Privilegios de Unity Catalog y objetos protegibles
En este artículo se describen los objetos protegibles de Unity Catalog y los privilegios que se aplican a ellos. Para obtener información sobre cómo conceder privilegios en Unity Catalog, vea Mostrar, conceder y revocar privilegios.
Nota:
En este artículo se hace referencia al modelo de herencia y privilegios del catálogo de Unity en la versión 1.0 del modelo de privilegios. Si creó el metastore del catálogo de Unity durante la versión preliminar pública (antes del 25 de agosto de 2022), es posible que esté en un modelo de privilegios anterior que no admita el modelo de herencia actual. Puede actualizar a Privilege Model versión 1.0 para obtener la herencia de privilegios. Consulte Actualización a la herencia de privilegios.
Objetos protegibles en el catálogo de Unity
Un objeto protegible es un objeto definido en el metastore de Unity Catalog en el que se pueden conceder privilegios a una entidad de seguridad (usuario, entidad de servicio o grupo). Los objetos protegibles en el catálogo de Unity son jerárquicos.
Los objetos protegibles son:
Metastore: contenedor de metadatos de nivel superior. Cada metastore del catálogo de Unity expone un espacio de nombres de tres niveles (
catalog
.schema
.table
) que organiza los datos.Al administrar los privilegios en un metastore, no se incluye el nombre del metastore en un comando SQL. El catálogo de Unity concede o revoca el privilegio en el metastore asociado al área de trabajo. Por ejemplo, el siguiente comando concede a un grupo denominado engineering la capacidad de crear un catálogo en el metastore asociado al área de trabajo:
GRANT CREATE CATALOG ON METASTORE TO engineering
CATÁLOGO: la primera capa de la jerarquía de objetos; se usa para organizar los recursos de datos. Un catálogo externo es un tipo de catálogo especial que refleja una base de datos en un sistema de datos externo en un escenario de federación de Lakehouse.
ESQUEMA: también conocidos como bases de datos, los esquemas son la segunda capa de la jerarquía de objetos y contienen tablas y vistas.
TABLA: el nivel más bajo de la jerarquía de objetos, las tablas pueden ser externas (almacenadas en las ubicaciones externas del almacenamiento en la nube que prefiera) o tablas administradas (almacenadas en un contenedor de almacenamiento del almacenamiento en la nube que cree expresamente para Azure Databricks).
VIEW: Un objeto de solo lectura creado a partir de una consulta en una o varias tablas contenidas en un esquema.
MATERIALIZED VIEW: Un objeto creado a partir de una consulta en una o varias tablas contenidas en un esquema. Sus resultados reflejan el estado de los datos cuando se actualizó por última vez.
VOLUMEN: el nivel más bajo en la jerarquía de objetos, los volúmenes pueden ser externos (almacenados en ubicaciones externas en el almacenamiento en la nube de su elección) o administrados (almacenados en un contenedor de almacenamiento en el almacenamiento en la nube que usted crea expresamente para Azure Databricks).
FUNCTION: una función definida por el usuario o un modelo registrado de MLflow contenidos en un esquema.
Modelo: un modelo registrado de MLflow es un tipo específico de función. Los modelos se enumeran por separado de otras funciones en el Explorador de catálogos, pero cuando se concede un privilegio en un modelo mediante SQL, se usa
GRANT ON FUNCTION
.EXTERNAL LOCATION: objeto que contiene una referencia a una credencial de almacenamiento y una ruta de acceso a almacenamiento en la nube que se encuentra dentro de un metastore de Unity Catalog.
CREDENCIAL DE SERVICIO: objeto que encapsula una credencial de nube a largo plazo que proporciona acceso a un servicio externo. Contenido en un metastore de catálogo de Unity.
STORAGE CREDENTIAL: objeto que encapsula una credencial de nube a largo plazo que proporciona acceso al almacenamiento en la nube que se encuentra dentro de un metastore del Unity Catalog.
CONEXIÓN: objeto que especifica una ruta de acceso y credenciales para acceder a un sistema de base de datos externo en un escenario de federación de Lakehouse.
RECURSO COMPARTIDO: una agrupación lógica para las tablas que pretende compartir mediante Delta Sharing. Un recurso compartido se encuentra en un metastore del catálogo de Unity.
