Unity Catalog 권한 및 보안 개체
이 문서에서는 Unity Catalog 보안 개체 및 해당 개체에 적용되는 권한에 대해 설명합니다. Unity
참고 항목
이 문서에서는 권한 모델 버전 1.0의 Unity Catalog 권한 및 상속 모델을 참조합니다. 공개 미리 보기(2022년 8월 25일 이전)에서 Unity Catalog 메타스토어를 만든 경우 현재 상속 모델을 지원하지 않는 이전 권한 모델에 있을 수 있습니다. 권한 상속 get을 위해 권한 모델의 버전 1.0으로 업그레이드할 수 있습니다. 권한 상속으로 업그레이드를 참조하세요.
Unity에서 보호 가능한 개체 Catalog
보안 개체는 보안 주체(사용자, 서비스 주체 또는 그룹)에게 권한을 부여할 수 있는 Unity Catalog 메타스토어에 정의된 개체입니다. Unity Catalog의 보안 가능한 객체는 계층적입니다.
보안 개체는 다음과 같습니다.
메타스토어: 메타데이터에 대한 최상위 수준 컨테이너입니다. 각 Unity Catalog 메타스토어는 데이터를 구성하는 3단계 네임스페이스(
catalog.schema.table)를 노출합니다.메타스토어에 대한 권한을 관리하는 경우 SQL 명령에 메타스토어 이름을 포함하지 않습니다. Unity Catalog 작업 영역에 연결된 메타스토어에 대한 권한을 부여하거나 취소합니다. 예를 들어, 다음 명령은 작업 영역에 연결된 메타스토어에서 를 생성할 수 있는 권한을 catalog 그룹에 부여합니다.
GRANT CREATE CATALOG ON METASTORE TO engineeringCATALOG: 데이터 자산을 구성하는 데 사용되는 개체 계층 구조의 첫 번째 계층입니다. 외래 catalog는 Lakehouse Federation 시나리오에서 외부 데이터 시스템의 데이터베이스를 미러링하는 특수한 catalog 유형입니다.
SCHEMA: 데이터베이스라고도 하는 스키마는 개체 계층 구조의 두 번째 계층이며 tables 및 views포함합니다.
TABLE: 개체 계층 구조에서 가장 낮은 수준으로, tables은 외부(선택한 클라우드 스토리지의 외부 위치에 저장됨), 또는 관리됨tables(Azure Databricks를 위해 명시적으로 생성한 클라우드 스토리지의 스토리지 컨테이너에 저장됨)일 수 있습니다.
VIEW은 tables내에 포함된 하나 이상의 schema에 대한 쿼리로부터 만들어진 읽기 전용 개체입니다.
MATERIALIZED VIEW: 하나 이상의 tables에 대한 쿼리로 생성되어 schema에 포함된 개체입니다. 결과는 마지막으로 새로 고쳐졌을 때의 데이터 상태를 반영합니다.
볼륨 : 개체 계층 구조에서 가장 낮은 수준인외부(선택한 클라우드 스토리지의 외부 위치에 저장됨) 또는 관리되는 (Azure Databricks용으로 명시적으로 만드는 클라우드 스토리지의 스토리지 컨테이너에 저장됨)을 수 있습니다. 함수: 사용자 정의 함수 또는 MLflow 등록 모델이(가) schema내에 포함된 것입니다.
모델: MLflow 등록 모델은 특정 유형의 함수입니다. 모델은 Catalog Explorer에서 다른 함수와 별도로 나열되지만, SQL을 사용하여 모델에 권한을 grant할 때에는
GRANT ON FUNCTION를 사용합니다.EXTERNAL LOCATION: Unity Catalog 메타스토어 내에 포함된 스토리지 자격 증명에 대한 참조와 클라우드 스토리지 경로를 포함하는 개체입니다.
서비스 자격 증명: 외부 서비스에 대한 액세스를 제공하는 장기 클라우드 자격 증명을 캡슐화하는 개체입니다. Unity Catalog 메타스토어에 포함되어 있습니다.
STORAGE CREDENTIAL: Unity Catalog 메타스토어 내에 포함된 클라우드 스토리지에 대한 액세스를 제공하는 장기 클라우드 자격 증명을 캡슐화하는 개체입니다.
