Unity Catalog-bevoegdheden en beveiligbare objecten
In dit artikel worden de beveiligbare objecten van Unity Catalog en de bevoegdheden beschreven die hierop van toepassing zijn. Zie Machtigingen weergeven, verlenen en intrekken voor meer informatie over het verlenen van bevoegdheden in Unity Catalog.
Notitie
Dit artikel verwijst naar de Unity Catalog-bevoegdheden en overnamemodel in Privilege Model versie 1.0. Als u uw Unity Catalog-metastore hebt gemaakt tijdens de openbare preview (vóór 25 augustus 2022), bevindt u zich mogelijk in een eerder privilegemodel dat het huidige overnamemodel niet ondersteunt. U kunt upgraden naar Privilege Model versie 1.0 om overname van bevoegdheden op te halen. Zie Upgraden naar overname van bevoegdheden.
Beveiligbare objecten in Unity Catalog
Een beveiligbaar object is een object dat is gedefinieerd in de Unity Catalog-metastore waarop bevoegdheden kunnen worden verleend aan een principal (gebruiker, service-principal of groep). Beveiligbare objecten in Unity Catalog zijn hiërarchisch.
De beveiligbare objecten zijn:
METASTORE: de container op het hoogste niveau voor metagegevens. Elke Unity Catalog-metastore bevat een naamruimte met drie niveaus (
catalog
.schema
.table
) die uw gegevens ordent.Wanneer u bevoegdheden voor een metastore beheert, neemt u de naam van de metastore niet op in een SQL-opdracht. Unity Catalog verleent of trekt de bevoegdheid in voor de metastore die aan uw werkruimte is gekoppeld. Met de volgende opdracht verleent u bijvoorbeeld een groep met de naam Engineering de mogelijkheid om een catalogus te maken in de metastore die is gekoppeld aan de werkruimte:
GRANT CREATE CATALOG ON METASTORE TO engineering
CATALOGUS: De eerste laag van de objecthiërarchie, die wordt gebruikt om uw gegevensassets te ordenen. Een refererende catalogus is een speciaal catalogustype dat een database spiegelt in een extern gegevenssysteem in een Lakehouse Federation-scenario.
SCHEMA: Ook wel databases genoemd, zijn schema's de tweede laag van de objecthiërarchie en bevatten tabellen en weergaven.
TABLE: Het laagste niveau in de objecthiërarchie, tabellen kunnen extern zijn (opgeslagen op externe locaties in uw cloudopslag naar keuze) of beheerde tabellen (opgeslagen in een opslagcontainer in uw cloudopslag die u uitdrukkelijk voor Azure Databricks maakt).
WEERGAVE: Een alleen-lezenobject dat is gemaakt op basis van een query in een of meer tabellen die zich in een schema bevinden.
GEREALISEERDE WEERGAVE: Een object dat is gemaakt op basis van een query in een of meer tabellen die zich in een schema bevinden. De resultaten weerspiegelen de status van gegevens wanneer deze voor het laatst zijn vernieuwd.
VOLUME: Het laagste niveau in de objecthiërarchie, volumes kunnen extern zijn (opgeslagen op externe locaties in uw cloudopslag naar keuze) of beheerd (opgeslagen in een opslagcontainer in uw cloudopslag die u uitdrukkelijk voor Azure Databricks maakt).
FUNCTIE: Een door de gebruiker gedefinieerde functie of een MLflow-geregistreerd model dat zich in een schema bevindt.
Model: Een geregistreerd MLflow-model is een specifiek type functie. Modellen worden afzonderlijk weergegeven van andere functies in Catalog Explorer, maar wanneer u een bevoegdheid verleent voor een model met behulp van SQL, gebruikt
GRANT ON FUNCTION
u .EXTERNAL LOCATION: Een object dat een verwijzing bevat naar een opslagreferentie en een cloudopslagpad dat zich in een Unity Catalog-metastore bevindt.
SERVICEREFERENTIE: een object dat een langetermijncloudreferentie bevat die toegang biedt tot een externe service. Opgenomen in een Unity Catalog-metastore.
