Privilegi e oggetti proteggibili in Unity Catalog
Si applica a:
Databricks SQL Databricks Runtime Unity Catalog
Un privilegio è un diritto concesso a un'entità per operare su un oggetto a protezione diretta nel metastore. I modelli di privilegio e gli oggetti di sicurezza variano a seconda che si utilizzi un metastore Unity Catalog o il metastore Hive legacy. Questo articolo descrive il modello di privilegio per Unity Catalog. Se si usa il metastore Hive, vedere Privilegi e oggetti a protezione diretta nel metastore Hive.
Per informazioni dettagliate su come gestire i privilegi in Unity Catalog, vedere Gestire i privilegi in Unity Catalog.
Nota
Questo articolo fa riferimento al modello di ereditarietà e privilegi di Unity Catalog nella versione 1.0 del modello di privilegio. Se hai creato il tuo metastore Unity Catalog durante l'anteprima pubblica (prima del 25 agosto 2022), potresti essere in un modello di privilegi precedente che non supporta l'attuale modello di ereditarietà corrente. È possibile eseguire l'aggiornamento alla versione 1.0 del Modello Privilegio per l'ereditarietà dei privilegi get. Si veda Eseguire l'aggiornamento all'ereditarietà dei privilegi.
Oggetti a protezione diretta
Un oggetto sicuro è un oggetto definito nel metastore Catalog di Unity sul quale è possibile concedere privilegi a un'entità . Per un list completo di Unity Catalog oggetti a protezione diretta e i privilegi che possono essere concessi, vedere Unity Catalog privilegi e oggetti a protezione diretta.
Per gestire i privilegi su qualsiasi oggetto, è necessario esserne il proprietario o avere il privilegio MANAGE sull'oggetto, oltre a USE CATALOG sul suo oggetto padre catalog e USE SCHEMA sull'oggetto padre relativo schema.
Sintassi
securable_object
{ CATALOG [ catalog_name ] |
CONNECTION connection_name |
CLEAN ROOM clean_room_name |
EXTERNAL LOCATION location_name |
FUNCTION function_name |
METASTORE |
SCHEMA schema_name |
SHARE share_name |
[ STORAGE | SERVICE ] CREDENTIAL credential_name |
[ TABLE ] table_name |
MATERIALIZED VIEW view_name |
VIEW view_name |
VOLUME volume_name
}
È anche possibile specificare SERVER anziché CONNECTION e DATABASE anziché SCHEMA.
Parameters
CATALOGcatalog_nameControlla l'accesso all'intero set di dati catalog.
CLEAN ROOMclean_room_nameControlla l'accesso a una stanza pulita.
CONNECTIONconnection_nameControlla l'accesso alla connessione.
EXTERNAL LOCATIONlocation_nameControlla l'accesso a una posizione esterna.
FUNCTIONfunction_nameControlla l'accesso a una funzione definita dall'utente o a un modello registrato MLflow.
MATERIALIZED VIEWview_nameControlla l'accesso a una vista materializzata.
METASTOREControlla l'accesso al metastore Unity Catalog collegato all'area di lavoro. Quando si gestiscono i privilegi in un metastore, non si include il nome del metastore in un comando SQL. Unity Cataloggrant o revoke il privilegio nel metastore collegato all'area di lavoro.
SCHEMAschema_nameControlla l'accesso a un schema.
[ STORAGE | SERVICE ] CREDENTIALcredential_nameControlla l'accesso a una credenziale.
Le parole chiave
STORAGEeSERVICE( Databricks Runtime 15.4 e versioni successive) sono facoltative.SHAREshare_nameControlla l'accesso a una condivisione a un destinatario.
TABLEtable_nameControlla l'accesso a un tablegestito o esterno. Se non è possibile trovare il table Azure Databricks genera un errore di TABLE_OR_VIEW_NOT_FOUND.
VIEWview_nameControlla l'accesso a una visualizzazione. Se non è possibile trovare la vista azure Databricks genera un errore di TABLE_OR_VIEW_NOT_FOUND .
VOLUMEvolume_nameControlla l'accesso a un volume. Se il volume non è stato trovato, Azure Databricks genera un errore.
Tipi di privilegi
Per una list dei tipi di privilegi, vedere i privilegi di Unity Catalog e gli oggetti a protezione diretta.
Esempi
-- Grant a privilege to the user alf@melmak.et
> GRANT SELECT ON TABLE t TO `alf@melmak.et`;
-- Revoke a privilege from the general public group.
> REVOKE USE SCHEMA ON SCHEMA some_schema FROM `alf@melmak.et`;