Delen via


Unity Catalog-bevoegdheden en beveiligbare objecten

In dit artikel worden de beveiligbare objecten van Unity Catalog en de bevoegdheden beschreven die hierop van toepassing zijn. Zie Machtigingen weergeven, verlenen en intrekken voor meer informatie over het verlenen van bevoegdheden in Unity Catalog.

Notitie

Dit artikel verwijst naar de Unity Catalog-bevoegdheden en overnamemodel in Privilege Model versie 1.0. Als u uw Unity Catalog-metastore hebt gemaakt tijdens de openbare preview (vóór 25 augustus 2022), bevindt u zich mogelijk in een eerder privilegemodel dat het huidige overnamemodel niet ondersteunt. U kunt upgraden naar Privilege Model versie 1.0 om overname van bevoegdheden op te halen. Zie Upgraden naar overname van bevoegdheden.

Beveiligbare objecten in Unity Catalog

Een beveiligbaar object is een object dat is gedefinieerd in de Unity Catalog-metastore waarop bevoegdheden kunnen worden verleend aan een principal (gebruiker, service-principal of groep). Beveiligbare objecten in Unity Catalog zijn hiërarchisch.

Unity Catalog-objecthiërarchie

De beveiligbare objecten zijn:

  • METASTORE: de container op het hoogste niveau voor metagegevens. Elke Unity Catalog-metastore bevat een naamruimte met drie niveaus (catalog.schema.table) die uw gegevens ordent.

    Wanneer u bevoegdheden voor een metastore beheert, neemt u de naam van de metastore niet op in een SQL-opdracht. Unity Catalog verleent of trekt de bevoegdheid in voor de metastore die aan uw werkruimte is gekoppeld. Met de volgende opdracht verleent u bijvoorbeeld een groep met de naam Engineering de mogelijkheid om een catalogus te maken in de metastore die is gekoppeld aan de werkruimte:

    GRANT CREATE CATALOG ON METASTORE TO engineering
    
  • CATALOGUS: De eerste laag van de objecthiërarchie, die wordt gebruikt om uw gegevensassets te ordenen. Een refererende catalogus is een speciaal catalogustype dat een database spiegelt in een extern gegevenssysteem in een Lakehouse Federation-scenario.

  • SCHEMA: Ook wel databases genoemd, zijn schema's de tweede laag van de objecthiërarchie en bevatten tabellen en weergaven.

  • TABLE: Het laagste niveau in de objecthiërarchie, tabellen kunnen extern zijn (opgeslagen op externe locaties in uw cloudopslag naar keuze) of beheerde tabellen (opgeslagen in een opslagcontainer in uw cloudopslag die u uitdrukkelijk voor Azure Databricks maakt).

  • WEERGAVE: Een alleen-lezenobject dat is gemaakt op basis van een query in een of meer tabellen die zich in een schema bevinden.

  • GEREALISEERDE WEERGAVE: Een object dat is gemaakt op basis van een query in een of meer tabellen die zich in een schema bevinden. De resultaten weerspiegelen de status van gegevens wanneer deze voor het laatst zijn vernieuwd.

  • VOLUME: Het laagste niveau in de objecthiërarchie, volumes kunnen extern zijn (opgeslagen op externe locaties in uw cloudopslag naar keuze) of beheerd (opgeslagen in een opslagcontainer in uw cloudopslag die u uitdrukkelijk voor Azure Databricks maakt).

  • FUNCTIE: Een door de gebruiker gedefinieerde functie of een MLflow-geregistreerd model dat zich in een schema bevindt.

  • Model: Een geregistreerd MLflow-model is een specifiek type functie. Modellen worden afzonderlijk weergegeven van andere functies in Catalog Explorer, maar wanneer u een bevoegdheid verleent voor een model met behulp van SQL, gebruikt GRANT ON FUNCTIONu .

  • EXTERNAL LOCATION: Een object dat een verwijzing bevat naar een opslagreferentie en een cloudopslagpad dat zich in een Unity Catalog-metastore bevindt.

  • SERVICEREFERENTIE: een object dat een langetermijncloudreferentie bevat die toegang biedt tot een externe service. Opgenomen in een Unity Catalog-metastore.