DESTINATARIO: un objeto que identifica una organización o un grupo de usuarios con los que se puede haber compartido datos mediante Delta Sharing. Estos objetos se encuentran en un metastore del catálogo de Unity.
PROVEEDOR: un objeto que representa una organización que ha puesto los datos a disposición para el uso compartido mediante Delta Sharing. Estos objetos se encuentran en un metastore del catálogo de Unity.
SALA LIMPIA: un objeto que representa un entorno seguro y de protección de la privacidad, administrado por Databricks, en el que varias partes pueden colaborar sin disponer de acceso directo a los datos de los demás.
Tipos de privilegios por objeto protegible en el catálogo de Unity
En la tabla siguiente se enumeran los tipos de privilegios que se aplican a cada objeto protegible en Unity Catalog. Para obtener información sobre cómo conceder privilegios en Unity Catalog, vea Mostrar, conceder y revocar privilegios.
Elemento protegible | Privilegios |
---|---|
Metastore | CREATE CATALOG , CREATE CLEAN ROOM , CREATE CONNECTION , CREATE EXTERNAL LOCATION , , CREATE PROVIDER , CREATE SHARE CREATE RECIPIENT ,CREATE SERVICE CREDENTIAL SET SHARE PERMISSION CREATE STORAGE CREDENTIAL USE MARKETPLACE ASSETS USE PROVIDER , USE RECIPIENT USE SHARE |
Catálogo | ALL PRIVILEGES , APPLY TAG , BROWSE , , CREATE SCHEMA , USE CATALOG Todos los usuarios tienen USE CATALOG en el catálogo main de manera predeterminada.Los siguientes tipos de privilegios se aplican a objetos protegibles dentro de un catálogo. Puede conceder estos privilegios en el nivel de catálogo para aplicarlos a los objetos actuales y futuros del catálogo. CREATE FUNCTION , CREATE TABLE , CREATE MATERIALIZED VIEW , CREATE MODEL , , EXTERNAL USE SCHEMA CREATE VOLUME , READ VOLUME , REFRESH WRITE VOLUME EXECUTE MODIFY SELECT USE SCHEMA |
Esquema | ALL PRIVILEGES , APPLY TAG , CREATE FUNCTION , CREATE TABLE , CREATE MODEL , CREATE VOLUME , CREATE MATERIALIZED VIEW , , EXTERNAL USE SCHEMA USE SCHEMA Los siguientes tipos de privilegios se aplican a objetos protegibles dentro de un esquema. Puede conceder estos privilegios en el nivel de esquema para aplicarlos a los objetos actuales y futuros dentro del esquema. EXECUTE , MODIFY , READ VOLUME , REFRESH , , SELECT , WRITE VOLUME |
Tabla | ALL PRIVILEGES , APPLY TAG , , MODIFY , SELECT |
Vista materializada | ALL PRIVILEGES , APPLY TAG , , REFRESH , SELECT |
Ver | ALL PRIVILEGES , , APPLY TAG , SELECT |
Volumen | ALL PRIVILEGES , , READ VOLUME , WRITE VOLUME |
Ubicación externa | ALL PRIVILEGES , BROWSE , CREATE EXTERNAL TABLE , CREATE EXTERNAL VOLUME , READ FILES , , WRITE FILES CREATE MANAGED STORAGE |
Credenciales de servicio | ALL PRIVILEGES , , ACCESS . CREATE CONNECTION |
Credencial de almacenamiento | ALL PRIVILEGES , CREATE EXTERNAL LOCATION , CREATE EXTERNAL TABLE , , READ FILES , WRITE FILES |
Conexión | ALL PRIVILEGES , , CREATE FOREIGN CATALOG , USE CONNECTION |
Función | ALL PRIVILEGES , APPLY TAG (solo modelos), EXECUTE |
Modelo | Los modelos registrados son un tipo de función. |
Compartir | SELECT (se pueden conceder a RECIPIENT ) |
Recipient | Ninguno |
Proveedor | None |
Sala limpia | ALL PRIVILEGES , BROWSE , , EXECUTE CLEAN ROOM TASK , MODIFY CLEAN ROOM |
Tipos de privilegios generales del catálogo de Unity
En esta sección, se proporciona información sobre los tipos de privilegios que se aplican generalmente al catálogo de Unity. Para obtener información sobre cómo conceder privilegios en Unity Catalog, vea Mostrar, conceder y revocar privilegios.
