Privilegi e oggetti proteggibili in Unity Catalog
Si applica a:
Databricks SQL Databricks Runtime Unity Catalog
Un privilegio è un diritto concesso a un'entità per operare su un oggetto a protezione diretta nel metastore. Il modello dei privilegi e gli oggetti a protezione diretta variano a seconda che si usi un metastore di Unity Catalog o il metastore Hive legacy. Questo articolo descrive il modello di privilegio per il catalogo unity. Se si usa il metastore Hive, vedere Privilegi e oggetti a protezione diretta nel metastore Hive.
Per informazioni dettagliate su come gestire i privilegi nel catalogo unity, vedere Gestire i privilegi in Unity Catalog.
Nota
Questo articolo fa riferimento ai privilegi del catalogo Unity e al modello di ereditarietà nel modello di privilegio versione 1.0. Se hai creato il tuo metastore del catalogo Unity durante l'anteprima pubblica (prima del 25 agosto 2022), potresti utilizzare un modello di privilegi precedente che non supporta il modello di ereditarietà attuale. È possibile eseguire l'aggiornamento al modello di privilegio versione 1.0 per ottenere l'ereditarietà dei privilegi. Si veda Eseguire l'aggiornamento all'ereditarietà dei privilegi.
Oggetti a protezione diretta
Un oggetto proteggibile è un oggetto definito nel metastore del Catalogo di Unity su cui è possibile concedere privilegi a un principale . Per un elenco completo degli oggetti proteggibili di Unity Catalog e dei privilegi che possono essere concessi su di essi, vedere privilegi e oggetti proteggibili del Catalogo Unity.
Per gestire i privilegi per qualsiasi oggetto, è necessario essere il proprietario o avere il privilegio MANAGE per l'oggetto, nonché USE CATALOG nel catalogo padre dell'oggetto e USE SCHEMA nel relativo schema padre.
Sintassi
securable_object
{ CATALOG [ catalog_name ] |
CONNECTION connection_name |
CLEAN ROOM clean_room_name |
EXTERNAL LOCATION location_name |
FUNCTION function_name |
METASTORE |
SCHEMA schema_name |
SHARE share_name |
[ STORAGE | SERVICE ] CREDENTIAL credential_name |
[ TABLE ] table_name |
MATERIALIZED VIEW view_name |
VIEW view_name |
VOLUME volume_name
}
È anche possibile specificare SERVER anziché CONNECTION e DATABASE anziché SCHEMA.
Parametri
CATALOGcatalog_nameControlla l'accesso all'intero catalogo dati.
CLEAN ROOMclean_room_nameControlla l'accesso a una stanza pulita.
CONNECTIONconnection_nameControlla l'accesso alla connessione.
EXTERNAL LOCATIONlocation_nameControlla l'accesso a una posizione esterna.
FUNCTIONfunction_nameControlla l'accesso a una funzione definita dall'utente o a un modello registrato MLflow.
MATERIALIZED VIEWview_nameControlla l'accesso a una vista materializzata.
METASTOREControlla l'accesso al metastore di Unity Catalog collegato all'area di lavoro. Quando si gestiscono i privilegi in un metastore, non si include il nome del metastore in un comando SQL. Il Unity Catalog concederà o revocherà il privilegio sul metastore collegato all'area di lavoro.
SCHEMAschema_nameControlla l'accesso a uno schema.
[ STORAGE | SERVICE ] CREDENTIALcredential_nameControlla l'accesso a una credenziale.
Le parole chiave
STORAGEeSERVICE( Databricks Runtime 15.4 e versioni successive) sono facoltative.SHAREshare_nameControlla l'accesso a una condivisione a un destinatario.
TABLEtable_nameControlla l'accesso a una tabella gestita o esterna. Se la tabella non è stata trovata, Azure Databricks genera un errore di TABLE_OR_VIEW_NOT_FOUND.
VIEWview_nameControlla l'accesso a una visualizzazione. Se non è possibile trovare la vista azure Databricks genera un errore di TABLE_OR_VIEW_NOT_FOUND .
VOLUMEvolume_nameControlla l'accesso a un volume. Se il volume non è stato trovato, Azure Databricks genera un errore.
Tipi di privilegi
Per un elenco dei tipi di privilegi, vedere i privilegi del Catalogo Unity e gli oggetti proteggibili.
Esempi
-- Grant a privilege to the user alf@melmak.et
> GRANT SELECT ON TABLE t TO `alf@melmak.et`;
-- Revoke a privilege from the general public group.
> REVOKE USE SCHEMA ON SCHEMA some_schema FROM `alf@melmak.et`;