  • OPSLAGREFERENTIE: een object dat een langetermijncloudreferentie bevat die toegang biedt tot cloudopslag die zich in een Unity Catalog-metastore bevindt.

  • VERBINDING: Een object dat een pad en referenties opgeeft voor toegang tot een extern databasesysteem in een Lakehouse Federation-scenario.

  • SHARE: Een logische groepering voor de tabellen die u wilt delen met Delta Sharing. Een share bevindt zich in een Unity Catalog-metastore.

  • ONTVANGER: Een object dat een organisatie of groep gebruikers identificeert die gegevens met hen kunnen delen met behulp van Delta Sharing. Deze objecten bevinden zich in een Unity Catalog-metastore.

  • PROVIDER: Een object dat een organisatie vertegenwoordigt die gegevens beschikbaar heeft gesteld voor delen met behulp van Delta Sharing. Deze objecten bevinden zich in een Unity Catalog-metastore.

  • CLEAN ROOM: Een object dat een veilige en privacybeveiligde omgeving vertegenwoordigt, beheerd door Databricks, waar meerdere partijen kunnen samenwerken zonder directe toegang tot elkaars gegevens.

Privilege types by securable object in Unity Catalog

De volgende tabel bevat de bevoegdheidstypen die van toepassing zijn op elk beveiligbaar object in Unity Catalog. Zie Machtigingen weergeven, verlenen en intrekken voor meer informatie over het verlenen van bevoegdheden in Unity Catalog.

Beveiligbare Bevoegdheden
Metastore CREATE CATALOG, , CREATE CLEAN ROOM, , , CREATE PROVIDER, ,CREATE SERVICE CREDENTIALCREATE STORAGE CREDENTIALUSE RECIPIENTCREATE RECIPIENTUSE PROVIDERCREATE SHAREUSE MARKETPLACE ASSETSSET SHARE PERMISSIONCREATE EXTERNAL LOCATIONCREATE CONNECTIONUSE SHARE
Catalogus ALL PRIVILEGESBROWSE, APPLY TAG, CREATE SCHEMAUSE CATALOG

Alle gebruikers hebben USE CATALOG standaard toegang tot de main catalogus.

De volgende typen bevoegdheden zijn van toepassing op beveiligbare objecten in een catalogus. U kunt deze bevoegdheden op catalogusniveau verlenen om ze toe te passen op huidige en toekomstige objecten in de catalogus.

CREATE FUNCTION, , CREATE TABLE, , , , EXTERNAL USE SCHEMA, READ VOLUME, REFRESH, EXECUTEMODIFYSELECTWRITE VOLUMECREATE VOLUMECREATE MODELCREATE MATERIALIZED VIEWUSE SCHEMA
Schema ALL PRIVILEGES, , CREATE FUNCTIONAPPLY TAG, CREATE TABLE, , CREATE MODEL, CREATE VOLUME, EXTERNAL USE SCHEMACREATE MATERIALIZED VIEWUSE SCHEMA

De volgende bevoegdheidstypen zijn van toepassing op beveiligbare objecten binnen een schema. U kunt deze bevoegdheden op schemaniveau verlenen om ze toe te passen op huidige en toekomstige objecten in het schema.

EXECUTE, , MODIFYREAD VOLUME, REFRESH, , , SELECTWRITE VOLUME
Tabel ALL PRIVILEGES, , , APPLY TAGMODIFYSELECT
Gerealiseerde weergave ALL PRIVILEGES, , , APPLY TAGREFRESHSELECT
Weergave ALL PRIVILEGES, , APPLY TAGSELECT
Volume ALL PRIVILEGES, , READ VOLUMEWRITE VOLUME
Externe locatie ALL PRIVILEGES, , BROWSECREATE EXTERNAL TABLE, CREATE EXTERNAL VOLUME, , READ FILES, , WRITE FILESCREATE MANAGED STORAGE
Servicereferenties ALL PRIVILEGES, , ACCESSCREATE CONNECTION.
Opslagreferentie ALL PRIVILEGESCREATE EXTERNAL TABLE, CREATE EXTERNAL LOCATION, READ FILESWRITE FILES
Connection ALL PRIVILEGES, , CREATE FOREIGN CATALOGUSE CONNECTION
Functie ALL PRIVILEGES, APPLY TAG (alleen modellen), EXECUTE
Modelleren Geregistreerde modellen zijn een type functie.
Delen SELECT (Kan worden toegekend aan RECIPIENT)
Ontvanger Geen
Provider Geen
Schone kamer ALL PRIVILEGES, , , BROWSEEXECUTE CLEAN ROOM TASKMODIFY CLEAN ROOM