OPSLAGREFERENTIE: een object dat een langetermijncloudreferentie bevat die toegang biedt tot cloudopslag die zich in een Unity Catalog-metastore bevindt.
VERBINDING: Een object dat een pad en referenties opgeeft voor toegang tot een extern databasesysteem in een Lakehouse Federation-scenario.
SHARE: Een logische groepering voor de tabellen die u wilt delen met Delta Sharing. Een share bevindt zich in een Unity Catalog-metastore.
ONTVANGER: Een object dat een organisatie of groep gebruikers identificeert die gegevens met hen kunnen delen met behulp van Delta Sharing. Deze objecten bevinden zich in een Unity Catalog-metastore.
PROVIDER: Een object dat een organisatie vertegenwoordigt die gegevens beschikbaar heeft gesteld voor delen met behulp van Delta Sharing. Deze objecten bevinden zich in een Unity Catalog-metastore.
CLEAN ROOM: Een object dat een veilige en privacybeveiligde omgeving vertegenwoordigt, beheerd door Databricks, waar meerdere partijen kunnen samenwerken zonder directe toegang tot elkaars gegevens.
Privilege types by securable object in Unity Catalog
De volgende tabel bevat de bevoegdheidstypen die van toepassing zijn op elk beveiligbaar object in Unity Catalog. Zie Machtigingen weergeven, verlenen en intrekken voor meer informatie over het verlenen van bevoegdheden in Unity Catalog.
Beveiligbare | Bevoegdheden |
---|---|
Metastore | CREATE CATALOG , , CREATE CLEAN ROOM , , , CREATE PROVIDER , ,CREATE SERVICE CREDENTIAL CREATE STORAGE CREDENTIAL USE RECIPIENT CREATE RECIPIENT USE PROVIDER CREATE SHARE USE MARKETPLACE ASSETS SET SHARE PERMISSION CREATE EXTERNAL LOCATION CREATE CONNECTION USE SHARE |
Catalogus | ALL PRIVILEGES BROWSE , APPLY TAG , CREATE SCHEMA USE CATALOG Alle gebruikers hebben USE CATALOG standaard toegang tot de main catalogus.De volgende typen bevoegdheden zijn van toepassing op beveiligbare objecten in een catalogus. U kunt deze bevoegdheden op catalogusniveau verlenen om ze toe te passen op huidige en toekomstige objecten in de catalogus. CREATE FUNCTION , , CREATE TABLE , , , , EXTERNAL USE SCHEMA , READ VOLUME , REFRESH , EXECUTE MODIFY SELECT WRITE VOLUME CREATE VOLUME CREATE MODEL CREATE MATERIALIZED VIEW USE SCHEMA |
Schema | ALL PRIVILEGES , , CREATE FUNCTION APPLY TAG , CREATE TABLE , , CREATE MODEL , CREATE VOLUME , EXTERNAL USE SCHEMA CREATE MATERIALIZED VIEW USE SCHEMA De volgende bevoegdheidstypen zijn van toepassing op beveiligbare objecten binnen een schema. U kunt deze bevoegdheden op schemaniveau verlenen om ze toe te passen op huidige en toekomstige objecten in het schema. EXECUTE , , MODIFY READ VOLUME , REFRESH , , , SELECT WRITE VOLUME |
Tabel | ALL PRIVILEGES , , , APPLY TAG MODIFY SELECT |
Gerealiseerde weergave | ALL PRIVILEGES , , , APPLY TAG REFRESH SELECT |
Weergave | ALL PRIVILEGES , , APPLY TAG SELECT |
Volume | ALL PRIVILEGES , , READ VOLUME WRITE VOLUME |
Externe locatie | ALL PRIVILEGES , , BROWSE CREATE EXTERNAL TABLE , CREATE EXTERNAL VOLUME , , READ FILES , , WRITE FILES CREATE MANAGED STORAGE |
Servicereferenties | ALL PRIVILEGES , , ACCESS CREATE CONNECTION . |
Opslagreferentie | ALL PRIVILEGES CREATE EXTERNAL TABLE , CREATE EXTERNAL LOCATION , READ FILES WRITE FILES |
Connection | ALL PRIVILEGES , , CREATE FOREIGN CATALOG USE CONNECTION |
Functie | ALL PRIVILEGES , APPLY TAG (alleen modellen), EXECUTE |
Modelleren | Geregistreerde modellen zijn een type functie. |
Delen | SELECT (Kan worden toegekend aan RECIPIENT ) |
Ontvanger | Geen |
Provider | Geen |
Schone kamer | ALL PRIVILEGES , , , BROWSE EXECUTE CLEAN ROOM TASK MODIFY CLEAN ROOM |
Algemene typen unity-catalogusbevoegdheden
In deze sectie vindt u informatie over de typen bevoegdheden die algemeen van toepassing zijn op Unity Catalog. Zie Machtigingen weergeven, verlenen en intrekken voor meer informatie over het verlenen van bevoegdheden in Unity Catalog.
