Katalog Unity: uprawnienia i obiekty zabezpieczalne
W tym artykule opisano obiekty podlegające zabezpieczeniom w Unity Catalog oraz uprawnienia, które mają do nich zastosowanie. Aby dowiedzieć się, jak udzielać uprawnień w Unity Catalog, zobacz Pokaż, udziel i odbierz uprawnienia.
Uwaga
W artykule przedstawiono przywileje Unity Catalog oraz model dziedziczenia w wersji 1.0 modelu przywilejów. Jeśli magazyn metadanych Unity Catalog został utworzony w publicznej wersji zapoznawczej (przed 25 sierpnia 2022 r.), możesz korzystać z wcześniejszego modelu uprawnień, który nie obsługuje bieżącego modelu dziedziczenia. Aby uzyskać dziedziczenie uprawnień, można uaktualnić do wersji Privilege Model w wersji 1.0. Zobacz Uaktualnianie do dziedziczenia uprawnień.
elementy możliwe do zabezpieczenia w Unity Catalog
Obiekt zabezpieczalny jest obiektem zdefiniowanym w metastore wykazu Unity, na którym można udzielić uprawnień podmiotowi (użytkownikowi, jednostce usługi lub grupie). Zabezpieczane obiekty w Unity Catalog są hierarchiczne.
Zabezpieczane obiekty to:
MAGAZYN METADANYCH: kontener najwyższego poziomu dla metadanych. Każdy metamagazyn katalogu Unity udostępnia trzypoziomową przestrzeń nazw (
catalog.schema.table), która organizuje dane.Podczas zarządzania uprawnieniami w magazynie metadanych nie należy dołączać nazwy magazynu metadanych do polecenia SQL. Unity Catalog przyznaje lub odwołuje dokładnie uprawnienia na metasklep danych dołączony do obszaru roboczego. Na przykład następujące polecenie przyznaje grupie o nazwie inżynieria możliwość utworzenia katalogu w magazynie metadanych dołączonym do obszaru roboczego:
GRANT CREATE CATALOG ON METASTORE TO engineeringCATALOG: pierwsza warstwa hierarchii obiektów używana do organizowania zasobów danych. Katalog obcy jest specjalnym typem katalogu, który odzwierciedla bazę danych w zewnętrznym systemie danych w scenariuszu federacji lakehouse.
SCHEMA: znane również jako bazy danych, schematy są drugą warstwą hierarchii obiektów i zawierają tabele i widoki.
TABLE: najniższy poziom w hierarchii obiektów, tabele mogą być zewnętrzne (przechowywane w zewnętrznych lokalizacjach w wybranym magazynie w chmurze) lub zarządzane tabele (przechowywane w kontenerze magazynu w chmurze utworzonym wyraźnie przez ciebie dla usługi Azure Databricks).
VIEW: obiekt tylko do odczytu utworzony na podstawie zapytania w co najmniej jednej tabeli znajdującej się w schemacie.
MATERIALIZED VIEW: obiekt utworzony na podstawie zapytania w co najmniej jednej tabeli znajdującej się w schemacie. Wyniki odzwierciedlają stan danych podczas ostatniego odświeżenia.
wolumin: najniższy poziom w hierarchii obiektów, woluminy mogą być zewnętrzne (przechowywane w wybranych lokalizacjach zewnętrznych w Twojej chmurze obliczeniowej) lub zarządzane (przechowywane w kontenerze magazynu w chmurze, utworzonym specjalnie dla Azure Databricks).
FUNCTION: funkcja zdefiniowana przez użytkownika lub zarejestrowany model MLflow, który znajduje się w schemacie.
Model: Zarejestrowany model MLflow jest określonym typem funkcji. Modele są wyświetlane oddzielnie od innych funkcji w Eksploratorze wykazu, ale po przyznaniu uprawnień do modelu przy użyciu języka SQL należy użyć
GRANT ON FUNCTION.ZEWNĘTRZNA LOKALIZACJA: Obiekt zawierający odwołanie do poświadczenia magazynowego i ścieżkę do magazynu w chmurze znajdującą się w Unity Catalog magazynie metadanych.
POŚWIADCZENIA USŁUGI: obiekt, który hermetyzuje długoterminowe poświadczenia chmury, które zapewnia dostęp do usługi zewnętrznej. Zawarte w katalogu danych Unity Catalog.
POŚWIADCZENIA MAGAZYNU: obiekt, który obejmuje długoterminowe poświadczenie chmurowe, zapewniając dostęp do magazynu w chmurze znajdującego się w metasklepie Unity Catalog.
CONNECTION: obiekt określający ścieżkę i poświadczenia dostępu do zewnętrznego systemu bazy danych w scenariuszu federacji Lakehouse.
