Partager via

Mise à niveau vers l’héritage des privilèges

  • Article

Si vous avez créé votre metastore Unity Catalog pendant la préversion publique (avant le 25 août 2022), vous pouvez effectuer une mise à niveau vers Privilege Model version 1.0. pour tirer parti de l’héritage des privilèges. Les charges de travail existantes continueront de fonctionner en l’état tant que vous n’avez pas mis à niveau votre modèle de privilège. Databricks recommande la mise à niveau vers Privilege Model version 1.0 pour bénéficier des avantages de l’héritage des privilèges et de nouvelles fonctionnalités.

Différences dans Privilege Model version 1.0

Privilege Model v1.0 dans Unity Catalog présente les différences suivantes par rapport au modèle de privilège en préversion publique :

  • Héritage des privilèges : Dans Privilege Model v1.0, les privilèges sont hérités sur les objets sécurisables enfants. Cela signifie que l’obtention d’un privilège sur un catalogue accorde automatiquement le privilège à tous les objets actuels et futurs au sein du catalogue. De même, les privilèges accordés sur un schéma sont hérités par tous les objets actuels et futurs de ce schéma. Dans le modèle en préversion, les privilèges ne sont pas hérités sur les objets sécurisables enfants. Pour plus d’informations sur l’héritage des privilèges, consultez Modèle d’héritage.

  • ALL PRIVILEGES est évalué différemment : dans le modèle de privilège en préversion publique, ALL PRIVILEGES accorde au principal tous les privilèges disponibles au moment de l’octroi de privilèges. Dans Privilege Model v1.0, l’autorisation ALL PRIVILEGES s’étend à tous les privilèges disponibles au moment où une vérification d’autorisation est effectuée.

    Dans Privilege Model v1.0, quand ALL PRIVILEGES est révoqué, seul le privilège ALL PRIVILEGES lui-même est révoqué. Les utilisateurs conservent tous les autres privilèges qui leur ont été accordés de manière séparée.

  • CREATE TABLE est mis à jour vers CREATE EXTERNAL TABLE: L’autorisation CREATE TABLE ne s’applique plus aux emplacements externes ou aux informations d’identification de stockage, qui sont nécessaires pour créer des tables externes. Dans Privilege Model v1.0, vous accordez plutôt le privilège CREATE EXTERNAL TABLE sur les emplacements externes et les informations d’identification de stockage pour permettre à un utilisateur de créer des tables externes à l’aide de cet emplacement externe ou de ces informations d’identification de stockage.

  • CREATE est supprimé : l’autorisation CREATE est supprimée et remplacée par les privilèges plus spécifiques suivants : CREATE CATALOG, CREATE EXTERNAL LOCATION, CREATE FUNCTION, CREATE SCHEMA, CREATE TABLE et CREATE MANAGED STORAGE.

  • USAGE est supprimé : l’autorisation USAGE est supprimée et remplacée par les privilèges plus spécifiques suivants : USE CATALOG et USE SCHEMA.

Mise à niveau vers Privilege Model version 1.0

Avertissement

Vous ne pouvez pas annuler cette action.

  1. Mettez à niveau toutes les charges de travail qui font référence à Unity Catalog pour utiliser Databricks Runtime 11.3 LTS ou version ultérieure.

    Vous devez mettre à niveau tous les clusters pour utiliser Databricks Runtime 11.3 LTS ou version ultérieure, et vous devez redémarrer tous les entrepôts SQL en cours d’exécution. Si vous ignorez cette étape, les charges de travail sur les versions antérieures de Databricks Runtime sont rejetées une fois la mise à niveau terminée.

  2. En tant qu’administrateur de compte, connectez-vous à la console de compte.

  3. Cliquez sur Icône Catalogue Catalogue.

  4. Cliquez sur le nom du metastore.

  5. Sous Modèle de privilège, cliquez sur Mettre à niveau

  6. Cliquez sur Mettre à niveau

Si vous ne voyez pas l’option de mise à niveau, votre metastore Unity Catalog utilise déjà Privilege Model 1.0.

Mettre à niveau les commandes SQL (facultatif)

Databricks continuera à prendre en charge les subventions exprimées à l’aide de l’ancien modèle de privilège et les mapper automatiquement à l’attribution équivalente dans Privilege Model 1.0. Toutefois, les privilèges retournés via les données SHOW GRANTS ou information_schema continueront à référencer Privilege Model v1.0. Databricks recommande de mettre à niveau le code existant qui effectue des octrois pour référencer le modèle de privilège mis à jour.

  • Remplacez le privilège CREATE TABLE sur les emplacements externes ou les informations d’identification de stockage par le privilège CREATE EXTERNAL TABLE.
  • Remplacez l’autorisation CREATE par le privilège spécifique CREATE CATALOG, CREATE EXTERNAL LOCATION, CREATE FUNCTION, CREATE SCHEMA ou CREATE TABLE.
  • Remplacez l’autorisation USAGE par le privilège spécifique USE CATALOG ou USE SCHEMA.

Pour plus d’informations sur le modèle de privilège de Unity Catalog, consultez les privilèges de Unity Catalog et les objets sécurisables