ALLE BEVOEGDHEDEN
Toepasselijke objecttypen: CATALOG
, EXTERNAL LOCATION
, STORAGE CREDENTIAL
, SCHEMA
, FUNCTION
(inclusief modellen) TABLE
, MATERIALIZED VIEW
VIEW,
VOLUME
Wordt gebruikt om alle bevoegdheden toe te kennen of in te trekken die van toepassing zijn op het beveiligbare object en de onderliggende objecten zonder deze expliciet op te geven.
Wanneer ALL PRIVILEGES
aan een object wordt verleend, verleent het de gebruiker niet afzonderlijk elke toepasselijke bevoegdheid op het moment van de toekenning. In plaats daarvan wordt het uitgebreid naar alle beschikbare bevoegdheden op het moment dat er machtigingen worden gecontroleerd. Dit betekent dat wanneer Databricks nieuwe bevoegdheden en nieuwe beveiligbare objecten vrijgeeft, een bestaande ALL PRIVILEGES
toekenning automatisch nieuwe bevoegdheden bevat die van toepassing zijn op het beveiligbare object, de bestaande onderliggende objecten en eventuele nieuwe onderliggende objecten.
Wanneer ALL PRIVILEGES
deze wordt ingetrokken, wordt de ALL PRIVILEGES
bevoegdheid ingetrokken en worden alle expliciete bevoegdheden die aan de gebruiker op het object zijn verleend, ook ingetrokken.
Om onbedoelde gegevensexfiltratie te voorkomen, ALL PRIVILEGES
bevat dit niet de EXTERNAL USE SCHEMA
bevoegdheid.
Notitie
Deze bevoegdheid is krachtig wanneer deze wordt toegepast op hogere niveaus in de hiërarchie. Geef bijvoorbeeld ALLE BEVOEGDHEDEN VOOR CATALOGUS TOE OM het analistenteam alle bestaande en toekomstige bevoegdheden toe te analysts
kennen voor elk bestaand en toekomstig beveiligbaar object in de catalogus.
TOEGANG
Toepasselijke objecttypen: SERVICE CREDENTIAL
Hiermee kan een gebruiker een servicereferentie gebruiken voor toegang tot een externe service of services.
TAG TOEPASSEN
Toepasselijke objecttypen: CATALOG
, SCHEMA
, TABLE
, VOLUME
, , MATERIALIZED VIEW
modellen VIEW
die zijn geregistreerd als een FUNCTION
Hiermee kan een gebruiker tags aan een object toevoegen en bewerken. Als u aan een tabel of weergave verleent APPLY TAG
, wordt ook kolomtags ingeschakeld. Het verlenen APPLY TAG
aan een geregistreerd model maakt ook taggen van modelversies mogelijk.
De gebruiker moet ook de USE CATALOG
bevoegdheid hebben voor de bovenliggende catalogus en USE SCHEMA
het bovenliggende schema.
BLADEREN
Toepasselijke objecttypen: CATALOG
, EXTERNAL LOCATION
CLEAN ROOM
Belangrijk
Deze functie is beschikbaar als openbare preview.
Hiermee kan een gebruiker de metagegevens van een object weergeven met Behulp van Catalog Explorer, de schemabrowser, zoekresultaten, de herkomstgrafiek information_schema
en de REST API.
