Compartir a través de


Administración de la propiedad de objetos de Unity Catalog

Cada objeto protegible de Unity Catalog tiene un propietario. El propietario puede ser cualquier entidad de seguridad: un usuario, una entidad de servicio o un grupo de cuentas. La entidad de seguridad que crea un objeto se convierte en su propietario inicial. El propietario de un objeto tiene todos los privilegios en el objeto, como SELECT y MODIFY en una tabla, así como el permiso para conceder privilegios a otras entidades de seguridad. El propietario de un objeto tiene la capacidad de anular el objeto.

Privilegios de propietario

A los propietarios de un objeto se les conceden automáticamente todos los privilegios en ese objeto. Además, los propietarios de objetos pueden conceder privilegios en el propio objeto y en todos sus objetos secundarios. Esto significa que los propietarios de un esquema no tienen automáticamente todos los privilegios en las tablas del esquema, pero pueden concederse privilegios a sí mismos en las tablas del esquema.

Nota:

Hay una excepción a la regla que indica que los propietarios tienen todos los privilegios en un objeto: para evitar la filtración de datos accidental, los propietarios de esquemas no tienen el privilegio EXTERNAL USE SCHEMA de manera predeterminada. Vea Control del acceso externo a los datos en Unity Catalog.

Propiedad del metastore y catálogo

Los administradores de metastore son los propietarios del metastore. El rol de administrador de metastore es opcional. Los administradores de metastore pueden reasignar la propiedad de metastore mediante la transferencia del rol de administrador de metastore; consulte Asignación de un administrador de metastore.

Si el área de trabajo se ha habilitado automáticamente para Unity Catalog, el área de trabajo se adjunta a un metastore de forma predeterminada y se crea un catálogo de áreas de trabajo para el área de trabajo del metastore. Los administradores del área de trabajo son los propietarios predeterminados y pueden reasignar la propiedad del catálogo del área de trabajo. En estas áreas de trabajo, no hay ningún administrador de metastore asignado de manera predeterminada, pero los administradores de cuentas pueden conceder el rol de administrador de metastore si es necesario. Consulte Administrador de metastore.

Para obtener más información acerca de los privilegios de administrador en Unity Catalog, consulte Privilegios de administrador en Unity Catalog.

Visualización del propietario del objeto

Puede usar Explorador de catálogos o instrucciones SQL para ver el propietario de un objeto’.

Permisos necesarios: cualquier usuario con el privilegio BROWSE en el objeto o un elemento primario del objeto puede ver al propietario del objeto.

Explorador de catálogo

  1. En el área de trabajo de Azure Databricks, haga clic en Icono de catálogo Catálogo.

  2. Seleccione el objeto, como un catálogo, un esquema, una tabla, una vista, un volumen, una ubicación externa o una credencial de almacenamiento.

    El modo de navegar al objeto depende del objeto. Los catálogos, esquemas y el contenido de esquemas (como tablas y volúmenes) se pueden seleccionar en el panel izquierdo Catálogo. Puede encontrar otros objetos, como ubicaciones externas o recursos compartidos de Delta Sharing, haciendo clic en el icono de engranaje icono de engranaje situado encima del panel Catálogo y seleccionando la categoría de objeto en el menú.

    Para la mayoría de los objetos, el propietario se muestra en la pestaña Información general de la página de detalles del objeto. Para algunos objetos, como ubicaciones externas, se muestra en la parte superior de la página de detalles del objeto.

SQL

Ejecute el siguiente comando SQL en un cuaderno o en un editor de consultas SQL. Reemplace los valores de marcador de posición:

  • <securable-type>: tipo de objeto protegible, como CATALOG o TABLE.
  • <catalog>: el catálogo primario si está viendo un esquema o el contenido de un esquema.
  • <schema>: el esquema primario si está viendo el contenido de un esquema, como una tabla o vista.
  • <securable-name>: nombre del objeto protegible.
DESCRIBE <securable-type> EXTENDED <catalog>.<schema>.<securable-name>;

Transferencia de la propiedad

Puede usar Explorador de catálogos o instrucciones SQL para ver el propietario de un objeto’.

Permisos necesarios: puede transferir la propiedad del objeto si es el propietario actual, un administrador de metastore o el propietario del contenedor (el catálogo de un esquema, el esquema de una tabla). Los objetos de recurso compartido delta Sharing son una excepción: las entidades de seguridad con los privilegios de USE SHARE y SET SHARE PERMISSION también pueden transferir la propiedad del recurso compartido.

Nota:

Para evitar escalaciones de privilegios, solo un administrador de metstore puede transferir la propiedad de una vista, función o modelo a cualquier usuario, entidad de servicio o grupo de la cuenta. Los propietarios actuales están restringidos a transferir la propiedad a su nombre de usuario o a un grupo del que son miembros.

Explorador de catálogo

  1. En el área de trabajo de Azure Databricks, haga clic en Icono de catálogo Catálogo.

  2. Seleccione el objeto, como un catálogo, un esquema, una tabla, una vista, una ubicación externa o una credencial de almacenamiento.

    El modo de navegar al objeto depende del objeto. Los catálogos, esquemas y el contenido de esquemas (como tablas y volúmenes) se pueden seleccionar en el panel izquierdo Catálogo. Puede encontrar otros objetos, como ubicaciones externas o recursos compartidos de Delta Sharing, haciendo clic en el icono de engranaje icono de engranaje situado encima del panel Catálogo y seleccionando la categoría de objeto en el menú.

    Para la mayoría de los objetos, el propietario se muestra en la pestaña Información general de la página de detalles del objeto. Para algunos objetos, como ubicaciones externas, se muestra en la parte superior de la página de detalles del objeto.

  3. Haga clic en el icono Editar icono de edición situado junto al Propietario.

  4. Busque y seleccione un grupo, un usuario o una entidad de servicio.

  5. Haga clic en Save(Guardar).

SQL

Ejecute el siguiente comando SQL en un cuaderno o en un editor de consultas SQL. Reemplace los valores de marcador de posición:

  • <securable-type>: Tipo de objeto protegible, como CATALOG o TABLE. METASTORE no se admite como un objeto protegible en este comando.
  • <securable-name>: nombre del objeto protegible. Si va a modificar un esquema o el contenido de un esquema, debe usar el espacio de nombres completo de tres niveles (catalog.schema.object), a menos que ya haya especificado el catálogo primario o el esquema.
  • <principal> es un usuario, una entidad de servicio (representada por su valor applicationId) o un grupo. Debe incluir usuarios, entidades de servicio y nombres de grupo que incluyan caracteres especiales en acentos graves (` `). Consulte Entidad de seguridad.
ALTER <securable-type> <securable-name> OWNER TO <principal>;

Por ejemplo, para transferir la propiedad de la tabla de orders al grupo accounting:

ALTER TABLE mycatalog.myschema.orders OWNER TO `accounting`;