CONNECTION: Lakehouse Federation 시나리오에서 외부 데이터베이스 시스템에 액세스하기 위한 경로와 credentials를 지정하는 개체입니다.
공유: 델타 공유를 사용하여 공유하려는 tables 대한 논리적 그룹화입니다. 공유는 Unity Catalog 메타스토어 내에 포함됩니다.
RECIPIENT: Delta Sharing를 사용하여 데이터를 공유할 수 있는 사용자들의 조직 또는 그룹을 식별하는 개체입니다. 이러한 개체는 Unity Catalog 메타스토어 내에 포함됩니다.
PROVIDER: Delta Sharing을 사용하여 데이터를 공유할 수 있게 한 조직을 나타내는 개체입니다. 이러한 개체는 Unity Catalog 메타스토어 내에 포함됩니다.
CLEAN ROOM: 여러 당사자가 서로의 데이터에 직접 액세스하지 않고 공동 작업할 수 where Databricks에서 관리하는 안전하고 개인 정보 보호 환경을 나타내는 개체입니다.
Unity 보안 가능한 객체별 권한 유형 Catalog
다음 table은 Unity Catalog의 각 보안 개체에 적용되는 권한 유형을 나열합니다. Unity
| 보안 개체 | 권한 |
|---|---|
| 메타 저장소 |
CREATE CATALOG, CREATE CLEAN ROOM,CREATE CONNECTION, CREATE EXTERNAL LOCATION, CREATE PROVIDER, , CREATE RECIPIENT,CREATE SHARE,CREATE SERVICE CREDENTIAL , CREATE STORAGE CREDENTIAL, SET SHARE PERMISSIONUSE MARKETPLACE ASSETSUSE PROVIDERUSE RECIPIENTUSE SHARE |
| Catalog |
ALL PRIVILEGES, APPLY TAG, BROWSE, CREATE SCHEMAUSE CATALOG모든 사용자는 기본적으로 USE CATALOGmain에 catalog를 가지고 있습니다.다음 권한 유형은 catalog보안 개체에 적용됩니다. grant 수준에서 catalog 할 수 있는 권한을 catalog내 현재 및 향후 개체에 적용할 수 있습니다. CREATE FUNCTION, CREATE TABLE, CREATE MATERIALIZED VIEW, CREATE MODEL, CREATE VOLUME, EXTERNAL USE SCHEMA, READ VOLUME, REFRESH, WRITE VOLUME, EXECUTE, MANAGE, MODIFY, SELECT, USE SCHEMA |
| Schema |
ALL PRIVILEGES, APPLY TAG, CREATE FUNCTION, CREATE TABLE, CREATE MODEL, CREATE VOLUME, CREATE MATERIALIZED VIEW, MANAGE, EXTERNAL USE SCHEMA, USE SCHEMA다음 권한 유형은 schema내의 보안 개체에 적용됩니다. grant 수준에서 이러한 권한을 schemaschema내의 현재 및 이후 개체에 적용할 수 있습니다. EXECUTE, MODIFY, READ VOLUME, REFRESH, SELECTWRITE VOLUME |
| Table |
ALL PRIVILEGES, APPLY TAG, MANAGE, MODIFYSELECT |
| 구체화된 뷰 |
ALL PRIVILEGES, APPLY TAG, MANAGE, REFRESHSELECT |
| View |
ALL PRIVILEGES, APPLY TAG, MANAGESELECT |
| 볼륨 |
ALL PRIVILEGES, MANAGE, READ VOLUMEWRITE VOLUME |
| 외부 위치 |
ALL PRIVILEGES,BROWSE, CREATE EXTERNAL TABLE, CREATE EXTERNAL VOLUME, CREATE FOREIGN SECURABLE, MANAGEREAD FILES, WRITE FILESCREATE MANAGED STORAGE |
| 서비스 자격 증명 |
ALL PRIVILEGES, ACCESS, CREATE CONNECTION, MANAGE. |
| 스토리지 자격 증명 |
ALL PRIVILEGES, CREATE EXTERNAL LOCATION, CREATE EXTERNAL TABLE, MANAGE, READ FILESWRITE FILES |
| Connection |
ALL PRIVILEGES, CREATE FOREIGN CATALOG, MANAGEUSE CONNECTION |
| 함수 |
ALL PRIVILEGES, APPLY TAG(모델만 해당), EXECUTE, MANAGE |
| 모델 | 등록된 모델은 함수의 한 유형입니다. |
| 공유 |
SELECT(RECIPIENT에 부여 가능) |
| 받는 사람 | 없음 |
| 공급자 | 없음 |
| 클린룸 |
ALL PRIVILEGES, BROWSE, EXECUTE CLEAN ROOM TASK, MANAGEMODIFY CLEAN ROOM |
일반 Unity Catalog 권한 유형
이 섹션에서는 Unity Catalog일반적으로 적용되는 권한 유형에 대해 자세히 설명합니다. Unity
모든 권한
적용 가능한 개체 형식: CATALOG, EXTERNAL LOCATION, STORAGE CREDENTIAL, SCHEMA, FUNCTION (모델 포함) TABLE, MATERIALIZED VIEW, VIEW,VOLUME
명시적으로 지정하지 않고 보안 개체 및 해당 자식 개체에 적용되는 모든 권한을 grant 또는 revoke 하는 데 사용됩니다.