De gebruiker heeft niet de USE CATALOG
bevoegdheid voor de bovenliggende catalogus of USE SCHEMA
in het bovenliggende schema nodig.
Alle gebruikers krijgen standaard de BROWSE
bevoegdheid voor nieuwe catalogi die zijn gemaakt met Catalog Explorer. U kunt de bevoegdheid desgewenst intrekken. Catalogi die zijn gemaakt met behulp van SQL-instructies, de REST API of de Databricks CLI verlenen de BROWSE
bevoegdheid niet standaard. Je moet het te veel verlenen.
CATALOGUS MAKEN
Toepasselijke objecttypen: Unity Catalog-metastore
Hiermee kan een gebruiker een catalogus maken in een Unity Catalog-metastore. Als u een refererende catalogus wilt maken, moet u ook de bevoegdheid CREATE FOREIGN CATALOG hebben voor de verbinding die de refererende catalogus of de metastore bevat.
SCHONE RUIMTE MAKEN
Toepasselijke objecttypen: Unity Catalog-metastore
Hiermee kan een gebruiker een schone ruimte maken om veilig samen te werken aan projecten met andere organisaties zonder onderliggende gegevens te delen.
VERBINDING MAKEN
Toepasselijke objecttypen: Unity Catalog-metastore, SERVICE CREDENTIAL
Hiermee kan een gebruiker verbinding maken met een externe database in een Lakehouse Federation-scenario. Als u een servicereferentie wilt gebruiken om een verbinding te maken, moet de gebruiker deze bevoegdheid hebben voor zowel de metastore als de servicereferentie.
EXTERNE LOCATIE MAKEN
Toepasselijke objecttypen: Unity Catalog-metastore, STORAGE CREDENTIAL
Als u een externe locatie wilt maken, moet de gebruiker deze bevoegdheid hebben voor zowel de metastore als de opslagreferentie waarnaar wordt verwezen op de externe locatie.
CREATE EXTERNAL TABLE
Toepasselijke objecttypen: EXTERNAL LOCATION
, STORAGE CREDENTIAL
Hiermee kan een gebruiker rechtstreeks externe tabellen in uw cloudtenant maken met behulp van een externe locatie of opslagreferentie. Databricks raadt aan deze bevoegdheid toe te kennen op een externe locatie in plaats van opslagreferenties (omdat deze is afgestemd op een pad, biedt het meer controle over waar gebruikers externe tabellen in uw cloudtenant kunnen maken).
EXTERN VOLUME MAKEN
Toepasselijke objecttypen: EXTERNAL LOCATION
Hiermee kan een gebruiker externe volumes maken met behulp van een externe locatie.
REFERERENDE CATALOGUS MAKEN
Toepasselijke objecttypen: CONNECTION
Hiermee kan een gebruiker refererende catalogi maken met behulp van een verbinding met een externe database in een Lakehouse Federation-scenario.
FUNCTIE MAKEN
Toepasselijke objecttypen: SCHEMA
Hiermee kan een gebruiker een functie maken in het schema. Omdat bevoegdheden worden overgenomen, CREATE FUNCTION
kunnen ook worden verleend aan een catalogus, waardoor een gebruiker een functie kan maken in een bestaand of toekomstig schema in de catalogus.
De gebruiker moet ook de USE CATALOG
bevoegdheid hebben voor de bovenliggende catalogus en USE SCHEMA
het bovenliggende schema.
MODEL MAKEN
Toepasselijke objecttypen: SCHEMA
Hiermee kan een gebruiker een geregistreerd MLflow-model (een type FUNCTIE) maken in het schema. Omdat bevoegdheden worden overgenomen, CREATE MODEL
kunnen ook worden verleend aan een catalogus, waardoor een gebruiker een geregistreerd model kan maken in een bestaand of toekomstig schema in de catalogus.
De gebruiker moet ook de USE CATALOG
bevoegdheid hebben voor de bovenliggende catalogus en USE SCHEMA
het bovenliggende schema.
BEHEERDE OPSLAG MAKEN
Toepasselijke objecttypen: EXTERNAL LOCATION
Hiermee kan een gebruiker een locatie opgeven voor het opslaan van beheerde tabellen op catalogus- of schemaniveau, waarbij de standaardhoofdopslag voor de metastore wordt overschreven.
