Partager via


Privilèges Unity Catalog et objets sécurisables

Cet article décrit les objets sécurisables de Unity Catalog et les privilèges qui s’y appliquent. Pour découvrir comment octroyer des privilèges dans Unity Catalog, consultez Afficher, octroyer et révoquer des privilèges.

Remarque

Cet article fait référence aux privilèges Unity Catalog et au modèle d’héritage dans Privilege Model version 1.0. Si vous avez créé votre metastore Unity Catalog pendant la phase de préversion publique (avant le 25 août 2022), il est possible que vous utilisiez un modèle de privilèges plus ancien qui ne prend pas en charge le modèle d’héritage actuel. Vous pouvez mettre à niveau la version 1.0 du modèle de privilèges pour bénéficier de l’héritage de privilèges. Consultez Mise à niveau avec l’héritage des privilèges.

Objets sécurisables dans Unity Catalog

Un objet sécurisable est un objet défini dans le metastore Unity Catalog sur lequel des privilèges peuvent être accordés à un principal (utilisateur, principal de service ou groupe). Les objets sécurisables dans Unity Catalog sont hiérarchiques.

Hiérarchie des objets Unity Catalog

Les objets sécurisables sont les suivants :

  • METASTORE : conteneur de niveau supérieur pour les métadonnées. Chaque metastore Unity Catalog expose un espace de noms à trois niveaux (catalog.schema.table) qui organise vos données.

    Lorsque vous gérez des privilèges sur un metastore, vous n’incluez pas le nom du metastore dans une commande SQL. Unity Catalog accorde ou révoque le privilège sur le metastore attaché à votre espace de travail. Par exemple, la commande suivante accorde à un groupe nommé ingénierie la possibilité de créer un catalogue dans le metastore attaché à l’espace de travail :

    GRANT CREATE CATALOG ON METASTORE TO engineering
    
  • CATALOGUE : première couche de la hiérarchie d’objets, utilisée pour organiser vos ressources de données. Un catalogue étranger est un type de catalogue spécial qui reflète une base de données dans un système de données externe dans un scénario Lakehouse Federation.

  • SCHÉMA : également appelés bases de données, les schémas sont la deuxième couche de la hiérarchie d’objets et contiennent des tables et des vues.

  • TABLE : niveau le plus bas dans la hiérarchie d’objets, les tables peuvent être externes (stockées dans des emplacements externes dans le stockage cloud de votre choix) ou managées (stockées dans un conteneur de stockage dans votre stockage cloud que vous créez expressément pour Azure Databricks).

  • VUE : objet en lecture seule créé à partir d’une requête sur une ou plusieurs tables contenues dans un schéma.

  • Vue matérialisée: objet créé à partir d’une requête sur une ou plusieurs tables contenues dans un schéma. Ses résultats reflètent l’état des données lors de la dernière actualisation.

  • VOLUME : Niveau le plus bas dans la hiérarchie d’objets, les volumes peuvent être externes (stockés dans des emplacements externes dans le stockage cloud de votre choix) ou managés (stockés dans un conteneur de stockage dans votre stockage cloud que vous créez expressément pour Azure Databricks).

  • FONCTION : une fonction définie par l’utilisateur ou un Modèle inscrit MLflow contenu dans un schéma.

  • Modèle : un modèle inscrit MLflow est un type spécifique de fonction. Les modèles sont répertoriés séparément d’autres fonctions dans l’Explorateur de catalogues, mais lorsque vous accordez un privilège sur un modèle à l’aide de SQL, vous utilisez GRANT ON FUNCTION.

  • EMPLACEMENT EXTERNE : objet qui contient une référence à des informations d’identification de stockage et un chemin de stockage cloud contenu dans un metastore Unity Catalog.

  • INFORMATIONS D’IDENTIFICATION DU SERVICE : objet qui encapsule des informations d’identification cloud à long terme qui fournit l’accès à un service externe. Contenu dans un metastore de catalogue Unity.