Share: Grupowanie logiczne dla tabel, które mają być udostępniane przy użyciu funkcji Udostępniania Różnicowego. Udział znajduje się w magazynie metadanych Unity Catalog.
ODBIORCA: obiekt identyfikujący organizację lub grupę użytkowników, którzy mogą udostępniać im dane przy użyciu funkcji udostępniania różnicowego. Te obiekty znajdują się w metasklepie katalogu Unity.
DOSTAWCA: obiekt reprezentujący organizację, która udostępniła dane do udostępniania przy użyciu funkcji udostępniania różnicowego. Te obiekty znajdują się w metasklepie katalogu Unity.
clean room: obiekt reprezentujący bezpieczne i chroniące prywatność środowisko zarządzane przez usługę Databricks, gdzie wiele stron może współpracować bez bezpośredniego dostępu do danych.
Typy uprawnień według obiektu zabezpieczanego w katalogu Unity
W poniższej tabeli wymieniono typy uprawnień, które mają zastosowanie do każdego obiektu zabezpieczalnego w katalogu Unity. Aby dowiedzieć się, jak udzielać uprawnień w Unity Catalog, zobacz Pokaż, udziel i odbierz uprawnienia.
| Zabezpieczany | Uprawnienia |
|---|---|
| Magazyn metadanych |
CREATE CATALOG, CREATE CLEAN ROOM, CREATE CONNECTIONCREATE EXTERNAL LOCATIONCREATE PROVIDERCREATE RECIPIENTCREATE SHARECREATE SERVICE CREDENTIALCREATE STORAGE CREDENTIALSET SHARE PERMISSIONUSE MARKETPLACE ASSETSUSE PROVIDERUSE RECIPIENTUSE SHARE |
| Katalog |
ALL PRIVILEGES, , APPLY TAG, BROWSE, , CREATE SCHEMAUSE CATALOGWszyscy użytkownicy domyślnie mają USE CATALOG w katalogu main.Następujące typy uprawnień mają zastosowanie do zabezpieczanych obiektów w wykazie. Możesz przyznać te uprawnienia na poziomie wykazu, aby zastosować je do bieżących i przyszłych obiektów w wykazie. CREATE FUNCTION, CREATE TABLE, CREATE MATERIALIZED VIEW, CREATE MODEL, CREATE VOLUME, EXTERNAL USE SCHEMA, READ VOLUME, REFRESH, WRITE VOLUME, EXECUTE, MANAGE, MODIFY, SELECT, USE SCHEMA |
| Schemat |
ALL PRIVILEGES, APPLY TAG, CREATE FUNCTION, CREATE TABLE, CREATE MODEL, CREATE VOLUME, CREATE MATERIALIZED VIEW, MANAGE, EXTERNAL USE SCHEMA, USE SCHEMANastępujące typy uprawnień mają zastosowanie do zabezpieczanych obiektów w schemacie. Te uprawnienia można przyznać na poziomie schematu, aby zastosować je do bieżących i przyszłych obiektów w schemacie. EXECUTE, , MODIFY, READ VOLUME, REFRESH, , SELECTWRITE VOLUME |
| Stół |
ALL PRIVILEGES, , APPLY TAG, MANAGE, , MODIFYSELECT |
| Zmaterializowany widok |
ALL PRIVILEGES, , APPLY TAG, MANAGE, , REFRESHSELECT |
| Widok |
ALL PRIVILEGES, , APPLY TAG, , MANAGESELECT |
| Objętość |
ALL PRIVILEGES, , MANAGE, , READ VOLUMEWRITE VOLUME |
| Lokalizacja zewnętrzna |
ALL PRIVILEGES, BROWSE, , CREATE EXTERNAL TABLE, CREATE EXTERNAL VOLUMECREATE FOREIGN SECURABLE, MANAGE, , READ FILESWRITE FILESCREATE MANAGED STORAGE |
| Poświadczenia usługi |
ALL PRIVILEGES, ACCESS, CREATE CONNECTION, MANAGE. |
| Poświadczenia magazynu |
ALL PRIVILEGES, , CREATE EXTERNAL LOCATION, CREATE EXTERNAL TABLE, MANAGE, , READ FILESWRITE FILES |
| Connection |
ALL PRIVILEGES, , CREATE FOREIGN CATALOG, , MANAGEUSE CONNECTION |
| Function |
ALL PRIVILEGES, APPLY TAG (tylko modele), EXECUTE, MANAGE |
| Model | Zarejestrowane modele są typem funkcji. |
| Udostępnij |
SELECT (Można udzielić użytkownikowi RECIPIENT) |
| Adresat | Brak |
| Dostawca | Brak |
| Czysta sala |
ALL PRIVILEGES, , BROWSE, EXECUTE CLEAN ROOM TASK, , MANAGEMODIFY CLEAN ROOM |
ogólne typy uprawnień katalogu Unity
Ta sekcja zawiera szczegółowe informacje o typach uprawnień, które mają ogólne zastosowanie do Unity Catalog. Aby dowiedzieć się, jak udzielać uprawnień w Unity Catalog, zobacz Pokaż, udziel i odbierz uprawnienia.