SCHEMA MAKEN
Toepasselijke objecttypen: CATALOG
Hiermee kan een gebruiker een schema maken. De gebruiker moet ook beschikken over de USE CATALOG
bevoegdheid voor de catalogus.
SERVICEREFERENTIES MAKEN
Toepasselijke objecttypen: Unity Catalog-metastore
Hiermee kan een gebruiker een servicereferentie maken in een Unity Catalog-metastore.
OPSLAGREFERENTIES MAKEN
Toepasselijke objecttypen: Unity Catalog-metastore
Hiermee kan een gebruiker een opslagreferentie maken in een Unity Catalog-metastore.
Kan niet worden verleend aan een service-principal, ongeacht of er een Microsoft Entra-id of systeemeigen Azure Databricks-service-principal is.
CREATE TABLE
Toepasselijke objecttypen: SCHEMA
Hiermee kan een gebruiker een tabel of weergave in het schema maken. Aangezien bevoegdheden worden overgenomen, kunnen CREATE TABLE
ook worden verleend aan een catalogus, zodat een gebruiker een tabel of weergave kan maken in een bestaand of toekomstig schema in de catalogus.
De gebruiker moet ook de bevoegdheid hebben voor de USE CATALOG
bovenliggende catalogus en de bevoegdheid voor het USE SCHEMA
bovenliggende schema.
CREATE MATERIALIZED VIEW
Toepasselijke objecttypen: SCHEMA
Hiermee kan een gebruiker een gerealiseerde weergave maken in het schema. Aangezien bevoegdheden worden overgenomen, kunnen CREATE MATERIALIZED VIEW
ook worden verleend aan een catalogus, zodat een gebruiker een tabel of weergave kan maken in een bestaand of toekomstig schema in de catalogus.
De gebruiker moet ook de bevoegdheid hebben voor de USE CATALOG
bovenliggende catalogus en de bevoegdheid voor het USE SCHEMA
bovenliggende schema.
VOLUME MAKEN
Toepasselijke objecttypen: SCHEMA
Hiermee kan een gebruiker een volume in het schema maken. Omdat bevoegdheden worden overgenomen, CREATE VOLUME
kunnen ook worden verleend aan een catalogus, waardoor een gebruiker een volume kan maken in een bestaand of toekomstig schema in de catalogus.
De gebruiker moet ook de USE CATALOG
bevoegdheid hebben voor de bovenliggende catalogus van het volume en de bevoegdheid voor het USE SCHEMA
bovenliggende schema.
UITVOEREN
Toepasselijke objecttypen: FUNCTION
, Model
Hiermee kan een gebruiker een door de gebruiker gedefinieerde functie aanroepen of een model laden voor deductie, als de gebruiker ook de bovenliggende catalogus en USE SCHEMA
het bovenliggende schema heeftUSE CATALOG
. Voor functies EXECUTE
verleent u de mogelijkheid om de functiedefinitie en metagegevens weer te geven. Voor geregistreerde modellen EXECUTE
verleent u de mogelijkheid om metagegevens voor alle versies van het geregistreerde model weer te geven en modelbestanden te downloaden.
Aangezien bevoegdheden worden overgenomen, kunt u een gebruiker de EXECUTE
bevoegdheid verlenen voor een catalogus of schema, waarmee de gebruiker automatisch de EXECUTE
bevoegdheid verleent voor alle huidige en toekomstige functies in de catalogus of het schema.
SCHOONRUIMTETAAK UITVOEREN
Toepasselijke objecttypen: CLEAN ROOM
Hiermee kan een gebruiker taken (notebooks) uitvoeren in een schone ruimte. Hiermee kan de gebruiker ook de details van de clean room bekijken.
SCHEMA VOOR EXTERN GEBRUIK
Toepasselijke objecttypen: SCHEMA
Hiermee kan een gebruiker een tijdelijke referentie krijgen om toegang te krijgen tot Unity Catalog-tabellen vanuit een externe verwerkingsengine met behulp van de open API's van Unity Catalog of Iceberg REST API's.
