Uprawnienia i obiekty możliwe do zabezpieczenia w Unity Catalog
Dotyczy:
Databricks SQL Databricks Runtime tylko katalog Unity
Uprawnienie jest uprawnieniem przyznanym podmiotowi zabezpieczeń do działania na zabezpieczanym obiekcie w magazynie metadanych. Model uprawnień i obiekty zabezpieczalne różnią się w zależności od tego, czy używasz magazynu metadanych Unity Catalog, czy starszego magazynu metadanych Hive. W tym artykule opisano model uprawnień dla katalogu Unity Catalog. Jeśli używasz magazynu metadanych Hive, zobacz Uprawnienia i zabezpieczane obiekty w magazynie metadanych Hive.
Aby uzyskać szczegółowe informacje na temat zarządzania uprawnieniami w Unity Catalog, zobacz Zarządzanie uprawnieniami w Unity Catalog.
Uwaga
W tym artykule opisano uprawnienia katalogu Unity i model dziedziczenia w wersji 1.0 modelu uprawnień. Jeśli utworzyłeś metastore Unity Catalog podczas publicznej wersji przedpremierowej (przed 25 sierpnia 2022 r.), być może korzystasz z wcześniejszego modelu uprawnień, który nie obsługuje obecnego modelu dziedziczenia. Aby uzyskać dziedziczenie uprawnień, można uaktualnić do wersji 1.0 modelu Privilege Model. Zobacz Uaktualnianie do dziedziczenia uprawnień.
Zabezpieczane obiekty
Zabezpieczany obiekt to obiekt zdefiniowany w rejestrze katalogu metadanych Unity Catalog, na którym można udzielić uprawnień do podmiotu . Aby uzyskać pełną listę zabezpieczanych obiektów w katalogu Unity i uprawnień, które można na nich przyznać, zobacz w sekcji uprawnienia i zabezpieczane obiekty w katalogu Unity.
Aby zarządzać uprawnieniami dla dowolnego obiektu, musisz być jego właścicielem lub mieć uprawnienia MANAGE w obiekcie, a także USE CATALOG w katalogu nadrzędnym obiektu i USE SCHEMA w jego schemacie nadrzędnym.
Składnia
securable_object
{ CATALOG [ catalog_name ] |
CONNECTION connection_name |
CLEAN ROOM clean_room_name |
EXTERNAL LOCATION location_name |
FUNCTION function_name |
METASTORE |
SCHEMA schema_name |
SHARE share_name |
[ STORAGE | SERVICE ] CREDENTIAL credential_name |
[ TABLE ] table_name |
MATERIALIZED VIEW view_name |
VIEW view_name |
VOLUME volume_name
}
Można również określić SERVER zamiast CONNECTION i DATABASE zamiast SCHEMA.
Parametry
CATALOGcatalog_nameKontroluje dostęp do całego wykazu danych.
CLEAN ROOMclean_room_nameKontroluje dostęp do czystego pokoju.
CONNECTIONconnection_nameKontroluje dostęp do połączenia.
EXTERNAL LOCATIONlocation_nameKontroluje dostęp do lokalizacji zewnętrznej.
FUNCTIONfunction_nameKontroluje dostęp do funkcji zdefiniowanej przez użytkownika lub zarejestrowanego modelu MLflow.
MATERIALIZED VIEWview_nameKontroluje dostęp do zmaterializowanego widoku.
METASTOREKontroluje dostęp do metasklepu Unity Catalog dołączonego do obszaru roboczego. Podczas zarządzania uprawnieniami w magazynie metadanych nie należy dołączać nazwy magazynu metadanych do polecenia SQL. Unity Catalog przyzna lub cofnie uprawnienia magazynu metadanych dołączonego do obszaru roboczego.
SCHEMAschema_nameKontroluje dostęp do schematu.
[ STORAGE | SERVICE ] CREDENTIALcredential_nameKontroluje dostęp do poświadczeń.
Słowa kluczowe
STORAGEiSERVICE( Databricks Runtime 15.4 i nowsze) są opcjonalne.SHAREshare_nameKontroluje dostęp do udziału odbiorcy.
TABLEtable_nameKontroluje dostęp do zarządzanej lub zewnętrznej tabeli. Jeśli nie można odnaleźć tabeli, usługa Azure Databricks zgłasza błąd TABLE_OR_VIEW_NOT_FOUND.
VIEWview_nameKontroluje dostęp do widoku. Jeśli nie można odnaleźć widoku usługi Azure Databricks, wystąpi błąd TABLE_OR_VIEW_NOT_FOUND .
VOLUMEvolume_nameKontroluje dostęp do woluminu. Jeśli nie można odnaleźć woluminu usługi Azure Databricks, wystąpi błąd.
Typy uprawnień
Aby uzyskać listę typów uprawnień, zobacz uprawnienia Katalogu Unity i obiekty podlegające kontroli dostępu.
Przykłady
-- Grant a privilege to the user alf@melmak.et
> GRANT SELECT ON TABLE t TO `alf@melmak.et`;
-- Revoke a privilege from the general public group.
> REVOKE USE SCHEMA ON SCHEMA some_schema FROM `alf@melmak.et`;