Udostępnij za pośrednictwem

Zarządzanie własnością obiektu wykazu aparatu Unity

  • Artykuł

Każdy zabezpieczany obiekt w wykazie aparatu Unity ma właściciela. Właściciel może być dowolną jednostką: użytkownikiem, jednostką usługi lub grupą kont. Podmiot zabezpieczeń tworzący obiekt staje się jego początkowym właścicielem. Właściciel obiektu ma wszystkie uprawnienia do obiektu, takie jak SELECT i MODIFY w tabeli, oprócz uprawnień do udzielania uprawnień innym podmiotom zabezpieczeń. Właściciel obiektu ma możliwość porzucania obiektu.

Uprawnienia właściciela

Właściciele obiektu mają automatycznie przyznane wszystkie uprawnienia do tego obiektu. Ponadto właściciele obiektów mogą udzielać uprawnień do samego obiektu i wszystkich jego obiektów podrzędnych. Oznacza to, że właściciele schematu nie mają automatycznie wszystkich uprawnień w tabelach w schemacie, ale mogą przyznać sobie uprawnienia do tabel w schemacie.

Uwaga

Istnieje jeden wyjątek od reguły, że właściciele mają wszystkie uprawnienia do obiektu: aby uniknąć przypadkowej eksfiltracji danych, właściciele schematu nie mają EXTERNAL USE SCHEMA domyślnie uprawnień. Zobacz Kontrola dostępu zewnętrznego do danych w wykazie aparatu Unity.

Własność magazynu metadanych i katalogu

Administratorzy magazynu metadanych są właścicielami magazynu metadanych. Rola administratora magazynu metadanych jest opcjonalna. Administratorzy magazynu metadanych mogą ponownie przypisywać własność magazynu metadanych, przenosząc rolę administratora magazynu metadanych, zobacz Przypisywanie administratora magazynu metadanych.

Jeśli obszar roboczy został włączony automatycznie dla wykazu aparatu Unity, obszar roboczy jest domyślnie dołączony do magazynu metadanych, a katalog obszarów roboczych jest tworzony dla obszaru roboczego w magazynie metadanych. Administratorzy obszaru roboczego są domyślnymi właścicielami i mogą ponownie przypisać własność wykazu obszarów roboczych. W tych obszarach roboczych domyślnie nie ma przypisanego administratora magazynu metadanych, ale administratorzy kont mogą w razie potrzeby udzielić roli administratora magazynu metadanych. Zobacz Administratorzy magazynu metadanych.

Aby uzyskać więcej informacji na temat uprawnień administratora w wykazie aparatu Unity, zobacz Uprawnienia administratora w wykazie aparatu Unity.

Własność a przywilej MANAGE

MANAGE (Publiczna wersja zapoznawcza) to uprawnienie podobne do własności obiektu. Daje użytkownikowi możliwość edytowania, upuszczania i zarządzania uprawnieniami w obiekcie. Jednak użytkownicy z uprawnieniami MANAGE obiektu nie otrzymują automatycznie wszystkich uprawnień do tego obiektu. Podobnie jak w przypadku innych uprawnień, użytkownicy wymagają USE CATALOG w katalogu nadrzędnym obiektu i USE SCHEMA w schemacie nadrzędnym obiektu. Aby na przykład przyznać uprawnienia do tabeli, użytkownicy muszą mieć uprawnienia MANAGE w tej tabeli i uprawnienia USE CATALOG w katalogu nadrzędnym, a także uprawnienia USE SCHEMA w schemacie nadrzędnym.

Obiekt może mieć tylko jednego głównego podmiotu, w tym przypadku może to być grupa, natomiast MANAGE można przyznać wielu podmiotom.

Aby uniknąć przypadkowej eskalacji uprawnień, ALL PRIVILEGES nie obejmuje uprawnień MANAGE

Wyświetlanie właściciela obiektu

Aby wyświetlić właściciela obiektu, możesz użyć Eksploratora wykazu lub instrukcji SQL.

Wymagane uprawnienia: Każdy użytkownik z BROWSE uprawnieniami do obiektu lub obiektu nadrzędnego obiektu może wyświetlić właściciela obiektu.

Eksplorator wykazu

  1. W obszarze roboczym usługi Azure Databricks kliknij pozycję Ikona wykazuWykaz.

  2. Wybierz obiekt, taki jak wykaz, schemat, tabela, widok, wolumin, lokalizacja zewnętrzna lub poświadczenia magazynu.

    Sposób przechodzenia do obiektu zależy od obiektu. Katalogi, schematy i zawartość schematów (takich jak tabele i woluminy) można wybrać w okienku Wykaz po lewej stronie. Inne obiekty, takie jak lokalizacje zewnętrzne lub udziały udostępniania różnicowego, można znaleźć, klikając Ikona koła zębatego ikonę koła zębatego powyżej okienka Wykaz i wybierając kategorię obiektów z menu.