Alleen de cataloguseigenaar kan deze bevoegdheid verlenen.
Om onbedoelde gegevensexfiltratie te voorkomen, ALL PRIVILEGES
neemt u de EXTERNAL USE SCHEMA
bevoegdheid niet op en hebben schema-eigenaren deze bevoegdheid niet standaard.
Zie Externe toegang tot gegevens in Unity Catalog beheren.
ALLOWLIST BEHEREN
Toepasselijke objecttypen: Unity Catalog-metastore
Hiermee kan een gebruiker paden voor init-scripts, JAR's en Maven-coördinaten toevoegen of wijzigen in de acceptatielijst die clusters met unity-catalogus met gedeelde toegangsmodus beheert. Zie Allowlist-bibliotheken en init-scripts voor gedeelde berekeningen.
MODIFICEREN
Toepasselijke objecttypen: TABLE
Hiermee kan een gebruiker gegevens aan of uit de tabel toevoegen, bijwerken en verwijderen als de gebruiker ook over de tabel beschikt SELECT
, evenals USE CATALOG
in de bovenliggende catalogus en USE SCHEMA
in het bovenliggende schema.
Omdat bevoegdheden worden overgenomen, kunt u een gebruiker de MODIFY
bevoegdheid verlenen voor een catalogus of schema, waarmee de gebruiker automatisch de MODIFY
bevoegdheid verleent voor alle huidige en toekomstige tabellen in de catalogus of het schema.
SCHONE RUIMTE WIJZIGEN
Toepasselijke objecttypen: CLEAN ROOM
Hiermee kan een gebruiker een schone ruimte bijwerken, waaronder het toevoegen en verwijderen van gegevensassets, het toevoegen en verwijderen van notitieblokken en het bijwerken van opmerkingen. Hiermee kan de gebruiker ook de details van de clean room bekijken.
BESTANDEN LEZEN
Toepasselijke objecttypen: VOLUME
, EXTERNAL LOCATION
Hiermee kan een gebruiker bestanden rechtstreeks vanuit uw cloudobjectopslag lezen. Databricks raadt u aan deze bevoegdheid toe te kennen voor volumes en het verlenen op externe locaties voor beperkte gebruiksvoorbeelden. Zie Externe locaties, externe tabellen en externe volumes beheren voor meer informatie.
LEESVOLUME
Toepasselijke objecttypen: VOLUME
Hiermee kan een gebruiker bestanden en mappen lezen die zijn opgeslagen in een volume als de gebruiker ook de bovenliggende catalogus en USE SCHEMA
het bovenliggende schema heeftUSE CATALOG
.
Bevoegdheden worden overgenomen. Wanneer u een gebruiker de READ VOLUME
bevoegdheid voor een catalogus of schema kunt verlenen, verleent u de gebruiker automatisch de READ VOLUME
bevoegdheid voor alle huidige en toekomstige volumes in de catalogus of het schema.
REFRESH
Toepasselijke objecttypen: MATERIALIZED VIEW
Hiermee kan een gebruiker een gerealiseerde weergave vernieuwen als de gebruiker ook de bovenliggende catalogus en USE SCHEMA
het bovenliggende schema heeftUSE CATALOG
.
Bevoegdheden worden overgenomen. Wanneer u de REFRESH
bevoegdheid voor een catalogus of schema aan een gebruiker verleent, verleent u de gebruiker automatisch de REFRESH
bevoegdheid voor alle huidige en toekomstige gerealiseerde weergaven in de catalogus of het schema.
SELECTEREN
Toepasselijke objecttypen: TABLE
, VIEW
, MATERIALIZED VIEW
SHARE
Als deze wordt toegepast op een tabel of weergave, kan een gebruiker een keuze maken uit de tabel of weergave, als de gebruiker ook de bovenliggende catalogus en USE SCHEMA
het bovenliggende schema heeftUSE CATALOG
. Als deze wordt toegepast op een share, kan een ontvanger een keuze maken uit de share.
Aangezien bevoegdheden worden overgenomen, kunt u een gebruiker de SELECT
bevoegdheid verlenen voor een catalogus of schema, waarmee automatisch de gebruikersbevoegdheden SELECT
worden verleend voor alle huidige en toekomstige tabellen en weergaven in de catalogus of het schema.