  • INFORMATIONS D’IDENTIFICATION DE STOCKAGE : objet qui encapsule des informations d’identification cloud à long terme qui fournit l’accès au stockage cloud contenu dans un metastore Unity Catalog.

  • CONNEXION : Objet qui spécifie un chemin et des informations d’identification pour accéder à un système de base de données externe dans un scénario Lakehouse Federation.

  • PARTAGE : un partage définit un regroupement logique pour les tables que vous souhaitez partager en utilisant Delta Sharing. Un partage est contenu dans un metastore Unity Catalog.

  • DESTINATAIRE : objet qui identifie une organisation ou un groupe d'utilisateurs avec lesquels des données peuvent être partagées à l'aide de Delta Sharing. Ces objets sont contenus dans un metastore Unity Catalog.

  • FOURNISSEUR : objet qui représente une organisation ayant rendu les données disponibles pour le partage à l’aide de Delta Sharing. Ces objets sont contenus dans un metastore Unity Catalog.

  • SALLE BLANCHE : objet qui représente un environnement sécurisé et protégé par la confidentialité, géré par Databricks, où plusieurs parties peuvent collaborer sans accéder directement aux données des autres.

Types de privilèges par objet sécurisable dans Unity Catalog

Le tableau suivant répertorie les types de privilèges qui s’appliquent à chaque objet sécurisable dans Unity Catalog. Pour découvrir comment octroyer des privilèges dans Unity Catalog, consultez Afficher, octroyer et révoquer des privilèges.

Élément sécurisable Privilèges
Metastore CREATE CATALOG, , CREATE CLEAN ROOMCREATE CONNECTIONCREATE EXTERNAL LOCATIONCREATE PROVIDER, CREATE RECIPIENT, CREATE SHARECREATE STORAGE CREDENTIALUSE RECIPIENTCREATE SERVICE CREDENTIALSET SHARE PERMISSIONUSE MARKETPLACE ASSETSUSE PROVIDER, ,USE SHARE
Catalogue ALL PRIVILEGES, , APPLY TAGBROWSE, , CREATE SCHEMAUSE CATALOG

Tous les utilisateurs ont USE CATALOG sur le catalogue main par défaut.

Les types de privilèges suivants s’appliquent aux objets sécurisables dans un catalogue. Vous pouvez accorder ces privilèges au niveau du catalogue pour les appliquer à des objets actuels et futurs dans le catalogue.

CREATE FUNCTION, , CREATE TABLE, CREATE MODELCREATE MATERIALIZED VIEW, CREATE VOLUME, EXTERNAL USE SCHEMA, READ VOLUMEREFRESHWRITE VOLUMEEXECUTEMODIFYSELECTUSE SCHEMA
schéma ALL PRIVILEGES, APPLY TAG, , CREATE TABLECREATE FUNCTION, CREATE MODEL, CREATE VOLUME, CREATE MATERIALIZED VIEW, EXTERNAL USE SCHEMA,USE SCHEMA

Les types de privilèges suivants s’appliquent aux objets sécurisables au sein d’un schéma. Vous pouvez accorder ces privilèges au niveau du schéma pour les appliquer aux objets actuels et futurs dans le schéma.

EXECUTE, , MODIFY, REFRESHREAD VOLUME, , SELECTWRITE VOLUME
Table ALL PRIVILEGES, , APPLY TAGMODIFY, ,SELECT
Vue matérialisée ALL PRIVILEGES, , APPLY TAGREFRESH, ,SELECT
Affichage ALL PRIVILEGES, , APPLY TAGSELECT
Volume ALL PRIVILEGES, , READ VOLUMEWRITE VOLUME
Emplacement externe ALL PRIVILEGES, BROWSE, , CREATE EXTERNAL VOLUMECREATE EXTERNAL TABLE, READ FILES, , WRITE FILES,CREATE MANAGED STORAGE
Informations d’identification du service ALL PRIVILEGES, ACCESS, CREATE CONNECTION.
Informations d’identification de stockage ALL PRIVILEGES, , CREATE EXTERNAL LOCATIONCREATE EXTERNAL TABLE, , READ FILESWRITE FILES
Connexion ALL PRIVILEGES, , CREATE FOREIGN CATALOGUSE CONNECTION
Fonction ALL PRIVILEGES, APPLY TAG (modèles uniquement), EXECUTE
Modèle Les modèles inscrits sont un type de fonction.
Partager SELECT (peut être octroyé à RECIPIENT)
Recipient None
Fournisseur Aucune
Salle blanche ALL PRIVILEGES, , BROWSEEXECUTE CLEAN ROOM TASK, ,MODIFY CLEAN ROOM

