Privilegios de administrador en el Catálogo Unity

En este artículo se describen los privilegios que tienen los administradores de cuentas de Azure Databricks, los administradores del área de trabajo y los administradores de metastore para administrar Unity Catalog.

Nota:

Si el área de trabajo se ha habilitado automáticamente para Unity Catalog, los administradores del área de trabajo tienen privilegios predeterminados en la metastore adjunta y el catálogo del área de trabajo, si se aprovisionó alguno. Consulte Privilegios de administrador del área de trabajo cuando las áreas de trabajo están habilitadas para el catálogo de Unity automáticamente.

Administradores Metastore

El administrador de metastore es un usuario o grupo opcional pero con privilegios elevados en Unity Catalog. Los administradores de metastore tienen los siguientes privilegios en la metastore de forma predeterminada:

• CREATE CATALOG: Permite que un usuario cree catálogos en el metastore.

• CREATE CLEAN ROOM: permite a un usuario crear una sala limpia para colaborar de forma segura en proyectos con otras organizaciones sin compartir datos subyacentes.

• CREATE CONNECTION: Permite a un usuario crear una conexión a una base de datos externa en un escenario de federación de Lakehouse.

• CREATE EXTERNAL LOCATION: Permite que un usuario cree ubicaciones externas.

• CREATE SERVICE CREDENTIAL: permite a un usuario crear credenciales de servicio.

• CREATE STORAGE CREDENTIAL: permite a un usuario crear credenciales de almacenamiento.

• CREATE FOREIGN CATALOG: Permite a un usuario crear catálogos externos mediante una conexión a una base de datos externa en un escenario de federación de Lakehouse.

• CREATE SHARE: Permite que un proveedor de datos cree un recurso compartido en Delta Sharing.

• CREATE RECIPIENT: Permite que un proveedor de datos cree un destinatario en Delta Sharing.

• CREATE PROVIDER: Permite que un destinatario de datos cree un proveedor en Delta Sharing.

• CREATE MATERIALIZED VIEW: permite a un usuario crear vistas materializadas.

• MANAGE ALLOWLIST: permite a un usuario actualizar listas de permitidos que administran el acceso de clúster a scripts y bibliotecas de inicialización.

Los administradores de metastore también son los propietarios de la metastore, que les concede los siguientes privilegios:

• Administrar los privilegios o transferir la propiedad de cualquier objeto dentro del metastore, incluidas las credenciales de almacenamiento, las ubicaciones externas, las conexiones, los recursos compartidos, los destinatarios y los proveedores.

• Conceda acceso de lectura y escritura a todos los datos del metastore.

  Los administradores de metastore tienen esta capacidad indirectamente, a través de su capacidad para transferir la propiedad de todos los objetos. De forma predeterminada, no hay acceso directo. La concesión de permisos se registra en auditoría.

• Leer y actualizar los metadatos de todos los objetos del metastore.

• Eliminar el metastore.

Los administradores de metastore son los únicos usuarios que pueden conceder privilegios en el propio metastore.

Como los administradores de metastore son los únicos usuarios que tienen estos privilegios, debe asignar un administrador de metastore si quiere usar cualquiera de las siguientes funcionalidades:

• Cambiar la propiedad de catálogos después de que alguien abandone la empresa.
• Administrar y delegar permisos en el script de inicialización y en la lista de permitidos jar.
• Delegar la capacidad de crear catálogos y otros permisos de nivel superior a los administradores que no son del área de trabajo.
• Recibir datos compartidos a través de Delta Sharing.
• Quitar los permisos de administrador de área de trabajo predeterminados.
• Agregue almacenamiento administrado al metastore, si no tiene ninguno. Consulte Adición de almacenamiento administrado a un metastore existente.

¿Quién tiene privilegios iniciales de administrador del metastore?

Si un administrador de cuenta crea el metastore manualmente, ese administrador de cuenta es el propietario inicial y el administrador del metastore. Un administrador de cuentas creó manualmente todas las tiendas de metadatos creadas antes del 9 de noviembre de 2023.

Si el metastore se aprovisionó como parte de la habilitación automática del catálogo de Unity, el metastore se creó sin un administrador de metastore. En ese caso, a los administradores del área de trabajo se les conceden privilegios automáticamente que hacen que el administrador de metastore sea opcional. Si es necesario, los administradores de cuentas pueden asignar el rol de administrador de metastore a un usuario, una entidad de servicio o un grupo. Se recomienda encarecidamente que los grupos. Consulte Habilitación automática de Unity Catalog.

Asignación de un administrador de metastore

El administrador del metastore es un rol altamente privilegiado que debes distribuir con cuidado. Es opcional.