개체에 ALL PRIVILEGES가 부여될 때, grant시점에 사용자에게 적용 가능한 각각의 권한이 개별적으로 grant되지 않습니다. 대신 권한 확인이 수행되는 시점에 사용 가능한 모든 권한으로 확장됩니다. 즉, Databricks가 새 권한 및 새 보안 가능한 개체를 릴리스하면, 기존 ALL PRIVILEGESgrant은 보안 가능한 개체와 기존 자식 개체 및 새 자식 개체에 적용 가능한 새 권한을 자동으로 포함합니다.
ALL PRIVILEGES가 해지되면 ALL PRIVILEGES 권한이 해지되고 개체에 대해 사용자에게 부여된 모든 명시적 권한도 해지됩니다.
실수로 인한 데이터 반출 또는 권한 에스컬레이션을 방지하기 위해 ALL PRIVILEGESEXTERNAL USE SCHEMA 권한 또는 MANAGE 권한을 포함하지 않습니다.
참고 항목
이 권한은 계층 구조의 상위 수준에서 적용할 때 강력합니다. 예를 들어, GRANT 모든 권한을 CATALOG 메인에서 analysts에게 부여함으로써, 분석가 팀은 catalog의 모든 기존 및 미래의 보안 개체에 대한 모든 권한을 갖게 됩니다.
ACCESS
적용할 수 있는 개체 형식: SERVICE CREDENTIAL
사용자가 서비스 자격 증명을 사용하여 외부 서비스 또는 서비스에 액세스할 수 있도록 허용합니다.
APPLY TAG
적용 가능한 개체 유형::CATALOG로 등록된 SCHEMA, TABLE, VOLUME, MATERIALIZED VIEW, VIEW, FUNCTION 모델로 등록된 모델
사용자가 개체에 대한 태그를 추가하고 편집할 수 있습니다.
APPLY TAG 또는 뷰에 table 부여하면 column 태그를 지정할 수도 있습니다. 등록된 모델에 APPLY TAG를 부여하면 모델 버전 태그도 사용할 수 있습니다.
또한 사용자는 부모 USE CATALOG에 대한 catalog 권한이 있어야 하며 부모 USE SCHEMA에 대한 schema 권한도 있어야 합니다.
BROWSE
적용할 수 있는 개체 형식: CATALOG, EXTERNAL LOCATION, CLEAN ROOM
Important
이 기능은 공개 미리 보기 상태입니다.
사용자가 Catalog 탐색기, schema 브라우저, 검색 결과, 계보 그래프, information_schema및 REST API를 사용하여 개체의 메타데이터를 볼 수 있습니다.
사용자는 부모 USE CATALOG에 대한 catalog 권한이나 부모 USE SCHEMA에 대한 schema 권한이 필요하지 않습니다.
새로운 BROWSE을 catalogs Explorer로 생성할 때 모든 사용자에게 기본적으로 Catalog 권한이 부여됩니다. 필요하다면 권한을 revoke할 수 있습니다. SQL 문, REST API, 또는 Databricks CLI를 사용하여 생성된 Catalogs는 기본적으로 grant 권한을 BROWSE하지 않습니다.
grant 합니다.