Types de privilèges généraux Unity Catalog

Cette section fournit des détails sur les types de privilèges qui s’appliquent en général à Unity Catalog. Pour découvrir comment octroyer des privilèges dans Unity Catalog, consultez Afficher, octroyer et révoquer des privilèges.

TOUS LES PRIVILÈGES

Types d’objets applicables : CATALOG, EXTERNAL LOCATION, STORAGE CREDENTIAL, SCHEMA, FUNCTION (y compris les modèles) TABLE, MATERIALIZED VIEW, VIEW,VOLUME

Permet d’accorder ou de révoquer tous les privilèges applicables à l’objet sécurisable et à ses objets enfants sans les spécifier explicitement.

Quand le privilège ALL PRIVILEGES est octroyé sur un objet, il n’accorde pas à l’utilisateur chaque privilège applicable de manière individuelle au moment de l’octroi. En fait, il s’étend à tous les privilèges disponibles au moment où les vérifications des autorisations sont effectuées. Cela signifie que, à mesure que Databricks libère de nouveaux privilèges et de nouveaux objets sécurisables, une allocation de ALL PRIVILEGES existante inclut automatiquement les nouveaux privilèges applicables à l’objet sécurisable, ses objets enfants existants et tous les nouveaux objets enfants.

Lorsque ALL PRIVILEGES est révoqué, le privilège ALL PRIVILEGES est révoqué, ainsi que tous les privilèges explicites accordés à l’utilisateur sur l’objet.

Pour éviter l’exfiltration accidentelle des données, ALL PRIVILEGES n’inclut pas le privilège EXTERNAL USE SCHEMA.

Remarque

Ce privilège est puissant lorsqu’il est appliqué à des niveaux supérieurs dans la hiérarchie. Par exemple, ACCORDER TOUS LES PRIVILÈGES SUR LE CATALOGUE principal À analysts accorde à l’équipe d’analyste tous les privilèges existants et futurs sur chaque objet sécurisable existant et futur dans le catalogue.

ACCESS

Types d’objets applicables : SERVICE CREDENTIAL

Permet à un utilisateur d’utiliser des informations d’identification de service pour accéder à un service ou à des services externes.

APPLY TAG

Types d’objets applicables : CATALOG, SCHEMA, TABLE, VOLUME, MATERIALIZED VIEW, VIEW, modèles inscrits en tant que FUNCTION

Permet à un utilisateur d’ajouter et de modifier des étiquettes sur un objet. L’octroi d’APPLY TAG à une table ou à une vue active également l’étiquetage des colonnes. L’octroi APPLY TAG à un modèle inscrit active également le balisage de version du modèle.

L’utilisateur doit également disposer des privilèges USE CATALOG et USE SCHEMA respectivement sur son catalogue parent et sur son schéma parent.

BROWSE

Types d'objet applicables : CATALOG, EXTERNAL LOCATION, CLEAN ROOM

Important

Cette fonctionnalité est disponible en préversion publique.

Permet à un utilisateur de voir les métadonnées d’un objet en utilisant Catalog Explorer, le navigateur de schémas, les résultats de recherche, le graphique de traçabilité, information_schema et l’API REST.

L’utilisateur n’a pas besoin du privilège USE CATALOG sur le catalogue parent ni du privilège USE SCHEMA sur le schéma parent.