WSZYSTKIE UPRAWNIENIA
Odpowiednie typy obiektów: CATALOG, EXTERNAL LOCATION, SERVICE CREDENTIAL, STORAGE CREDENTIAL, SCHEMA, FUNCTION (w tym modele) TABLE, MATERIALIZED VIEW, VIEW,VOLUME
Służy do udzielania lub odwołania wszystkich uprawnień mających zastosowanie do zabezpieczanego obiektu oraz jego obiektów podrzędnych, bez konieczności ich jawnego określania.
Po udzieleniu ALL PRIVILEGES na obiekcie nie udziela indywidualnie użytkownikowi każdego odpowiedniego uprawnienia w momencie przyznania. Zamiast tego rozwija się do wszystkich dostępnych uprawnień podczas sprawdzania uprawnień. Oznacza to, że w miarę jak usługa Databricks zwalnia nowe uprawnienia i nowe zabezpieczane obiekty, istniejące ALL PRIVILEGES udzielać automatycznie obejmuje wszelkie nowe uprawnienia dotyczące zabezpieczanego obiektu, istniejących obiektów podrzędnych i wszelkich nowych obiektów podrzędnych.
Po ALL PRIVILEGES odwołaniu uprawnienie zostanie odwołane, ALL PRIVILEGES a wszelkie jawne uprawnienia przyznane użytkownikowi w obiekcie również zostaną odwołane.
Aby uniknąć przypadkowej eksfiltracji danych lub eskalacji uprawnień, ALL PRIVILEGES nie obejmuje uprawnień EXTERNAL USE SCHEMA ani uprawnień MANAGE.
Uwaga
To uprawnienie jest zaawansowane w przypadku zastosowania na wyższych poziomach w hierarchii. Na przykład GRANT PRZYZNAJE WSZYSTKIE UPRAWNIENIA NA CATALOG głównym dla analysts, zapewniając zespołowi analityków wszystkie istniejące i przyszłe uprawnienia do każdego istniejącego i przyszłego zabezpieczalnego obiektu w katalogu.
DOSTĘP
Odpowiednie typy obiektów: SERVICE CREDENTIAL
Umożliwia użytkownikowi używanie poświadczeń usługi w celu uzyskania dostępu do zewnętrznej usługi lub usług.
ZASTOSUJ TAG
Odpowiednie typy obiektów: CATALOG, , SCHEMATABLEVOLUMEMATERIALIZED VIEW, VIEW, modele, które są zarejestrowane jakoFUNCTION
Umożliwia użytkownikowi dodawanie i edytowanie tagów w obiekcie. Udzielanie APPLY TAG do tabeli lub widoku umożliwia również tagowanie kolumn. Przyznanie APPLY TAG zarejestrowanemu modelowi umożliwia również tagowanie wersji modelu.
Użytkownik musi również mieć uprawnienia USE CATALOG w katalogu nadrzędnym i USE SCHEMA w schemacie nadrzędnym.
PRZEGLĄDAJ
Odpowiednie typy obiektów: CATALOG, , EXTERNAL LOCATIONCLEAN ROOM
Ważne
Ta funkcja jest dostępna w publicznej wersji zapoznawczej.
Umożliwia użytkownikowi przeglądanie metadanych obiektu za pomocą Narzędzia Przeglądania Katalogu, przeglądarki schematów, wyników wyszukiwania, grafu genealogii, information_schemai interfejsu API REST.
Użytkownik nie wymaga uprawnień USE CATALOG w katalogu nadrzędnym lub USE SCHEMA w schemacie nadrzędnym.
Wszyscy użytkownicy otrzymują domyślnie uprawnienia BROWSE dla nowych katalogów, które są tworzone przy użyciu Eksploratora wykazu. Jeśli wolisz, możesz odwołać uprawnienia. Wykazy utworzone przy użyciu instrukcji SQL, interfejsu API REST lub interfejsu wiersza polecenia usługi Databricks nie przyznają domyślnie uprawnień BROWSE. Musisz przyznać go jawnie.