CREATE CATALOG
적용 가능한 개체 형식: Unity Catalog 메타스토어
사용자가 Unity catalog 메타스토어에서 Catalog를 만들 수 있도록 합니다. 외래 catalog를 생성하려면 외래 CATALOG가 포함된 연결 또는 메타스토어에 대한 catalog 권한이 있어야 합니다.
CREATE CLEAN ROOM
적용 가능한 개체 형식: Unity Catalog 메타스토어
사용자가 기본 데이터를 공유하지 않고도 다른 조직과 프로젝트를 안전하게 공동 작업할 수 있는 클린룸을 만들 수 있습니다.
CREATE CONNECTION
적용 가능한 개체 형식: Unity Catalog metastore, SERVICE CREDENTIAL
사용자가 Lakehouse 페더레이션 시나리오에서 외부 데이터베이스에 대한 연결을 만들 수 있습니다. 서비스 자격 증명을 사용하여 연결을 만들려면 메타스토어와 서비스 자격 증명 모두에 대해 이 권한이 있어야 합니다.
CREATE EXTERNAL LOCATION
적용 가능한 개체 형식: Unity Catalog metastore, STORAGE CREDENTIAL
외부 위치를 만들려면 사용자는 외부 위치에서 참조되는 metastore 및 스토리지 자격 증명 모두에 대해 이 권한이 있어야 합니다.
CREATE EXTERNAL TABLE
적용할 수 있는 개체 형식: EXTERNAL LOCATION, STORAGE CREDENTIAL
사용자가 외부 위치 또는 스토리지 자격 증명을 사용하여 클라우드 테넌트 내에서 직접 외부 tables를 만들 수 있습니다. Databricks는 스토리지 자격 증명이 아닌 외부 위치에 대해 이 권한을 부여하는 것이 좋습니다(경로로 범위가 지정되므로 사용자가 클라우드 테넌트에서 외부 where 만들 수 tables 대한 더 많은 제어가 가능합니다.)
CREATE EXTERNAL VOLUME
적용할 수 있는 개체 형식: EXTERNAL LOCATION
사용자가 외부 위치를 사용하여 외부 volumes을(를) 만들 수 있습니다.
외부 생성 CATALOG
적용할 수 있는 개체 형식: CONNECTION
사용자가 Lakehouse Federation 시나리오에서 외부 데이터베이스에 대한 연결을 사용하여 외장 catalogs 만들 수 있습니다.
외부 보안 가능 항목 생성
적용할 수 있는 개체 형식: EXTERNAL LOCATION
사용자가 외부 catalog을(를) 만들 때, 외부 위치에 의해 적용되는 권한이 있는 경로를 지정할 수 있습니다.
사용자는 또한 Unity CREATE CATALOG 메타스토어에 Catalog이 있어야 하며 연결에 CREATE FOREIGN CATALOG이 있어야 합니다.
CREATE FUNCTION
적용할 수 있는 개체 형식: SCHEMA
사용자가 schema에서 함수를 만들 수 있습니다. 권한이 상속되므로 CREATE FUNCTION이 catalog에 부여될 수도 있습니다. 이를 통해 사용자는 schema에서 기존 또는 향후 catalog 함수를 만들 수 있습니다.
또한 사용자는 부모 USE CATALOG에 대한 catalog 권한이 있어야 하며 부모 USE SCHEMA에 대한 schema 권한도 있어야 합니다.
CREATE MODEL
적용할 수 있는 개체 형식: SCHEMA
사용자가 schema에서 MLflow 등록 모델(일종의 FUNCTION)을 생성할 수 있습니다. 권한이 상속되므로, CREATE MODEL는 catalog에 부여할 수 있으며, 이를 통해 사용자는 schema내의 기존 또는 향후 모든 catalog에서 등록된 모델을 생성할 수 있습니다.
또한 사용자는 부모 USE CATALOG에 대한 catalog 권한이 있어야 하며 부모 USE SCHEMA에 대한 schema 권한도 있어야 합니다.
관리되는 저장소 만들기
적용할 수 있는 개체 형식: EXTERNAL LOCATION
사용자가 메타스토어의 기본 루트 스토리지를 재정의하여 관리되는 tablescatalog 또는 schema 수준에서 저장할 위치를 지정할 수 있습니다.
CREATE SCHEMA
적용할 수 있는 개체 형식: CATALOG
사용자가 schema만들 수 있습니다. 또한 사용자는 USE CATALOG에 대한 catalog 권한이 있어야 합니다.
