Benutzer*innen die Berechtigung REFRESH für einen Katalog oder ein Schema gewähren können, erteilen Sie ihnen automatisch die Berechtigung REFRESH für alle aktuellen und zukünftigen materialisierten Sichten im Katalog oder Schema.

SELECT

Anwendbare Objekttypen: TABLE, VIEW, MATERIALIZED VIEW, SHARE

Wird diese Berechtigung auf eine Tabelle oder Ansicht angewendet, kann ein Benutzer aus dieser Tabelle oder Ansicht auswählen, wenn er auch die Berechtigung USE CATALOG für seinen übergeordneten Katalog und die Berechtigung USE SCHEMA für sein übergeordnetes Schema hat. Wird sie auf eine Freigabe angewendet, kann ein Empfänger daraus auswählen.

Weil Berechtigungen vererbt werden, können Sie einem Benutzer die Berechtigung SELECT für einen Katalog oder ein Schema gewähren. Dadurch wird ihm automatisch die Berechtigung SELECT für alle aktuellen und zukünftigen Tabellen und Ansichten im Katalog oder Schema gewährt.

USE CATALOG

Anwendbare Objekttypen: CATALOG

Diese Berechtigung gewährt keinen Zugriff auf den Katalog selbst, ist aber erforderlich, damit ein Benutzer mit jedem beliebigen Objekt im Katalog interagieren kann. Um beispielsweise Daten aus einer Tabelle auswählen zu können, müssen Benutzer die Berechtigung SELECT für diese Tabelle sowie USE CATALOG-Berechtigungen für dessen übergeordneten Katalog und USE SCHEMA-Berechtigungen für dessen übergeordnetes Schema haben.

Dies ist nützlich, damit Katalogbesitzer einschränken können, inwieweit einzelne Schema- und Tabellenbesitzer die von ihnen generierten Daten freigeben dürfen. Ein Beispiel: Ein Tabellenbesitzer, der einem anderen Benutzer die Berechtigung SELECT gewährt, erlaubt diesem Benutzer keinen Lesezugriff auf die Tabelle, außer wenn ihm auch USE CATALOG-Berechtigungen für seinen übergeordneten Katalog und USE SCHEMA-Berechtigungen für sein übergeordnetes Schema gewährt wurden.

Die Berechtigung USE CATALOG für den übergeordneten Katalog ist nicht erforderlich, um die Metadaten eines Objekts zu lesen, wenn die Berechtigung BROWSE für diesen Katalog vorliegt.

USE CONNECTION

Anwendbare Objekttypen: CONNECTION

Erlaubt Benutzer*innen das Auflisten und Anzeigen von Details zu Verbindungen mit einer externen Datenbank in einem Lakehouse-Verbundszenario. Um Fremdkataloge für eine Verbindung erstellen zu können, müssen Sie über die Berechtigung CREATE FOREIGN CATALOG für die Verbindung verfügen oder den Besitzer der Verbindung sein.

USE SCHEMA

Anwendbare Objekttypen: SCHEMA

Diese Berechtigung gewährt keinen Zugriff auf das Schema selbst, ist aber erforderlich, damit ein Benutzer mit jedem beliebigen Objekt innerhalb des Schemas interagieren kann. Um beispielsweise Daten aus einer Tabelle auswählen zu können, müssen Benutzer die Berechtigung SELECT für diese Tabelle sowie USE SCHEMA-Berechtigungen für dessen übergeordnetes Schema und USE CATALOG-Berechtigungen für dessen übergeordneten Katalog haben.

Weil Berechtigungen vererbt werden, können Sie einem Benutzer die Berechtigung USE SCHEMA für einen Katalog gewähren. Dadurch wird ihm automatisch die Berechtigung USE SCHEMA für alle aktuellen und zukünftigen Schemas im Katalog gewährt.

Die Berechtigung USE SCHEMA für das übergeordnete Schema ist nicht erforderlich, um die Metadaten eines Objekts zu lesen, wenn die Berechtigung BROWSE für dieses Schema oder das übergeordnete Schema vorliegt.

WRITE FILES

Anwendbare Objekttypen: VOLUME,EXTERNAL LOCATION

Ermöglicht es einem Benutzer, Dateien direkt in Ihren Cloudobjektspeicher zu schreiben. Databricks empfiehlt, diese Berechtigung für Volumes zu erteilen. Gewähren Sie diese Berechtigung sparsam für externe Standorte. Weitere Anleitungen finden Sie unter Verwalten externer Standorte, externer Tabellen und externer Volumes.

WRITE VOLUME

Anwendbare Objekttypen: VOLUME

Erlaubt Benutzer*innen das Hinzufügen, Entfernen oder Ändern von Dateien und Verzeichnissen, die in einem Volume gespeichert sind, wenn sie auch über die Berechtigung USE CATALOG für den übergeordneten Katalog und USE SCHEMA für das übergeordneten Schema verfügen.

Berechtigungen werden geerbt. Wenn Sie Benutzer*innen die Berechtigung WRITE VOLUME für einen Katalog oder ein Schema gewähren können, erteilen Sie ihnen automatisch die Berechtigung WRITE VOLUME für alle aktuellen und zukünftigen Volumes im Katalog oder Schema.

