Uprawnienia administratora w wykazie aparatu Unity
W tym artykule opisano uprawnienia administratora konta usługi Azure Databricks, administratorów obszaru roboczego i administratorów magazynu metadanych na potrzeby zarządzania wykazem aparatu Unity.
Uwaga
Jeśli obszar roboczy został włączony automatycznie dla wykazu aparatu Unity, administratorzy obszaru roboczego mają domyślne uprawnienia do dołączonego magazynu metadanych i wykazu obszarów roboczych, jeśli został aprowizowany wykaz obszarów roboczych. Zobacz Uprawnienia administratora obszaru roboczego, gdy obszary robocze są włączone automatycznie dla wykazu aparatu Unity.
Administratorzy magazynu metadanych
Administrator magazynu metadanych jest opcjonalnym, ale wysoce uprzywilejowanym użytkownikiem lub grupą w wykazie aparatu Unity. Administratorzy magazynu metadanych domyślnie mają następujące uprawnienia do magazynu metadanych:
CREATE CATALOG
: umożliwia użytkownikowi tworzenie katalogów w magazynie metadanych .CREATE CLEAN ROOM
: umożliwia użytkownikowi utworzenie czystego miejsca do bezpiecznego współpracy nad projektami z innymi organizacjami bez udostępniania danych bazowych.CREATE CONNECTION
: umożliwia użytkownikowi utworzenie połączenia z zewnętrzną bazą danych w scenariuszu federacji usługi Lakehouse.CREATE EXTERNAL LOCATION
: umożliwia użytkownikowi tworzenie lokalizacji zewnętrznych.CREATE SERVICE CREDENTIAL
: umożliwia użytkownikowi tworzenie poświadczeń usługi.CREATE STORAGE CREDENTIAL
: umożliwia użytkownikowi tworzenie poświadczeń magazynu.CREATE FOREIGN CATALOG
: umożliwia użytkownikowi tworzenie katalogów obcych przy użyciu połączenia z zewnętrzną bazą danych w scenariuszu federacji usługi Lakehouse.CREATE SHARE
: umożliwia użytkownikowi dostawcy danych utworzenie udziału w funkcji udostępniania różnicowego.CREATE RECIPIENT
: umożliwia użytkownikowi dostawcy danych utworzenie adresata w funkcji udostępniania różnicowego.CREATE PROVIDER
: umożliwia użytkownikowi odbiorcy danych utworzenie dostawcy w funkcji udostępniania różnicowego.CREATE MATERIALIZED VIEW
: umożliwia użytkownikowi tworzenie zmaterializowanych widoków.MANAGE ALLOWLIST
: umożliwia użytkownikowi aktualizowanie list dozwolonych, które zarządzają dostępem klastra do skryptów i bibliotek inicjowania.
Administratorzy magazynu metadanych są również właścicielami magazynu metadanych, który przyznaje im następujące uprawnienia:
Zarządzaj uprawnieniami lub przenoszeniem własności dowolnego obiektu w magazynie metadanych, w tym poświadczeniami magazynu, lokalizacjami zewnętrznymi, połączeniami, udziałami, adresatami i dostawcami.
Przyznaj sobie dostęp do odczytu i zapisu do dowolnych danych w magazynie metadanych.
Administratorzy magazynu metadanych mają tę możliwość pośrednio poprzez możliwość przeniesienia własności wszystkich obiektów. Domyślnie nie ma bezpośredniego dostępu. Przyznawanie uprawnień jest rejestrowane przez inspekcję.
Odczytywanie i aktualizowanie metadanych wszystkich obiektów w magazynie metadanych.
Usuwanie magazynu metadanych.
Administratorzy magazynu metadanych są jedynymi użytkownikami, którzy mogą udzielać uprawnień w samym magazynie metadanych.
Ponieważ administratorzy magazynu metadanych są jedynymi użytkownikami, którzy mają te uprawnienia, musisz przypisać administratora magazynu metadanych, jeśli chcesz użyć dowolnej z następujących funkcji:
- Zmiana własności katalogów po opuszczeniu firmy przez kogoś.
- Zarządzaj uprawnieniami i deleguj je do skryptu inicjowania i listy dozwolonych plików jar.
- Deleguj możliwość tworzenia katalogów i innych uprawnień najwyższego poziomu do administratorów innych niż obszary robocze.
- Odbieranie udostępnionych danych za pośrednictwem funkcji Udostępniania różnicowego.
- Usuń domyślne uprawnienia administratora obszaru roboczego.
- Dodaj magazyn zarządzany do magazynu metadanych, jeśli nie ma go. Zobacz Dodawanie magazynu zarządzanego do istniejącego magazynu metadanych.
Kto ma początkowe uprawnienia administratora magazynu metadanych?
Jeśli administrator konta ręcznie utworzy magazyn metadanych, administrator tego konta jest początkowym właścicielem magazynu metadanych i administratorem magazynu metadanych. Wszystkie magazyny metadanych utworzone przed 9 listopada 2023 r. zostały utworzone ręcznie przez administratora konta.
Jeśli magazyn metadanych został aprowizowany w ramach automatycznego włączania wykazu aparatu Unity, magazyn metadanych został utworzony bez administratora magazynu metadanych. Administratorzy obszaru roboczego w takim przypadku mają automatycznie przyznane uprawnienia, które sprawiają, że administrator magazynu metadanych jest opcjonalny. W razie potrzeby administratorzy kont mogą przypisać rolę administratora magazynu metadanych do użytkownika, jednostki usługi lub grupy. Zdecydowanie zalecane są grupy. Patrz Automatyczne włączanie wykazu Unity.