CREATE SERVICE CREDENTIAL
적용 가능한 개체 형식: Unity Catalog 메타스토어
사용자가 Unity Catalog 메타스토어에서 서비스 자격 증명을 만들 수 있습니다.
CREATE STORAGE CREDENTIAL
적용 가능한 개체 형식: Unity Catalog 메타스토어
사용자가 Unity Catalog 메타스토어에서 스토리지 자격 증명을 만들 수 있습니다.
CREATE TABLE
적용할 수 있는 개체 형식: SCHEMA
사용자가 table을(를) 만들거나 schema을(를) 볼 수 있습니다. 권한이 상속되므로, CREATE TABLE은 catalog에 부여할 수 있으며, 이를 통해 사용자는 table의 기존 또는 향후 schema에서 catalog를 생성하거나 볼 수 있습니다.
또한 사용자는 부모 USE CATALOG에 대한 catalog 권한과 부모 USE SCHEMA에 대한 schema 권한이 있어야 합니다.
CREATE MATERIALIZED VIEW
적용할 수 있는 개체 형식: SCHEMA
사용자가 schema에서 구체화된 뷰를 만들 수 있게 합니다. 권한이 상속되므로, CREATE MATERIALIZED VIEW은 catalog에 부여할 수 있으며, 이를 통해 사용자는 table의 기존 또는 향후 schema에서 catalog를 생성하거나 볼 수 있습니다.
또한 사용자는 부모 USE CATALOG에 대한 catalog 권한과 부모 USE SCHEMA에 대한 schema 권한이 있어야 합니다.
CREATE VOLUME
적용할 수 있는 개체 형식: SCHEMA
사용자가 schema에서 볼륨을 생성할 수 있습니다. 권한이 상속되므로, CREATE VOLUME은 catalog에 부여될 수 있습니다. 이를 통해 사용자는 schema에 있는 기존 또는 향후 catalog에서 볼륨을 만들 수 있습니다.
또한 사용자는 볼륨의 부모 USE CATALOG에 대한 catalog 권한과 볼륨의 부모 USE SCHEMA에 대한 schema 권한이 있어야 합니다.
EXECUTE
적용 가능한 개체 유형: FUNCTION, 모델
사용자가 USE CATALOG의 부모가 catalog인 경우 및 USE SCHEMA의 부모가 schema인 경우에 사용자 정의 함수를 호출하거나 유추를 위해 모델을 로드할 수 있습니다. 함수의 경우 EXECUTE는 함수 정의 및 메타데이터를 볼 수 있는 권한을 부여합니다. 등록된 모델의 경우 EXECUTE는 등록된 모델의 모든 버전에 대한 메타데이터를 보고 모델 파일을 다운로드할 수 있는 권한을 부여합니다.
권한은 상속되므로 사용자에게 grant 또는 EXECUTE에서 catalog 권한을 schema 수 있습니다. 이렇게 하면 EXECUTE 또는 catalog의 모든 현재 및 이후 함수에 대한 schema 권한이 사용자에게 자동으로 부여됩니다.
EXECUTE CLEAN ROOM TASK
적용할 수 있는 개체 형식: CLEAN ROOM
사용자가 클린룸에서 작업(Notebook)을 실행할 수 있습니다. 또한 사용자가 클린룸 세부 정보를 볼 수 있습니다.
EXTERNAL USE SCHEMA
적용할 수 있는 개체 형식: SCHEMA
사용자에게 Unity Catalog open API 또는 Iceberg REST API를 사용하여 외부 처리 엔진에서 Unity tablesCatalog 액세스할 수 있는 임시 자격 증명을 부여할 수 있습니다.
catalog의 소유자만 이 권한을 grant 수 있습니다.
실수로 인한 데이터 반출을 방지하기 위해 ALL PRIVILEGESEXTERNAL USE SCHEMA 권한을 포함하지 않으며 schema 소유자는 기본적으로 이 권한을 갖지 않습니다.
Unity의 외부 데이터 액세스를 허용하려면 을 참조하십시오 Catalog.
관리하다
적용 가능한 개체 형식: CATALOG, EXTERNAL LOCATION, SERVICE CREDENTIAL, STORAGE CREDENTIAL, SCHEMA, FUNCTION(모델 포함), CONNECTION, TABLE, MATERIALIZED VIEW, VIEW,VOLUME, CLEAN ROOM
Important
이 기능은 공개 미리 보기 상태입니다.
