Delen via

Eigendom van Unity-Catalog-objecten beheren

  • Artikel

Elk beveiligbaar object in Unity Catalog heeft een eigenaar. De eigenaar kan elke principal zijn: een gebruiker, service-principal of accountgroep. De principal waarmee een object wordt gemaakt, wordt de oorspronkelijke eigenaar. De eigenaar van een object heeft alle bevoegdheden voor het object, zoals SELECT en MODIFY op een table, naast de machtiging voor grant bevoegdheden voor andere principals. De eigenaar van een object heeft de mogelijkheid om het object te verwijderen.

Bevoegdheden van eigenaar

Eigenaren van een object krijgen automatisch alle bevoegdheden voor dat object. Bovendien kunnen objecteigenaren grant bevoegdheden voor het object zelf en op alle onderliggende objecten. Dit betekent dat eigenaren van een schema niet automatisch alle bevoegdheden hebben voor de tables in de schema, maar dat zij zichzelf bevoegdheden kunnen grant voor de tables in de schema.

Notitie

Er is één uitzondering op de regel die eigenaren alle bevoegdheden voor een object hebben: om onbedoelde gegevensexfiltratie te voorkomen, hebben schema eigenaren niet standaard de EXTERNAL USE SCHEMA-bevoegdheid. Zie Externe gegevenstoegang tot Unity Cataloginschakelen.

Metastore en catalog het eigendom

Metastore-beheerders zijn de eigenaren van de metastore. De beheerdersrol metastore is optioneel. Metastore-beheerders kunnen het eigendom van de metastore opnieuw toewijzen door de beheerdersrol metastore over te dragen. Zie Een metastore-beheerder toewijzen.

Als uw werkruimte automatisch is ingeschakeld voor Unity Catalog, wordt de werkruimte standaard gekoppeld aan een metastore en wordt er een werkruimte catalog gemaakt voor uw werkruimte in de metastore. Werkruimtebeheerders zijn de standaardeigenaren en kunnen het eigendom van de werkruimte opnieuw toewijzen catalog. In deze werkruimten is er standaard geen metastore-beheerder toegewezen, maar accountbeheerders kunnen indien nodig de beheerdersrol van de metastore grant. Zie Metastore-beheerders.

Zie Admin-bevoegdheden in Unity Catalogvoor meer informatie over beheerdersbevoegdheden in Unity Catalog.

eigendom versus het voorrecht MANAGE

MANAGE (openbare preview) is een bevoegdheid die vergelijkbaar is met het eigendom van een object. Het verleent een gebruiker de mogelijkheid om bevoegdheden voor het object te bewerken, te verwijderen en te beheren. Gebruikers met de MANAGE-bevoegdheid voor een object krijgen echter niet automatisch alle bevoegdheden voor dat object. Net als bij andere bevoegdheden vereisen gebruikers USE CATALOG op de bovenliggende catalog van het object en USE SCHEMA op de bovenliggende schemavan het object. Als gebruikers bijvoorbeeld machtigingen voor een tablewillen grant, moeten ze de bevoegdheid MANAGE hebben voor die table en USE CATALOG bevoegdheden voor de bovenliggende catalog, en ook USE SCHEMA bevoegdheden voor de bovenliggende schema.

De eigenaar van een object kan slechts één principal zijn, met inbegrip van een groep, terwijl MANAGE kan worden verleend aan meerdere principals.

Om escalatie van onbedoelde bevoegdheden te voorkomen, bevat ALL PRIVILEGES niet de MANAGE-bevoegdheid

De eigenaar van een object weergeven

U kunt Catalog Explorer of SQL-instructies gebruiken om de eigenaar van een object weer te geven.

Vereiste machtigingen: elke gebruiker met de BROWSE bevoegdheid voor het object of een bovenliggend object kan de objecteigenaar bekijken.

Catalog Explorer

  1. Klik in uw Azure Databricks-werkruimte op Catalog pictogramCatalog.

  2. Select het object, zoals een catalog, schema, table, weergave, volume, externe locatie of opslagreferentie.

    Hoe u naar het object navigeert, is afhankelijk van het object. Catalogs, schema's en de inhoud van schema's (zoals tables en volumes) kunnen worden geselecteerd in het linkerdeelvenster van Catalog. Je kunt andere objecten vinden, zoals externe locaties of Delta Sharing-shares, door te klikken op het tandwielpictogram boven het deelvenster Catalog en de objectcategorie uit het menu te selecteren.