    W przypadku większości obiektów właściciel jest wyświetlany na karcie Przegląd na stronie szczegółów obiektu. W przypadku niektórych obiektów, takich jak lokalizacje zewnętrzne, jest on wyświetlany w górnej części strony szczegółów obiektu.

SQL

Uruchom następujące polecenie SQL w notesie lub edytorze zapytań SQL. Zastąp wartości symboli zastępczych:

  • <securable-type>: typ zabezpieczania, taki jak CATALOG lub TABLE.
  • <catalog>: wykaz nadrzędny, jeśli wyświetlasz schemat lub zawartość schematu.
  • <schema>: schemat nadrzędny, jeśli wyświetlasz zawartość schematu, takiego jak tabela lub widok.
  • <securable-name>: nazwa zabezpieczanego obiektu.
DESCRIBE <securable-type> EXTENDED <catalog>.<schema>.<securable-name>;

Przenieś prawo własności

Aby wyświetlić właściciela obiektu, możesz użyć Eksploratora wykazu lub instrukcji SQL.

Uprawnienia wymagane: Możesz przenieść własność obiektu, jeśli jesteś bieżącym właścicielem, administratorem magazynu metadanych, właścicielem kontenera (wykazu schematu, schematu tabeli) lub użytkownikiem z uprawnieniami MANAGE do obiektu. Obiekty udziałów udostępniania różnicowego są wyjątkiem: podmioty z uprawnieniami USE SHARE i SET SHARE PERMISSION mogą również przenieść własność udziału.

Uwaga

Aby zapobiec eskalacji uprawnień, tylko administrator magazynu metadanych może przenieść własność widoku, funkcji lub modelu do dowolnego użytkownika, jednostki usługi lub grupy na koncie. Obecni właściciele i użytkownicy z uprawnieniami MANAGE są ograniczeni do przenoszenia własności na nazwę użytkownika lub do grupy, do której należą.

Eksplorator wykazu

  1. W obszarze roboczym usługi Azure Databricks kliknij pozycję Ikona wykazuWykaz.

  2. Wybierz obiekt, taki jak wykaz, schemat, tabela, widok, lokalizacja zewnętrzna lub poświadczenia magazynu.

    Sposób przechodzenia do obiektu zależy od obiektu. Katalogi, schematy i zawartość schematów (takich jak tabele i woluminy) można wybrać w okienku Wykaz po lewej stronie. Inne obiekty, takie jak lokalizacje zewnętrzne lub udziały udostępniania różnicowego, można znaleźć, klikając Ikona koła zębatego ikonę koła zębatego powyżej okienka Wykaz i wybierając kategorię obiektów z menu.

    W przypadku większości obiektów właściciel jest wyświetlany na karcie Przegląd na stronie szczegółów obiektu. W przypadku niektórych obiektów, takich jak lokalizacje zewnętrzne, jest on wyświetlany w górnej części strony szczegółów obiektu.

  3. Kliknij ikonę edycji Ikona Edytuj obok pola Właściciel.

  4. Wyszukaj i wybierz grupę, użytkownika lub jednostkę usługi.

  5. Kliknij przycisk Zapisz.

SQL

Uruchom następujące polecenie SQL w notesie lub edytorze zapytań SQL. Zastąp wartości symboli zastępczych:

  • <securable-type>: typ zabezpieczanego obiektu, na przykład CATALOG lub TABLE. METASTORE Nie jest obsługiwany jako zabezpieczany obiekt w tym poleceniu.
  • <securable-name>: nazwa zabezpieczanego elementu. W przypadku modyfikowania schematu lub zawartości schematu należy użyć pełnej przestrzeni nazw na poziomie trzech poziomów (catalog.schema.object), chyba że określono już katalog nadrzędny i/lub schemat.
  • <principal> jest użytkownikiem, jednostką usługi (reprezentowaną przez jego wartość applicationId) lub grupą. Należy ująć użytkowników, jednostki usługi i nazwy grup, które zawierają znaki specjalne w backticks (` `). Zobacz Principal (Podmiot zabezpieczeń).
ALTER <securable-type> <securable-name> OWNER TO <principal>;

Aby na przykład przenieść własność orders tabeli do accounting grupy:

ALTER TABLE mycatalog.myschema.orders OWNER TO `accounting`;