Uprawnienia i zabezpieczane obiekty w wykazie aparatu Unity
Dotyczy:tylko wykaz aparatu Unity środowiska Uruchomieniowegousługi SQL databricks usługi Databricks
Uprawnienie jest uprawnieniem przyznanym podmiotowi zabezpieczeń do działania na zabezpieczanym obiekcie w magazynie metadanych. Model uprawnień i zabezpieczane obiekty różnią się w zależności od tego, czy używasz magazynu metadanych wykazu aparatu Unity, czy starszego magazynu metadanych Hive. W tym artykule opisano model uprawnień dla wykazu aparatu Unity. Jeśli używasz magazynu metadanych Hive, zobacz Uprawnienia i zabezpieczane obiekty w magazynie metadanych Hive.
Aby uzyskać szczegółowe informacje na temat zarządzania uprawnieniami w wykazie aparatu Unity, zobacz Zarządzanie uprawnieniami w wykazie aparatu Unity.
Uwaga
W tym artykule opisano uprawnienia katalogu aparatu Unity i model dziedziczenia w modelu uprawnień w wersji 1.0. Jeśli magazyn metadanych wykazu aparatu Unity został utworzony w publicznej wersji zapoznawczej (przed 25 sierpnia 2022 r.), być może korzystasz z wcześniejszego modelu uprawnień, który nie obsługuje bieżącego modelu dziedziczenia. Aby uzyskać dziedziczenie uprawnień, można uaktualnić do wersji Privilege Model w wersji 1.0. Zobacz Uaktualnianie do dziedziczenia uprawnień.
Zabezpieczane obiekty
Zabezpieczany obiekt jest obiektem zdefiniowanym w magazynie metadanych rozwiązania Unity Catalog, w którym można udzielić uprawnień podmiotowi zabezpieczeń. Aby uzyskać pełną listę zabezpieczanych obiektów wykazu aparatu Unity i uprawnień, które można na nich przyznać, zobacz Uprawnienia wykazu aparatu Unity i zabezpieczane obiekty.
Aby zarządzać uprawnieniami dla dowolnego obiektu, musisz być jego właścicielem lub mieć uprawnienia MANAGE
w obiekcie, a także USE CATALOG
w katalogu nadrzędnym obiektu i USE SCHEMA
w jego schemacie nadrzędnym.
Składnia
securable_object
{ CATALOG [ catalog_name ] |
CONNECTION connection_name |
CLEAN ROOM clean_room_name |
EXTERNAL LOCATION location_name |
FUNCTION function_name |
METASTORE |
SCHEMA schema_name |
SHARE share_name |
[ STORAGE | SERVICE ] CREDENTIAL credential_name |
[ TABLE ] table_name |
MATERIALIZED VIEW view_name |
VIEW view_name |
VOLUME volume_name
}
Można również określić SERVER
zamiast CONNECTION
i DATABASE
zamiast SCHEMA
.
Parametry
CATALOG
catalog_nameKontroluje dostęp do całego wykazu danych.
CLEAN ROOM
clean_room_nameKontroluje dostęp do czystego pokoju.
CONNECTION
connection_nameKontroluje dostęp do połączenia.
EXTERNAL LOCATION
location_nameKontroluje dostęp do lokalizacji zewnętrznej.
FUNCTION
function_nameKontroluje dostęp do funkcji zdefiniowanej przez użytkownika lub zarejestrowanego modelu MLflow.
MATERIALIZED VIEW
view_nameKontroluje dostęp do zmaterializowanego widoku.
METASTORE
Steruje dostępem do magazynu metadanych wykazu aparatu Unity dołączonym do obszaru roboczego. Podczas zarządzania uprawnieniami w magazynie metadanych nie należy dołączać nazwy magazynu metadanych do polecenia SQL. Wykaz aparatu Unity przyzna lub odwoła uprawnienie w magazynie metadanych dołączonym do obszaru roboczego.
SCHEMA
schema_nameKontroluje dostęp do schematu.
[ STORAGE | SERVICE ] CREDENTIAL
credential_nameKontroluje dostęp do poświadczeń.
Słowa kluczowe
STORAGE
iSERVICE
( Databricks Runtime 15.4 i nowsze) są opcjonalne.SHARE
share_nameKontroluje dostęp do udziału odbiorcy.
TABLE
table_nameKontroluje dostęp do zarządzanej lub zewnętrznej tabeli. Jeśli nie można odnaleźć tabeli usługi Azure Databricks, wystąpi błąd TABLE_OR_VIEW_NOT_FOUND .
VIEW
view_nameKontroluje dostęp do widoku. Jeśli nie można odnaleźć widoku usługi Azure Databricks, wystąpi błąd TABLE_OR_VIEW_NOT_FOUND .
VOLUME
volume_nameKontroluje dostęp do woluminu. Jeśli nie można odnaleźć woluminu usługi Azure Databricks, wystąpi błąd.
Typy uprawnień
Aby uzyskać listę typów uprawnień, zobacz Uprawnienia wykazu aparatu Unity i zabezpieczane obiekty.
Przykłady
-- Grant a privilege to the user alf@melmak.et
> GRANT SELECT ON TABLE t TO `alf@melmak.et`;
-- Revoke a privilege from the general public group.
> REVOKE USE SCHEMA ON SCHEMA some_schema FROM `alf@melmak.et`;