Algemene typen unity-catalogusbevoegdheden

In deze sectie vindt u informatie over de typen bevoegdheden die algemeen van toepassing zijn op Unity Catalog. Zie Machtigingen weergeven, verlenen en intrekken voor meer informatie over het verlenen van bevoegdheden in Unity Catalog.

ALLE BEVOEGDHEDEN

Toepasselijke objecttypen: CATALOG, EXTERNAL LOCATION, STORAGE CREDENTIAL, SCHEMA, FUNCTION (inclusief modellen) TABLE, MATERIALIZED VIEWVIEW,VOLUME

Wordt gebruikt om alle bevoegdheden toe te kennen of in te trekken die van toepassing zijn op het beveiligbare object en de onderliggende objecten zonder deze expliciet op te geven.

Wanneer ALL PRIVILEGES aan een object wordt verleend, verleent het de gebruiker niet afzonderlijk elke toepasselijke bevoegdheid op het moment van de toekenning. In plaats daarvan wordt het uitgebreid naar alle beschikbare bevoegdheden op het moment dat er machtigingen worden gecontroleerd. Dit betekent dat wanneer Databricks nieuwe bevoegdheden en nieuwe beveiligbare objecten vrijgeeft, een bestaande ALL PRIVILEGES toekenning automatisch nieuwe bevoegdheden bevat die van toepassing zijn op het beveiligbare object, de bestaande onderliggende objecten en eventuele nieuwe onderliggende objecten.

Wanneer ALL PRIVILEGES deze wordt ingetrokken, wordt de ALL PRIVILEGES bevoegdheid ingetrokken en worden alle expliciete bevoegdheden die aan de gebruiker op het object zijn verleend, ook ingetrokken.

Om onbedoelde gegevensexfiltratie te voorkomen, ALL PRIVILEGES bevat dit niet de EXTERNAL USE SCHEMA bevoegdheid.

Notitie

Deze bevoegdheid is krachtig wanneer deze wordt toegepast op hogere niveaus in de hiërarchie. Geef bijvoorbeeld ALLE BEVOEGDHEDEN VOOR CATALOGUS TOE OM het analistenteam alle bestaande en toekomstige bevoegdheden toe te analysts kennen voor elk bestaand en toekomstig beveiligbaar object in de catalogus.

TOEGANG

Toepasselijke objecttypen: SERVICE CREDENTIAL

Hiermee kan een gebruiker een servicereferentie gebruiken voor toegang tot een externe service of services.

TAG TOEPASSEN

Toepasselijke objecttypen: CATALOG, SCHEMA, TABLE, VOLUME, , MATERIALIZED VIEWmodellen VIEWdie zijn geregistreerd als een FUNCTION

Hiermee kan een gebruiker tags aan een object toevoegen en bewerken. Als u aan een tabel of weergave verleent APPLY TAG , wordt ook kolomtags ingeschakeld. Het verlenen APPLY TAG aan een geregistreerd model maakt ook taggen van modelversies mogelijk.

De gebruiker moet ook de USE CATALOG bevoegdheid hebben voor de bovenliggende catalogus en USE SCHEMA het bovenliggende schema.

BLADEREN

Toepasselijke objecttypen: CATALOG, EXTERNAL LOCATIONCLEAN ROOM

Belangrijk

Deze functie is beschikbaar als openbare preview.

Hiermee kan een gebruiker de metagegevens van een object weergeven met Behulp van Catalog Explorer, de schemabrowser, zoekresultaten, de herkomstgrafiek information_schemaen de REST API.

