Uprawnienia i zabezpieczane obiekty w wykazie aparatu Unity
Dotyczy:
tylko wykaz aparatu Unity środowiska Uruchomieniowego usługi SQL databricks usługi Databricks
Uprawnienie jest uprawnieniem przyznanym podmiotowi zabezpieczeń do działania na zabezpieczanym obiekcie w magazynie metadanych. Model uprawnień i zabezpieczane obiekty różnią się w zależności od tego, czy używasz magazynu metadanych wykazu aparatu Unity, czy starszego magazynu metadanych Hive. W tym artykule opisano model uprawnień dla wykazu aparatu Unity. Jeśli używasz magazynu metadanych Hive, zobacz Uprawnienia i zabezpieczane obiekty w magazynie metadanych Hive.
Aby uzyskać szczegółowe informacje na temat zarządzania uprawnieniami w wykazie aparatu Unity, zobacz Zarządzanie uprawnieniami w wykazie aparatu Unity.
Uwaga
W tym artykule opisano uprawnienia katalogu aparatu Unity i model dziedziczenia w modelu uprawnień w wersji 1.0. Jeśli magazyn metadanych wykazu aparatu Unity został utworzony w publicznej wersji zapoznawczej (przed 25 sierpnia 2022 r.), być może korzystasz z wcześniejszego modelu uprawnień, który nie obsługuje bieżącego modelu dziedziczenia. Aby uzyskać dziedziczenie uprawnień, można uaktualnić do wersji Privilege Model w wersji 1.0. Zobacz Uaktualnianie do dziedziczenia uprawnień.
Zabezpieczane obiekty
Zabezpieczany obiekt jest obiektem zdefiniowanym w magazynie metadanych rozwiązania Unity Catalog, w którym można udzielić uprawnień podmiotowi zabezpieczeń. Aby uzyskać pełną listę zabezpieczanych obiektów wykazu aparatu Unity i uprawnień, które można na nich przyznać, zobacz Uprawnienia wykazu aparatu Unity i zabezpieczane obiekty.
Aby zarządzać uprawnieniami w dowolnym obiekcie, musisz być jego właścicielem.
Składnia
securable_object
{ CATALOG [ catalog_name ] |
CONNECTION connection_name |
CLEAN ROOM clean_room_name |
EXTERNAL LOCATION location_name |
FUNCTION function_name |
METASTORE |
SCHEMA schema_name |
SHARE share_name |
[ STORAGE | SERVICE ] CREDENTIAL credential_name |
[ TABLE ] table_name |
MATERIALIZED VIEW view_name |
VIEW view_name |
VOLUME volume_name
}
Można również określić SERVER zamiast CONNECTION i DATABASE zamiast SCHEMA.
Parametry
CATALOGcatalog_nameKontroluje dostęp do całego wykazu danych.
CLEAN ROOMclean_room_nameKontroluje dostęp do czystego pokoju.
CONNECTIONconnection_nameKontroluje dostęp do połączenia.
EXTERNAL LOCATIONlocation_nameKontroluje dostęp do lokalizacji zewnętrznej.
FUNCTIONfunction_nameKontroluje dostęp do funkcji zdefiniowanej przez użytkownika lub zarejestrowanego modelu MLflow.
MATERIALIZED VIEWview_nameKontroluje dostęp do zmaterializowanego widoku.
METASTORESteruje dostępem do magazynu metadanych wykazu aparatu Unity dołączonym do obszaru roboczego. Podczas zarządzania uprawnieniami w magazynie metadanych nie należy dołączać nazwy magazynu metadanych do polecenia SQL. Wykaz aparatu Unity przyzna lub odwoła uprawnienie w magazynie metadanych dołączonym do obszaru roboczego.
SCHEMAschema_nameKontroluje dostęp do schematu.
[ STORAGE | SERVICE ] CREDENTIALcredential_nameKontroluje dostęp do poświadczeń.
Słowa kluczowe
STORAGEiSERVICE( Databricks Runtime 15.4 i nowsze) są opcjonalne.SHAREshare_nameKontroluje dostęp do udziału odbiorcy.
TABLEtable_nameKontroluje dostęp do zarządzanej lub zewnętrznej tabeli. Jeśli nie można odnaleźć tabeli usługi Azure Databricks, wystąpi błąd TABLE_OR_VIEW_NOT_FOUND .
VIEWview_nameKontroluje dostęp do widoku. Jeśli nie można odnaleźć widoku usługi Azure Databricks, wystąpi błąd TABLE_OR_VIEW_NOT_FOUND .
VOLUMEvolume_nameKontroluje dostęp do woluminu. Jeśli nie można odnaleźć woluminu usługi Azure Databricks, wystąpi błąd.
Typy uprawnień
Aby uzyskać listę typów uprawnień, zobacz Uprawnienia wykazu aparatu Unity i zabezpieczane obiekty.
Przykłady
-- Grant a privilege to the user alf@melmak.et
> GRANT SELECT ON TABLE t TO `alf@melmak.et`;
-- Revoke a privilege from the general public group.
> REVOKE USE SCHEMA ON SCHEMA some_schema FROM `alf@melmak.et`;