Privilegios y objetos protegibles en Unity Catalog
Se aplica a:
Databricks SQL Databricks Runtime solamente a Unity Catalog
Un privilegio es un derecho concedido a una entidad principal para operar en un objeto seguro dentro del metastore. El modelo de privilegios y los objetos protegibles difieren en función de si usa un metastore de Unity Catalog o el metastore de Hive heredado. En este artículo se describe el modelo de privilegios del catálogo de Unity. Si usa el metastore de Hive, consulte Privilegios y objetos protegibles en el metastore del Hive.
Para obtener información detallada sobre cómo administrar privilegios en el catálogo de Unity, consulte Administrar privilegios en el catálogo de Unity.
Nota:
Este artículo se refiere a los privilegios y al modelo de herencia del Catalogo de Unity en el Modelo de Privilegios versión 1.0. Si creó el metastore del catálogo de Unity durante la versión preliminar pública (antes del 25 de agosto de 2022), es posible que esté en un modelo de privilegios anterior que no admita el modelo de herencia actual. Puede actualizar a Privilege Model versión 1.0 para obtener la herencia de privilegios. Consulte Actualización a la herencia de privilegios.
Objetos protegibles
En el metastore de Unity Catalog se define un objeto protegible, sobre el cual se pueden conceder privilegios a un principal. Para obtener una lista completa de objetos protegibles del catálogo de Unity y los privilegios que se pueden conceder en ellos, consulte Privilegios del catálogo de Unity y objetos protegibles.
Para administrar privilegios en cualquier objeto, debe ser su propietario o tener el privilegio MANAGE en el objeto, así como USE CATALOG en el catálogo primario del objeto y USE SCHEMA en su esquema primario.
Sintaxis
securable_object
{ CATALOG [ catalog_name ] |
CONNECTION connection_name |
CLEAN ROOM clean_room_name |
EXTERNAL LOCATION location_name |
FUNCTION function_name |
METASTORE |
SCHEMA schema_name |
SHARE share_name |
[ STORAGE | SERVICE ] CREDENTIAL credential_name |
[ TABLE ] table_name |
MATERIALIZED VIEW view_name |
VIEW view_name |
VOLUME volume_name
}
También puede especificar SERVER en lugar de CONNECTION y DATABASE en lugar de SCHEMA.
Parámetros
CATALOGcatalog_nameControla el acceso a todo el catálogo de datos.
CLEAN ROOMclean_room_nameControla el acceso a una sala limpia.
CONNECTIONconnection_nameControla el acceso a la conexión.
EXTERNAL LOCATIONlocation_nameControla el acceso a una ubicación externa.
FUNCTIONfunction_nameControla el acceso a una función definida por el usuario o a un modelo registrado de MLflow.
MATERIALIZED VIEWview_nameControla el acceso a una vista materializada.
METASTOREControla el acceso al metastore de Unity Catalog asociado al área de trabajo. Al administrar los privilegios en un metastore, no se incluye el nombre del metastore en un comando SQL. El catálogo de Unity concederá o revocará el privilegio en la tienda de metadatos asociada al área de trabajo.
SCHEMAschema_nameControla el acceso a un esquema.
[ STORAGE | SERVICE ] CREDENTIALcredential_nameControla el acceso a una credencial.
Las palabras clave
STORAGEySERVICE( Databricks Runtime 15.4 y versiones posteriores) son opcionales.SHAREshare_nameControla el acceso en un recurso compartido de destinatario .
TABLEtable_nameControla el acceso a una tabla administrada o externa. Si no se encuentra la tabla, Azure Databricks genera un error TABLE_OR_VIEW_NOT_FOUND.
VIEWview_nameControla el acceso a una vista. Si no se encuentra la vista, Azure Databricks genera un error TABLE_OR_VIEW_NOT_FOUND.
VOLUMEvolume_nameControla el acceso a un volumen. Si el volumen no se puede encontrar, Azure Databricks genera un error.
Tipos de privilegio
Para obtener una lista de los tipos de privilegios, consulte Privilegios de Unity Catalog y objetos protegibles.
Ejemplos
-- Grant a privilege to the user alf@melmak.et
> GRANT SELECT ON TABLE t TO `alf@melmak.et`;
-- Revoke a privilege from the general public group.
> REVOKE USE SCHEMA ON SCHEMA some_schema FROM `alf@melmak.et`;