Compartir a través de


Privilegios de Unity Catalog y objetos protegibles

En este artículo se describen los objetos protegibles de Unity Catalog y los privilegios que se aplican a ellos. Para obtener información sobre cómo conceder privilegios en Unity Catalog, vea Mostrar, conceder y revocar privilegios.

Nota:

En este artículo se hace referencia al modelo de herencia y privilegios del catálogo de Unity en la versión 1.0 del modelo de privilegios. Si creó el metastore del catálogo de Unity durante la versión preliminar pública (antes del 25 de agosto de 2022), es posible que esté en un modelo de privilegios anterior que no admita el modelo de herencia actual. Puede actualizar a Privilege Model versión 1.0 para obtener la herencia de privilegios. Consulte Actualización a la herencia de privilegios.

Objetos protegibles en el catálogo de Unity

Un objeto protegible es un objeto definido en el metastore de Unity Catalog en el que se pueden conceder privilegios a una entidad de seguridad (usuario, entidad de servicio o grupo). Los objetos protegibles en el catálogo de Unity son jerárquicos.

Jerarquía de objetos de Unity Catalog

Los objetos protegibles son:

  • Metastore: contenedor de metadatos de nivel superior. Cada metastore del catálogo de Unity expone un espacio de nombres de tres niveles (catalog.schema.table) que organiza los datos.

    Al administrar los privilegios en un metastore, no se incluye el nombre del metastore en un comando SQL. El catálogo de Unity concede o revoca el privilegio en el metastore asociado al área de trabajo. Por ejemplo, el siguiente comando concede a un grupo denominado engineering la capacidad de crear un catálogo en el metastore asociado al área de trabajo:

    GRANT CREATE CATALOG ON METASTORE TO engineering
    
  • CATÁLOGO: la primera capa de la jerarquía de objetos; se usa para organizar los recursos de datos. Un catálogo externo es un tipo de catálogo especial que refleja una base de datos en un sistema de datos externo en un escenario de federación de Lakehouse.

  • ESQUEMA: también conocidos como bases de datos, los esquemas son la segunda capa de la jerarquía de objetos y contienen tablas y vistas.

  • TABLA: el nivel más bajo de la jerarquía de objetos, las tablas pueden ser externas (almacenadas en las ubicaciones externas del almacenamiento en la nube que prefiera) o tablas administradas (almacenadas en un contenedor de almacenamiento del almacenamiento en la nube que cree expresamente para Azure Databricks).

  • VIEW: Un objeto de solo lectura creado a partir de una consulta en una o varias tablas contenidas en un esquema.

  • MATERIALIZED VIEW: Un objeto creado a partir de una consulta en una o varias tablas contenidas en un esquema. Sus resultados reflejan el estado de los datos cuando se actualizó por última vez.

  • VOLUMEN: el nivel más bajo en la jerarquía de objetos, los volúmenes pueden ser externos (almacenados en ubicaciones externas en el almacenamiento en la nube de su elección) o administrados (almacenados en un contenedor de almacenamiento en el almacenamiento en la nube que usted crea expresamente para Azure Databricks).

  • FUNCTION: una función definida por el usuario o un modelo registrado de MLflow contenidos en un esquema.

  • Modelo: un modelo registrado de MLflow es un tipo específico de función. Los modelos se enumeran por separado de otras funciones en el Explorador de catálogos, pero cuando se concede un privilegio en un modelo mediante SQL, se usa GRANT ON FUNCTION.

  • EXTERNAL LOCATION: objeto que contiene una referencia a una credencial de almacenamiento y una ruta de acceso a almacenamiento en la nube que se encuentra dentro de un metastore de Unity Catalog.

  • CREDENCIAL DE SERVICIO: objeto que encapsula una credencial de nube a largo plazo que proporciona acceso a un servicio externo. Contenido en un metastore de catálogo de Unity.

  • STORAGE CREDENTIAL: objeto que encapsula una credencial de nube a largo plazo que proporciona acceso al almacenamiento en la nube que se encuentra dentro de un metastore del Unity Catalog.

  • CONEXIÓN: objeto que especifica una ruta de acceso y credenciales para acceder a un sistema de base de datos externo en un escenario de federación de Lakehouse.