Tous les utilisateurs bénéficient du privilège BROWSE par défaut sur les nouveaux catalogues créés à l’aide de l’Explorateur de catalogues. Vous pouvez révoquer le privilège si vous préférez. Les catalogues créés à l’aide d’instructions SQL, de l’API REST ou de l’interface CLI Databricks n’accordent pas le privilège BROWSE par défaut. Vous devez l’accorder de manière explicite.

CREATE CATALOG

Types d’objets applicables : metastore du catalogue Unity,

Permet à un utilisateur de créer un catalogue dans un metastore du catalogue Unity. Pour créer un catalogue étranger, vous devez également disposer du privilège CRÉER UN CATALOGUE ÉTRANGER sur la connexion qui contient le catalogue étranger ou sur le metastore.

CRÉER UNE SALLE BLANCHE

Types d’objets applicables : metastore du catalogue Unity,

Permet à un utilisateur de créer une salle blanche pour collaborer en toute sécurité sur des projets avec d’autres organisations sans partager de données sous-jacentes.

CRÉER UNE CONNEXION

Types d’objets applicables : metastore du catalogue Unity, SERVICE CREDENTIAL

Permet à l’utilisateur de créer une connexion à une base de données externe dans un scénario Lakehouse Federation. Pour utiliser des informations d’identification de service pour créer une connexion, l’utilisateur doit disposer de ce privilège sur le metastore et les informations d’identification du service.

CREATE EXTERNAL LOCATION

Types d’objets applicables : metastore du catalogue Unity, STORAGE CREDENTIAL

Pour créer un emplacement externe, l’utilisateur doit disposer de ce privilège sur le metastore et les informations d’identification de stockage référencées dans l’emplacement externe.

CREATE EXTERNAL TABLE

Types d’objets applicables : EXTERNAL LOCATION, STORAGE CREDENTIAL

Permet à un utilisateur de créer des tables externes directement dans votre locataire cloud à l’aide d’informations d’identification de stockage ou d’emplacement externe. Databricks recommande d’octroyer ce privilège pour un emplacement externe plutôt que des informations d’identification de stockage (étant donné que le privilège est limité à un chemin d’accès, il permet davantage de contrôle sur l’emplacement où les utilisateurs peuvent créer des tables externes dans votre locataire cloud).

CRÉER UN VOLUME EXTERNE

Types d’objets applicables : EXTERNAL LOCATION

Permet à l’utilisateur de créer des volumes externes avec un emplacement externe.

CRÉER UN CATALOGUE ÉTRANGER

Types d’objets applicables : CONNECTION

Permet à l’utilisateur de créer des catalogues étrangers à l’aide d’une connexion à une base de données externe dans un scénario Lakehouse Federation.

CRÉER UNE FONCTION

Types d’objets applicables : SCHEMA

Permet à un utilisateur de créer une fonction dans le schéma. Étant donné que les privilèges sont hérités, CREATE FUNCTION peut également être accordé sur un catalogue, ce qui permet à un utilisateur de créer une fonction dans n’importe quel schéma existant ou futur dans le catalogue.

L’utilisateur doit également disposer des privilèges USE CATALOG et USE SCHEMA respectivement sur son catalogue parent et sur son schéma parent.

CRÉER UN MODÈLE

Types d’objets applicables : SCHEMA

Permet à un utilisateur de créer un modèle inscrit MLflow (qui est un type de FONCTION) dans le schéma. Étant donné que les privilèges sont hérités, CREATE MODEL peut également être octroyé sur un catalogue. Cela permet à un utilisateur de créer un modèle inscrit dans n’importe quel schéma existant ou futur dans le catalogue.

L’utilisateur doit également disposer du privilège USE CATALOG sur son catalogue parent et USE SCHEMA sur son schéma parent.