Przypisywanie administratora magazynu metadanych
Administrator magazynu metadanych jest wysoce uprzywilejowaną rolą, którą należy dokładnie rozpowszechniać. Jest to pozycja opcjonalna.
Administratorzy konta mogą przypisać rolę administratora magazynu metadanych. Usługa Databricks zaleca nominowanie grupy jako administratora magazynu metadanych. Dzięki temu każdy członek grupy jest automatycznie administratorem magazynu metadanych.
Aby przypisać rolę administratora magazynu metadanych do grupy:
- Jako administrator konta zaloguj się do konsoli konta.
- Kliknij pozycję Wykaz.
- Kliknij nazwę magazynu metadanych, aby otworzyć jego właściwości.
- W obszarze Administrator magazynu metadanych kliknij pozycję Edytuj.
- Wybierz grupę z listy rozwijanej. Możesz wprowadzić tekst w polu, aby wyszukać opcje.
- Kliknij przycisk Zapisz.
Ważne
Może upłynąć do 30 sekund, zanim zmiana przypisania administratora magazynu metadanych zostanie odzwierciedlona na Twoim koncie, a zastosowanie niektórych obszarów roboczych w niektórych obszarach roboczych może potrwać dłużej. To opóźnienie jest spowodowane protokołami buforowania.
Administratorzy konta
Administrator konta to wysoce uprzywilejowana rola, którą należy dokładnie rozpowszechniać. Administratorzy konta mają następujące uprawnienia:
- Może tworzyć magazyny metadanych i domyślnie stać się początkowym administratorem magazynu metadanych.
- Może łączyć magazyny metadanych z obszarami roboczymi.
- Może przypisać rolę administratora magazynu metadanych.
- Może udzielać uprawnień w magazynach metadanych.
- Może włączyć udostępnianie różnicowe dla magazynu metadanych.
- Może skonfigurować poświadczenia magazynu.
- Może włączyć tabele systemowe i delegować do nich dostęp.
Aby ustanowić pierwszego administratora konta usługi Azure Databricks, zobacz Ustanawianie pierwszego administratora konta.
Administratorzy obszaru roboczego
Administrator obszaru roboczego to wysoce uprzywilejowana rola, którą należy dokładnie dystrybuować. Administratorzy obszaru roboczego mają następujące uprawnienia:
- Mogą dodawać użytkowników, jednostki usługi i grupy do obszaru roboczego.
- Mogą delegować innych administratorów obszaru roboczego.
- Mogą zarządzać własnością zadań. Zobacz Kontrola dostępu do zadania.
- Może zarządzać ustawieniem Uruchom jako zadania. Zobacz Konfigurowanie tożsamości dla przebiegów zadań.
- Może wyświetlać notesy, pulpity nawigacyjne, zapytania i inne obiekty obszaru roboczego oraz zarządzać nimi. Zobacz Listy kontroli dostępu.
Administratorzy konta mogą ograniczyć uprawnienia administratora obszaru roboczego RestrictWorkspaceAdmins
przy użyciu ustawienia . Zobacz Ograniczanie administratorów obszaru roboczego.
Uprawnienia administratora obszaru roboczego, gdy obszary robocze są automatycznie włączone dla wykazu aparatu Unity
Jeśli obszar roboczy został włączony automatycznie dla wykazu aparatu Unity, obszar roboczy jest domyślnie dołączony do magazynu metadanych. Aby uzyskać więcej informacji, zobacz Automatyczne włączanie wykazu aparatu Unity.
Jeśli obszar roboczy został automatycznie włączony dla wykazu aparatu Unity, administratorzy obszaru roboczego domyślnie mają następujące uprawnienia do dołączonego magazynu metadanych:
CREATE CATALOG
CREATE CLEAN ROOM
CREATE EXTERNAL LOCATION
CREATE SERVICE CREDENTIAL
CREATE STORAGE CREDENTIAL
CREATE CONNECTION
CREATE SHARE
CREATE RECIPIENT
CREATE PROVIDER
CREATE MATERIALIZED VIEW
Administratorzy obszaru roboczego są domyślnymi właścicielami wykazu obszarów roboczych, jeśli dla obszaru roboczego zainicjowano obsługę administracyjną wykazu obszarów roboczych. Własność tego wykazu przyznaje następujące uprawnienia:
Zarządzanie uprawnieniami dla dowolnego obiektu w wykazie obszarów roboczych lub przenoszenie ich własności.
Obejmuje to możliwość udzielenia sobie dostępu do odczytu i zapisu do wszystkich danych w wykazie (domyślnie nie ma bezpośredniego dostępu; przyznawanie uprawnień jest rejestrowane w trybie inspekcji).
Przenoszenie własności samego katalogu obszarów roboczych.
Wszyscy użytkownicy obszaru roboczego otrzymają USE CATALOG
uprawnienia w katalogu obszarów roboczych. Użytkownicy obszaru roboczego otrzymają USE SCHEMA
również uprawnienia , CREATE TABLE
, CREATE VOLUME
CREATE MODEL
, CREATE FUNCTION
i CREATE MATERIALIZED VIEW
w default
schemacie w wykazie.
Uwaga
Domyślne uprawnienia przyznane w dołączonym magazynie metadanych i wykazie obszarów roboczych nie są zachowywane w obszarach roboczych (jeśli na przykład wykaz obszarów roboczych jest również powiązany z innym obszarem roboczym).