  • RECURSO COMPARTIDO: una agrupación lógica para las tablas que pretende compartir mediante Delta Sharing. Un recurso compartido se encuentra en un metastore del catálogo de Unity.

  • DESTINATARIO: un objeto que identifica una organización o un grupo de usuarios con los que se puede haber compartido datos mediante Delta Sharing. Estos objetos se encuentran en un metastore del catálogo de Unity.

  • PROVEEDOR: un objeto que representa una organización que ha puesto los datos a disposición para el uso compartido mediante Delta Sharing. Estos objetos se encuentran en un metastore del catálogo de Unity.

  • SALA LIMPIA: un objeto que representa un entorno seguro y de protección de la privacidad, administrado por Databricks, en el que varias partes pueden colaborar sin disponer de acceso directo a los datos de los demás.

Tipos de privilegios por objeto protegible en el catálogo de Unity

En la tabla siguiente se enumeran los tipos de privilegios que se aplican a cada objeto protegible en Unity Catalog. Para obtener información sobre cómo conceder privilegios en Unity Catalog, vea Mostrar, conceder y revocar privilegios.

Elemento protegible Privilegios
Metastore CREATE CATALOG, CREATE CLEAN ROOM, CREATE CONNECTION, CREATE EXTERNAL LOCATION, , CREATE PROVIDER, CREATE SHARECREATE RECIPIENT,CREATE SERVICE CREDENTIALSET SHARE PERMISSIONCREATE STORAGE CREDENTIALUSE MARKETPLACE ASSETSUSE PROVIDER , USE RECIPIENTUSE SHARE
Catálogo ALL PRIVILEGES, APPLY TAG, BROWSE, , CREATE SCHEMA, USE CATALOG

Todos los usuarios tienen USE CATALOG en el catálogo main de manera predeterminada.

Los siguientes tipos de privilegios se aplican a objetos protegibles dentro de un catálogo. Puede conceder estos privilegios en el nivel de catálogo para aplicarlos a los objetos actuales y futuros del catálogo.

CREATE FUNCTION, CREATE TABLE, CREATE MATERIALIZED VIEW, CREATE MODEL, , EXTERNAL USE SCHEMACREATE VOLUME, READ VOLUME, REFRESHWRITE VOLUMEEXECUTEMODIFYSELECTUSE SCHEMA
Esquema ALL PRIVILEGES, APPLY TAG, CREATE FUNCTION, CREATE TABLE, CREATE MODEL, CREATE VOLUME, CREATE MATERIALIZED VIEW, , EXTERNAL USE SCHEMAUSE SCHEMA

Los siguientes tipos de privilegios se aplican a objetos protegibles dentro de un esquema. Puede conceder estos privilegios en el nivel de esquema para aplicarlos a los objetos actuales y futuros dentro del esquema.

EXECUTE, MODIFY, READ VOLUME, REFRESH, , SELECT, WRITE VOLUME
Tabla ALL PRIVILEGES, APPLY TAG, , MODIFY, SELECT
Vista materializada ALL PRIVILEGES, APPLY TAG, , REFRESH, SELECT
Ver ALL PRIVILEGES, , APPLY TAG, SELECT
Volumen ALL PRIVILEGES, , READ VOLUME, WRITE VOLUME
Ubicación externa ALL PRIVILEGES, BROWSE, CREATE EXTERNAL TABLE, CREATE EXTERNAL VOLUME, READ FILES, , WRITE FILESCREATE MANAGED STORAGE
Credenciales de servicio ALL PRIVILEGES, , ACCESS. CREATE CONNECTION
Credencial de almacenamiento ALL PRIVILEGES, CREATE EXTERNAL LOCATION, CREATE EXTERNAL TABLE, , READ FILES, WRITE FILES
Conexión ALL PRIVILEGES, , CREATE FOREIGN CATALOG, USE CONNECTION
Función ALL PRIVILEGES, APPLY TAG (solo modelos), EXECUTE
Modelo Los modelos registrados son un tipo de función.
Compartir SELECT (se pueden conceder a RECIPIENT)
Recipient Ninguno
Proveedor None
Sala limpia ALL PRIVILEGES, BROWSE, , EXECUTE CLEAN ROOM TASK, MODIFY CLEAN ROOM

Tipos de privilegios generales del catálogo de Unity

En esta sección, se proporciona información sobre los tipos de privilegios que se aplican generalmente al catálogo de Unity. Para obtener información sobre cómo conceder privilegios en Unity Catalog, vea Mostrar, conceder y revocar privilegios.