CREATE CATALOG
Odpowiednie typy obiektów: metastore Unity Catalog
Umożliwia użytkownikowi utworzenie katalogu w metaskładnicy Unity Catalog. Aby utworzyć katalog obcy, musisz również mieć uprawnienia CREATE FOREIGN CATALOG na połączeniu, które zawiera katalog obcy, lub na magazynie metadanych.
TWORZENIE CZYSTEGO POKOJU
Odpowiednie typy obiektów: metastore Unity Catalog
Umożliwia użytkownikowi utworzenie czystego miejsca do bezpiecznej współpracy nad projektami z innymi organizacjami bez udostępniania danych bazowych.
CREATE CONNECTION
Odpowiednie typy obiektów: metastore katalogu Unity, SERVICE CREDENTIAL
Umożliwia użytkownikowi utworzenie połączenia z zewnętrzną bazą danych w scenariuszu federacji usługi Lakehouse. Aby użyć poświadczeń usługi do utworzenia połączenia, użytkownik musi mieć to uprawnienie zarówno w magazynie metadanych, jak i poświadczeniu usługi.
CREATE EXTERNAL LOCATION
Odpowiednie typy obiektów: metastore katalogu Unity, STORAGE CREDENTIAL
Aby utworzyć lokalizację zewnętrzną, użytkownik musi mieć to uprawnienie zarówno w magazynie metadanych, jak i poświadczeniu magazynu, do którego odwołuje się lokalizacja zewnętrzna.
UTWÓRZ ZEWNĘTRZNY TABLE
Odpowiednie typy obiektów: EXTERNAL LOCATION, STORAGE CREDENTIAL
Umożliwia użytkownikowi tworzenie tabel zewnętrznych bezpośrednio w dzierżawie chmury przy użyciu poświadczeń lokalizacji zewnętrznej lub magazynu. Usługa Databricks zaleca przyznanie tego uprawnienia w lokalizacji zewnętrznej, a nie poprzez poświadczenie dostępu do magazynu, ponieważ poświadczenie to jest ograniczone do określonej ścieżki, co pozwala na większą kontrolę nad tym, gdzie użytkownicy mogą tworzyć tabele zewnętrzne w Twojej dzierżawie zasobów chmurowych.
TWORZENIE WOLUMINU ZEWNĘTRZNEGO
Odpowiednie typy obiektów: EXTERNAL LOCATION
Umożliwia użytkownikowi tworzenie woluminów zewnętrznych przy użyciu lokalizacji zewnętrznej.
UTWÓRZ ZAGRANICZNY CATALOG
Odpowiednie typy obiektów: CONNECTION
Umożliwia użytkownikowi tworzenie katalogów obcych przy użyciu połączenia z zewnętrzną bazą danych w scenariuszu federacji usługi Lakehouse.
TWORZENIE OBCEGO OBIEKTU ZABEZPIECZAJĄCEGO
Odpowiednie typy obiektów: EXTERNAL LOCATION
Umożliwia użytkownikowi, który tworzy katalog obcy, określenie autoryzowanych ścieżek, które są objęte lokalizacją zewnętrzną.
Użytkownik musi również mieć CREATE CATALOG w katalogu metadanych Unity Catalog i CREATE FOREIGN CATALOG na połączeniu.
CREATE FUNCTION
Odpowiednie typy obiektów: SCHEMA
Umożliwia użytkownikowi utworzenie funkcji w schemacie. Ponieważ uprawnienia są dziedziczone, CREATE FUNCTION można również przyznać w wykazie, co umożliwia użytkownikowi utworzenie funkcji w dowolnym istniejącym lub przyszłym schemacie w wykazie.
Użytkownik musi również mieć uprawnienia USE CATALOG w katalogu nadrzędnym i USE SCHEMA w schemacie nadrzędnym.
TWORZENIE MODELU
Odpowiednie typy obiektów: SCHEMA
Umożliwia użytkownikowi utworzenie zarejestrowanego modelu MLflow (który jest typem FUNKCJI) w schemacie. Ponieważ uprawnienia są dziedziczone, CREATE MODEL można również przyznać na katalogu, co pozwala użytkownikowi utworzyć zarejestrowany model w dowolnym istniejącym lub przyszłym schemacie w tym katalogu.
Użytkownik musi również mieć uprawnienia USE CATALOG w katalogu nadrzędnym i USE SCHEMA w schemacie nadrzędnym.
TWORZENIE MAGAZYNU ZARZĄDZANEGO
Odpowiednie typy obiektów: EXTERNAL LOCATION
Umożliwia użytkownikowi określenie lokalizacji przechowywania tabel zarządzanych na poziomie wykazu lub schematu, nadpisując domyślną główną lokalizację magazynu metadanych.