CATALOGUS GEBRUIKEN
Toepasselijke objecttypen: CATALOG
Deze bevoegdheid verleent geen toegang tot de catalogus zelf, maar is nodig voor een gebruiker om met een object in de catalogus te communiceren. Als u bijvoorbeeld gegevens uit een tabel wilt selecteren, moeten gebruikers beschikken over de SELECT
bevoegdheid voor die tabel en bevoegdheden voor de bovenliggende catalogus, USE CATALOG
evenals USE SCHEMA
bevoegdheden voor het bovenliggende schema.
Dit is handig voor het toestaan van cataloguseigenaren om te beperken hoe ver afzonderlijke schema- en tabeleigenaren gegevens kunnen delen die ze produceren. Een eigenaar van een tabel die aan een andere gebruiker verleent SELECT
, staat bijvoorbeeld niet toe dat de gebruiker leestoegang tot de tabel krijgt, tenzij deze ook bevoegdheden heeft gekregen USE CATALOG
voor de bovenliggende catalogus en USE SCHEMA
bevoegdheden voor het bovenliggende schema.
De USE CATALOG
bevoegdheid voor de bovenliggende catalogus is niet vereist om de metagegevens van een object te lezen als de gebruiker de BROWSE
bevoegdheid voor die catalogus heeft.
VERBINDING GEBRUIKEN
Toepasselijke objecttypen: CONNECTION
Hiermee kan een gebruiker details weergeven en weergeven over verbindingen met een externe database in een Lakehouse Federation-scenario. Als u refererende catalogi wilt maken voor een verbinding, moet CREATE FOREIGN CATALOG
u beschikken over de verbinding of het eigendom van de verbinding.
SCHEMA GEBRUIKEN
Toepasselijke objecttypen: SCHEMA
Deze bevoegdheid verleent geen toegang tot het schema zelf, maar is nodig voor een gebruiker om met een object in het schema te communiceren. Als u bijvoorbeeld gegevens uit een tabel wilt selecteren, moeten gebruikers beschikken over de SELECT
bevoegdheid voor die tabel en USE SCHEMA
in het bovenliggende schema en USE CATALOG
in de bovenliggende catalogus.
Omdat bevoegdheden worden overgenomen, kunt u een gebruiker de USE SCHEMA
bevoegdheid verlenen voor een catalogus, waarmee de gebruiker automatisch de USE SCHEMA
bevoegdheid verleent voor alle huidige en toekomstige schema's in de catalogus.
De USE SCHEMA
bevoegdheid voor het bovenliggende schema is niet vereist om de metagegevens van een object te lezen als de gebruiker de bevoegdheid voor dat schema of de BROWSE
bovenliggende catalogus heeft.
BESTANDEN SCHRIJVEN
Toepasselijke objecttypen: VOLUME
,EXTERNAL LOCATION
Hiermee kan een gebruiker bestanden rechtstreeks naar uw cloudobjectopslag schrijven. Databricks raadt aan deze bevoegdheid toe te kennen aan volumes. Ververleent deze bevoegdheid spaarzaam op externe locaties. Zie Externe locaties, externe tabellen en externe volumes beheren voor meer informatie.
VOLUME SCHRIJVEN
Toepasselijke objecttypen: VOLUME
Hiermee kan een gebruiker bestanden en mappen die zijn opgeslagen in een volume toevoegen, verwijderen of wijzigen als de gebruiker ook de bovenliggende catalogus en USE SCHEMA
het bovenliggende schema heeftUSE CATALOG
.
Bevoegdheden worden overgenomen. Wanneer u een gebruiker de WRITE VOLUME
bevoegdheid voor een catalogus of schema kunt verlenen, verleent u de gebruiker automatisch de WRITE VOLUME
bevoegdheid voor alle huidige en toekomstige volumes in de catalogus of het schema.
Bevoegdheidstypen die alleen van toepassing zijn op Delta Sharing of Databricks Marketplace
In deze sectie vindt u informatie over de bevoegdheidstypen die alleen van toepassing zijn op Delta Sharing.