사용자가 권한을 보고 관리하고, 소유권을 이전하고, 개체를 삭제하고, 이름을 바꿀 수 있습니다.
MANAGE 개체 소유권과 비슷하지만 MANAGE 권한이 있는 사용자에게는 해당 개체에 대한 모든 권한이 자동으로 부여되지는 않습니다(그러나 스스로 권한을 grant 수 있습니다).
또한 사용자는 개체의 부모 USE CATALOG에 대한 catalog 권한과 부모 USE SCHEMA에 대한 schema 권한이 있어야 합니다.
ALL PRIVILEGES에 MANAGE 특권이 포함되지 않습니다.
MANAGE ALLOWLIST
적용 가능한 개체 형식: Unity Catalog 메타스토어
사용자가 공유 액세스 모드를 사용하여 Unity Catalog지원 클러스터를 제어하는 허용 목록에서 init 스크립트, JAR 및 Maven 좌표에 대한 경로를 추가하거나 수정할 수 있습니다. 공유 컴퓨팅의 허용 목록 라이브러리 및 초기화 스크립트를 참조하세요.
MODIFY
적용할 수 있는 개체 형식: TABLE
사용자가 update에서 table를 가지고 있고, 상위 SELECT에서 table를, 상위 USE CATALOG에서 catalog를 가지고 있는 경우에 USE SCHEMA에 데이터를 추가하고, schema하며 삭제할 수 있습니다.
권한은 상속되기 때문에 사용자는 grant 또는 MODIFY에서 catalog 권한을 schema 수 있습니다. 이렇게 하면 사용자에게 MODIFY 또는 tables의 모든 현재 및 향후 catalog에 대해 schema 권한이 자동으로 부여됩니다.
MODIFY CLEAN ROOM
적용할 수 있는 개체 형식: CLEAN ROOM
사용자가 데이터 자산 추가 및 제거, 전자 필기장 추가 및 제거, 메모 업데이트 등을 포함하여 클린룸을 update할 수 있습니다. 또한 사용자가 클린룸 세부 정보를 볼 수 있습니다.
READ FILES
적용할 수 있는 개체 형식: EXTERNAL LOCATION
Databrick은 volumes 및 READ VOLUME 권한을 사용하여 클라우드 개체 스토리지의 데이터에 대한 읽기 액세스를 관리하는 것이 좋습니다.
READ FILES 사용하면 사용자가 외부 위치로 구성된 클라우드 개체 스토리지에서 직접 파일을 읽을 수 있습니다. 자세한 지침은 외부 위치, 외부 tables및 외부 volumes관리를 참조하세요.
READ VOLUME
적용할 수 있는 개체 형식: VOLUME
사용자가 볼륨 내에 저장된 파일 및 디렉터리를 읽으려면 부모 USE CATALOG에 catalog이 있고 부모 USE SCHEMA에 schema가 있어야 합니다.
권한은 상속됩니다. 사용자에게 grant 또는 READ VOLUME대한 catalog 권한을 schema 수 있는 경우 grant 또는 READ VOLUME모든 현재 및 향후 volumes 대해 사용자에게 catalog 권한을 자동으로 schema.
REFRESH
적용할 수 있는 개체 형식: MATERIALIZED VIEW
사용자가 부모 refresh에 대한 USE CATALOG 권한과 부모 catalog에 대한 USE SCHEMA 권한을 가지고 있는 경우, 구체화된 보기를 schema할 수 있습니다.
권한은 상속됩니다. 사용자에게 grant 또는 REFRESH에 대한 catalog 권한을 schema하면, grant 또는 REFRESH에 있는 현재 및 미래의 모든 구체화된 views에 대해 사용자에게 catalog 권한을 자동으로 schema합니다.
SELECT
적용할 수 있는 개체 형식: TABLE, VIEW, MATERIALIZED VIEW, SHARE
table 또는 뷰에 적용된 경우, 사용자는 부모 select에 table과 부모 USE CATALOG에 catalog이 모두 있는 경우에만 USE SCHEMA 또는 뷰에서 schema할 수 있습니다. 공유에 적용되는 경우 받는 사람이 공유에서 select할 수 있습니다.