TODOS LOS PRIVILEGIOS

Tipos de objeto aplicables: CATALOG, EXTERNAL LOCATION, STORAGE CREDENTIAL, SCHEMA, FUNCTION (incluidos los modelos) TABLE, MATERIALIZED VIEW, VIEW,VOLUME

Se usa para conceder o revocar todos los privilegios aplicables al objeto protegible y a sus objetos secundarios sin especificarlos explícitamente.

Cuando ALL PRIVILEGES se otorga sobre un objeto, no otorga individualmente al usuario cada privilegio aplicable en el momento de la concesión. En cambio, se expande a todos los privilegios disponibles en el momento en que se realizan las comprobaciones de permisos. Esto significa que a medida que Databricks libera nuevos privilegios y nuevos objetos protegibles, una concesión ALL PRIVILEGES existente incluye automáticamente todos los privilegios nuevos aplicable al objeto protegible, a sus objetos secundarios existentes y a todos los objetos secundario nuevos.

Cuando ALL PRIVILEGES se revoca, se revoca el privilegio ALL PRIVILEGES y también se revocan todos los privilegios explícitos otorgados al usuario sobre el objeto.

Para evitar la filtración de datos accidental, ALL PRIVILEGES no incluye el privilegio EXTERNAL USE SCHEMA.

Nota:

Este privilegio es eficaz cuando se aplica a niveles superiores en la jerarquía. Por ejemplo, GRANT ALL PRIVILEGES ON CATALOG main TO analysts concede al equipo de analistas todos los privilegios existentes y futuros en todos los objetos protegibles existentes y futuros del catálogo.

ACCESS

Tipos de objetos aplicables: SERVICE CREDENTIAL

Permite a un usuario usar una credencial de servicio para acceder a un servicio o servicios externos.

APPLY TAG

Tipos de objeto aplicables: CATALOG, SCHEMA, TABLE, VOLUME, MATERIALIZED VIEW, VIEW, modelos registrados como FUNCTION

Permite que un usuario agregue y edite etiquetas en un objeto. La concesión de APPLY TAG a una tabla o vista también habilita el etiquetado de columnas. La concesión de APPLY TAG a un modelo registrado también habilita el etiquetado de versiones del modelo.

El usuario también debe tener el privilegio USE CATALOG en su catálogo principal yUSE SCHEMA en el esquema principal.

BROWSE

Tipos de objetos aplicables: CATALOG, EXTERNAL LOCATION, CLEAN ROOM

Importante

Esta característica está en versión preliminar pública.

Permite que un usuario vea los metadatos de un objeto mediante el Explorador de catálogos, el explorador de esquemas, los resultados de búsqueda, el gráfico de linaje, information_schema, y la API de REST.

El usuario no requiere el privilegio USE CATALOG en el catálogo primario ni USE SCHEMA en el esquema primario.

A todos los usuarios se les concede el privilegio BROWSE de manera predeterminada en los nuevos catálogos que se crean mediante el Explorador de catálogos. Puede revocar el privilegio si lo prefiere. Los catálogos creados mediante instrucciones SQL, la API de REST o la CLI de Databricks no conceden el privilegio BROWSE de manera predeterminada. Debe concederlo de forma excesiva.

CREATE CATÁLOGO

Tipos de objetos aplicables: metastore de Unity Catalog

Permite a un usuario crear un catálogo en un metastore de Unity Catalog. Para crear un catálogo externo, también debe tener el privilegio CREAR CATÁLOGO EXTERNO en la conexión que contiene el catálogo externo o en el metastore.

CREAR SALA LIMPIA

Tipos de objetos aplicables: metastore de Unity Catalog

Permite a un usuario crear una sala limpia para colaborar de forma segura en proyectos con otras organizaciones sin compartir datos subyacentes.

CREAR CONEXIÓN

Tipos de objetos aplicables: metastore de Unity Catalog, SERVICE CREDENTIAL

Permite a un usuario crear una conexión a una base de datos externa en un escenario de federación de Lakehouse. Para usar una credencial de servicio para crear una conexión, el usuario debe tener este privilegio en el metastore y en la credencial del servicio.