De gebruiker heeft niet de USE CATALOG bevoegdheid voor de bovenliggende catalogus of USE SCHEMA in het bovenliggende schema nodig.

Alle gebruikers krijgen standaard de BROWSE bevoegdheid voor nieuwe catalogi die zijn gemaakt met Catalog Explorer. U kunt de bevoegdheid desgewenst intrekken. Catalogi die zijn gemaakt met behulp van SQL-instructies, de REST API of de Databricks CLI verlenen de BROWSE bevoegdheid niet standaard. Je moet het te veel verlenen.

CATALOGUS MAKEN

Toepasselijke objecttypen: Unity Catalog-metastore

Hiermee kan een gebruiker een catalogus maken in een Unity Catalog-metastore. Als u een refererende catalogus wilt maken, moet u ook de bevoegdheid CREATE FOREIGN CATALOG hebben voor de verbinding die de refererende catalogus of de metastore bevat.

SCHONE RUIMTE MAKEN

Toepasselijke objecttypen: Unity Catalog-metastore

Hiermee kan een gebruiker een schone ruimte maken om veilig samen te werken aan projecten met andere organisaties zonder onderliggende gegevens te delen.

VERBINDING MAKEN

Toepasselijke objecttypen: Unity Catalog-metastore, SERVICE CREDENTIAL

Hiermee kan een gebruiker verbinding maken met een externe database in een Lakehouse Federation-scenario. Als u een servicereferentie wilt gebruiken om een verbinding te maken, moet de gebruiker deze bevoegdheid hebben voor zowel de metastore als de servicereferentie.

EXTERNE LOCATIE MAKEN

Toepasselijke objecttypen: Unity Catalog-metastore, STORAGE CREDENTIAL

Als u een externe locatie wilt maken, moet de gebruiker deze bevoegdheid hebben voor zowel de metastore als de opslagreferentie waarnaar wordt verwezen op de externe locatie.

CREATE EXTERNAL TABLE

Toepasselijke objecttypen: EXTERNAL LOCATION, STORAGE CREDENTIAL

Hiermee kan een gebruiker rechtstreeks externe tabellen in uw cloudtenant maken met behulp van een externe locatie of opslagreferentie. Databricks raadt aan deze bevoegdheid toe te kennen op een externe locatie in plaats van opslagreferenties (omdat deze is afgestemd op een pad, biedt het meer controle over waar gebruikers externe tabellen in uw cloudtenant kunnen maken).

EXTERN VOLUME MAKEN

Toepasselijke objecttypen: EXTERNAL LOCATION

Hiermee kan een gebruiker externe volumes maken met behulp van een externe locatie.

REFERERENDE CATALOGUS MAKEN

Toepasselijke objecttypen: CONNECTION

Hiermee kan een gebruiker refererende catalogi maken met behulp van een verbinding met een externe database in een Lakehouse Federation-scenario.

FUNCTIE MAKEN

Toepasselijke objecttypen: SCHEMA

Hiermee kan een gebruiker een functie maken in het schema. Omdat bevoegdheden worden overgenomen, CREATE FUNCTION kunnen ook worden verleend aan een catalogus, waardoor een gebruiker een functie kan maken in een bestaand of toekomstig schema in de catalogus.

De gebruiker moet ook de USE CATALOG bevoegdheid hebben voor de bovenliggende catalogus en USE SCHEMA het bovenliggende schema.

MODEL MAKEN

Toepasselijke objecttypen: SCHEMA

Hiermee kan een gebruiker een geregistreerd MLflow-model (een type FUNCTIE) maken in het schema. Omdat bevoegdheden worden overgenomen, CREATE MODEL kunnen ook worden verleend aan een catalogus, waardoor een gebruiker een geregistreerd model kan maken in een bestaand of toekomstig schema in de catalogus.

De gebruiker moet ook de USE CATALOG bevoegdheid hebben voor de bovenliggende catalogus en USE SCHEMA het bovenliggende schema.

