Bevoegdheden en beveiligbare objecten in Unity Catalog
Van toepassing op:
Databricks SQL Databricks Runtime Unity Catalog alleen
Een bevoegdheid is een recht dat aan een principal wordt verleend om te werken op een beveiligbaar object in de metastore. Het bevoegdheidsmodel en beveiligbare objecten verschillen, afhankelijk van of u een Unity Catalog-metastore of de verouderde Hive-metastore gebruikt. In dit artikel wordt het bevoegdheidsmodel voor Unity Catalog beschreven. Als u de Hive-metastore gebruikt, raadpleegt u Bevoegdheden en beveiligbare objecten in de Hive-metastore.
Zie Bevoegdheden beheren in Unity Catalogvoor gedetailleerde informatie over het beheren van bevoegdheden in Unity Catalog.
Notitie
Dit artikel verwijst naar de Unity Catalog-bevoegdheden en overnamemodel in Privilege Model versie 1.0. Als u uw Unity Catalog-metastore hebt gemaakt tijdens de openbare preview (vóór 25 augustus 2022), bevindt u zich mogelijk in een eerder privilegemodel dat het huidige overnamemodel niet ondersteunt. U kunt upgraden naar Privilege Model versie 1.0 om overname van bevoegdheden op te halen. Zie Upgraden naar overname van bevoegdheden.
Beveiligbare objecten
Een beveiligbaar object is een object dat is gedefinieerd in de Unity Catalog-metastore waarop bevoegdheden kunnen worden verleend aan een principal. Zie Unity Catalog-bevoegdheden en beveiligbare objectenvoor een volledige lijst met beveiligbare objecten in Unity Catalog en de bevoegdheden die op deze objecten kunnen worden verleend.
Als u bevoegdheden voor een object wilt beheren, moet u de eigenaar zijn of de bevoegdheid MANAGE voor het object hebben, evenals USE CATALOG in de bovenliggende catalogus van het object en USE SCHEMA op het bovenliggende schema.
Syntaxis
securable_object
{ CATALOG [ catalog_name ] |
CONNECTION connection_name |
CLEAN ROOM clean_room_name |
EXTERNAL LOCATION location_name |
FUNCTION function_name |
METASTORE |
SCHEMA schema_name |
SHARE share_name |
[ STORAGE | SERVICE ] CREDENTIAL credential_name |
[ TABLE ] table_name |
MATERIALIZED VIEW view_name |
VIEW view_name |
VOLUME volume_name
}
U kunt ook opgeven SERVER in plaats van CONNECTION en DATABASE in plaats van SCHEMA.
Parameters
CATALOGcatalog_nameHiermee bepaalt u de toegang tot de volledige gegevenscatalogus.
CLEAN ROOMclean_room_nameHiermee bepaalt u de toegang tot een schone kamer.
CONNECTIONconnection_nameHiermee bepaalt u de toegang tot de verbinding.
EXTERNAL LOCATIONlocation_nameHiermee beheert u de toegang tot een externe locatie.
FUNCTIONfunction_nameHiermee bepaalt u de toegang tot een door de gebruiker gedefinieerde functie of een MLflow-geregistreerd model.
MATERIALIZED VIEWview_nameHiermee bepaalt u de toegang tot een gerealiseerde weergave.
METASTOREHiermee bepaalt u de toegang tot de Unity Catalog-metastore die is gekoppeld aan de werkruimte. Wanneer u bevoegdheden voor een metastore beheert, neemt u de naam van de metastore niet op in een SQL-opdracht. Unity Catalog verleent of trekt de bevoegdheid in voor de metastore die aan uw werkruimte is gekoppeld.
SCHEMAschema_nameHiermee beheert u de toegang tot een schema.
[ STORAGE | SERVICE ] CREDENTIALcredential_nameHiermee bepaalt u de toegang tot een referentie.
De trefwoorden
STORAGEenSERVICE( Databricks Runtime 15.4 en hoger) zijn optioneel.SHAREshare_nameHiermee bepaalt u de toegang tot een share voor een geadresseerde.
TABLEtable_nameHiermee bepaalt u de toegang tot een beheerde of externe tabel. Als de tabel niet kan worden gevonden, genereert Azure Databricks een TABLE_OR_VIEW_NOT_FOUND-fout.
VIEWview_nameHiermee bepaalt u de toegang tot een weergave. Als de weergave niet kan worden gevonden, wordt er een TABLE_OR_VIEW_NOT_FOUND fout gegenereerd in Azure Databricks.
VOLUMEvolume_nameHiermee bepaalt u de toegang tot een volume. Als het volume niet kan worden gevonden, treedt er een fout op in Azure Databricks.
Typen bevoegdheden
Zie Unity Catalog-bevoegdheden en beveiligbare objectenvoor een lijst met typen bevoegdheden.
Voorbeelden
-- Grant a privilege to the user alf@melmak.et
> GRANT SELECT ON TABLE t TO `alf@melmak.et`;
-- Revoke a privilege from the general public group.
> REVOKE USE SCHEMA ON SCHEMA some_schema FROM `alf@melmak.et`;