CRÉER UN STOCKAGE MANAGÉ

Types d’objets applicables : EXTERNAL LOCATION

Permet à un utilisateur de spécifier un emplacement pour stocker des tables managées au niveau du catalogue ou du schéma, en remplaçant le stockage racine par défaut pour le metastore.

CREATE SCHEMA

Types d’objets applicables : CATALOG

Permet à un utilisateur de créer un schéma. L’utilisateur doit également disposer du privilège USE CATALOG sur le catalogue.

CRÉER DES INFORMATIONS D’IDENTIFICATION DE SERVICE

Types d’objets applicables : metastore du catalogue Unity,

Permet à un utilisateur de créer des informations d’identification de service dans un metastore du catalogue Unity.

CRÉER DES INFORMATIONS D’IDENTIFICATION DE STOCKAGE

Types d’objets applicables : metastore du catalogue Unity,

Permet à un utilisateur de créer des informations d’identification de stockage dans un metastore de Unity Catalog.

Ne peut pas être accordé à un principal de service Microsoft Entra ID ou à un principal de service Azure Databricks natif.

CREATE TABLE

Types d’objets applicables : SCHEMA

Permet à un utilisateur de créer une table ou de l’afficher dans le schéma. Étant donné que les privilèges sont hérités, CREATE TABLE peut également être accordé sur un catalogue, ce qui permet à un utilisateur de créer une table ou de l’afficher dans n’importe quel schéma existant ou futur dans le catalogue.

L’utilisateur doit également disposer du privilège USE CATALOG sur son catalogue parent et le privilège USE SCHEMA sur son schéma parent.

CRÉER UNE VUE DÉMATÉRIALISÉE

Types d’objets applicables : SCHEMA

Permet à un utilisateur de créer une vue matérialisée dans le schéma. Étant donné que les privilèges sont hérités, CREATE MATERIALIZED VIEW peut également être accordé sur un catalogue, ce qui permet à un utilisateur de créer une table ou de l’afficher dans n’importe quel schéma existant ou futur dans le catalogue.

L’utilisateur doit également disposer du privilège USE CATALOG sur son catalogue parent et le privilège USE SCHEMA sur son schéma parent.

CREATE VOLUME

Types d’objets applicables : SCHEMA

Permet à l’utilisateur de créer un volume dans le schéma. Étant donné que les privilèges sont hérités, CREATE VOLUME peut également être accordé sur un catalogue, ce qui permet à l’utilisateur de créer un volume dans n’importe quel schéma existant ou futur dans le catalogue.

L’utilisateur doit également disposer du privilège USE CATALOG sur le catalogue parent du volume et le privilège USE SCHEMA sur son schéma parent.

Exécutez

Types d’objets applicables : FUNCTION, Modèle

Permet à un utilisateur d’appeler une fonction définie par l’utilisateur ou de charger un modèle pour l’inférence s’il dispose également de USE CATALOG sur son catalogue parent et de USE SCHEMA sur son schéma parent. Pour les fonctions, EXECUTE permet d’afficher la définition et les métadonnées de la fonction. Pour les modèles inscrits, EXECUTE permet d’afficher les métadonnées pour toutes les versions du modèle inscrit et de télécharger des fichiers de modèle.

Étant donné que les privilèges sont hérités, vous pouvez accorder à un utilisateur le privilège EXECUTE sur un catalogue ou un schéma, ce qui accorde automatiquement à l’utilisateur le privilège EXECUTE sur toutes les fonctions actuelles et futures dans le catalogue ou le schéma.

EXÉCUTER UNE TÂCHE DE SALLE BLANCHE

Types d’objets applicables : CLEAN ROOM

Permet à un utilisateur d’exécuter des tâches (notebooks) dans une salle blanche. Permet également à l’utilisateur d’afficher les détails de la salle blanche.

SCHÉMA D’UTILISATION EXTERNE

Types d’objets applicables : SCHEMA

Permet à un utilisateur d’obtenir des informations d’identification temporaires pour accéder aux tables du catalogue Unity à partir d’un moteur de traitement externe à l’aide des API ouvertes du catalogue Unity ou des API REST Iceberg.