BEHEERDE OPSLAG MAKEN

Toepasselijke objecttypen: EXTERNAL LOCATION

Hiermee kan een gebruiker een locatie opgeven voor het opslaan van beheerde tabellen op catalogus- of schemaniveau, waarbij de standaardhoofdopslag voor de metastore wordt overschreven.

SCHEMA MAKEN

Toepasselijke objecttypen: CATALOG

Hiermee kan een gebruiker een schema maken. De gebruiker moet ook beschikken over de USE CATALOG bevoegdheid voor de catalogus.

SERVICEREFERENTIES MAKEN

Toepasselijke objecttypen: Unity Catalog-metastore

Hiermee kan een gebruiker een servicereferentie maken in een Unity Catalog-metastore.

OPSLAGREFERENTIES MAKEN

Toepasselijke objecttypen: Unity Catalog-metastore

Hiermee kan een gebruiker een opslagreferentie maken in een Unity Catalog-metastore.

Kan niet worden verleend aan een service-principal, ongeacht of er een Microsoft Entra-id of systeemeigen Azure Databricks-service-principal is.

CREATE TABLE

Toepasselijke objecttypen: SCHEMA

Hiermee kan een gebruiker een tabel of weergave in het schema maken. Aangezien bevoegdheden worden overgenomen, kunnen CREATE TABLE ook worden verleend aan een catalogus, zodat een gebruiker een tabel of weergave kan maken in een bestaand of toekomstig schema in de catalogus.

De gebruiker moet ook de bevoegdheid hebben voor de USE CATALOG bovenliggende catalogus en de bevoegdheid voor het USE SCHEMA bovenliggende schema.

CREATE MATERIALIZED VIEW

Toepasselijke objecttypen: SCHEMA

Hiermee kan een gebruiker een gerealiseerde weergave maken in het schema. Aangezien bevoegdheden worden overgenomen, kunnen CREATE MATERIALIZED VIEW ook worden verleend aan een catalogus, zodat een gebruiker een tabel of weergave kan maken in een bestaand of toekomstig schema in de catalogus.

De gebruiker moet ook de bevoegdheid hebben voor de USE CATALOG bovenliggende catalogus en de bevoegdheid voor het USE SCHEMA bovenliggende schema.

VOLUME MAKEN

Toepasselijke objecttypen: SCHEMA

Hiermee kan een gebruiker een volume in het schema maken. Omdat bevoegdheden worden overgenomen, CREATE VOLUME kunnen ook worden verleend aan een catalogus, waardoor een gebruiker een volume kan maken in een bestaand of toekomstig schema in de catalogus.

De gebruiker moet ook de USE CATALOG bevoegdheid hebben voor de bovenliggende catalogus van het volume en de bevoegdheid voor het USE SCHEMA bovenliggende schema.

UITVOEREN

Toepasselijke objecttypen: FUNCTION, Model

Hiermee kan een gebruiker een door de gebruiker gedefinieerde functie aanroepen of een model laden voor deductie, als de gebruiker ook de bovenliggende catalogus en USE SCHEMA het bovenliggende schema heeftUSE CATALOG. Voor functies EXECUTE verleent u de mogelijkheid om de functiedefinitie en metagegevens weer te geven. Voor geregistreerde modellen EXECUTE verleent u de mogelijkheid om metagegevens voor alle versies van het geregistreerde model weer te geven en modelbestanden te downloaden.

Aangezien bevoegdheden worden overgenomen, kunt u een gebruiker de EXECUTE bevoegdheid verlenen voor een catalogus of schema, waarmee de gebruiker automatisch de EXECUTE bevoegdheid verleent voor alle huidige en toekomstige functies in de catalogus of het schema.

SCHOONRUIMTETAAK UITVOEREN

Toepasselijke objecttypen: CLEAN ROOM

Hiermee kan een gebruiker taken (notebooks) uitvoeren in een schone ruimte. Hiermee kan de gebruiker ook de details van de clean room bekijken.

SCHEMA VOOR EXTERN GEBRUIK

Toepasselijke objecttypen: SCHEMA

Hiermee kan een gebruiker een tijdelijke referentie krijgen om toegang te krijgen tot Unity Catalog-tabellen vanuit een externe verwerkingsengine met behulp van de open API's van Unity Catalog of Iceberg REST API's.