TODOS LOS PRIVILEGIOS
Tipos de objeto aplicables: CATALOG
, EXTERNAL LOCATION
, STORAGE CREDENTIAL
, SCHEMA
, FUNCTION
(incluidos los modelos) TABLE
, MATERIALIZED VIEW
, VIEW,
VOLUME
Se usa para conceder o revocar todos los privilegios aplicables al objeto protegible y a sus objetos secundarios sin especificarlos explícitamente.
Cuando ALL PRIVILEGES
se otorga sobre un objeto, no otorga individualmente al usuario cada privilegio aplicable en el momento de la concesión. En cambio, se expande a todos los privilegios disponibles en el momento en que se realizan las comprobaciones de permisos. Esto significa que a medida que Databricks libera nuevos privilegios y nuevos objetos protegibles, una concesión ALL PRIVILEGES
existente incluye automáticamente todos los privilegios nuevos aplicable al objeto protegible, a sus objetos secundarios existentes y a todos los objetos secundario nuevos.
Cuando ALL PRIVILEGES
se revoca, se revoca el privilegio ALL PRIVILEGES
y también se revocan todos los privilegios explícitos otorgados al usuario sobre el objeto.
Para evitar la filtración de datos accidental, ALL PRIVILEGES
no incluye el privilegio EXTERNAL USE SCHEMA
.
Nota:
Este privilegio es eficaz cuando se aplica a niveles superiores en la jerarquía. Por ejemplo, GRANT ALL PRIVILEGES ON CATALOG main TO analysts
concede al equipo de analistas todos los privilegios existentes y futuros en todos los objetos protegibles existentes y futuros del catálogo.
ACCESS
Tipos de objetos aplicables: SERVICE CREDENTIAL
Permite a un usuario usar una credencial de servicio para acceder a un servicio o servicios externos.
APPLY TAG
Tipos de objeto aplicables: CATALOG
, SCHEMA
, TABLE
, VOLUME
, MATERIALIZED VIEW
, VIEW
, modelos registrados como FUNCTION
Permite que un usuario agregue y edite etiquetas en un objeto. La concesión de APPLY TAG
a una tabla o vista también habilita el etiquetado de columnas. La concesión de APPLY TAG
a un modelo registrado también habilita el etiquetado de versiones del modelo.
El usuario también debe tener el privilegio USE CATALOG
en su catálogo principal yUSE SCHEMA
en el esquema principal.
BROWSE
Tipos de objetos aplicables: CATALOG
, EXTERNAL LOCATION
, CLEAN ROOM
Importante
Esta característica está en versión preliminar pública.
Permite que un usuario vea los metadatos de un objeto mediante el Explorador de catálogos, el explorador de esquemas, los resultados de búsqueda, el gráfico de linaje, information_schema
, y la API de REST.
El usuario no requiere el privilegio USE CATALOG
en el catálogo primario ni USE SCHEMA
en el esquema primario.
A todos los usuarios se les concede el privilegio BROWSE
de manera predeterminada en los nuevos catálogos que se crean mediante el Explorador de catálogos. Puede revocar el privilegio si lo prefiere. Los catálogos creados mediante instrucciones SQL, la API de REST o la CLI de Databricks no conceden el privilegio BROWSE
de manera predeterminada. Debe concederlo de forma excesiva.
CREATE CATÁLOGO
Tipos de objetos aplicables: metastore de Unity Catalog
Permite a un usuario crear un catálogo en un metastore de Unity Catalog. Para crear un catálogo externo, también debe tener el privilegio CREAR CATÁLOGO EXTERNO en la conexión que contiene el catálogo externo o en el metastore.
CREAR SALA LIMPIA
Tipos de objetos aplicables: metastore de Unity Catalog
Permite a un usuario crear una sala limpia para colaborar de forma segura en proyectos con otras organizaciones sin compartir datos subyacentes.
CREAR CONEXIÓN
Tipos de objetos aplicables: metastore de Unity Catalog, SERVICE CREDENTIAL
Permite a un usuario crear una conexión a una base de datos externa en un escenario de federación de Lakehouse. Para usar una credencial de servicio para crear una conexión, el usuario debe tener este privilegio en el metastore y en la credencial del servicio.
