Uprawnienia administratora w Unity Catalog

W tym artykule opisano uprawnienia administratora konta usługi Azure Databricks, administratorów obszaru roboczego i administratorów magazynu metadanych na potrzeby zarządzania platformą Unity Catalog.

Uwaga

Jeśli obszar roboczy został włączony automatycznie dla środowiska Unity Catalog, administratorzy mają domyślne uprawnienia do dołączonego magazynu metadanych oraz obszar roboczy catalog, o ile obszar roboczy catalog został aprowizowany. Zobacz uprawnienia administratora obszaru roboczego , gdy obszary robocze są włączone dla środowiska Unity Catalog automatycznie.

Administratorzy magazynu metadanych

Administrator magazynu metadanych jest opcjonalnym, ale wysoce uprzywilejowanym użytkownikiem lub grupą w środowisku Unity Catalog. Administratorzy magazynu metadanych domyślnie mają następujące uprawnienia do magazynu metadanych:

• CREATE CATALOG: umożliwia użytkownikowi tworzenie catalogs w magazynie metadanych.

• CREATE CLEAN ROOM: umożliwia użytkownikowi utworzenie czystego miejsca do bezpiecznego współpracy nad projektami z innymi organizacjami bez udostępniania danych bazowych.

• CREATE CONNECTION: umożliwia użytkownikowi utworzenie połączenia z zewnętrzną bazą danych w scenariuszu federacji usługi Lakehouse.

• CREATE EXTERNAL LOCATION: umożliwia użytkownikowi tworzenie lokalizacji zewnętrznych.

• CREATE SERVICE CREDENTIAL: umożliwia użytkownikowi tworzenie usługi credentials.

• CREATE STORAGE CREDENTIAL: umożliwia użytkownikowi utworzenie pamięci masowej credentials.

• CREATE FOREIGN CATALOG: umożliwia użytkownikowi tworzenie zewnętrznych catalogs przy użyciu połączenia z zewnętrzną bazą danych w scenariuszu federacji Lakehouse.

• CREATE SHARE: umożliwia użytkownikowi dostawcy danych utworzenie udziału w funkcji udostępniania różnicowego.

• CREATE RECIPIENT: umożliwia użytkownikowi dostawcy danych utworzenie adresata w funkcji udostępniania różnicowego.

• CREATE PROVIDER: umożliwia użytkownikowi odbiorcy danych utworzenie dostawcy w funkcji udostępniania różnicowego.

• CREATE MATERIALIZED VIEW: umożliwia użytkownikowi tworzenie zmaterializowanych views.

• MANAGE ALLOWLIST: pozwala użytkownikowi na update listy dozwolone, które zarządzają dostępem klastra do skryptów i bibliotek inicjowania.

Administratorzy magazynu metadanych są również właścicielami magazynu metadanych, który przyznaje im następujące uprawnienia:

• Zarządzaj uprawnieniami lub przenoś własność dowolnego obiektu wewnątrz metastore, łącznie z magazynem credentials, lokalizacjami zewnętrznymi, connections, shares, recipientsi providers.

• Grant sami mają dostęp do odczytu i zapisu do dowolnych danych w magazynie metadanych.

  Administratorzy magazynu metadanych mają tę możliwość pośrednio poprzez możliwość przeniesienia własności wszystkich obiektów. Domyślnie nie ma bezpośredniego dostępu. Przyznawanie uprawnień jest rejestrowane przez inspekcję.

• Odczytywanie i update metadanych wszystkich obiektów w magazynie metadanych.

• Usuwanie magazynu metadanych.

Administratorzy magazynu metadanych są jedynymi użytkownikami, którzy mogą grant uprawnienia do samego magazynu metadanych.

Ponieważ administratorzy magazynu metadanych są jedynymi użytkownikami, którzy mają te uprawnienia, musisz przypisać administratora magazynu metadanych, jeśli chcesz użyć dowolnej z następujących funkcji:

• Zmień posiadanie związane z catalogs po odejściu z firmy.
• Zarządzaj uprawnieniami i deleguj je do skryptu inicjowania i listy dozwolonych plików jar.
• Deleguj możliwość tworzenia catalogs i innych uprawnień najwyższego poziomu dla osób, które nie są administratorami obszarów roboczych.
• Odbieranie udostępnionych danych za pośrednictwem funkcji Udostępniania różnicowego.
• Remove domyślne uprawnienia administratora obszaru roboczego.
• Dodaj magazyn zarządzany do magazynu metadanych, jeśli nie ma go. Zobacz Dodawanie magazynu zarządzanego do istniejącego magazynu metadanych.

Kto ma początkowe uprawnienia administratora magazynu metadanych?

Jeśli administrator konta ręcznie utworzy magazyn metadanych, administrator tego konta jest początkowym właścicielem magazynu metadanych i administratorem magazynu metadanych. Wszystkie metastores utworzone przed 9 listopada 2023 r. zostały utworzone ręcznie przez administratora konta.

Jeśli magazyn metadanych został aprowizowany w ramach automatycznego włączania Unity Catalog, magazyn metadanych został utworzony bez administratora magazynu metadanych. W takim przypadku administratorzy obszaru roboczego mają automatycznie przyznane uprawnienia, które sprawiają, że administrator magazynu metadanych jest opcjonalny. W razie potrzeby administratorzy kont mogą przypisać rolę administratora magazynu metadanych do użytkownika, jednostki usługi lub grupy. Zdecydowanie zalecane są grupy. Zobacz Automatyczne włączenie Unity Catalog.