Alleen de cataloguseigenaar kan deze bevoegdheid verlenen.

Om onbedoelde gegevensexfiltratie te voorkomen, ALL PRIVILEGES neemt u de EXTERNAL USE SCHEMA bevoegdheid niet op en hebben schema-eigenaren deze bevoegdheid niet standaard.

Zie Externe toegang tot gegevens in Unity Catalog beheren.

ALLOWLIST BEHEREN

Toepasselijke objecttypen: Unity Catalog-metastore

Hiermee kan een gebruiker paden voor init-scripts, JAR's en Maven-coördinaten toevoegen of wijzigen in de acceptatielijst die clusters met unity-catalogus met gedeelde toegangsmodus beheert. Zie Allowlist-bibliotheken en init-scripts voor gedeelde berekeningen.

MODIFICEREN

Toepasselijke objecttypen: TABLE

Hiermee kan een gebruiker gegevens aan of uit de tabel toevoegen, bijwerken en verwijderen als de gebruiker ook over de tabel beschikt SELECT , evenals USE CATALOG in de bovenliggende catalogus en USE SCHEMA in het bovenliggende schema.

Omdat bevoegdheden worden overgenomen, kunt u een gebruiker de MODIFY bevoegdheid verlenen voor een catalogus of schema, waarmee de gebruiker automatisch de MODIFY bevoegdheid verleent voor alle huidige en toekomstige tabellen in de catalogus of het schema.

SCHONE RUIMTE WIJZIGEN

Toepasselijke objecttypen: CLEAN ROOM

Hiermee kan een gebruiker een schone ruimte bijwerken, waaronder het toevoegen en verwijderen van gegevensassets, het toevoegen en verwijderen van notitieblokken en het bijwerken van opmerkingen. Hiermee kan de gebruiker ook de details van de clean room bekijken.

BESTANDEN LEZEN

Toepasselijke objecttypen: VOLUME, EXTERNAL LOCATION

Hiermee kan een gebruiker bestanden rechtstreeks vanuit uw cloudobjectopslag lezen. Databricks raadt u aan deze bevoegdheid toe te kennen voor volumes en het verlenen op externe locaties voor beperkte gebruiksvoorbeelden. Zie Externe locaties, externe tabellen en externe volumes beheren voor meer informatie.

LEESVOLUME

Toepasselijke objecttypen: VOLUME

Hiermee kan een gebruiker bestanden en mappen lezen die zijn opgeslagen in een volume als de gebruiker ook de bovenliggende catalogus en USE SCHEMA het bovenliggende schema heeftUSE CATALOG.

Bevoegdheden worden overgenomen. Wanneer u een gebruiker de READ VOLUME bevoegdheid voor een catalogus of schema kunt verlenen, verleent u de gebruiker automatisch de READ VOLUME bevoegdheid voor alle huidige en toekomstige volumes in de catalogus of het schema.

REFRESH

Toepasselijke objecttypen: MATERIALIZED VIEW

Hiermee kan een gebruiker een gerealiseerde weergave vernieuwen als de gebruiker ook de bovenliggende catalogus en USE SCHEMA het bovenliggende schema heeftUSE CATALOG.

Bevoegdheden worden overgenomen. Wanneer u de REFRESH bevoegdheid voor een catalogus of schema aan een gebruiker verleent, verleent u de gebruiker automatisch de REFRESH bevoegdheid voor alle huidige en toekomstige gerealiseerde weergaven in de catalogus of het schema.

SELECTEREN

Toepasselijke objecttypen: TABLE, VIEW, MATERIALIZED VIEWSHARE

Als deze wordt toegepast op een tabel of weergave, kan een gebruiker een keuze maken uit de tabel of weergave, als de gebruiker ook de bovenliggende catalogus en USE SCHEMA het bovenliggende schema heeftUSE CATALOG. Als deze wordt toegepast op een share, kan een ontvanger een keuze maken uit de share.

Aangezien bevoegdheden worden overgenomen, kunt u een gebruiker de SELECT bevoegdheid verlenen voor een catalogus of schema, waarmee automatisch de gebruikersbevoegdheden SELECT worden verleend voor alle huidige en toekomstige tabellen en weergaven in de catalogus of het schema.