CREATE EXTERNAL LOCATION
Tipos de objetos aplicables: metastore de Unity Catalog, STORAGE CREDENTIAL
Para crear una ubicación externa, el usuario debe tener este privilegio en el metastore y en la credencial de almacenamiento a la que se hace referencia en la ubicación externa.
CREATE EXTERNAL TABLE
Tipos de objetos aplicables: EXTERNAL LOCATION
, STORAGE CREDENTIAL
Permite a un usuario crear tablas externas directamente en el inquilino en la nube mediante una ubicación externa o credencial de almacenamiento. Databricks recomienda conceder este privilegio en una ubicación externa en lugar de credenciales de almacenamiento (ya que se limita a una ruta de acceso, permite un mayor control sobre dónde los usuarios pueden crear tablas externas en el inquilino en la nube).
CREAR VOLUMEN EXTERNO
Tipos de objetos aplicables: EXTERNAL LOCATION
Permite a un usuario crear volúmenes externos utilizando una ubicación externa.
CREAR CATÁLOGO EXTERNO
Tipos de objetos aplicables: CONNECTION
Permite a un usuario crear catálogos externos mediante una conexión a una base de datos externa en un escenario de federación de Lakehouse.
CREAR FUNCIÓN
Tipos de objetos aplicables: SCHEMA
Permite que un usuario cree una función en el esquema. Dado que los privilegios se heredan, CREATE FUNCTION
también se puede conceder en un catálogo, lo que permite a un usuario crear una función en cualquier esquema existente o futuro del catálogo.
El usuario también debe tener el privilegio USE CATALOG
en su catálogo principal yUSE SCHEMA
en el esquema principal.
CREAR MODELO
Tipos de objetos aplicables: SCHEMA
Permite a un usuario crear un modelo registrado de MLflow (que es un tipo de FUNCTION) en el esquema. Dado que los privilegios se heredan, CREATE MODEL
también se puede conceder en un catálogo, lo que permite a un usuario crear un modelo registrado en cualquier esquema existente o futuro del catálogo.
El usuario también debe tener el privilegio USE CATALOG
en su catálogo principal yUSE SCHEMA
en el esquema principal.
CREATE MANAGED STORAGE
Tipos de objetos aplicables: EXTERNAL LOCATION
Permite a un usuario especificar una ubicación para almacenar tablas administradas a nivel de catálogo o esquema, que reemplaza al almacenamiento raíz predeterminado del metastore.
CREATE SCHEMA
Tipos de objetos aplicables: CATALOG
Permite que un usuario cree un esquema. El usuario también necesita el privilegio USE CATALOG
en el catálogo.
CREATE SERVICE CREDENTIAL
Tipos de objetos aplicables: metastore de Unity Catalog
Permite a un usuario crear una credencial de servicio en un metastore de catálogo de Unity.
CREACIÓN DE CREDENCIALES DE ALMACENAMIENTO
Tipos de objetos aplicables: metastore de Unity Catalog
Permite a un usuario crear una credencial de almacenamiento en un metastore del catálogo de Unity.
No se puede conceder a una entidad de servicio, ya sea Microsoft Entra ID o una entidad de servicio nativa de Azure Databricks.
CREATE TABLE
Tipos de objetos aplicables: SCHEMA
Permite que un usuario cree una tabla o una vista en el esquema. Dado que los privilegios se heredan, CREATE TABLE
también se puede conceder en un catálogo, lo que permite a un usuario crear una tabla o una vista en cualquier esquema existente o futuro del catálogo.
El usuario también debe tener el privilegio USE CATALOG
en su catálogo principal y el privilegio USE SCHEMA
en su esquema principal.
CREATE MATERIALIZED VIEW
Tipos de objetos aplicables: SCHEMA
Permite a un usuario crear una vista materializada en el esquema. Dado que los privilegios se heredan, CREATE MATERIALIZED VIEW
también se puede conceder en un catálogo, lo que permite a un usuario crear una tabla o una vista en cualquier esquema existente o futuro del catálogo.
El usuario también debe tener el privilegio USE CATALOG
en su catálogo principal y el privilegio USE SCHEMA
en su esquema principal.
