Privilegi di amministratore nel catalogo unity

Questo articolo descrive i privilegi che gli amministratori, gli amministratori dell'area di lavoro e i metastore di Azure Databricks hanno per la gestione di Unity Catalog.

Nota

Se l'area di lavoro è stata abilitata automaticamente per Unity Catalog, gli amministratori dell'area di lavoro dispongono dei privilegi predefiniti per il metastore collegato e il catalogo dell'area di lavoro, se è stato effettuato il provisioning di un catalogo di aree di lavoro. Vedere privilegi di amministratore dell'area di lavoro quando le aree di lavoro sono abilitate automaticamente per Unity Catalog.

Amministratori metastore

L'amministratore del metastore è un utente o un gruppo con privilegi elevati facoltativi in Unity Catalog. Per impostazione predefinita, gli amministratori del metastore hanno i privilegi seguenti per il metastore:

• CREATE CATALOG: consente a un utente di creare cataloghi nel metastore.

• CREATE CLEAN ROOM: consente a un utente di creare una stanza pulita per collaborare in modo sicuro ai progetti con altre organizzazioni senza condividere i dati sottostanti.

• CREATE CONNECTION: Consente a un utente di creare una connessione a un database esterno in uno scenario Lakehouse Federation.

• CREATE EXTERNAL LOCATION: consente a un utente di creare una posizione esterna.

• CREATE SERVICE CREDENTIAL: consente a un utente di creare credenziali del servizio.

• CREATE STORAGE CREDENTIAL: consente a un utente di creare credenziali di archiviazione.

• CREATE FOREIGN CATALOG: consente a un utente di creare cataloghi esterni usando una connessione a un database esterno in uno scenario di federazione lakehouse.

• CREATE SHARE: consente a un utente provider di dati di creare una condivisione nella condivisione Delta.

• CREATE RECIPIENT: consente a un utente provider di dati di creare un destinatario nella condivisione Delta.

• CREATE PROVIDER: consente a un utente destinatario di dati di creare un provider nella condivisione Delta.

• CREATE MATERIALIZED VIEW: consente a un utente di creare viste materializzate.

• MANAGE ALLOWLIST: consente a un utente di aggiornare gli elenchi consentiti che gestiscono l'accesso del cluster a script di inizializzazione e librerie.

Gli amministratori metastore sono anche i proprietari del metastore, che concede loro i privilegi seguenti:

• Gestire i privilegi o trasferire la proprietà di qualsiasi oggetto all'interno del metastore, incluse le credenziali di archiviazione, le posizioni esterne, le connessioni, le condivisioni, i destinatari e i provider.

• Concedere a se stessi l'accesso in lettura e scrittura a tutti i dati nel metastore.

  Gli amministratori metastore hanno questa capacità indirettamente, grazie alla possibilità di trasferire la proprietà di tutti gli oggetti. Per impostazione predefinita, non è disponibile alcun accesso diretto. La concessione di autorizzazioni viene registrata dal controllo.

• Leggere e aggiornare i metadati di tutti gli oggetti nel metastore.

• Eliminare il metastore.

Gli amministratori metastore sono gli unici utenti che possono concedere privilegi al metastore stesso.

Poiché gli amministratori del metastore sono gli unici utenti che dispongono di questi privilegi, è necessario assegnare un amministratore del metastore se si vuole usare una delle funzionalità seguenti:

• Modificare la proprietà dei cataloghi dopo che un utente lascia l'azienda.
• Gestire e delegare le autorizzazioni sull'elenco di elementi consentiti di file jar e script init.
• Delegare la possibilità di creare cataloghi e altre autorizzazioni di primo livello agli amministratori non dell'area di lavoro.
• Ricevere dati condivisi tramite la condivisione delta.
• Rimuovere i permessi di amministratore predefiniti dell'area di lavoro .
• Aggiungere l'archiviazione gestita al metastore, se non è presente. Vedere Aggiungere l'archiviazione gestita a un metastore esistente.

Chi inizialmente ha privilegi di amministratore del metastore?

Se un amministratore dell'account crea manualmente il metastore, tale amministratore dell'account è il proprietario iniziale e l'amministratore del metastore. Tutti i metastore creati prima del 9 novembre 2023 sono stati creati manualmente da un amministratore dell'account.

Se la fornitura del metastore è stata effettuata come parte dell'abilitazione automatica del catalogo Unity, il metastore è stato creato senza un amministratore del metastore. Agli amministratori dell'area di lavoro viene automaticamente concesso loro privilegi che rendono l'amministratore del metastore non necessario. Se necessario, gli amministratori dell'account possono assegnare il ruolo di amministratore del metastore a un utente, un'entità servizio o un gruppo. I gruppi sono la scelta più consigliata. Vedere abilitazione automatica di Unity Catalog.

Assegnare un amministratore del metastore

Quello di amministratore del metastore è un ruolo privilegiato che deve essere distribuito con cautela. Questo passaggio è facoltativo.

