Udostępnij za pośrednictwem

Zarządzanie własnością obiektów w Unity Catalog

  • Artykuł

Każdy obiekt zabezpieczalny w katalogu Unity ma właściciela. Właściciel może być dowolną jednostką: użytkownikiem, jednostką usługi lub grupą kont. Podmiot zabezpieczeń tworzący obiekt staje się jego początkowym właścicielem. Właściciel obiektu ma wszystkie uprawnienia do obiektu, takie jak SELECT i MODIFY w tabeli, oprócz uprawnień do udzielania uprawnień innym użytkownikom. Właściciel obiektu ma możliwość porzucania obiektu.

Uprawnienia właściciela

Właściciele obiektu mają automatycznie przyznane wszystkie uprawnienia do tego obiektu. Ponadto właściciele obiektów mogą udzielać uprawnień do samego obiektu i wszystkich jego obiektów podrzędnych. Oznacza to, że właściciele schematu nie mają automatycznie wszystkich uprawnień w tabelach w schemacie, ale mogą przyznać sobie uprawnienia do tabel w schemacie.

Uwaga

Istnieje jeden wyjątek od reguły, że właściciele mają wszystkie uprawnienia do obiektu: aby uniknąć przypadkowej eksfiltracji danych, właściciele schematu nie mają domyślnie uprawnień EXTERNAL USE SCHEMA. Zobacz Włączanie dostępu danych zewnętrznych do katalogu aparatu Unity.

Własność magazynu metadanych i katalogu

Administratorzy magazynu metadanych są właścicielami magazynu metadanych. Rola administratora magazynu metadanych jest opcjonalna. Administratorzy magazynu metadanych mogą ponownie przypisywać własność magazynu metadanych, przenosząc rolę administratora magazynu metadanych, zobacz Przypisywanie administratora magazynu metadanych.

Jeśli obszar roboczy został włączony automatycznie dla Unity Catalogu, jest on domyślnie dołączony do magazynu metadanych, a dla tego obszaru roboczego tworzony jest jego katalog w magazynie metadanych. Administratorzy obszaru roboczego są domyślnymi właścicielami i mogą ponownie przypisać własność katalogu obszaru roboczego. W tych obszarach roboczych domyślnie nie ma przypisanego administratora magazynu metadanych, ale administratorzy kont mogą w razie potrzeby udzielić roli administratora magazynu metadanych. Zobacz Administratorzy magazynu metadanych.

Aby uzyskać więcej informacji na temat uprawnień administratora w Unity Catalog, zobacz Uprawnienia administratora w Unity Catalog.

Własność a przywilej MANAGE

MANAGE (Publiczna wersja zapoznawcza) to uprawnienie podobne do własności obiektu. Daje użytkownikowi możliwość edytowania, upuszczania i zarządzania uprawnieniami w obiekcie. Jednak użytkownicy z uprawnieniami MANAGE obiektu nie otrzymują automatycznie wszystkich uprawnień do tego obiektu. Podobnie jak w przypadku innych uprawnień, użytkownicy wymagają USE CATALOG w katalogu nadrzędnym obiektu i USE SCHEMA w schemacie nadrzędnym obiektu. Aby na przykład przyznać uprawnienia do tabeli, użytkownicy muszą mieć uprawnienia MANAGE w tej tabeli i uprawnienia USE CATALOG w katalogu nadrzędnym, a także uprawnienia USE SCHEMA w schemacie nadrzędnym.

Właściciel obiektu może być tylko jednym podmiotem, w tym grupą, natomiast MANAGE można przyznać wielu podmiotom.

Aby uniknąć przypadkowej eskalacji uprawnień, ALL PRIVILEGES nie obejmuje uprawnień MANAGE

Wyświetlanie właściciela obiektu

Aby wyświetlić właściciela obiektu, można użyć Eksploratora wykazu lub instrukcji SQL.

Wymagane uprawnienia: Każdy użytkownik z BROWSE uprawnieniami do obiektu lub obiektu nadrzędnego obiektu może wyświetlić właściciela obiektu.

Eksplorator wykazu

  1. W obszarze roboczym usługi Azure Databricks kliknij ikonę katalogu Catalog.

  2. Wybierz obiekt, taki jak wykaz, schemat, tabela, widok, wolumin, lokalizacja zewnętrzna lub poświadczenie przechowywania.