CREATE VOLUME
Tipos de objetos aplicables: SCHEMA
Permite que un usuario cree un volumen en el esquema. Dado que los privilegios se heredan, CREATE VOLUME
también se puede conceder en un catálogo, lo que permite a un usuario crear un volumen en cualquier esquema existente o futuro del catálogo.
El usuario también debe tener el privilegio USE CATALOG
en su catálogo principal del volumen y el privilegio USE SCHEMA
en su esquema principal.
Ejecute
Tipos de objeto aplicables: FUNCTION
, modelo
Permite a un usuario invocar una función definida por el usuario o cargar un modelo para su inferencia, si el usuario también tiene USE CATALOG
en su catálogo primario y USE SCHEMA
en su esquema primario. En el caso de las funciones, EXECUTE
concede la capacidad de ver la definición y los metadatos de la función. En el caso de los modelos registrados, EXECUTE
concede la capacidad de ver los metadatos de todas las versiones del modelo registrado y descargar archivos de modelo.
Dado que los privilegios se heredan, puede conceder a un usuario el privilegio EXECUTE
en un catálogo o esquema, lo que concede automáticamente al usuario el privilegio EXECUTE
en todas las funciones actuales y futuras del catálogo o el esquema.
TAREA DE EJECUTAR SALA LIMPIA
Tipos de objetos aplicables: CLEAN ROOM
Permite a un usuario ejecutar tareas (cuadernos) en una sala limpia. También permite al usuario ver los detalles de la sala limpia.
ESQUEMA DE USO EXTERNO
Tipos de objetos aplicables: SCHEMA
Permite que a un usuario se le conceda una credencial temporal para acceder a las tablas de Unity Catalog desde un motor de procesamiento externo mediante las API abiertas de Unity Catalog o las API REST de Iceberg.
Solo el propietario del catálogo puede conceder este privilegio.
Para evitar la filtración de datos accidental, ALL PRIVILEGES
no incluye el privilegio EXTERNAL USE SCHEMA
y los propietarios de esquemas no tienen este privilegio de manera predeterminada.
Vea Control del acceso externo a los datos en Unity Catalog.
ADMINISTRAR LISTA DE PERMITIDOS
Tipos de objetos aplicables: metastore de Unity Catalog
Permite a un usuario agregar o modificar rutas de acceso para scripts de inicialización, JAR y coordenadas de Maven en la lista de permitidos que gobierna los clústeres habilitados de Unity Catalog con el modo de acceso compartido. Consulte Agregar a la lista de permitidos bibliotecas y scripts de inicialización en proceso compartido.
MODIFY
Tipos de objetos aplicables: TABLE
Permite a un usuario agregar, actualizar y eliminar datos de una tabla si el usuario también tiene el permiso SELECT
en la tabla así como USE CATALOG
en su catálogo primario y USE SCHEMA
en su esquema primario.
Dado que los privilegios se heredan, puede conceder a un usuario el privilegio MODIFY
en un catálogo o esquema, lo que concede automáticamente al usuario el privilegio MODIFY
en todas las tablas actuales y futuras del catálogo o el esquema.
MODIFICAR SALA LIMPIA
Tipos de objetos aplicables: CLEAN ROOM
Permite que un usuario actualice una sala limpia, incluida la adición y eliminación de recursos de datos, la adición y eliminación de cuadernos y la actualización de comentarios. También permite al usuario ver los detalles de la sala limpia.
READ FILES
Tipos de objetos aplicables: VOLUME
, EXTERNAL LOCATION
Permite al usuario leer archivos directamente desde el almacenamiento de objetos en la nube. Databricks recomienda conceder este privilegio en volúmenes y concederlo en ubicaciones externas para casos de uso limitados. Para obtener más orientación, consulte Administrar ubicaciones externas, tablas externas y volúmenes externos.
LEER VOLUMEN
Tipos de objetos aplicables: VOLUME
Permite a un usuario leer archivos y directorios almacenados dentro de un volumen si el usuario también tiene USE CATALOG
en su catálogo principal y USE SCHEMA
en su esquema principal.
Los privilegios se heredan. Cuando puede otorgarle a un usuario el privilegio READ VOLUME
sobre un catálogo o esquema, automáticamente le otorga al usuario el privilegio READ VOLUME
sobre todos los volúmenes actuales y futuros del catálogo o esquema.