CREATE EXTERNAL LOCATION

Tipos de objetos aplicables: metastore de Unity Catalog, STORAGE CREDENTIAL

Para crear una ubicación externa, el usuario debe tener este privilegio en el metastore y en la credencial de almacenamiento a la que se hace referencia en la ubicación externa.

CREATE EXTERNAL TABLE

Tipos de objetos aplicables: EXTERNAL LOCATION, STORAGE CREDENTIAL

Permite a un usuario crear tablas externas directamente en el inquilino en la nube mediante una ubicación externa o credencial de almacenamiento. Databricks recomienda conceder este privilegio en una ubicación externa en lugar de credenciales de almacenamiento (ya que se limita a una ruta de acceso, permite un mayor control sobre dónde los usuarios pueden crear tablas externas en el inquilino en la nube).

CREAR VOLUMEN EXTERNO

Tipos de objetos aplicables: EXTERNAL LOCATION

Permite a un usuario crear volúmenes externos utilizando una ubicación externa.

CREAR CATÁLOGO EXTERNO

Tipos de objetos aplicables: CONNECTION

Permite a un usuario crear catálogos externos mediante una conexión a una base de datos externa en un escenario de federación de Lakehouse.

CREAR FUNCIÓN

Tipos de objetos aplicables: SCHEMA

Permite que un usuario cree una función en el esquema. Dado que los privilegios se heredan, CREATE FUNCTION también se puede conceder en un catálogo, lo que permite a un usuario crear una función en cualquier esquema existente o futuro del catálogo.

El usuario también debe tener el privilegio USE CATALOG en su catálogo principal yUSE SCHEMA en el esquema principal.

CREAR MODELO

Tipos de objetos aplicables: SCHEMA

Permite a un usuario crear un modelo registrado de MLflow (que es un tipo de FUNCTION) en el esquema. Dado que los privilegios se heredan, CREATE MODEL también se puede conceder en un catálogo, lo que permite a un usuario crear un modelo registrado en cualquier esquema existente o futuro del catálogo.

El usuario también debe tener el privilegio USE CATALOG en su catálogo principal yUSE SCHEMA en el esquema principal.

CREATE MANAGED STORAGE

Tipos de objetos aplicables: EXTERNAL LOCATION

Permite a un usuario especificar una ubicación para almacenar tablas administradas a nivel de catálogo o esquema, que reemplaza al almacenamiento raíz predeterminado del metastore.

CREATE SCHEMA

Tipos de objetos aplicables: CATALOG

Permite que un usuario cree un esquema. El usuario también necesita el privilegio USE CATALOG en el catálogo.

CREATE SERVICE CREDENTIAL

Tipos de objetos aplicables: metastore de Unity Catalog

Permite a un usuario crear una credencial de servicio en un metastore de catálogo de Unity.

CREACIÓN DE CREDENCIALES DE ALMACENAMIENTO

Tipos de objetos aplicables: metastore de Unity Catalog

Permite a un usuario crear una credencial de almacenamiento en un metastore del catálogo de Unity.

No se puede conceder a una entidad de servicio, ya sea Microsoft Entra ID o una entidad de servicio nativa de Azure Databricks.

CREATE TABLE

Tipos de objetos aplicables: SCHEMA

Permite que un usuario cree una tabla o una vista en el esquema. Dado que los privilegios se heredan, CREATE TABLE también se puede conceder en un catálogo, lo que permite a un usuario crear una tabla o una vista en cualquier esquema existente o futuro del catálogo.

El usuario también debe tener el privilegio USE CATALOG en su catálogo principal y el privilegio USE SCHEMA en su esquema principal.

CREATE MATERIALIZED VIEW

Tipos de objetos aplicables: SCHEMA

Permite a un usuario crear una vista materializada en el esquema. Dado que los privilegios se heredan, CREATE MATERIALIZED VIEW también se puede conceder en un catálogo, lo que permite a un usuario crear una tabla o una vista en cualquier esquema existente o futuro del catálogo.

El usuario también debe tener el privilegio USE CATALOG en su catálogo principal y el privilegio USE SCHEMA en su esquema principal.

