Bevoegdheden en beveiligbare objecten in Unity Catalog
Van toepassing op:
Databricks SQL Databricks Runtime Unity Catalog alleen
Een bevoegdheid is een recht dat aan een principal wordt verleend om te werken op een beveiligbaar object in de metastore. Het bevoegdheidsmodel en beveiligbare objecten verschillen, afhankelijk van of u een Unity-Catalog metastore of de verouderde Hive-metastore gebruikt. In dit artikel wordt het bevoegdheidsmodel voor Unity Catalogbeschreven. Als u de Hive-metastore gebruikt, raadpleegt u Bevoegdheden en beveiligbare objecten in de Hive-metastore.
Zie Bevoegdheden beheren in Unity Catalogvoor gedetailleerde informatie over het beheren van bevoegdheden in Unity Catalog.
Notitie
Dit artikel verwijst naar het Unity-Catalog-bevoegdheden en overnamemodel in Privilege Model versie 1.0. Als u uw Unity-Catalog metastore hebt gemaakt tijdens de openbare preview (vóór 25 augustus 2022), hebt u mogelijk een eerder privilegemodel dat het huidige overnamemodel niet ondersteunt. U kunt upgraden naar Privilege Model versie 1.0 naar get overname van bevoegdheden. Zie Upgraden naar overname van bevoegdheden.
Beveiligbare objecten
Een beveiligbaar object is een object dat is gedefinieerd in de Unity Catalog metastore waarop bevoegdheden kunnen worden verleend aan een principal. Zie Unity Catalog bevoegdheden en beveiligbare objectenvoor een volledige list van Unity Catalog beveiligbare objecten.
Als u bevoegdheden voor een object wilt beheren, moet u de eigenaar zijn of de MANAGE-bevoegdheid voor het object hebben, evenals USE CATALOG voor het bovenliggende catalog en USE SCHEMA voor het bovenliggende schema.
Syntaxis
securable_object
{ CATALOG [ catalog_name ] |
CONNECTION connection_name |
CLEAN ROOM clean_room_name |
EXTERNAL LOCATION location_name |
FUNCTION function_name |
METASTORE |
SCHEMA schema_name |
SHARE share_name |
[ STORAGE | SERVICE ] CREDENTIAL credential_name |
[ TABLE ] table_name |
MATERIALIZED VIEW view_name |
VIEW view_name |
VOLUME volume_name
}
U kunt ook opgeven SERVER in plaats van CONNECTION en DATABASE in plaats van SCHEMA.
Parameters
CATALOGcatalog_nameHiermee bepaalt u de toegang tot de volledige gegevens catalog.
CLEAN ROOMclean_room_nameHiermee bepaalt u de toegang tot een schone kamer.
CONNECTIONconnection_nameHiermee bepaalt u de toegang tot de verbinding.
EXTERNAL LOCATIONlocation_nameHiermee beheert u de toegang tot een externe locatie.
FUNCTIONfunction_nameHiermee bepaalt u de toegang tot een door de gebruiker gedefinieerde functie of een MLflow-geregistreerd model.
MATERIALIZED VIEWview_nameHiermee bepaalt u de toegang tot een gerealiseerde weergave.
METASTOREHiermee beheert u de toegang tot de Unity-Catalog metastore die is gekoppeld aan de werkruimte. Wanneer u bevoegdheden voor een metastore beheert, neemt u de naam van de metastore niet op in een SQL-opdracht. Unity Cataloggrant of revoke de bevoegdheid voor de metastore die aan uw werkruimte is gekoppeld.
SCHEMAschema_nameHiermee controleert u de toegang tot een schema.
[ STORAGE | SERVICE ] CREDENTIALcredential_nameHiermee bepaalt u de toegang tot een referentie.
De trefwoorden
STORAGEenSERVICE( Databricks Runtime 15.4 en hoger) zijn optioneel.SHAREshare_nameHiermee bepaalt u de toegang tot een share voor een geadresseerde.
TABLEtable_nameControleert de toegang tot een beheerd of extern table. Als de table niet kan worden gevonden, genereert Azure Databricks een TABLE_OR_VIEW_NOT_FOUND fout.
VIEWview_nameHiermee bepaalt u de toegang tot een weergave. Als de weergave niet kan worden gevonden, wordt er een TABLE_OR_VIEW_NOT_FOUND fout gegenereerd in Azure Databricks.
VOLUMEvolume_nameHiermee bepaalt u de toegang tot een volume. Als het volume niet kan worden gevonden, treedt er een fout op in Azure Databricks.
Typen bevoegdheden
Zie Unity Catalog-bevoegdheden en beveiligbare objectenvoor een list van typen bevoegdheden.
Voorbeelden
-- Grant a privilege to the user alf@melmak.et
> GRANT SELECT ON TABLE t TO `alf@melmak.et`;
-- Revoke a privilege from the general public group.
> REVOKE USE SCHEMA ON SCHEMA some_schema FROM `alf@melmak.et`;