Gli amministratori dell'account possono assegnare il ruolo di amministratore del metastore. Databricks consiglia di nominare un gruppo come amministratore del metastore. In questo modo, qualsiasi membro del gruppo è automaticamente un amministratore del metastore.

Per assegnare il ruolo di amministratore del metastore a un gruppo:

1. Come amministratore dell'account, accedere alla console dell'account.
2. Fare clic sull'icona catalogo.
3. Fare clic sul nome di un metastore per aprire le relative proprietà.
4. In Amministratore Metastore, fare clic su Modifica.
5. Selezionare un gruppo dall'elenco a discesa. È possibile immettere testo nel campo per cercare le opzioni.
6. Fare clic su Salva.

Importante

La modifica dell'assegnazione dell'amministratore del metastore può richiedere fino a 30 secondi, mentre potrebbe richiedere più tempo in alcune aree di lavoro rispetto ad altre. Questo ritardo è dovuto ai protocolli di memorizzazione nella cache.

Amministratori degli account

Quello di amministratore dell’account è un ruolo privilegiato che deve essere distribuito con cautela. Gli amministratori dell’account dispongono dei privilegi seguenti:

• Può creare metastore e per impostazione predefinita diventa l'amministratore del metastore iniziale.
• Può collegare metastore alle aree di lavoro.
• Può assegnare il ruolo di amministratore del metastore.
• Può concedere privilegi ai metastore.
• Può abilitare la condivisione differenziale per un metastore.
• Può configurare le credenziali di archiviazione.
• Può abilitare le tabelle di sistema e delegare l'accesso a tali tabelle.

Per stabilire il primo amministratore dell'account di Azure Databricks, consultare Stabilire il primo amministratore dell'account.

Amministratori dell'area di lavoro

Quello di amministratore dell’area di lavoro è un ruolo altamente privilegiato che deve essere distribuito con cautela. Gli amministratori dell'area di lavoro dispongono dei privilegi seguenti:

• Possono aggiungere utenti, entità servizio e gruppi a un'area di lavoro.
• Possono delegare altri amministratori dell'area di lavoro.
• Possono gestire la proprietà del processo. Consultare Controllare l'accesso ai processi.
• Possono gestire l'impostazione Esegui come. Vedere Configurare l'identità per le esecuzioni dei processi.
• Possono visualizzare e gestire notebook, dashboard, query e altri oggetti dell'area di lavoro. Consultare Elenchi di controllo di accesso.

Gli amministratori dell'account possono limitare i privilegi di amministratore dell'area di lavoro usando l'impostazione RestrictWorkspaceAdmins. Vedere Limitare gli amministratori dell'area di lavoro.

privilegi di amministratore dell'area di lavoro quando le aree di lavoro sono abilitate automaticamente per Unity Catalog

Se l'area di lavoro è stata abilitata automaticamente per Unity Catalog, l'area di lavoro viene collegata a un metastore per impostazione predefinita. Per altre informazioni, vedere abilitazione automatica di Unity Catalog.

Se l'area di lavoro è stata abilitata automaticamente per Unity Catalog, gli amministratori dell'area di lavoro hanno i privilegi seguenti per il metastore collegato per impostazione predefinita:

• CREATE CATALOG

• CREATE CLEAN ROOM

• CREATE EXTERNAL LOCATION

• CREATE SERVICE CREDENTIAL

• CREATE STORAGE CREDENTIAL

• CREATE CONNECTION

• CREATE SHARE

• CREATE RECIPIENT

• CREATE PROVIDER

• CREATE MATERIALIZED VIEW

Gli amministratori dell'area di lavoro sono i proprietari predefiniti del catalogo delle aree di lavoro, se è stato effettuato il provisioning di un catalogo di aree di lavoro per l'area di lavoro. La proprietà di questo catalogo concede i privilegi seguenti:

• Gestire i privilegi per o trasferire la proprietà di qualsiasi oggetto all'interno del catalogo dell'area di lavoro.

  Ciò include la possibilità di concedere a se stessi l'accesso in lettura e scrittura a tutti i dati nel catalogo (nessun accesso diretto per impostazione predefinita; la concessione delle autorizzazioni è registrata dal controllo).

• Trasferire la proprietà del catalogo stesso dell'area di lavoro.

Tutti gli utenti dell'area di lavoro ricevono il privilegio USE CATALOG nel catalogo dell'area di lavoro. Gli utenti dell'area di lavoro ricevono anche i privilegi di USE SCHEMA, CREATE TABLE, CREATE VOLUME, CREATE MODEL, CREATE FUNCTIONe CREATE MATERIALIZED VIEW nello schema default nel catalogo.

Nota

I privilegi predefiniti concessi nel metastore collegato e nel catalogo delle aree di lavoro non vengono mantenuti tra le aree di lavoro( se, ad esempio, il catalogo dell'area di lavoro è associato a un'altra area di lavoro).