Los administradores de cuentas pueden asignar el rol de administrador de metastore. Databricks recomienda designar un grupo como administrador de metastore. Al hacerlo, cualquier miembro del grupo es automáticamente un administrador de metastore.

Para asignar el rol de administrador del metastore a un grupo:

1. Como administrador de la cuenta, inicie sesión en la consola de la cuenta.
2. Haga clic en Catálogo.
3. Haga clic en el nombre de un metastore para abrir sus propiedades.
4. En Metastore Admin, haga clic en Edit.
5. Seleccione un grupo en la lista desplegable. Puede escribir texto en el campo para buscar opciones.
6. Haga clic en Save(Guardar).

Importante

Un cambio en la asignación del administrador del metastore puede tardar hasta 30 segundos en reflejarse en su cuenta, y puede tardar más tiempo en surtir efecto en algunas áreas de trabajo que en otras. Este retraso se debe a los protocolos de almacenamiento en caché.

Administradores de cuentas.

El administrador de cuentas es un rol con privilegios elevados que se debe distribuir cuidadosamente. Los administradores de cuentas tienen los siguientes privilegios:

• Pueden crear metastores y, de forma predeterminada, convertirse en el administrador de metastore inicial.
• Puede vincular metastores a áreas de trabajo.
• Puede asignar el rol de administrador de metastore.
• Puede conceder privilegios en metastores.
• Pueden habilitar Delta Sharing para un metastore.
• Pueden configurar credenciales de almacenamiento.
• Puede habilitar las tablas del sistema y delegar el acceso a ellas.

Para establecer el primer administrador de la cuenta Azure Databricks, consulte Establecimiento de su primer administrador de cuenta.

Administradores de áreas de trabajo

El administrador del área de trabajo es un rol con privilegios elevados que se debe distribuir cuidadosamente. Los administradores del área de trabajo tienen los siguientes privilegios:

• Puede agregar usuarios, entidades de servicio y grupos a un área de trabajo.
• Puede delegar otros administradores del área de trabajo.
• Puede administrar la propiedad del trabajo. Consulte Controlar el acceso a un archivo.
• Puede administrar la configuración Ejecutar como del trabajo. Consulte Configuración de la identidad para ejecuciones de trabajos.
• Puede ver y administrar cuadernos, paneles, consultas y otros objetos del área de trabajo. Consulte las Listas de control de acceso.

Los administradores de cuentas pueden restringir los privilegios de administrador del área de trabajo mediante el valor RestrictWorkspaceAdmins. Consulte Restringir administradores de áreas de trabajo.

Privilegios de administrador del área de trabajo cuando las áreas de trabajo están habilitadas para el catálogo de Unity automáticamente

Si el área de trabajo se ha habilitado automáticamente para Unity Catalog, el área de trabajo se adjunta a un metastore de forma predeterminada. Para obtener más información, consulte Habilitación automática de Unity Catalog.

Si el área de trabajo se ha habilitado automáticamente para el catálogo de Unity, los administradores del área de trabajo tienen los siguientes privilegios en el metastore adjunto de forma predeterminada:

• CREATE CATALOG

• CREATE CLEAN ROOM

• CREATE EXTERNAL LOCATION

• CREATE SERVICE CREDENTIAL

• CREATE STORAGE CREDENTIAL

• CREATE CONNECTION

• CREATE SHARE

• CREATE RECIPIENT

• CREATE PROVIDER

• CREATE MATERIALIZED VIEW

Los administradores del área de trabajo son los propietarios predeterminados del catálogo del área de trabajo, si se aprovisionó alguno para el área de trabajo. La propiedad de este catálogo concede los siguientes privilegios:

• Administre los privilegios para o transfiera la propiedad de cualquier objeto dentro del catálogo del área de trabajo.

  Esto incluye la capacidad de conceder acceso de lectura y escritura a todos los datos del catálogo (sin acceso directo de forma predeterminada; la concesión de permisos está registrada por auditoría).

• Transfiera la propiedad del catálogo del área de trabajo.

Todos los usuarios del área de trabajo reciben el USE CATALOG privilegio en el catálogo del área de trabajo. Los usuarios del área de trabajo también reciben los privilegios USE SCHEMA, CREATE TABLE, CREATE VOLUME, CREATE MODEL, CREATE FUNCTION, y CREATE MATERIALIZED VIEW en el esquema default del catálogo.

Nota:

Los privilegios predeterminados concedidos en el metastore adjunto y el catálogo del área de trabajo no se mantienen entre áreas de trabajo (si, por ejemplo, el catálogo del área de trabajo también está enlazado a otra área de trabajo).