Berechtigungstypen, die nur für Delta Sharing (Deltafreigabe) oder Databricks Marketplace gelten

Dieser Abschnitt enthält Details zu den Berechtigungstypen, die nur für Delta-Freigabe gelten.

CREATE PROVIDER

Anwendbare Objekttypen: Unity Catalog-Metastore

Ermöglicht einem Benutzer das Erstellen eines Delta Sharing-Anbieterobjekts im Metastore. Ein Anbieter identifiziert eine Organisation oder eine Benutzergruppe, die Daten über Delta Sharing freigegeben hat. Die Erstellung des Anbieters wird von einem Benutzer im Databricks-Konto des Empfängers ausgeführt. Weitere Informationen finden Sie unter Was ist Delta Sharing?.

CREATE RECIPIENT

Anwendbare Objekttypen: Unity Catalog-Metastore

Ermöglicht einem Benutzer das Erstellen eines Delta Sharing-Empfängerobjekts im Metastore. Ein Empfänger identifiziert eine Organisation oder eine Gruppe von Benutzern, für die Daten mithilfe von Delta Sharing freigegeben werden können. Die Erstellung des Empfängers wird von einem Benutzer im Databricks-Konto des Anbieters ausgeführt. Weitere Informationen finden Sie unter Was ist Delta Sharing?.

CREATE SHARE

Anwendbare Objekttypen: Unity Catalog-Metastore

Ermöglicht es einem Benutzer, eine Freigabe im Metastore zu erstellen. Eine Freigabe ist eine logische Gruppierung für die Tabellen, die Sie mithilfe von Delta Sharing freigeben möchten.

FREIGABEBERECHTIGUNG FESTLEGEN

Anwendbare Objekttypen: Unity Catalog-Metastore

In Delta Sharing gibt diese Berechtigung in Kombination mit USE SHARE und USE RECIPIENT (oder Empfängerbesitz) Anbieterbenutzer*innen die Möglichkeit, Empfänger*innen Zugriff auf eine Freigabe zu gewähren. In Kombination mit USE SHARE können Sie das Eigentum einer Freigabe auf einen anderen Benutzer, eine Gruppe oder einen Dienstprinzipal übertragen.

USE MARKETPLACE ASSETS

Anwendbare Objekttypen: Unity Catalog-Metastore

Standardmäßig für alle Unity Catalog-Metastores aktiviert. Gibt Benutzer*innen im Databricks Marketplace die Möglichkeit, sofortigen Zugriff zu erhalten oder Zugriff auf Datenprodukte anzufordern, die in einem Marketplace-Eintrag freigegeben sind. Außerdem kann ein Benutzer auf den schreibgeschützten Katalog zugreifen, der erstellt wird, wenn ein Anbieter ein Datenprodukt freigibt. Ohne diese Berechtigung benötigt der Benutzer die Berechtigungen CREATE CATALOG und USE PROVIDER oder die Metastore-Administratorrolle. Dadurch können Sie die Anzahl der Benutzer mit diesen mächtigen Berechtigungen begrenzen.

ANBIETER VERWENDEN

Anwendbare Objekttypen: Unity Catalog-Metastore

Gewährt in Delta Sharing einem Empfängerbenutzer schreibgeschützten Zugriff auf alle Anbieter in einem Empfänger-Metastore und deren Freigaben. In Kombination mit der CREATE CATALOG-Berechtigung ermöglicht diese Berechtigung einem Empfängerbenutzer, der kein Metastore-Administrator ist, das Einbinden einer Freigabe als Katalog. Dadurch können Sie die Anzahl der Benutzer mit der Metastore-Administratorrolle begrenzen, die viele Berechtigungen umfasst.

EMPFÄNGER VERWENDEN

Anwendbare Objekttypen: Unity Catalog-Metastore

Gewährt in Delta Sharing einem Anbieterbenutzer schreibgeschützten Zugriff auf alle Empfänger in einem Anbieter-Metastore und deren Freigaben. Dadurch kann ein Anbieterbenutzer, der kein Metastore-Administrator ist, Empfängerdetails, den Status der Empfängerauthentifizierung und die Liste der Freigaben anzeigen, die der Anbieter für den Empfänger freigegeben hat.

Im Databricks Marketplace können Anbieterbenutzer Auflistungen und Consumeranforderungen in der Anbieterkonsole anzeigen.

VERWENDEN DER FREIGABE

Anwendbare Objekttypen: Unity Catalog-Metastore

Gewährt in Delta Sharing einem Anbieterbenutzer schreibgeschützten Zugriff auf alle Freigaben, die in einem Anbieter-Metastore definiert sind. Dadurch kann ein Anbieterbenutzer, der kein Metastore-Administrator ist, Freigaben auflisten und die Ressourcen (Tabellen und Notebooks) in einer Freigabe zusammen mit den Empfängern der Freigabe auflisten.

Im Databricks Marketplace können Anbieterbenutzer so Details zu den in einem Eintrag freigegebenen Daten anzeigen.