    Voor de meeste objecten wordt de eigenaar weergegeven op het tabblad Overzicht op de pagina met objectdetails. Voor sommige objecten, zoals externe locaties, wordt deze boven aan de pagina met objectdetails weergegeven.

SQL

Voer de volgende SQL-opdracht uit in een notebook of SQL-queryeditor. Vervang de tijdelijke aanduiding values:

  • <securable-type>: Het type beveiligbaar, zoals CATALOG of TABLE.
  • <catalog>: de bovenliggende catalog wanneer u een schema of de inhoud van een schemabekijkt.
  • <schema>: de bovenliggende schema als u de inhoud van een schemabekijkt, zoals een table of weergave.
  • <securable-name>: De naam van het beveiligbare object.
DESCRIBE <securable-type> EXTENDED <catalog>.<schema>.<securable-name>;

Eigendom overdragen

U kunt Catalog Explorer of SQL-instructies gebruiken om de eigenaar van een object weer te geven.

machtigingen die zijn vereist: u kunt objecteigendom overdragen als u de huidige eigenaar bent, een metastorebeheerder, de eigenaar van de container (de catalog voor een schema, de schema voor een table) of een gebruiker met de MANAGE-bevoegdheid voor het object. Delta Sharing-shareobjecten zijn een uitzondering: principals met de USE SHARE en SET SHARE PERMISSION bevoegdheden kunnen ook het eigendom van delen overdragen.

Notitie

Om escalatie van bevoegdheden te voorkomen, kan alleen een metastore-beheerder het eigendom van een weergave, functie of model overdragen aan een gebruiker, service-principal of groep in het account. Huidige eigenaren en gebruikers met de MANAGE-bevoegdheid zijn beperkt tot het overdragen van eigendom aan hun gebruikersnaam of aan een groep waarvan ze lid zijn.

Catalog Explorer

  1. Klik in uw Azure Databricks-werkruimte op Catalog pictogramCatalog.

  2. Select het object, zoals een catalog, schema, table, weergave, externe locatie of opslagreferentie.

    Hoe u naar het object navigeert, is afhankelijk van het object. Catalogs, schema's en de inhoud van schema's (zoals tables en volumes) kunnen worden geselecteerd in het linkerdeelvenster van Catalog. U kunt andere objecten, zoals externe locaties of Delta Sharing shares, vinden door te klikken op het tandwielpictogram boven het Catalog deelvenster en de objectcategorie in het menu te selecteren.

    Voor de meeste objecten wordt de eigenaar weergegeven op het tabblad Overzicht op de pagina met objectdetails. Voor sommige objecten, zoals externe locaties, wordt deze boven aan de pagina met objectdetails weergegeven.

  3. Klik op het Pictogram Bewerken bewerkingspictogram naast de eigenaar.

  4. Zoek naar en select een groep, gebruiker of service-principal.

  5. Klik op Opslaan.

SQL

Voer de volgende SQL-opdracht uit in een notebook of SQL-queryeditor. Vervang de tijdelijke aanduiding values:

  • <securable-type>: Het type beveiligbaar object, zoals CATALOG of TABLE. METASTORE wordt niet ondersteund als een beveiligbaar object in deze opdracht.
  • <securable-name>: De naam van het beveiligbare. Als u een schema of de inhoud van een schemawijzigt, moet u de volledige naamruimte op drie niveaus (catalog.schema.object) gebruiken, tenzij u de bovenliggende catalog en/of schemaal hebt opgegeven.
  • <principal> is een gebruiker, service-principal (vertegenwoordigd door de waarde applicationId) of groep. U moet gebruikers, service-principals en groepsnamen insluiten die speciale tekens bevatten in backticks (` `). Zie Principal.
ALTER <securable-type> <securable-name> OWNER TO <principal>;

Als u bijvoorbeeld het eigendom van de orderstable wilt overdragen aan de accounting groep:

ALTER TABLE mycatalog.myschema.orders OWNER TO `accounting`;