Seul le propriétaire du catalogue peut accorder ce privilège.

Pour éviter l’exfiltration accidentelle des données, ALL PRIVILEGES n’inclut pas le privilège EXTERNAL USE SCHEMA et les propriétaires de schéma n’ont pas ce privilège par défaut.

Consultez Contrôler l’accès externe aux données dans le catalogue Unity.

GÉRER LA LISTE D’AUTORISATION

Types d’objets applicables : metastore du catalogue Unity,

Permet à un utilisateur d’ajouter ou de modifier des chemins d’accès pour les scripts init, les coordonnées JARs et Maven dans la liste d’autorisation qui régit les clusters à mode d’accès partagé compatibles avec le catalogue Unity. Consultez Bibliothèques de listes d’autorisation et scripts d’initialisation sur le calcul partagé.

MODIFY

Types d’objets applicables : TABLE

Permet à un utilisateur d’ajouter, de mettre à jour et de supprimer des données vers ou à partir de la table si l’utilisateur a également SELECT sur la table et également USE CATALOG sur son catalogue parent et USE SCHEMA sur son schéma parent.

Étant donné que les privilèges sont hérités, vous pouvez accorder à un utilisateur le privilège MODIFY sur un catalogue ou un schéma, ce qui accorde automatiquement à l’utilisateur le privilège MODIFY sur toutes les tables actuelles et futures dans le catalogue ou le schéma.

MODIFIER UNE SALLE BLANCHE

Types d’objets applicables : CLEAN ROOM

Permet à un utilisateur de mettre à jour une salle blanche, notamment d’ajouter et de supprimer des ressources de données, d’ajouter et de supprimer des blocs-notes et de mettre à jour des commentaires. Permet également à l’utilisateur d’afficher les détails de la salle blanche.

READ FILES

Types d’objets applicables : VOLUME, EXTERNAL LOCATION

Permet à un utilisateur de lire des fichiers directement à partir de votre stockage d’objets cloud. Databricks recommande d’accorder ce privilège sur des volumes et sur des emplacements externes pour des cas d’usage limités. Pour obtenir d’autres conseils, consultez Gérer les emplacements externes, les tables externes et les volumes externes.

LIRE UN VOLUME

Types d’objets applicables : VOLUME

Permet à l’utilisateur de lire des fichiers et des répertoires stockés dans un volume s’il a le privilège USE CATALOG sur son catalogue parent et USE SCHEMA sur son schéma parent.

Les privilèges sont hérités. Quand vous pouvez accorder à l’utilisateur le privilège READ VOLUME sur un catalogue ou un schéma, vous lui accordez automatiquement le privilège READ VOLUME sur tous les volumes actuels et futurs dans le catalogue ou le schéma.

REFRESH

Types d’objets applicables : MATERIALIZED VIEW

Permet à un utilisateur d’actualiser une vue matérialisée si l’utilisateur a également USE CATALOG sur son catalogue parent et USE SCHEMA sur son schéma parent.

Les privilèges sont hérités. Quand vous pouvez accorder le privilège REFRESH sur un catalogue ou un schéma pour un utilisateur, vous lui accordez automatiquement le privilège REFRESH sur toutes les vues matérialisées et futures dans le catalogue ou le schéma.

SELECT

Types d’objet applicables : TABLE, VIEW, MATERIALIZED VIEW, SHARE

S’il est appliqué à une table ou à une vue, permet à un utilisateur de sélectionner dans la table ou la vue, si l’utilisateur a également USE CATALOG sur son catalogue parent et USE SCHEMA sur son schéma parent. S’il est appliqué à un partage, permet à un destinataire de sélectionner dans le partage.

Étant donné que les privilèges sont hérités, vous pouvez accorder à un utilisateur le privilège SELECT sur un catalogue ou un schéma, ce qui accorde automatiquement à l’utilisateur le privilège SELECT sur toutes les tables actuelles et futures, et les vues dans le catalogue ou le schéma.