CREATE SCHEMA
Odpowiednie typy obiektów: CATALOG
Umożliwia użytkownikowi utworzenie schematu. Użytkownik musi również mieć uprawnienie USE CATALOG w katalogu.
TWORZENIE POŚWIADCZEŃ USŁUGI
Odpowiednie typy obiektów: metastore Unity Catalog
Umożliwia użytkownikowi utworzenie poświadczenia usługi w repozytorium metadanych Unity Catalog.
TWORZENIE POŚWIADCZEŃ MAGAZYNU
Odpowiednie typy obiektów: metastore Unity Catalog
Umożliwia użytkownikowi utworzenie poświadczenia przechowywania w metastore katalogu Unity.
CREATE TABLE
Odpowiednie typy obiektów: SCHEMA
Umożliwia użytkownikowi utworzenie tabeli lub widoku w schemacie. Ponieważ uprawnienia są dziedziczone, CREATE TABLE można również przyznać na katalog, co umożliwia użytkownikowi utworzenie tabeli lub widoku w dowolnym istniejącym lub przyszłym schemacie w katalogu.
Użytkownik musi również mieć uprawnienia USE CATALOG w katalogu nadrzędnym i uprawnienia USE SCHEMA w schemacie nadrzędnym.
CREATE MATERIALIZED VIEW
Odpowiednie typy obiektów: SCHEMA
Umożliwia użytkownikowi utworzenie zmaterializowanego widoku w schemacie. Ponieważ uprawnienia są dziedziczone, CREATE MATERIALIZED VIEW można również przyznać na katalog, co umożliwia użytkownikowi utworzenie tabeli lub widoku w dowolnym istniejącym lub przyszłym schemacie w katalogu.
Użytkownik musi również mieć uprawnienia USE CATALOG w katalogu nadrzędnym i uprawnienia USE SCHEMA w schemacie nadrzędnym.
CREATE VOLUME
Odpowiednie typy obiektów: SCHEMA
Umożliwia użytkownikowi utworzenie woluminu w schemacie. Ponieważ uprawnienia są dziedziczone, można również przyznać CREATE VOLUME w wykazie, co umożliwia użytkownikowi utworzenie woluminu w dowolnym istniejącym lub przyszłym schemacie w wykazie.
Użytkownik musi również mieć uprawnienia USE CATALOG w katalogu nadrzędnym woluminu oraz uprawnienia USE SCHEMA na jego schemacie nadrzędnym.
WYKONAJ
Odpowiednie typy obiektów: FUNCTION, Model
Umożliwia użytkownikowi wywoływanie funkcji zdefiniowanej przez użytkownika lub ładowanie modelu na potrzeby wnioskowania, jeśli użytkownik ma również USE CATALOG w katalogu nadrzędnym i USE SCHEMA w schemacie nadrzędnym. W przypadku funkcji EXECUTE można wyświetlać definicję funkcji i metadane. W przypadku zarejestrowanych modeli EXECUTE przyznaje możliwość wyświetlania metadanych dla wszystkich wersji zarejestrowanego modelu oraz pobierania plików modelu.
Ponieważ uprawnienia są dziedziczone, można przyznać użytkownikowi uprawnienia EXECUTE w katalogu lub schemacie, co automatycznie przyznaje użytkownikowi uprawnienia EXECUTE dla wszystkich bieżących i przyszłych funkcji w wykazie lub schemacie.
WYKONYWANIE ZADANIA CLEAN ROOM
Odpowiednie typy obiektów: CLEAN ROOM
Umożliwia użytkownikowi uruchamianie zadań (notesów) w czystym pomieszczeniu. Umożliwia również użytkownikowi wyświetlanie szczegółów pomieszczeń czystych.
Zewnętrzne USE SCHEMA
Odpowiednie typy obiektów: SCHEMA
Umożliwia przyznanie użytkownikowi tymczasowego poświadczenia umożliwiającego dostęp do tabel Unity Catalog z zewnętrznego aparatu przetwarzania przy użyciu otwartych interfejsów API Unity Catalog lub Iceberg REST APIs.
Tylko właściciel wykazu może przyznać to uprawnienie.
Aby uniknąć przypadkowej eksfiltracji danych, ALL PRIVILEGES nie obejmuje uprawnień EXTERNAL USE SCHEMA, a właściciele schematu nie mają tego uprawnienia domyślnie.
Zobacz Włączanie dostępu danych zewnętrznych do katalogu aparatu Unity.
zarządzać
Odpowiednie typy obiektów: CATALOG, EXTERNAL LOCATION, SERVICE CREDENTIAL, STORAGE CREDENTIAL, SCHEMA, FUNCTION (w tym modele), CONNECTION, TABLE, MATERIALIZED VIEW, VIEW,VOLUME, CLEAN ROOM
Ważne
Ta funkcja jest dostępna w publicznej wersji zapoznawczej.