REFRESH
Tipos de objetos aplicables: MATERIALIZED VIEW
Permite a un usuario actualizar una vista materializada si el usuario también tiene USE CATALOG
en su catálogo primario y USE SCHEMA
en su esquema primario.
Los privilegios se heredan. Cuando se concede el privilegio REFRESH
en un catálogo o esquema a un usuario, se concede automáticamente al usuario el privilegio REFRESH
en todas las vistas materializadas actuales y futuras del catálogo o esquema.
SELECT
Tipos de objeto aplicables: TABLE
, VIEW
, MATERIALIZED VIEW
, SHARE
Si se aplica a una tabla o vista, permite que un usuario seleccione de la tabla o vista, si el usuario también tiene USE CATALOG
en su catálogo primario y USE SCHEMA
en su esquema primario. Si se aplica a un recurso compartido, permite que un destinatario seleccione en el recurso compartido.
Dado que los privilegios se heredan, puede conceder a un usuario el privilegio SELECT
en un catálogo o esquema, lo que concede automáticamente al usuario el privilegio SELECT
en todas las tablas y vistas actuales y futuras del catálogo o el esquema.
USE CATALOG
Tipos de objetos aplicables: CATALOG
Este privilegio no concede acceso al propio catálogo, pero es necesario para que un usuario interactúe con cualquier objeto dentro del catálogo. Por ejemplo, para seleccionar datos de una tabla, los usuarios deben tener el privilegio SELECT
en esa tabla y los privilegios USE CATALOG
en su catálogo primario además de los privilegios USE SCHEMA
en su esquema primario.
Esto resulta útil para permitir que los propietarios de catálogos puedan limitar hasta qué punto los propietarios de esquemas y tablas individuales pueden compartir los datos que producen. Por ejemplo, un propietario de tabla que concede SELECT
a otro usuario no concede al usuario acceso de lectura a la tabla a menos que también se le hayan concedido privilegios USE CATALOG
en su catálogo primario y privilegios USE SCHEMA
en su esquema primario.
El privilegio USE CATALOG
del catálogo primario no es necesario para leer los metadatos de un objeto si el usuario tiene el privilegio BROWSE
en ese catálogo.
USAR CONEXIÓN
Tipos de objetos aplicables: CONNECTION
Permite a un usuario enumerar y ver detalles sobre las conexiones a una base de datos externa en un escenario de la Federación Lakehouse. Para crear catálogos externos para una conexión, debe tener CREATE FOREIGN CATALOG
en la conexión o la propiedad de la conexión.
USE SCHEMA
Tipos de objetos aplicables: SCHEMA
Este privilegio no concede acceso al propio esquema, pero es necesario para que un usuario interactúe con cualquier objeto dentro del esquema. Por ejemplo, para seleccionar datos de una tabla, los usuarios deben tener el privilegio SELECT
en esa tabla y USE SCHEMA
en su esquema primario, además de USE CATALOG
en su catálogo primario.
Dado que los privilegios se heredan, puede conceder a un usuario el privilegio USE SCHEMA
en un catálogo, lo que concede automáticamente al usuario el privilegio USE SCHEMA
en todos los esquemas actuales y futuros del catálogo.
No se requiere el privilegio USE SCHEMA
en el esquema primario para leer los metadatos de un objeto si el usuario tiene el privilegio BROWSE
en ese esquema o en su catálogo primario.
WRITE FILES
Tipos de objetos aplicables: VOLUME
,EXTERNAL LOCATION
Permite a un usuario escribir archivos directamente en el almacenamiento de objetos en la nube. Databricks recomienda conceder este privilegio en volúmenes. Conceda este privilegio con moderación en ubicaciones externas. Para obtener más orientación, consulte Administrar ubicaciones externas, tablas externas y volúmenes externos.
VOLUMEN DE ESCRITURA
Tipos de objetos aplicables: VOLUME
Permite a un usuario agregar, eliminar o modificar archivos y directorios almacenados dentro de un volumen si el usuario también tiene USE CATALOG
en su catálogo principal y USE SCHEMA
en su esquema principal.
