Udostępnij za pośrednictwem


Uprawnienia administratora w wykazie aparatu Unity

W tym artykule opisano uprawnienia administratora konta usługi Azure Databricks, administratorów obszaru roboczego i administratorów magazynu metadanych na potrzeby zarządzania wykazem aparatu Unity.

Uwaga

Jeśli obszar roboczy został włączony automatycznie dla wykazu aparatu Unity, administratorzy obszaru roboczego mają domyślne uprawnienia do dołączonego magazynu metadanych i wykazu obszarów roboczych, jeśli został aprowizowany wykaz obszarów roboczych. Zobacz Uprawnienia administratora obszaru roboczego, gdy obszary robocze są włączone automatycznie dla wykazu aparatu Unity.

Administratorzy magazynu metadanych

Administrator magazynu metadanych jest opcjonalnym, ale wysoce uprzywilejowanym użytkownikiem lub grupą w wykazie aparatu Unity. Administratorzy magazynu metadanych domyślnie mają następujące uprawnienia do magazynu metadanych:

Administratorzy magazynu metadanych są również właścicielami magazynu metadanych, który przyznaje im następujące uprawnienia:

  • Zarządzaj uprawnieniami lub przenoszeniem własności dowolnego obiektu w magazynie metadanych, w tym poświadczeniami magazynu, lokalizacjami zewnętrznymi, połączeniami, udziałami, adresatami i dostawcami.

  • Przyznaj sobie dostęp do odczytu i zapisu do dowolnych danych w magazynie metadanych.

    Administratorzy magazynu metadanych mają tę możliwość pośrednio poprzez możliwość przeniesienia własności wszystkich obiektów. Domyślnie nie ma bezpośredniego dostępu. Przyznawanie uprawnień jest rejestrowane przez inspekcję.

  • Odczytywanie i aktualizowanie metadanych wszystkich obiektów w magazynie metadanych.

  • Usuwanie magazynu metadanych.

Administratorzy magazynu metadanych są jedynymi użytkownikami, którzy mogą udzielać uprawnień w samym magazynie metadanych.

Ponieważ administratorzy magazynu metadanych są jedynymi użytkownikami, którzy mają te uprawnienia, musisz przypisać administratora magazynu metadanych, jeśli chcesz użyć dowolnej z następujących funkcji:

Kto ma początkowe uprawnienia administratora magazynu metadanych?

Jeśli administrator konta ręcznie utworzy magazyn metadanych, administrator tego konta jest początkowym właścicielem magazynu metadanych i administratorem magazynu metadanych. Wszystkie magazyny metadanych utworzone przed 9 listopada 2023 r. zostały utworzone ręcznie przez administratora konta.

Jeśli magazyn metadanych został aprowizowany w ramach automatycznego włączania wykazu aparatu Unity, magazyn metadanych został utworzony bez administratora magazynu metadanych. Administratorzy obszaru roboczego w takim przypadku mają automatycznie przyznane uprawnienia, które sprawiają, że administrator magazynu metadanych jest opcjonalny. W razie potrzeby administratorzy kont mogą przypisać rolę administratora magazynu metadanych do użytkownika, jednostki usługi lub grupy. Zdecydowanie zalecane są grupy. Patrz Automatyczne włączanie wykazu Unity.

Przypisywanie administratora magazynu metadanych

Administrator magazynu metadanych jest wysoce uprzywilejowaną rolą, którą należy dokładnie rozpowszechniać. Jest to pozycja opcjonalna.

Administratorzy konta mogą przypisać rolę administratora magazynu metadanych. Usługa Databricks zaleca nominowanie grupy jako administratora magazynu metadanych. Dzięki temu każdy członek grupy jest automatycznie administratorem magazynu metadanych.

Aby przypisać rolę administratora magazynu metadanych do grupy:

  1. Jako administrator konta zaloguj się do konsoli konta.
  2. Kliknij pozycję Ikona wykazu Wykaz.
  3. Kliknij nazwę magazynu metadanych, aby otworzyć jego właściwości.
  4. W obszarze Administrator magazynu metadanych kliknij pozycję Edytuj.
  5. Wybierz grupę z listy rozwijanej. Możesz wprowadzić tekst w polu, aby wyszukać opcje.
  6. Kliknij przycisk Zapisz.