Umożliwia użytkownikowi wyświetlanie uprawnień, przenoszenie własności, usuwanie i zmienianie nazwy obiektu oraz zarządzanie nimi.
MANAGE jest podobna do własności obiektu, ale użytkownicy z uprawnieniami MANAGE nie otrzymują automatycznie wszystkich uprawnień do tego obiektu (jednak mogą przyznać sobie uprawnienia).
Użytkownik musi również mieć uprawnienia USE CATALOG w katalogu nadrzędnym obiektu i uprawnienia USE SCHEMA w schemacie nadrzędnym.
ALL PRIVILEGES nie obejmuje uprawnień MANAGE
ZARZĄDZANIE LISTĄ DOZWOLONYCH
Odpowiednie typy obiektów: metastore Unity Catalog
Umożliwia użytkownikowi dodawanie lub modyfikowanie ścieżek dla skryptów inicjujących, plików JAR i współrzędnych Maven na liście dozwolonych, która zarządza klastrami obsługującymi Unity Catalog w trybie współdzielonego dostępu. Zobacz Allowlist libraries and init scripts on shared compute (Biblioteki dozwolonych i skrypty inicjowania w udostępnionych obliczeniach).
MODYFIKOWAĆ
Odpowiednie typy obiektów: TABLE
Umożliwia użytkownikowi dodawanie, aktualizowanie i usuwanie danych do lub z tabeli, jeśli użytkownik ma również SELECT w tabeli, a także USE CATALOG w katalogu nadrzędnym i USE SCHEMA w schemacie nadrzędnym.
Ponieważ uprawnienia są dziedziczone, można przyznać użytkownikowi uprawnienia MODIFY w katalogu lub schemacie, co automatycznie przyznaje użytkownikowi uprawnienia MODIFY dla wszystkich bieżących i przyszłych tabel w katalogu lub schemacie.
MODYFIKOWANIE CZYSTEGO POKOJU
Odpowiednie typy obiektów: CLEAN ROOM
Umożliwia użytkownikowi aktualizowanie czystego pomieszczenia, w tym dodawanie i usuwanie zasobów danych, dodawanie i usuwanie notesów oraz aktualizowanie komentarzy. Umożliwia również użytkownikowi wyświetlanie szczegółów pomieszczeń czystych.
ODCZYTYWANIE PLIKÓW
Odpowiednie typy obiektów: EXTERNAL LOCATION
Usługa Databrick zaleca zarządzanie dostępem do odczytu do danych w magazynie obiektów w chmurze przy użyciu woluminów i uprawnień READ VOLUME.
READ FILES umożliwia użytkownikowi odczytywanie plików bezpośrednio z magazynu obiektów w chmurze skonfigurowanego jako lokalizacja zewnętrzna. Aby uzyskać więcej wskazówek, zobacz Zarządzanie lokalizacjami zewnętrznymi, tabelami zewnętrznymi i woluminami zewnętrznymi.
ODCZYT WOLUMINU
Odpowiednie typy obiektów: VOLUME
Umożliwia użytkownikowi odczytywanie plików i katalogów przechowywanych wewnątrz woluminu, jeśli użytkownik ma również USE CATALOG w katalogu nadrzędnym i USE SCHEMA w schemacie nadrzędnym.
Uprawnienia są dziedziczone. Jeśli możesz przyznać użytkownikowi uprawnienia READ VOLUME w katalogu lub schemacie, automatycznie przyznasz użytkownikowi uprawnienia READ VOLUME dla wszystkich bieżących i przyszłych woluminów w wykazie lub schemacie.
REFRESH
Odpowiednie typy obiektów: MATERIALIZED VIEW
Umożliwia użytkownikowi odświeżenie zmaterializowanego widoku, jeśli użytkownik posiada również USE CATALOG w katalogu nadrzędnym i USE SCHEMA w schemacie nadrzędnym.
Uprawnienia są dziedziczone. Po przyznaniu użytkownikowi uprawnień REFRESH w katalogu lub schemacie automatycznie przyznasz użytkownikowi uprawnienia REFRESH dla wszystkich bieżących i przyszłych zmaterializowanych widoków w wykazie lub schemacie.
SELECT
Odpowiednie typy obiektów: TABLE, , VIEW, MATERIALIZED VIEWSHARE
W przypadku zastosowania do tabeli lub widoku umożliwia użytkownikowi wybranie z tabeli lub widoku, jeśli użytkownik ma również USE CATALOG w katalogu nadrzędnym i USE SCHEMA w schemacie nadrzędnym. Jeśli zastosowane do akcji, umożliwia odbiorcy wybór z tego udziału.