Los privilegios se heredan. Cuando puede otorgarle a un usuario el privilegio WRITE VOLUME
sobre un catálogo o esquema, automáticamente le otorga al usuario el privilegio WRITE VOLUME
sobre todos los volúmenes actuales y futuros del catálogo o esquema.
Tipos de privilegios que se aplican solo a Delta Sharing o Databricks Marketplace
En esta sección, se proporciona información sobre los tipos de privilegios que se aplican solo a Delta Sharing.
CREATE PROVIDER
Tipos de objetos aplicables: metastore de Unity Catalog
Permite a un usuario crear un objeto de proveedor de Delta Sharing en el metastore. Un proveedor identifica una organización o un grupo de usuarios que tienen datos compartidos mediante Delta Sharing. La creación del proveedor la realiza un usuario en la cuenta de Databricks del destinatario. Consulte ¿Qué es Delta Sharing?
CREATE RECIPIENT
Tipos de objetos aplicables: metastore de Unity Catalog
Permite que un usuario cree un destinatario de Delta Sharing en el metastore. Un destinatario identifica una organización o un grupo de usuarios con los que se puede haber compartido datos mediante Delta Sharing. Un usuario realiza la creación del destinatario en la cuenta de Databricks del proveedor. Consulte ¿Qué es Delta Sharing?
CREATE SHARE
Tipos de objetos aplicables: metastore de Unity Catalog
Permite que un usuario cree un recurso compartido en el metastore. Un recurso compartido es una agrupación lógica para las tablas que pretende compartir mediante Delta Sharing.
SET SHARE PERMISSION
Tipos de objetos aplicables: metastore de Unity Catalog
En Delta Sharing, este privilegio, combinado con USE SHARE
y USE RECIPIENT
(o la propiedad del destinatario), proporciona a un usuario proveedor la capacidad de conceder a un destinatario acceso a un recurso compartido. Combinado con USE SHARE
, ofrece la capacidad de transferir la propiedad de un recurso compartido a otro usuario, grupo o entidad de servicio.
USO DE RECURSOS DE MARKETPLACE
Tipos de objetos aplicables: metastore de Unity Catalog
Habilitado de forma predeterminada para todos los metastores de Unity Catalog. En Databricks Marketplace, este privilegio proporciona a un usuario la capacidad de obtener acceso instantáneo o solicitar acceso a los productos de datos compartidos en un anuncio de Marketplace. También permite a un usuario acceder al catálogo de solo lectura que se crea cuando un proveedor comparte un producto de datos. Sin este privilegio, el usuario requeriría los privilegios CREATE CATALOG
y USE PROVIDER
o el rol de administrador de metastore. Esto le permite limitar el número de usuarios con estos permisos con privilegios.
USE PROVIDER
Tipos de objetos aplicables: metastore de Unity Catalog
En Delta Sharing, proporciona a un usuario destinatario acceso de solo lectura a todos los proveedores de un metastore de destinatario y sus recursos compartidos. En combinación con el privilegio CREATE CATALOG
, este privilegio permite a un usuario destinatario que no sea un administrador de metastore montar un recurso compartido como catálogo. Esto le permite limitar el número de usuarios con el eficaz rol de administrador de metastore.
USE RECIPIENT
Tipos de objetos aplicables: metastore de Unity Catalog
En Delta Sharing, proporciona a un usuario proveedor acceso de solo lectura a todos los destinatarios de un metastore de proveedor y a sus recursos compartidos. Esto permite a un usuario proveedor que no sea un administrador de metastore ver los detalles del destinatario, el estado de autenticación del destinatario y la lista de recursos compartidos que el proveedor haya compartido con el destinatario.
En Marketplace de Databricks, esto proporciona a los usuarios proveedores la capacidad de ver las listas y solicitudes de consumidor en la consola del proveedor.
USE SHARE
Tipos de objetos aplicables: metastore de Unity Catalog
En Delta Sharing, esto proporciona a un usuario proveedor acceso de solo lectura a todos los recursos compartidos definidos en un metastore de proveedor. Esto permite a un usuario proveedor que no sea un administrador de metastore enumerar recursos compartidos y enumerar los recursos (tablas y cuadernos) en un recurso compartido, junto con los destinatarios del recurso compartido.
En Marketplace de Databricks, esto proporciona a los usuarios proveedores la posibilidad de ver información sobre los datos compartidos en una lista.