USE CATALOG

Types d’objets applicables : CATALOG

Ce privilège n’octroie pas l’accès au catalogue lui-même, mais est nécessaire pour qu’un utilisateur interagisse avec n’importe quel objet au sein du catalogue. Par exemple, pour sélectionner des données dans une table, les utilisateurs doivent disposer du privilège SELECT sur cette table et des privilèges USE CATALOG sur son catalogue parent, ainsi que des privilèges USE SCHEMA sur son schéma parent.

Cela est utile pour permettre aux propriétaires de catalogue de limiter la portée selon laquelle les propriétaires de schémas et de tables individuels peuvent partager les données qu’ils produisent. Par exemple, un propriétaire de table accordant SELECT à un autre utilisateur n’autorise pas l’accès en lecture à la table, sauf s’il a également reçu des privilèges USE CATALOG sur son catalogue parent ainsi que des privilèges USE SCHEMA sur son schéma parent.

Le privilège USE CATALOG sur le catalogue parent n’est pas nécessaire pour lire les métadonnées d’un objet si l’utilisateur dispose du privilège BROWSE sur ce catalogue.

UTILISER UNE CONNEXION

Types d’objets applicables : CONNECTION

Permet à l’utilisateur de lister et d’afficher les détails sur les connexions à une base de données externe dans un scénario Lakehouse Federation. Pour créer des catalogues étrangers pour une connexion, vous devez avoir CREATE FOREIGN CATALOG sur la connexion ou la propriété de la connexion.

USE SCHEMA

Types d’objets applicables : SCHEMA

Ce privilège n’octroie pas l’accès au schéma lui-même, mais est nécessaire pour qu’un utilisateur interagisse avec n’importe quel objet au sein du schéma. Par exemple, pour sélectionner des données dans une table, les utilisateurs doivent disposer du privilège SELECT sur cette table et des privilèges USE SCHEMA sur son schéma parent, ainsi que des privilèges USE CATALOG sur son catalogue parent.

Étant donné que les privilèges sont hérités, vous pouvez accorder à un utilisateur le privilège USE SCHEMA sur un catalogue, ce qui accorde automatiquement à l’utilisateur le privilège USE SCHEMA sur toutes les schémas actuels et futurs dans le catalogue.

Le privilège USE SCHEMA sur le schéma parent n’est pas nécessaire pour lire les métadonnées d’un objet si l’utilisateur dispose du privilège BROWSE sur ce schéma ou sur son catalogue parent.

WRITE FILES

Types d’objet applicables : VOLUME, EXTERNAL LOCATION

Permet à un utilisateur d’écrire des fichiers directement dans votre stockage d’objets cloud. Databricks recommande d’accorder ce privilège sur les volumes. Accordez ce privilège avec parcimonie sur les emplacements externes. Pour obtenir d’autres conseils, consultez Gérer les emplacements externes, les tables externes et les volumes externes.

ÉCRIRE UN VOLUME

Types d’objets applicables : VOLUME

Permet à l’utilisateur d’ajouter, de supprimer ou de modifier des fichiers et des répertoires stockés dans un volume s’il a le privilège USE CATALOG sur son catalogue parent et USE SCHEMA sur son schéma parent.

Les privilèges sont hérités. Quand vous pouvez accorder à l’utilisateur le privilège WRITE VOLUME sur un catalogue ou un schéma, vous lui accordez automatiquement le privilège WRITE VOLUME sur tous les volumes actuels et futurs dans le catalogue ou le schéma.

Types de privilèges s’appliquant uniquement au partage Delta ou à la Place de marché Databricks

Cette section fournit des détails sur les types de privilèges qui s’appliquent uniquement à Delta Sharing.