Ponieważ uprawnienia są dziedziczone, można przyznać użytkownikowi uprawnienia SELECT w katalogu lub schemacie, co automatycznie przyznaje użytkownikowi uprawnienia SELECT dla wszystkich bieżących i przyszłych tabel oraz widoków w wykazie lub schemacie.
USE CATALOG
Odpowiednie typy obiektów: CATALOG
To uprawnienie nie udziela dostępu do samego katalogu, ale jest wymagane, aby użytkownik wchodził w interakcję z dowolnym obiektem w wykazie. Na przykład, aby wybrać dane z tabeli, użytkownicy muszą mieć uprawnienia SELECT w tej tabeli, uprawnienia USE CATALOG w jej katalogu nadrzędnym oraz uprawnienia USE SCHEMA w jej schemacie nadrzędnym.
Jest to przydatne dla umożliwienia właścicielom katalogu ograniczenia zakresu, w jakim poszczególni właściciele schematów i tabel mogą udostępniać dane, które tworzą. Na przykład właściciel tabeli, przekazując prawa SELECT innemu użytkownikowi, nie zezwala temu użytkownikowi na dostęp do odczytu tabeli, chyba że zostały im również przyznane uprawnienia USE CATALOG w katalogu nadrzędnym, a także uprawnienia USE SCHEMA w schemacie nadrzędnym.
Uprawnienia USE CATALOG w katalogu nadrzędnym nie są wymagane do odczytywania metadanych obiektu, jeśli użytkownik ma uprawnienia BROWSE w tym wykazie.
UŻYJ POŁĄCZENIA
Odpowiednie typy obiektów: CONNECTION
Umożliwia użytkownikowi listowanie i wyświetlanie szczegółów połączeń z zewnętrzną bazą danych w scenariuszu federacji usługi Lakehouse. Aby utworzyć zewnętrzne katalogi dla połączenia, musisz mieć CREATE FOREIGN CATALOG do połączenia lub być jego właścicielem.
USE SCHEMA
Odpowiednie typy obiektów: SCHEMA
To uprawnienie nie udziela dostępu do samego schematu, ale jest wymagane, aby użytkownik wchodził w interakcję z dowolnym obiektem w schemacie. Aby na przykład wybrać dane z tabeli, użytkownicy muszą mieć uprawnienia SELECT w tej tabeli i USE SCHEMA w schemacie nadrzędnym, a także USE CATALOG w katalogu nadrzędnym.
Ponieważ uprawnienia są dziedziczone, możesz przyznać użytkownikowi uprawnienia USE SCHEMA w katalogu, co automatycznie przyznaje użytkownikowi uprawnienia USE SCHEMA dla wszystkich bieżących i przyszłych schematów w katalogu.
Uprawnienia USE SCHEMA schematu nadrzędnego nie są wymagane do odczytywania metadanych obiektu, jeśli użytkownik ma uprawnienia BROWSE w tym schemacie lub katalogu nadrzędnym.
ZAPISYWANIE PLIKÓW
Odpowiednie typy obiektów: EXTERNAL LOCATION
Usługa Databrick zaleca zarządzanie dostępem do zapisu do danych w magazynie obiektów w chmurze przy użyciu woluminów i uprawnień WRITE VOLUME.
WRITE FILES umożliwia użytkownikowi bezpośrednie zapisywanie plików w zewnętrznie skonfigurowanym magazynie obiektów w chmurze. Aby uzyskać więcej wskazówek, zobacz Zarządzanie lokalizacjami zewnętrznymi, tabelami zewnętrznymi i woluminami zewnętrznymi.
WOLUMIN ZAPISU
Odpowiednie typy obiektów: VOLUME
Umożliwia użytkownikowi dodawanie, usuwanie lub modyfikowanie plików i katalogów przechowywanych wewnątrz woluminu, jeśli użytkownik ma również USE CATALOG w katalogu nadrzędnym i USE SCHEMA w schemacie nadrzędnym.
Uprawnienia są dziedziczone. Jeśli możesz przyznać użytkownikowi uprawnienia WRITE VOLUME w katalogu lub schemacie, automatycznie przyznasz użytkownikowi uprawnienia WRITE VOLUME dla wszystkich bieżących i przyszłych woluminów w wykazie lub schemacie.
Typy uprawnień, które mają zastosowanie tylko do udostępniania różnicowego lub witryny Databricks Marketplace
Ta sekcja zawiera szczegółowe informacje o typach uprawnień, które mają zastosowanie tylko do udostępniania różnicowego.