Przypisywanie administratora magazynu metadanych

Administrator magazynu metadanych jest wysoce uprzywilejowaną rolą, którą należy dokładnie rozpowszechniać. Jest to pozycja opcjonalna.

Administratorzy konta mogą przypisać rolę administratora magazynu metadanych. Usługa Databricks zaleca nominowanie grupy jako administratora magazynu metadanych. Dzięki temu każdy członek grupy jest automatycznie administratorem magazynu metadanych.

Aby przypisać rolę administratora magazynu metadanych do grupy:

1. Jako administrator konta zaloguj się do konsoli konta.
2. Kliknij ikonę Catalog.
3. Kliknij nazwę magazynu metadanych, aby otworzyć jego właściwości.
4. W obszarze Administrator magazynu metadanych kliknij pozycję Edytuj.
5. Select grupę z listy rozwijanej. Możesz wprowadzić tekst w polu, aby wyszukać opcje.
6. Kliknij przycisk Zapisz.

Ważne

Może upłynąć do 30 sekund, zanim zmiana przypisania administratora magazynu metadanych zostanie odzwierciedlona na Twoim koncie, a zastosowanie niektórych obszarów roboczych w niektórych obszarach roboczych może potrwać dłużej. To opóźnienie jest spowodowane protokołami buforowania.

Administratorzy konta

Administrator konta to wysoce uprzywilejowana rola, którą należy dokładnie rozpowszechniać. Administratorzy konta mają następujące uprawnienia:

• Może utworzyć metastores, a domyślnie staje się początkowym administratorem magazynu metadanych.
• Może łączyć metastores z obszarami roboczymi.
• Może przypisać rolę administratora magazynu metadanych.
• Może uzyskać uprawnienia grant w usłudze metastores.
• Może włączyć udostępnianie różnicowe dla magazynu metadanych.
• Można skonfigurować pamięć masową credentials.
• Może włączyć system tables i delegować do niego dostęp.

Aby ustanowić pierwszego administratora konta usługi Azure Databricks, zobacz Ustanawianie pierwszego administratora konta.

Administratorzy obszaru roboczego

Administrator obszaru roboczego to wysoce uprzywilejowana rola, którą należy dokładnie dystrybuować. Administratorzy obszaru roboczego mają następujące uprawnienia:

• Mogą dodawać użytkowników, jednostki usługi i grupy do obszaru roboczego.
• Mogą delegować innych administratorów obszaru roboczego.
• Mogą zarządzać własnością zadań. Zobacz Kontrola dostępu do zadania.
• Może zarządzać ustawieniem Uruchom jako zadania. Zobacz Konfigurowanie tożsamości dla przebiegów zadań.
• Może wyświetlać notesy, pulpity nawigacyjne, zapytania i inne obiekty obszaru roboczego oraz zarządzać nimi. Zobacz Listy kontroli dostępu.

Administratorzy konta mogą ograniczyć uprawnienia administratora obszaru roboczego RestrictWorkspaceAdmins przy użyciu ustawienia . Zobacz Ograniczanie administratorów obszaru roboczego.

uprawnienia administratora obszaru roboczego, gdy obszary robocze są włączone dla środowiska Unity Catalog automatycznie

Jeśli obszar roboczy został włączony dla środowiska Unity Catalog automatycznie, obszar roboczy jest domyślnie dołączony do magazynu metadanych. Aby uzyskać więcej informacji, zobacz Automatyczne włączanie Unity Catalog.

Jeśli Twój obszar roboczy został automatycznie włączony dla silnika Unity Catalog, administratorzy obszaru roboczego mają domyślnie następujące uprawnienia w załączonym repozytorium metadanych:

• CREATE CATALOG

• CREATE CLEAN ROOM

• CREATE EXTERNAL LOCATION

• CREATE SERVICE CREDENTIAL

• CREATE STORAGE CREDENTIAL

• CREATE CONNECTION

• CREATE SHARE

• CREATE RECIPIENT

• CREATE PROVIDER

• CREATE MATERIALIZED VIEW

Administratorzy są domyślnymi właścicielami obszaru roboczego catalog, jeśli obszar roboczy catalog został przygotowany dla niego. Własność tego catalog przyznaje następujące uprawnienia:

• Zarządzaj uprawnieniami dla dowolnego obiektu w obszarze roboczym cataloglub przenieś jego własność.

  Obejmuje to możliwość grant sobie dostępu do odczytu i zapisu do wszystkich danych w catalog (domyślnie nie ma bezpośredniego dostępu; przyznawanie uprawnień jest rejestrowane przez inspekcję).

• Przenieś własność obszaru roboczego catalog.

Wszyscy użytkownicy obszaru roboczego otrzymują uprawnienia USE CATALOG w obszarze roboczym catalog. Użytkownicy obszaru roboczego otrzymują również uprawnienia USE SCHEMA, CREATE TABLE, CREATE VOLUME, CREATE MODEL, CREATE FUNCTIONi CREATE MATERIALIZED VIEW do defaultschema w catalog.

Uwaga

Domyślne uprawnienia przyznane w dołączonym metastore i obszarze roboczym catalog nie są zachowywane w obszarach roboczych (na przykład, jeśli obszar roboczy catalog jest również powiązany z innym obszarem roboczym).