CATALOGUS GEBRUIKEN

Toepasselijke objecttypen: CATALOG

Deze bevoegdheid verleent geen toegang tot de catalogus zelf, maar is nodig voor een gebruiker om met een object in de catalogus te communiceren. Als u bijvoorbeeld gegevens uit een tabel wilt selecteren, moeten gebruikers beschikken over de SELECT bevoegdheid voor die tabel en bevoegdheden voor de bovenliggende catalogus, USE CATALOG evenals USE SCHEMA bevoegdheden voor het bovenliggende schema.

Dit is handig voor het toestaan van cataloguseigenaren om te beperken hoe ver afzonderlijke schema- en tabeleigenaren gegevens kunnen delen die ze produceren. Een eigenaar van een tabel die aan een andere gebruiker verleent SELECT , staat bijvoorbeeld niet toe dat de gebruiker leestoegang tot de tabel krijgt, tenzij deze ook bevoegdheden heeft gekregen USE CATALOG voor de bovenliggende catalogus en USE SCHEMA bevoegdheden voor het bovenliggende schema.

De USE CATALOG bevoegdheid voor de bovenliggende catalogus is niet vereist om de metagegevens van een object te lezen als de gebruiker de BROWSE bevoegdheid voor die catalogus heeft.

VERBINDING GEBRUIKEN

Toepasselijke objecttypen: CONNECTION

Hiermee kan een gebruiker details weergeven en weergeven over verbindingen met een externe database in een Lakehouse Federation-scenario. Als u refererende catalogi wilt maken voor een verbinding, moet CREATE FOREIGN CATALOG u beschikken over de verbinding of het eigendom van de verbinding.

SCHEMA GEBRUIKEN

Toepasselijke objecttypen: SCHEMA

Deze bevoegdheid verleent geen toegang tot het schema zelf, maar is nodig voor een gebruiker om met een object in het schema te communiceren. Als u bijvoorbeeld gegevens uit een tabel wilt selecteren, moeten gebruikers beschikken over de SELECT bevoegdheid voor die tabel en USE SCHEMA in het bovenliggende schema en USE CATALOG in de bovenliggende catalogus.

Omdat bevoegdheden worden overgenomen, kunt u een gebruiker de USE SCHEMA bevoegdheid verlenen voor een catalogus, waarmee de gebruiker automatisch de USE SCHEMA bevoegdheid verleent voor alle huidige en toekomstige schema's in de catalogus.

De USE SCHEMA bevoegdheid voor het bovenliggende schema is niet vereist om de metagegevens van een object te lezen als de gebruiker de bevoegdheid voor dat schema of de BROWSE bovenliggende catalogus heeft.

BESTANDEN SCHRIJVEN

Toepasselijke objecttypen: VOLUME,EXTERNAL LOCATION

Hiermee kan een gebruiker bestanden rechtstreeks naar uw cloudobjectopslag schrijven. Databricks raadt aan deze bevoegdheid toe te kennen aan volumes. Ververleent deze bevoegdheid spaarzaam op externe locaties. Zie Externe locaties, externe tabellen en externe volumes beheren voor meer informatie.

VOLUME SCHRIJVEN

Toepasselijke objecttypen: VOLUME

Hiermee kan een gebruiker bestanden en mappen die zijn opgeslagen in een volume toevoegen, verwijderen of wijzigen als de gebruiker ook de bovenliggende catalogus en USE SCHEMA het bovenliggende schema heeftUSE CATALOG.

Bevoegdheden worden overgenomen. Wanneer u een gebruiker de WRITE VOLUME bevoegdheid voor een catalogus of schema kunt verlenen, verleent u de gebruiker automatisch de WRITE VOLUME bevoegdheid voor alle huidige en toekomstige volumes in de catalogus of het schema.

Bevoegdheidstypen die alleen van toepassing zijn op Delta Sharing of Databricks Marketplace

In deze sectie vindt u informatie over de bevoegdheidstypen die alleen van toepassing zijn op Delta Sharing.