Ważne

Może upłynąć do 30 sekund, zanim zmiana przypisania administratora magazynu metadanych zostanie odzwierciedlona na Twoim koncie, a zastosowanie niektórych obszarów roboczych w niektórych obszarach roboczych może potrwać dłużej. To opóźnienie jest spowodowane protokołami buforowania.

Administratorzy konta

Administrator konta to wysoce uprzywilejowana rola, którą należy dokładnie rozpowszechniać. Administratorzy konta mają następujące uprawnienia:

  • Może tworzyć magazyny metadanych i domyślnie stać się początkowym administratorem magazynu metadanych.
  • Może łączyć magazyny metadanych z obszarami roboczymi.
  • Może przypisać rolę administratora magazynu metadanych.
  • Może udzielać uprawnień w magazynach metadanych.
  • Może włączyć udostępnianie różnicowe dla magazynu metadanych.
  • Może skonfigurować poświadczenia magazynu.
  • Może włączyć tabele systemowe i delegować do nich dostęp.

Aby ustanowić pierwszego administratora konta usługi Azure Databricks, zobacz Ustanawianie pierwszego administratora konta.

Administratorzy obszaru roboczego

Administrator obszaru roboczego to wysoce uprzywilejowana rola, którą należy dokładnie dystrybuować. Administratorzy obszaru roboczego mają następujące uprawnienia:

  • Mogą dodawać użytkowników, jednostki usługi i grupy do obszaru roboczego.
  • Mogą delegować innych administratorów obszaru roboczego.
  • Mogą zarządzać własnością zadań. Zobacz Kontrola dostępu do zadania.
  • Może zarządzać ustawieniem Uruchom jako zadania. Zobacz Konfigurowanie tożsamości dla przebiegów zadań.
  • Może wyświetlać notesy, pulpity nawigacyjne, zapytania i inne obiekty obszaru roboczego oraz zarządzać nimi. Zobacz Listy kontroli dostępu.

Administratorzy konta mogą ograniczyć uprawnienia administratora obszaru roboczego RestrictWorkspaceAdmins przy użyciu ustawienia . Zobacz Ograniczanie administratorów obszaru roboczego.

Uprawnienia administratora obszaru roboczego, gdy obszary robocze są automatycznie włączone dla wykazu aparatu Unity

Jeśli obszar roboczy został włączony automatycznie dla wykazu aparatu Unity, obszar roboczy jest domyślnie dołączony do magazynu metadanych. Aby uzyskać więcej informacji, zobacz Automatyczne włączanie wykazu aparatu Unity.

Jeśli obszar roboczy został automatycznie włączony dla wykazu aparatu Unity, administratorzy obszaru roboczego domyślnie mają następujące uprawnienia do dołączonego magazynu metadanych:

  • CREATE CATALOG

  • CREATE CLEAN ROOM

  • CREATE EXTERNAL LOCATION

  • CREATE SERVICE CREDENTIAL

  • CREATE STORAGE CREDENTIAL

  • CREATE CONNECTION

  • CREATE SHARE

  • CREATE RECIPIENT

  • CREATE PROVIDER

  • CREATE MATERIALIZED VIEW

Administratorzy obszaru roboczego są domyślnymi właścicielami wykazu obszarów roboczych, jeśli dla obszaru roboczego zainicjowano obsługę administracyjną wykazu obszarów roboczych. Własność tego wykazu przyznaje następujące uprawnienia:

  • Zarządzanie uprawnieniami dla dowolnego obiektu w wykazie obszarów roboczych lub przenoszenie ich własności.

    Obejmuje to możliwość udzielenia sobie dostępu do odczytu i zapisu do wszystkich danych w wykazie (domyślnie nie ma bezpośredniego dostępu; przyznawanie uprawnień jest rejestrowane w trybie inspekcji).

  • Przenoszenie własności samego katalogu obszarów roboczych.

Wszyscy użytkownicy obszaru roboczego otrzymają USE CATALOG uprawnienia w katalogu obszarów roboczych. Użytkownicy obszaru roboczego otrzymają USE SCHEMArównież uprawnienia , CREATE TABLE, CREATE VOLUMECREATE MODEL, CREATE FUNCTIONi CREATE MATERIALIZED VIEW w default schemacie w wykazie.

Uwaga

Domyślne uprawnienia przyznane w dołączonym magazynie metadanych i wykazie obszarów roboczych nie są zachowywane w obszarach roboczych (jeśli na przykład wykaz obszarów roboczych jest również powiązany z innym obszarem roboczym).