CREATE PROVIDER

Types d’objets applicables : metastore du catalogue Unity,

Permet à un utilisateur de créer un objet de fournisseur Delta Sharing dans le metastore. Un fournisseur identifie une organisation ou un groupe d’utilisateurs avec lesquels des données peuvent être partagées à l’aide de Delta Sharing. La création du fournisseur est effectuée par un utilisateur dans le compte Databricks du destinataire. Consultez Présentation de Delta Sharing.

CRÉER UN DESTINATAIRE

Types d’objets applicables : metastore du catalogue Unity,

Permet à un utilisateur de créer un objet de destinataire Delta Sharing dans le metastore. Un destinataire identifie une organisation ou un groupe d'utilisateurs avec lesquels des données peuvent être partagées à l'aide de Delta Sharing. La création du destinataire est effectuée par un utilisateur dans le compte Databricks du fournisseur. Consultez Présentation de Delta Sharing.

CREATE SHARE

Types d’objets applicables : metastore du catalogue Unity,

Permet à un utilisateur de créer un partage dans le metastore. Un partage définit un regroupement logique pour les tables que vous souhaitez partager en utilisant Delta Sharing

DÉFINIR L’AUTORISATION DE PARTAGE

Types d’objets applicables : metastore du catalogue Unity,

Dans Delta Sharing, ce privilège, combiné à USE SHARE et USE RECIPIENT (ou la propriété du destinataire), donne à l’utilisateur fournisseur la possibilité d’accorder à un destinataire l’accès à un partage. Combinée à USE SHARE, elle donne la possibilité de transférer la propriété d’un partage à un autre utilisateur, groupe ou principal de service.

UTILISER LES RESSOURCES DE LA PLACE DE MARCHÉ

Types d’objets applicables : metastore du catalogue Unity,

Activé par défaut pour tous les metastores Unity Catalog. Dans la Place de marché Databricks, ce privilège permet à l’utilisateur d’obtenir un accès instantané ou de demander l’accès aux produits de données partagés dans un référencement de la Place de marché. Permet également à un utilisateur d’accéder au catalogue en lecture seule créé lorsqu’un fournisseur partage un produit de données. Sans ce privilège, l’utilisateur aurait besoin des privilèges CREATE CATALOG et USE PROVIDER ou du rôle d’administrateur de metastore. Cela vous permet de limiter le nombre d’utilisateurs dotés de ces autorisations puissantes.

UTILISER LE FOURNISSEUR

Types d’objets applicables : metastore du catalogue Unity,

Dans Delta Sharing, elle donne un accès utilisateur destinataire en lecture seule à tous les fournisseurs dans un metastore destinataire et à leurs partages. Combiné au privilège CREATE CATALOG, ce privilège permet à un utilisateur destinataire, qui n’est pas un administrateur de metastore, de monter un partage en tant que catalogue. Cela vous permet de limiter le nombre d’utilisateurs disposant du rôle d’administrateur puissant dans le metastore.

UTILISER LE DESTINATAIRE

Types d’objets applicables : metastore du catalogue Unity,

Dans Delta Sharing, elle donne un accès utilisateur fournisseur en lecture seule à tous les destinataires d’un metastore fournisseur et à leurs partages. Cela permet à un utilisateur fournisseur qui n’est pas administrateur de metastore d’afficher les détails du destinataire, l’état d’authentification du destinataire et la liste des partages que le fournisseur a partagés avec le destinataire.

Dans la Place de marché Databricks, les utilisateurs fournisseurs ont la possibilité d’afficher les annonces et les requêtes des consommateurs dans la console fournisseur.

UTILISER PARTAGE

Types d’objets applicables : metastore du catalogue Unity,

Dans Delta Sharing, elle donne un accès utilisateur fournisseur en lecture seule à tous les partages définis dans un metastore fournisseur. Cela permet à un utilisateur fournisseur qui n’est pas administrateur de metastore de répertorier les partages et les ressources (tables et notebooks) dans un partage, ainsi que les destinataires du partage.

Dans la Place de marché Databricks, les utilisateurs fournisseurs peuvent afficher des détails sur les données partagées dans une annonce.