권한이 상속되므로 사용자에게 grant 또는 SELECT대한 catalog 권한을 schema 수 있습니다. 이 권한은 사용자에게 모든 현재 및 향후 SELECT대한 tables 권한을 자동으로 부여하고 views 또는 catalogschema.
USE CATALOG
적용할 수 있는 개체 형식: CATALOG
이 권한은 grant 자체에 직접 액세스하지 catalog 않지만, 사용자가 catalog내의 개체와 상호 작용하는 데 필요합니다. 예를 들어, select 데이터를 table로부터 얻으려면, 사용자는 해당 SELECT에 대한 table 권한과 그 부모 USE CATALOG에 대한 catalog 권한, 부모 USE SCHEMA에 대한 schema 권한을 가져야 합니다.
이는 catalog 소유자가 개별 limit 및 schema 소유자가 생성한 데이터를 얼마나 멀리 공유할 수 있는지 table 수 있도록 하는 데 유용합니다. 예를 들어 table 소유자가 다른 사용자에게 SELECT을 부여해도, 그 사용자가 table에 대한 읽기 권한을 갖기 위해서는 부모 USE CATALOG에 대한 catalog 권한과 부모 USE SCHEMA에 대한 schema 권한을 모두 부여받아야 합니다.
부모 USE CATALOG의 catalog 권한은 사용자가 해당 BROWSE에 대한 catalog 권한이 있다면 개체의 메타데이터를 읽을 필요가 없습니다.
USE CONNECTION
적용할 수 있는 개체 형식: CONNECTION
사용자가 Lakehouse Federation 시나리오에서 외부 데이터베이스에 list하고, connections에 대한 세부 정보를 볼 수 있도록 합니다. 연결에 대한 외부 catalogs를 만들려면 연결 위에 CREATE FOREIGN CATALOG이 있거나 연결의 소유권이 있어야 합니다.
USE SCHEMA
적용할 수 있는 개체 형식: SCHEMA
이 권한은 grant 자체에 직접 액세스하지 schema 않지만, 사용자가 schema내의 개체와 상호 작용하는 데 필요합니다. 예를 들어, select의 데이터를 table하기 위해 사용자는 SELECT에 대한 table 권한과 그 부모 USE SCHEMA에 대한 schema, 그리고 그 부모 USE CATALOG에 대한 catalog 권한을 가지고 있어야 합니다.
권한이 상속되므로 사용자에게 grant의 USE SCHEMA 권한을 catalog할 수 있으며, 이로써 사용자는 USE SCHEMA내 모든 현재 및 향후 스키마에 대한 catalog 권한을 자동으로 부여받게 됩니다.
사용자가 해당 USE SCHEMA 또는 부모 schema에 대한 BROWSE 권한이 있는 경우, 개체의 메타데이터를 읽기 위해 부모 schema에 대한 catalog 권한이 필요하지 않습니다.
WRITE FILES
적용할 수 있는 개체 형식: EXTERNAL LOCATION
Databrick은 volumes 및 WRITE VOLUME 권한을 사용하여 클라우드 개체 스토리지의 데이터에 대한 쓰기 액세스를 관리하는 것이 좋습니다.
WRITE FILES 사용자가 외부 위치로 구성된 클라우드 개체 스토리지에 직접 파일을 쓸 수 있습니다. 자세한 지침은 외부 위치, 외부 tables및 외부 volumes관리를 참조하세요.
WRITE VOLUME
적용할 수 있는 개체 형식: VOLUME
사용자가 부모 remove에 대해 USE CATALOG 권한이 있고, 부모 catalog에 대해 USE SCHEMA 권한이 있는 경우, 볼륨 내에 저장된 파일 및 디렉터리를 추가하거나, schema하거나, 수정할 수 있습니다.
권한은 상속됩니다. 사용자에게 grant 또는 WRITE VOLUME대한 catalog 권한을 schema 수 있는 경우 grant 또는 WRITE VOLUME모든 현재 및 향후 volumes 대해 사용자에게 catalog 권한을 자동으로 schema.
델타 공유 또는 Databricks Marketplace에만 적용되는 권한 유형
이 섹션에서는 델타 공유에만 적용되는 권한 유형에 대한 세부 정보를 제공합니다.