CREATE VOLUME

Tipos de objetos aplicables: SCHEMA

Permite que un usuario cree un volumen en el esquema. Dado que los privilegios se heredan, CREATE VOLUME también se puede conceder en un catálogo, lo que permite a un usuario crear un volumen en cualquier esquema existente o futuro del catálogo.

El usuario también debe tener el privilegio USE CATALOG en su catálogo principal del volumen y el privilegio USE SCHEMA en su esquema principal.

Ejecute

Tipos de objeto aplicables: FUNCTION, modelo

Permite a un usuario invocar una función definida por el usuario o cargar un modelo para su inferencia, si el usuario también tiene USE CATALOG en su catálogo primario y USE SCHEMA en su esquema primario. En el caso de las funciones, EXECUTE concede la capacidad de ver la definición y los metadatos de la función. En el caso de los modelos registrados, EXECUTE concede la capacidad de ver los metadatos de todas las versiones del modelo registrado y descargar archivos de modelo.

Dado que los privilegios se heredan, puede conceder a un usuario el privilegio EXECUTE en un catálogo o esquema, lo que concede automáticamente al usuario el privilegio EXECUTE en todas las funciones actuales y futuras del catálogo o el esquema.

TAREA DE EJECUTAR SALA LIMPIA

Tipos de objetos aplicables: CLEAN ROOM

Permite a un usuario ejecutar tareas (cuadernos) en una sala limpia. También permite al usuario ver los detalles de la sala limpia.

ESQUEMA DE USO EXTERNO

Tipos de objetos aplicables: SCHEMA

Permite que a un usuario se le conceda una credencial temporal para acceder a las tablas de Unity Catalog desde un motor de procesamiento externo mediante las API abiertas de Unity Catalog o las API REST de Iceberg.

Solo el propietario del catálogo puede conceder este privilegio.

Para evitar la filtración de datos accidental, ALL PRIVILEGES no incluye el privilegio EXTERNAL USE SCHEMA y los propietarios de esquemas no tienen este privilegio de manera predeterminada.

Vea Control del acceso externo a los datos en Unity Catalog.

ADMINISTRAR LISTA DE PERMITIDOS

Tipos de objetos aplicables: metastore de Unity Catalog

Permite a un usuario agregar o modificar rutas de acceso para scripts de inicialización, JAR y coordenadas de Maven en la lista de permitidos que gobierna los clústeres habilitados de Unity Catalog con el modo de acceso compartido. Consulte Agregar a la lista de permitidos bibliotecas y scripts de inicialización en proceso compartido.

MODIFY

Tipos de objetos aplicables: TABLE

Permite a un usuario agregar, actualizar y eliminar datos de una tabla si el usuario también tiene el permiso SELECT en la tabla así como USE CATALOG en su catálogo primario y USE SCHEMA en su esquema primario.

Dado que los privilegios se heredan, puede conceder a un usuario el privilegio MODIFY en un catálogo o esquema, lo que concede automáticamente al usuario el privilegio MODIFY en todas las tablas actuales y futuras del catálogo o el esquema.

MODIFICAR SALA LIMPIA

Tipos de objetos aplicables: CLEAN ROOM

Permite que un usuario actualice una sala limpia, incluida la adición y eliminación de recursos de datos, la adición y eliminación de cuadernos y la actualización de comentarios. También permite al usuario ver los detalles de la sala limpia.

READ FILES

Tipos de objetos aplicables: VOLUME, EXTERNAL LOCATION

Permite al usuario leer archivos directamente desde el almacenamiento de objetos en la nube. Databricks recomienda conceder este privilegio en volúmenes y concederlo en ubicaciones externas para casos de uso limitados. Para obtener más orientación, consulte Administrar ubicaciones externas, tablas externas y volúmenes externos.

LEER VOLUMEN

Tipos de objetos aplicables: VOLUME

Permite a un usuario leer archivos y directorios almacenados dentro de un volumen si el usuario también tiene USE CATALOG en su catálogo principal y USE SCHEMA en su esquema principal.

Los privilegios se heredan. Cuando puede otorgarle a un usuario el privilegio READ VOLUME sobre un catálogo o esquema, automáticamente le otorga al usuario el privilegio READ VOLUME sobre todos los volúmenes actuales y futuros del catálogo o esquema.