CREATE PROVIDER
Toepasselijke objecttypen: Unity Catalog-metastore
Hiermee kan een gebruiker een Delta Sharing-providerobject maken in de metastore. Een provider identificeert een organisatie of groep gebruikers die gedeelde gegevens hebben met behulp van Delta Sharing. Het maken van een provider wordt uitgevoerd door een gebruiker in het Databricks-account van de ontvanger. Zie Wat is Delta Sharing?
GEADRESSEERDE MAKEN
Toepasselijke objecttypen: Unity Catalog-metastore
Hiermee kan een gebruiker een ontvangerobject voor Delta Sharing maken in de metastore. Een ontvanger identificeert een organisatie of groep gebruikers die gegevens met hen kunnen delen met behulp van Delta Sharing. Het maken van geadresseerden wordt uitgevoerd door een gebruiker in het Databricks-account van de provider. Zie Wat is Delta Sharing?
SHARE MAKEN
Toepasselijke objecttypen: Unity Catalog-metastore
Hiermee kan een gebruiker een share maken in de metastore. Een share is een logische groepering voor de tabellen die u wilt delen met Delta Sharing
SHARE-MACHTIGING INSTELLEN
Toepasselijke objecttypen: Unity Catalog-metastore
In Delta Sharing biedt deze bevoegdheid, gecombineerd met USE SHARE
en USE RECIPIENT
(of eigendom van geadresseerde), een providergebruiker de mogelijkheid om een ontvanger toegang te verlenen tot een share. In combinatie met USE SHARE
, biedt het de mogelijkheid om het eigendom van een share over te dragen aan een andere gebruiker, groep of service-principal.
MARKETPLACE-ASSETS GEBRUIKEN
Toepasselijke objecttypen: Unity Catalog-metastore
Standaard ingeschakeld voor alle Unity Catalog-metastores. In Databricks Marketplace biedt deze bevoegdheid een gebruiker de mogelijkheid om direct toegang te krijgen of toegang te vragen tot gegevensproducten die worden gedeeld in een Marketplace-vermelding. Hiermee heeft een gebruiker ook toegang tot de catalogus met het kenmerk Alleen-lezen die wordt gemaakt wanneer een provider een gegevensproduct deelt. Zonder deze bevoegdheid heeft de gebruiker de CREATE CATALOG
en bevoegdheden of USE PROVIDER
de beheerdersrol metastore nodig. Hiermee kunt u het aantal gebruikers met deze krachtige machtigingen beperken.
PROVIDER GEBRUIKEN
Toepasselijke objecttypen: Unity Catalog-metastore
In Delta Sharing heeft een geadresseerde alleen-lezentoegang tot alle providers in een metastore met geadresseerden en hun shares. In combinatie met de CREATE CATALOG
bevoegdheid kan een geadresseerde die geen metastore-beheerder is een share koppelen als catalogus. Hiermee kunt u het aantal gebruikers met de krachtige metastore-beheerdersrol beperken.
GEADRESSEERDE GEBRUIKEN
Toepasselijke objecttypen: Unity Catalog-metastore
In Delta Sharing heeft een provider alleen-lezentoegang tot alle ontvangers in een metastore van een provider en hun shares. Hiermee kan een providergebruiker die geen metastore-beheerder is, de details van de geadresseerde, de verificatiestatus van geadresseerden en de lijst met shares bekijken die de provider heeft gedeeld met de ontvanger.
In Databricks Marketplace biedt dit providergebruikers de mogelijkheid om vermeldingen en consumentenaanvragen weer te geven in de Provider-console.
SHARE GEBRUIKEN
Toepasselijke objecttypen: Unity Catalog-metastore
In Delta Sharing krijgt een provider alleen-lezentoegang tot alle shares die zijn gedefinieerd in een provider-metastore. Hiermee kan een providergebruiker die geen metastore-beheerder is, shares vermelden en de assets (tabellen en notitieblokken) in een share vermelden, samen met de ontvangers van de share.
In Databricks Marketplace biedt dit providergebruikers de mogelijkheid om details te bekijken over de gegevens die in een vermelding worden gedeeld.