CREATE PROVIDER

Toepasselijke objecttypen: Unity Catalog-metastore

Hiermee kan een gebruiker een Delta Sharing-providerobject maken in de metastore. Een provider identificeert een organisatie of groep gebruikers die gedeelde gegevens hebben met behulp van Delta Sharing. Het maken van een provider wordt uitgevoerd door een gebruiker in het Databricks-account van de ontvanger. Zie Wat is Delta Sharing?

GEADRESSEERDE MAKEN

Toepasselijke objecttypen: Unity Catalog-metastore

Hiermee kan een gebruiker een ontvangerobject voor Delta Sharing maken in de metastore. Een ontvanger identificeert een organisatie of groep gebruikers die gegevens met hen kunnen delen met behulp van Delta Sharing. Het maken van geadresseerden wordt uitgevoerd door een gebruiker in het Databricks-account van de provider. Zie Wat is Delta Sharing?

SHARE MAKEN

Toepasselijke objecttypen: Unity Catalog-metastore

Hiermee kan een gebruiker een share maken in de metastore. Een share is een logische groepering voor de tabellen die u wilt delen met Delta Sharing

SHARE-MACHTIGING INSTELLEN

Toepasselijke objecttypen: Unity Catalog-metastore

In Delta Sharing biedt deze bevoegdheid, gecombineerd met USE SHARE en USE RECIPIENT (of eigendom van geadresseerde), een providergebruiker de mogelijkheid om een ontvanger toegang te verlenen tot een share. In combinatie met USE SHARE, biedt het de mogelijkheid om het eigendom van een share over te dragen aan een andere gebruiker, groep of service-principal.

MARKETPLACE-ASSETS GEBRUIKEN

Toepasselijke objecttypen: Unity Catalog-metastore

Standaard ingeschakeld voor alle Unity Catalog-metastores. In Databricks Marketplace biedt deze bevoegdheid een gebruiker de mogelijkheid om direct toegang te krijgen of toegang te vragen tot gegevensproducten die worden gedeeld in een Marketplace-vermelding. Hiermee heeft een gebruiker ook toegang tot de catalogus met het kenmerk Alleen-lezen die wordt gemaakt wanneer een provider een gegevensproduct deelt. Zonder deze bevoegdheid heeft de gebruiker de CREATE CATALOG en bevoegdheden of USE PROVIDER de beheerdersrol metastore nodig. Hiermee kunt u het aantal gebruikers met deze krachtige machtigingen beperken.

PROVIDER GEBRUIKEN

Toepasselijke objecttypen: Unity Catalog-metastore

In Delta Sharing heeft een geadresseerde alleen-lezentoegang tot alle providers in een metastore met geadresseerden en hun shares. In combinatie met de CREATE CATALOG bevoegdheid kan een geadresseerde die geen metastore-beheerder is een share koppelen als catalogus. Hiermee kunt u het aantal gebruikers met de krachtige metastore-beheerdersrol beperken.

GEADRESSEERDE GEBRUIKEN

Toepasselijke objecttypen: Unity Catalog-metastore

In Delta Sharing heeft een provider alleen-lezentoegang tot alle ontvangers in een metastore van een provider en hun shares. Hiermee kan een providergebruiker die geen metastore-beheerder is, de details van de geadresseerde, de verificatiestatus van geadresseerden en de lijst met shares bekijken die de provider heeft gedeeld met de ontvanger.

In Databricks Marketplace biedt dit providergebruikers de mogelijkheid om vermeldingen en consumentenaanvragen weer te geven in de Provider-console.

SHARE GEBRUIKEN

Toepasselijke objecttypen: Unity Catalog-metastore

In Delta Sharing krijgt een provider alleen-lezentoegang tot alle shares die zijn gedefinieerd in een provider-metastore. Hiermee kan een providergebruiker die geen metastore-beheerder is, shares vermelden en de assets (tabellen en notitieblokken) in een share vermelden, samen met de ontvangers van de share.

In Databricks Marketplace biedt dit providergebruikers de mogelijkheid om details te bekijken over de gegevens die in een vermelding worden gedeeld.