REFRESH

Tipos de objetos aplicables: MATERIALIZED VIEW

Permite a un usuario actualizar una vista materializada si el usuario también tiene USE CATALOG en su catálogo primario y USE SCHEMA en su esquema primario.

Los privilegios se heredan. Cuando se concede el privilegio REFRESH en un catálogo o esquema a un usuario, se concede automáticamente al usuario el privilegio REFRESH en todas las vistas materializadas actuales y futuras del catálogo o esquema.

SELECT

Tipos de objeto aplicables: TABLE, VIEW, MATERIALIZED VIEW, SHARE

Si se aplica a una tabla o vista, permite que un usuario seleccione de la tabla o vista, si el usuario también tiene USE CATALOG en su catálogo primario y USE SCHEMA en su esquema primario. Si se aplica a un recurso compartido, permite que un destinatario seleccione en el recurso compartido.

Dado que los privilegios se heredan, puede conceder a un usuario el privilegio SELECT en un catálogo o esquema, lo que concede automáticamente al usuario el privilegio SELECT en todas las tablas y vistas actuales y futuras del catálogo o el esquema.

USE CATALOG

Tipos de objetos aplicables: CATALOG

Este privilegio no concede acceso al propio catálogo, pero es necesario para que un usuario interactúe con cualquier objeto dentro del catálogo. Por ejemplo, para seleccionar datos de una tabla, los usuarios deben tener el privilegio SELECT en esa tabla y los privilegios USE CATALOG en su catálogo primario además de los privilegios USE SCHEMA en su esquema primario.

Esto resulta útil para permitir que los propietarios de catálogos puedan limitar hasta qué punto los propietarios de esquemas y tablas individuales pueden compartir los datos que producen. Por ejemplo, un propietario de tabla que concede SELECT a otro usuario no concede al usuario acceso de lectura a la tabla a menos que también se le hayan concedido privilegios USE CATALOG en su catálogo primario y privilegios USE SCHEMA en su esquema primario.

El privilegio USE CATALOG del catálogo primario no es necesario para leer los metadatos de un objeto si el usuario tiene el privilegio BROWSE en ese catálogo.

USAR CONEXIÓN

Tipos de objetos aplicables: CONNECTION

Permite a un usuario enumerar y ver detalles sobre las conexiones a una base de datos externa en un escenario de la Federación Lakehouse. Para crear catálogos externos para una conexión, debe tener CREATE FOREIGN CATALOG en la conexión o la propiedad de la conexión.

USE SCHEMA

Tipos de objetos aplicables: SCHEMA

Este privilegio no concede acceso al propio esquema, pero es necesario para que un usuario interactúe con cualquier objeto dentro del esquema. Por ejemplo, para seleccionar datos de una tabla, los usuarios deben tener el privilegio SELECT en esa tabla y USE SCHEMA en su esquema primario, además de USE CATALOG en su catálogo primario.

Dado que los privilegios se heredan, puede conceder a un usuario el privilegio USE SCHEMA en un catálogo, lo que concede automáticamente al usuario el privilegio USE SCHEMA en todos los esquemas actuales y futuros del catálogo.

No se requiere el privilegio USE SCHEMA en el esquema primario para leer los metadatos de un objeto si el usuario tiene el privilegio BROWSE en ese esquema o en su catálogo primario.

WRITE FILES

Tipos de objetos aplicables: VOLUME,EXTERNAL LOCATION

Permite a un usuario escribir archivos directamente en el almacenamiento de objetos en la nube. Databricks recomienda conceder este privilegio en volúmenes. Conceda este privilegio con moderación en ubicaciones externas. Para obtener más orientación, consulte Administrar ubicaciones externas, tablas externas y volúmenes externos.

VOLUMEN DE ESCRITURA

Tipos de objetos aplicables: VOLUME

Permite a un usuario agregar, eliminar o modificar archivos y directorios almacenados dentro de un volumen si el usuario también tiene USE CATALOG en su catálogo principal y USE SCHEMA en su esquema principal.