TWORZENIE DOSTAWCY
Odpowiednie typy obiektów: metastore Unity Catalog
Umożliwia użytkownikowi utworzenie obiektu dostawcy udostępniania różnicowego w magazynie metadanych. Dostawca identyfikuje organizację lub grupę użytkowników, którzy mają udostępnione dane przy użyciu funkcji udostępniania różnicowego. Tworzenie dostawcy jest wykonywane przez użytkownika na koncie usługi Databricks odbiorcy. Zobacz Co to jest udostępnianie różnicowe?.
CREATE RECIPIENT
Odpowiednie typy obiektów: metastore Unity Catalog
Umożliwia użytkownikowi utworzenie obiektu adresata funkcji Delta Sharing w magazynie metadanych. Odbiorca identyfikuje organizację lub grupę użytkowników, którzy mogą udostępniać im dane przy użyciu funkcji udostępniania różnicowego. Tworzenie adresata jest wykonywane przez użytkownika na koncie usługi Databricks dostawcy. Zobacz Co to jest udostępnianie różnicowe?.
CREATE SHARE
Odpowiednie typy obiektów: metastore Unity Catalog
Umożliwia użytkownikowi utworzenie udziału w magazynie metadanych. Udział to logiczne grupowanie tabel, które zamierzasz udostępniać za pomocą Delta Sharing.
UPRAWNIENIA DO UDOSTĘPNIANIA SET
Odpowiednie typy obiektów: metastore Unity Catalog
W usłudze Delta Sharing to uprawnienie w połączeniu z USE SHARE i USE RECIPIENT (lub własnością adresata) daje użytkownikowi dostawcy możliwość udzielenia adresatowi dostępu do udziału. W połączeniu z USE SHAREprogramem daje możliwość przeniesienia własności udziału do innego użytkownika, grupy lub jednostki usługi.
KORZYSTANIE Z ZASOBÓW WITRYNY MARKETPLACE
Odpowiednie typy obiektów: metastore Unity Catalog
Domyślnie włączone dla wszystkich magazynów metadanych Unity Catalog. W witrynie Databricks Marketplace ten przywilej daje użytkownikowi możliwość uzyskania natychmiastowego dostępu lub żądania dostępu do produktów danych udostępnionych na liście w witrynie Marketplace. Umożliwia również użytkownikowi dostęp do katalogu tylko do odczytu, który jest tworzony, gdy dostawca udostępnia produkt danych. Bez tego uprawnienia użytkownik będzie wymagał CREATE CATALOG uprawnień i USE PROVIDER lub roli administratora magazynu metadanych. Dzięki temu można ograniczyć liczbę użytkowników z tymi zaawansowanymi uprawnieniami.
UŻYJ DOSTAWCY
Odpowiednie typy obiektów: metastore Unity Catalog
W Delta Sharing użytkownik będący odbiorcą uzyskuje dostęp tylko do odczytu do wszystkich dostawców w magazynie metadanych odbiorcy i ich udziałom. W połączeniu z uprawnieniami CREATE CATALOG to uprawnienie umożliwia użytkownikowi odbiorcy, który nie jest administratorem magazynu metadanych, aby zainstalować udział jako wykaz. Dzięki temu można ograniczyć liczbę użytkowników z zaawansowaną rolą administratora magazynu metadanych.
UŻYJ ADRESATA
Odpowiednie typy obiektów: metastore Unity Catalog
W Delta Sharing zapewnia użytkownikowi dostawcy dostęp tylko do odczytu do wszystkich odbiorców w magazynie metadanych dostawcy i ich udziałów. Dzięki temu użytkownik dostawcy, który nie jest administratorem magazynu metadanych, może wyświetlać szczegóły adresata, stan uwierzytelniania adresata oraz listę udziałów udostępnionych przez dostawcę odbiorcy.
W witrynie Databricks Marketplace zapewnia to użytkownikom dostawcy możliwość wyświetlania list i żądań konsumentów w konsoli dostawcy.
USE SHARE
Odpowiednie typy obiektów: metastore Unity Catalog
W Delta Sharing, użytkownikowi dostawcy przyznawany jest dostęp tylko do odczytu do wszystkich udziałów zdefiniowanych w magazynie metadanych dostawcy. To umożliwia użytkownikowi dostawcy, który nie jest administratorem magazynu metadanych, wyświetlenie listy udziałów oraz zasobów (tabel i notesów) w udziale, wraz z jego odbiorcami.
W witrynie Databricks Marketplace zapewnia to użytkownikom dostawcy możliwość wyświetlania szczegółów dotyczących danych udostępnionych na liście.