Udostępnij za pośrednictwem


Uprawnienia i zabezpieczane obiekty w magazynie metadanych Hive

Dotyczy: zaznacz pole wyboru oznaczone jako tak Databricks SQL zaznacz pole wyboru oznaczone jako tak Databricks Runtime

Uprawnienie jest uprawnieniem przyznanym podmiotowi zabezpieczeń do działania na zabezpieczanym obiekcie w magazynie metadanych.

Model uprawnień i zabezpieczane obiekty różnią się w zależności od tego, czy używasz magazynu metadanych wykazu aparatu Unity, czy starszego magazynu metadanych Hive. W tym artykule opisano model uprawnień dla starszego magazynu metadanych Hive. Jeśli używasz wykazu aparatu Unity, zobacz Uprawnienia i zabezpieczane obiekty w wykazie aparatu Unity.

Zabezpieczane obiekty w magazynie metadanych Hive

Zabezpieczany obiekt jest obiektem zdefiniowanym w magazynie metadanych, na którym można udzielić uprawnień podmiotowi zabezpieczeń.

Aby zarządzać uprawnieniami do dowolnego obiektu, musisz być jego właścicielem lub administratorem.

Składnia

  securable_object
    { ANY FILE |
      CATALOG [ catalog_name ] |
      { SCHEMA | DATABASE } schema_name |
      FUNCTION function_name |
      [ TABLE ] table_name |
      VIEW view_name
      }

Parametry

  • ANY FILE

    Kontroluje dostęp do bazowego systemu plików.

  • CATALOGcatalog_name

    Kontroluje dostęp do całego wykazu danych.

  • { SCHEMA | DATABASE }schema_name

    Kontroluje dostęp do schematu.

  • FUNCTIONfunction_name

    Kontroluje dostęp do nazwanej funkcji.

  • [ TABLE ]table_name

    Kontroluje dostęp do zarządzanej lub zewnętrznej tabeli.

  • VIEWview_name

    Kontroluje dostęp do widoków SQL.

Model dziedziczenia

Zabezpieczane obiekty w magazynie metadanych Hive są hierarchiczne, a uprawnienia są dziedziczone w dół. Oznacza to, że przyznanie lub odmowę uprawnienia do CATALOG automatycznego przyznania lub odmowy uprawnień do wszystkich schematów w wykazie. Podobnie uprawnienia przyznane dla obiektu schematu są dziedziczone przez wszystkie obiekty w tym schemacie. Ten wzorzec jest prawdziwy dla wszystkich zabezpieczanych obiektów.

Jeśli odmówisz uprawnień użytkownika w tabeli, użytkownik nie będzie mógł wyświetlić tabeli, próbując wyświetlić listę wszystkich tabel w schemacie. Jeśli odmówisz uprawnień użytkownika w schemacie, użytkownik nie będzie mógł zobaczyć, że schemat istnieje, próbując wyświetlić listę wszystkich schematów w wykazie.

Typy uprawnień

W poniższej tabeli przedstawiono uprawnienia skojarzone z zabezpieczanymi obiektami.

Typ uprawnienia FUNKCJA ANONIMOWA DOWOLNY PLIK KATALOG SCHEMAT FUNCTION TABELA WIDOK
CREATE Tak Tak
MODYFIKOWAĆ Tak Tak Tak Tak
READ_METADATA Tak Tak Tak Tak
SELECT Tak Tak Tak Tak Tak Tak Tak
UŻYCIE Tak Tak
  • ALL PRIVILEGES

    Służy do udzielania lub odwoływanie wszystkich uprawnień mających zastosowanie do zabezpieczanych i jego obiektów podrzędnych bez jawnego określenia ich. Spowoduje to rozszerzenie do wszystkich dostępnych uprawnień podczas sprawdzania uprawnień.

  • CREATE

    Utwórz obiekty w wykazie lub schemacie.

  • MODIFY

    SKOPIUJ DO TABELI, ZAKTUALIZUJ POLECENIE DELETE, INSERT lub MERGE INTO .

    Jeśli securable_object jest schematem hive_metastore lub w nim, przyznanie MODIFY zostanie przyznane MODIFY dla wszystkich bieżących i przyszłych tabel i widoków w zabezpieczanym obiekcie.

  • READ_METADATA

    Odnajdywanie zabezpieczanego obiektu w programie SHOW i przesłuchiywanie obiektu w temacie DESCRIBE

    Jeśli zabezpieczany obiekt jest hive_metastore wykazem lub schematem w nim, przyznanie READ_METADATA zostanie przyznane READ_METADATA dla wszystkich bieżących i przyszłych tabel i widoków w zabezpieczanym obiekcie.

  • READ FILES

    Wykonywanie zapytań dotyczących plików bezpośrednio przy użyciu poświadczeń magazynu lub lokalizacji zewnętrznej.

  • SELECT

    Wykonaj zapytanie względem tabeli lub widoku, wywołaj zdefiniowaną przez użytkownika lub funkcję anonimową albo wybierz pozycję ANY FILE. Użytkownik musi SELECT korzystać z tabeli, widoku lub funkcji, a także USAGE schematu i katalogu obiektu.

    Jeśli zabezpieczany obiekt jest hive_metastore schematem lub w nim, przyznanie SELECT zostanie przyznane SELECT dla wszystkich bieżących i przyszłych tabel i widoków w zabezpieczanym obiekcie.

  • USAGE

    Wymagane, ale nie wystarczające do odwołowania się do żadnych obiektów w wykazie lub schemacie. Podmiot zabezpieczeń musi również mieć uprawnienia do poszczególnych zabezpieczanych obiektów.

  • WRITE FILES

    Bezpośrednio KOPIUJ DO plików podlegających poświadczeniu magazynu lub lokalizacji zewnętrznej.

Przykłady

-- Grant a privilege to the user alf@melmak.et
> GRANT SELECT ON TABLE t TO `alf@melmak.et`;

-- Revoke a privilege from the general public group.
> REVOKE USAGE ON SCHEMA some_schema FROM `alf@melmak.et`;