Los privilegios se heredan. Cuando puede otorgarle a un usuario el privilegio WRITE VOLUME sobre un catálogo o esquema, automáticamente le otorga al usuario el privilegio WRITE VOLUME sobre todos los volúmenes actuales y futuros del catálogo o esquema.

Tipos de privilegios que se aplican solo a Delta Sharing o Databricks Marketplace

En esta sección, se proporciona información sobre los tipos de privilegios que se aplican solo a Delta Sharing.

CREATE PROVIDER

Tipos de objetos aplicables: metastore de Unity Catalog

Permite a un usuario crear un objeto de proveedor de Delta Sharing en el metastore. Un proveedor identifica una organización o un grupo de usuarios que tienen datos compartidos mediante Delta Sharing. La creación del proveedor la realiza un usuario en la cuenta de Databricks del destinatario. Consulte ¿Qué es Delta Sharing?

CREATE RECIPIENT

Tipos de objetos aplicables: metastore de Unity Catalog

Permite que un usuario cree un destinatario de Delta Sharing en el metastore. Un destinatario identifica una organización o un grupo de usuarios con los que se puede haber compartido datos mediante Delta Sharing. Un usuario realiza la creación del destinatario en la cuenta de Databricks del proveedor. Consulte ¿Qué es Delta Sharing?

CREATE SHARE

Tipos de objetos aplicables: metastore de Unity Catalog

Permite que un usuario cree un recurso compartido en el metastore. Un recurso compartido es una agrupación lógica para las tablas que pretende compartir mediante Delta Sharing.

SET SHARE PERMISSION

Tipos de objetos aplicables: metastore de Unity Catalog

En Delta Sharing, este privilegio, combinado con USE SHARE y USE RECIPIENT (o la propiedad del destinatario), proporciona a un usuario proveedor la capacidad de conceder a un destinatario acceso a un recurso compartido. Combinado con USE SHARE, ofrece la capacidad de transferir la propiedad de un recurso compartido a otro usuario, grupo o entidad de servicio.

USO DE RECURSOS DE MARKETPLACE

Tipos de objetos aplicables: metastore de Unity Catalog

Habilitado de forma predeterminada para todos los metastores de Unity Catalog. En Databricks Marketplace, este privilegio proporciona a un usuario la capacidad de obtener acceso instantáneo o solicitar acceso a los productos de datos compartidos en un anuncio de Marketplace. También permite a un usuario acceder al catálogo de solo lectura que se crea cuando un proveedor comparte un producto de datos. Sin este privilegio, el usuario requeriría los privilegios CREATE CATALOG y USE PROVIDER o el rol de administrador de metastore. Esto le permite limitar el número de usuarios con estos permisos con privilegios.

USE PROVIDER

Tipos de objetos aplicables: metastore de Unity Catalog

En Delta Sharing, proporciona a un usuario destinatario acceso de solo lectura a todos los proveedores de un metastore de destinatario y sus recursos compartidos. En combinación con el privilegio CREATE CATALOG, este privilegio permite a un usuario destinatario que no sea un administrador de metastore montar un recurso compartido como catálogo. Esto le permite limitar el número de usuarios con el eficaz rol de administrador de metastore.

USE RECIPIENT

Tipos de objetos aplicables: metastore de Unity Catalog

En Delta Sharing, proporciona a un usuario proveedor acceso de solo lectura a todos los destinatarios de un metastore de proveedor y a sus recursos compartidos. Esto permite a un usuario proveedor que no sea un administrador de metastore ver los detalles del destinatario, el estado de autenticación del destinatario y la lista de recursos compartidos que el proveedor haya compartido con el destinatario.

En Marketplace de Databricks, esto proporciona a los usuarios proveedores la capacidad de ver las listas y solicitudes de consumidor en la consola del proveedor.

USE SHARE

Tipos de objetos aplicables: metastore de Unity Catalog

En Delta Sharing, esto proporciona a un usuario proveedor acceso de solo lectura a todos los recursos compartidos definidos en un metastore de proveedor. Esto permite a un usuario proveedor que no sea un administrador de metastore enumerar recursos compartidos y enumerar los recursos (tablas y cuadernos) en un recurso compartido, junto con los destinatarios del recurso compartido.

En Marketplace de Databricks, esto proporciona a los usuarios proveedores la posibilidad de ver información sobre los datos compartidos en una lista.