Uprawnienia i zabezpieczane obiekty w magazynie metadanych Hive
Dotyczy: Databricks SQL Databricks Runtime
Uprawnienie jest uprawnieniem przyznanym podmiotowi zabezpieczeń do działania na zabezpieczanym obiekcie w magazynie metadanych.
Model uprawnień i zabezpieczane obiekty różnią się w zależności od tego, czy używasz magazynu metadanych wykazu aparatu Unity, czy starszego magazynu metadanych Hive. W tym artykule opisano model uprawnień dla starszego magazynu metadanych Hive. Jeśli używasz wykazu aparatu Unity, zobacz Uprawnienia i zabezpieczane obiekty w wykazie aparatu Unity.
Zabezpieczane obiekty w magazynie metadanych Hive
Zabezpieczany obiekt jest obiektem zdefiniowanym w magazynie metadanych, na którym można udzielić uprawnień podmiotowi zabezpieczeń.
Aby zarządzać uprawnieniami do dowolnego obiektu, musisz być jego właścicielem lub administratorem.
Składnia
securable_object
{ ANY FILE |
CATALOG [ catalog_name ] |
{ SCHEMA | DATABASE } schema_name |
FUNCTION function_name |
[ TABLE ] table_name |
VIEW view_name
}
Parametry
ANY FILE
Kontroluje dostęp do bazowego systemu plików.
CATALOG
catalog_nameKontroluje dostęp do całego wykazu danych.
{ SCHEMA | DATABASE }
schema_nameKontroluje dostęp do schematu.
FUNCTION
function_nameKontroluje dostęp do nazwanej funkcji.
[ TABLE ]
table_nameKontroluje dostęp do zarządzanej lub zewnętrznej tabeli.
VIEW
view_nameKontroluje dostęp do widoków SQL.
Model dziedziczenia
Zabezpieczane obiekty w magazynie metadanych Hive są hierarchiczne, a uprawnienia są dziedziczone w dół. Oznacza to, że przyznanie lub odmowę uprawnienia do CATALOG
automatycznego przyznania lub odmowy uprawnień do wszystkich schematów w wykazie. Podobnie uprawnienia przyznane dla obiektu schematu są dziedziczone przez wszystkie obiekty w tym schemacie. Ten wzorzec jest prawdziwy dla wszystkich zabezpieczanych obiektów.
Jeśli odmówisz uprawnień użytkownika w tabeli, użytkownik nie będzie mógł wyświetlić tabeli, próbując wyświetlić listę wszystkich tabel w schemacie. Jeśli odmówisz uprawnień użytkownika w schemacie, użytkownik nie będzie mógł zobaczyć, że schemat istnieje, próbując wyświetlić listę wszystkich schematów w wykazie.
Typy uprawnień
W poniższej tabeli przedstawiono uprawnienia skojarzone z zabezpieczanymi obiektami.
Typ uprawnienia | FUNKCJA ANONIMOWA | DOWOLNY PLIK | KATALOG | SCHEMAT | FUNCTION | TABELA | WIDOK |
---|---|---|---|---|---|---|---|
CREATE | Tak | Tak | |||||
MODYFIKOWAĆ | Tak | Tak | Tak | Tak | |||
READ_METADATA | Tak | Tak | Tak | Tak | |||
SELECT | Tak | Tak | Tak | Tak | Tak | Tak | Tak |
UŻYCIE | Tak | Tak |
ALL PRIVILEGES
Służy do udzielania lub odwoływanie wszystkich uprawnień mających zastosowanie do zabezpieczanych i jego obiektów podrzędnych bez jawnego określenia ich. Spowoduje to rozszerzenie do wszystkich dostępnych uprawnień podczas sprawdzania uprawnień.
CREATE
Utwórz obiekty w wykazie lub schemacie.
MODIFY
SKOPIUJ DO TABELI, ZAKTUALIZUJ POLECENIE DELETE, INSERT lub MERGE INTO .
Jeśli securable_object jest schematem
hive_metastore
lub w nim, przyznanieMODIFY
zostanie przyznaneMODIFY
dla wszystkich bieżących i przyszłych tabel i widoków w zabezpieczanym obiekcie.READ_METADATA
Odnajdywanie zabezpieczanego obiektu w programie SHOW i przesłuchiywanie obiektu w temacie DESCRIBE
Jeśli zabezpieczany obiekt jest
hive_metastore
wykazem lub schematem w nim, przyznanieREAD_METADATA
zostanie przyznaneREAD_METADATA
dla wszystkich bieżących i przyszłych tabel i widoków w zabezpieczanym obiekcie.READ FILES
Wykonywanie zapytań dotyczących plików bezpośrednio przy użyciu poświadczeń magazynu lub lokalizacji zewnętrznej.
SELECT
Wykonaj zapytanie względem tabeli lub widoku, wywołaj zdefiniowaną przez użytkownika lub funkcję anonimową albo wybierz pozycję
ANY FILE
. Użytkownik musiSELECT
korzystać z tabeli, widoku lub funkcji, a takżeUSAGE
schematu i katalogu obiektu.Jeśli zabezpieczany obiekt jest
hive_metastore
schematem lub w nim, przyznanieSELECT
zostanie przyznaneSELECT
dla wszystkich bieżących i przyszłych tabel i widoków w zabezpieczanym obiekcie.USAGE
Wymagane, ale nie wystarczające do odwołowania się do żadnych obiektów w wykazie lub schemacie. Podmiot zabezpieczeń musi również mieć uprawnienia do poszczególnych zabezpieczanych obiektów.
WRITE FILES
Bezpośrednio KOPIUJ DO plików podlegających poświadczeniu magazynu lub lokalizacji zewnętrznej.
Przykłady
-- Grant a privilege to the user alf@melmak.et
> GRANT SELECT ON TABLE t TO `alf@melmak.et`;
-- Revoke a privilege from the general public group.
> REVOKE USAGE ON SCHEMA some_schema FROM `alf@melmak.et`;