    Sposób przechodzenia do obiektu zależy od obiektu. Katalogi, schematy i zawartość schematów (takich jak tabele i woluminy) można wybrać w okienku Katalog po lewej stronie. Inne obiekty, takie jak lokalizacje zewnętrzne lub udziały Delta Sharing, można znaleźć, klikając ikonę koła zębatego powyżej okienka Katalog i wybierając kategorię obiektów z menu.

    W przypadku większości obiektów właściciel jest wyświetlany na karcie Przegląd na stronie szczegółów obiektu. W przypadku niektórych obiektów, takich jak lokalizacje zewnętrzne, jest on wyświetlany w górnej części strony szczegółów obiektu.

SQL

Uruchom następujące polecenie SQL w notesie lub edytorze zapytań SQL. Zastąp wartości symboli zastępczych:

  • <securable-type>: typ zabezpieczania, taki jak CATALOG lub TABLE.
  • <catalog>: katalog nadrzędny, jeśli wyświetlasz schemat lub zawartość schematu.
  • <schema>: schemat nadrzędny, jeśli wyświetlasz zawartość schematu, takiego jak tabela lub widok.
  • <securable-name>: nazwa zabezpieczanego obiektu.
DESCRIBE <securable-type> EXTENDED <catalog>.<schema>.<securable-name>;

Przenieś prawo własności

Aby wyświetlić właściciela obiektu, można użyć Eksploratora wykazu lub instrukcji SQL.

Uprawnienia wymagane: Możesz przenieść własność obiektu, jeśli jesteś bieżącym właścicielem, administratorem metasklepu, właścicielem kontenera (katalogu dla schematu, schematu dla tabeli) lub użytkownikiem z uprawnieniami MANAGE do wykonywania operacji na obiekcie. Obiekty udziałów udostępniania różnicowego są wyjątkiem: podmioty z uprawnieniami USE SHARE i SET SHARE PERMISSION mogą również przenieść własność udziału.

Uwaga

Aby zapobiec eskalacji uprawnień, tylko administrator magazynu metadanych może przenieść własność widoku, funkcji lub modelu do dowolnego użytkownika, jednostki usługi lub grupy na koncie. Obecni właściciele i użytkownicy z uprawnieniami MANAGE są ograniczeni do przenoszenia własności na nazwę użytkownika lub do grupy, do której należą.

Eksplorator wykazu

  1. W obszarze roboczym usługi Azure Databricks kliknij ikonę katalogu Catalog.

  2. Wybierz obiekt, taki jak wykaz, schemat, tabela, widok, lokalizacja zewnętrzna lub poświadczenia magazynu.

    Sposób przechodzenia do obiektu zależy od obiektu. Katalogi, schematy i zawartość schematów (takich jak tabele i woluminy) można wybrać w okienku Katalogu z lewej strony. Inne obiekty, takie jak lokalizacje zewnętrzne lub udziały Delta Sharing, można znaleźć, klikając ikonę koła zębatego powyżej okienka Katalog i wybierając kategorię obiektów z menu.

    W przypadku większości obiektów właściciel jest wyświetlany na karcie Przegląd na stronie szczegółów obiektu. W przypadku niektórych obiektów, takich jak lokalizacje zewnętrzne, jest on wyświetlany w górnej części strony szczegółów obiektu.

  3. Kliknij ikonę edycji Ikona Edytuj obok pola Właściciel.

  4. Wyszukaj i wybierz grupę, użytkownika lub jednostkę usługi.

  5. Kliknij przycisk Zapisz.

SQL

Uruchom następujące polecenie SQL w notesie lub edytorze zapytań SQL. Zastąp wartości symboli zastępczych:

  • <securable-type>: typ zabezpieczanego obiektu, na przykład CATALOG lub TABLE. METASTORE Nie jest obsługiwany jako zabezpieczany obiekt w tym poleceniu.
  • <securable-name>: nazwa zabezpieczanego elementu. W przypadku modyfikowania schematu lub zawartości schematu należy użyć pełnej przestrzeni nazw na poziomie trzech poziomów (catalog.schema.object), chyba że określono już katalog nadrzędny i/lub schemat.
  • <principal> jest użytkownikiem, jednostką usługi (reprezentowaną przez jego wartość applicationId) lub grupą. Należy ująć użytkowników, jednostki usługi i nazwy grup, które zawierają znaki specjalne w backticks (` `). Zobacz Principal (Podmiot zabezpieczeń).
ALTER <securable-type> <securable-name> OWNER TO <principal>;

Aby na przykład przenieść własność tabeli orders do grupy accounting:

ALTER TABLE mycatalog.myschema.orders OWNER TO `accounting`;