CREATE PROVIDER
적용 가능한 개체 형식: Unity Catalog 메타스토어
사용자가 메타스토어에서 Delta Sharing 공급자 개체를 만들 수 있습니다. 공급자는 Delta Sharing을 사용하여 공유 데이터가 있는 사용자의 조직 또는 그룹을 식별합니다. 공급자 만들기는 수신자의 Databricks 계정에서 사용자가 수행합니다. Delta Sharing이란?을 참조하세요.
CREATE RECIPIENT
적용 가능한 개체 형식: Unity Catalog 메타스토어
사용자가 메타스토어에서 Delta Sharing 수신자 개체를 만들 수 있습니다. 수신자는 Delta Sharing를 사용하여 데이터를 공유할 수 있는 조직 또는 사용자 그룹을 식별합니다. 수신자 만들기는 공급자의 Databricks 계정에서 사용자가 수행합니다. Delta Sharing이란?을 참조하세요.
CREATE SHARE
적용 가능한 개체 형식: Unity Catalog 메타스토어
사용자가 메타스토어에서 공유를 만들 수 있습니다. 쉐어는 Delta Sharing을 사용하여 공유하고자 하는 tables에 대해 논리적으로 묶는 것입니다.
SET 공유 권한
적용 가능한 개체 형식: Unity Catalog 메타스토어
델타 공유에서는 이 권한이 USE SHARE 및 USE RECIPIENT(또는 수신자의 소유권)과 결합되어, 공급자 사용자가 공유에 대한 수신자의 액세스를 grant 수 있는 기능을 제공합니다.
USE SHARE와 결합하면 공유 소유권을 다른 사용자, 그룹 또는 서비스 주체로 이전할 수 있습니다.
USE MARKETPLACE ASSETS
적용 가능한 개체 형식: Unity Catalog 메타스토어
Unity Catalogmetastores에 기본적으로 사용하도록 설정됩니다. Databricks Marketplace에서 이 권한은 사용자에게 즉시 액세스를 get 또는 Marketplace 목록에서 공유되는 데이터 제품에 대한 액세스를 요청할 수 있는 기능을 제공합니다. 사용자는 공급자가 데이터 제품을 catalog 하는 시점에 생성되는 읽기 전용 shares에 액세스할 수 있습니다. 이 권한이 없으면 사용자에게 CREATE CATALOG 및 USE PROVIDER 권한 또는 메타스토어 관리자 역할이 필요합니다. 이렇게 하면 강력한 권한을 가진 사용자 수를 limit 측정할 수 있습니다.
USE PROVIDER
적용 가능한 개체 형식: Unity Catalog 메타스토어
델타 공유에서 받는 사람 사용자에게 받는 사람 메타스토어 및 해당 providers있는 모든 shares 대한 읽기 전용 액세스 권한을 부여합니다.
CREATE CATALOG 권한과 결합되어, 이 권한은 metastore 관리자가 아닌 받는 사용자가 공유를 catalog로 마운트할 수 있도록 합니다. 이렇게 하면 강력한 metastore 관리자 역할을 가진 사용자 수를 limit할 수 있습니다.
USE RECIPIENT
적용 가능한 개체 형식: Unity Catalog 메타스토어
델타 공유에서는 공급자 메타스토어의 모든 recipients와 해당 shares에 대해 공급자 사용자에게 읽기 전용 액세스 권한을 제공합니다. 이렇게 하면 metastore 관리자가 아닌 공급자 사용자가 받는 사람의 세부 정보, 받는 사람의 인증 상태 및 공급자가 받는 사람과 공유한 list의 shares를 볼 수 있습니다.
Databricks Marketplace에서 공급자 사용자는 공급자 콘솔에서 목록 및 소비자 요청을 볼 수 있습니다.
USE SHARE
적용 가능한 개체 형식: Unity Catalog 메타스토어
델타 공유에서는 공급자 메타스토어에 정의된 모든 shares에 대한 읽기 전용 접근을 공급자 사용자에게 허용합니다. 이렇게 하면 메타스토어 관리자가 아닌 공급자 사용자가 공유의 자산(예:list 및 노트북)을 shares,list, 그리고 tables할 수 있습니다. 이는 공유의 recipients도 함께 포함됩니다.
Databricks Marketplace에서 이를 통해 공급자 사용자는 목록에서 공유되는 데이터에 대한 세부 정보를 볼 수 있습니다.