Compartilhar via


Privilégios administrativos no Catálogo do Unity

Este artigo descreve os privilégios que os administradores de conta do Azure Databricks, administradores de workspace e administradores de metastore têm para gerenciar o Catálogo do Unity.

Observação

Se o seu espaço de trabalho tiver sido ativado automaticamente para o Catálogo do Unity, os administradores do espaço de trabalho terão privilégios padrão no metastore anexado e no catálogo do espaço de trabalho, se um catálogo do espaço de trabalho tiver sido provisionado. Consulte Privilégios de administrador do espaço de trabalho quando os espaços de trabalho são habilitados automaticamente para o Catálogo do Unity.

Administradores do metastore

O administrador do metastore é um usuário ou grupo opcional, mas altamente privilegiado no Catálogo do Unity. Por padrão, os administradores do metastore têm os seguintes privilégios no metastore:

  • CREATE CATALOG: permite que um usuário crie catálogos no metastore.

  • CREATE CLEAN ROOM: Permite que um usuário crie uma sala limpa para colaborar com segurança em projetos com outras organizações sem compartilhar dados subjacentes.

  • CREATE CONNECTION: Permite que um usuário crie uma conexão com um banco de dados externo em um cenário de Federação do Lakehouse.

  • CREATE EXTERNAL LOCATION: permite que um usuário crie locais externos.

  • CREATE SERVICE CREDENTIAL: Permite que um usuário crie credenciais de serviço.

  • CREATE STORAGE CREDENTIAL: permite que um usuário crie credenciais de armazenamento.

  • CREATE FOREIGN CATALOG: permite que um usuário crie catálogos estrangeiros usando uma conexão com um banco de dados externo em um cenário de Federação do Lakehouse.

  • CREATE SHARE: permite que um usuário provedor de dados crie um compartilhamento no Delta Sharing.

  • CREATE RECIPIENT: permite que um usuário provedor de dados crie um destinatário no Delta Sharing.

  • CREATE PROVIDER: permite que um usuário destinatário de dados crie um provedor no Delta Sharing.

  • CREATE MATERIALIZED VIEW: permite que um usuário crie exibições materializadas.

  • MANAGE ALLOWLIST: permite que um usuário atualiza a lista de permitidos que gerenciam o acesso do cluster a bibliotecas e scripts de inicialização.

Os administradores do metastore também são os proprietários do metastore, o que lhes concede os seguintes privilégios:

  • Gerenciar os privilégios ou transferir a propriedade de qualquer objeto dentro do metastore, incluindo credenciais de armazenamento, locais externos, conexões, compartilhamentos, destinatários e provedores.

  • Conceda a si mesmos acesso de leitura/gravação a quaisquer dados no metastore.

    Os administradores do metastore têm essa capacidade indiretamente, através da sua capacidade de transferir a propriedade de todos os objetos. Por padrão, não existe acesso direto. A concessão de permissões é registrada em logs de auditoria.

  • Ler e atualizar os metadados de todos os objetos no metastore.

  • Excluir o metastore.

Os administradores do metastore são os únicos usuários que podem conceder privilégios no próprio metastore.

Como os administradores do metastore são os únicos usuários que têm esses privilégios, você precisará atribuir um administrador do metastore se quiser usar qualquer uma das seguintes funcionalidades:

Quem tem privilégios de administrador no metastore inicial?

Se um administrador de conta criar o metastore manualmente, esse administrador de conta será o proprietário inicial e o administrador do metastore do metastore. Todos os metastores criados antes de 9 de novembro de 2023 foram criados manualmente por um administrador de conta.

Se o metastore foi provisionado como parte da habilitação automática do Catálogo do Unity, o metastore foi criado sem um administrador de metastore. Os administradores do espaço de trabalho, nesse caso, recebem automaticamente privilégios que tornam o administrador do metastore opcional. Se necessário, os administradores de conta podem atribuir a função de administrador do metastore a um usuário, entidade de serviço ou grupo. Grupos são altamente recomendados. Confira Habilitação automática do Catálogo do Unity.

Atribuir um administrador de metastore

A função com privilégios de administrador do Metastore é altamente privilegiada e deve ser distribuída com cuidado. É opcional.

Os administradores de conta podem atribuir a função de administrador do metastore. A Databricks recomenda nomear um grupo como administrador do metastore. Ao fazer isso, qualquer membro do grupo será automaticamente um administrador do metastore.

Para atribuir a função de administrador do metastore a um grupo:

  1. Como administrador de conta, faça logon no console da conta.
  2. Clique em Ícone do catálogo Catálogo.
  3. Clique no nome de um metastore para abrir as propriedades dele.
  4. Em Administrador de Metastore, clique em Editar.
  5. Selecione um grupo na lista suspensa. Você pode inserir texto no campo para pesquisar opções.
  6. Clique em Save (Salvar).

Importante

Pode levar até 30 segundos para que uma alteração de atribuição de administrador do metastore seja refletida em sua conta e pode levar mais tempo para que ela entre em vigor em alguns workspaces do que em outros. Esse atraso ocorre devido a protocolos de cache.

Administradores de contas

O administrador da conta é uma função altamente privilegiada que você deve distribuir com cuidado. Os administradores de conta têm os seguintes privilégios:

  • Podem criar metastores e, por padrão, se tornarem o administrador do metastore inicial.
  • É possível vincular metastores a espaços de trabalho.
  • É possível atribuir a função de administrador do metastore.
  • Pode conceder privilégios em metastores.
  • Podem habilitar o Compartilhamento Delta para um metastore.
  • Podem configurar credenciais de armazenamento.
  • É possível habilitar tabelas do sistema e delegar acesso a elas.

Para estabelecer seu primeiro administrador de conta do Azure Databricks, confira Estabelecer seu primeiro administrador de conta.

Administradores do workspace

O administrador do espaço de trabalho é uma função altamente privilegiada que você deve distribuir com cuidado. Os administradores do espaço de trabalho têm os seguintes privilégios:

Os administradores de conta podem restringir os privilégios de administrador do workspace usando a configuração RestrictWorkspaceAdmins. Confira Restringir administradores do workspace.

Privilégios de administrador do espaço de trabalho quando os espaços de trabalho são habilitados automaticamente para o Catálogo do Unity

Se seu espaço de trabalho foi habilitado automaticamente para o Catálogo do Unity, o espaço de trabalho será anexado a um metastore por padrão. Para obter mais informações, confira Habilitação automática do Catálogo do Unity.

Se seu espaço de trabalho foi habilitado para o Catálogo do Unity automaticamente, os administradores do espaço de trabalho terão os seguintes privilégios no metastore anexado por padrão:

  • CREATE CATALOG

  • CREATE CLEAN ROOM

  • CREATE EXTERNAL LOCATION

  • CREATE SERVICE CREDENTIAL

  • CREATE STORAGE CREDENTIAL

  • CREATE CONNECTION

  • CREATE SHARE

  • CREATE RECIPIENT

  • CREATE PROVIDER

  • CREATE MATERIALIZED VIEW

Os administradores do espaço de trabalho são os proprietários padrão do catálogo do espaço de trabalho, se um catálogo do espaço de trabalho tiver sido provisionado para o seu espaço de trabalho. A propriedade desse catálogo concede os seguintes privilégios:

  • Gerencie os privilégios ou transfira a propriedade de qualquer objeto no catálogo do espaço de trabalho.

    Isso inclui a capacidade de conceder a si mesmos acesso de leitura e gravação a todos os dados do catálogo (sem acesso direto por padrão; a concessão de permissões está registrada no log de auditoria).

  • Transferir a propriedade do próprio catálogo do espaço de trabalho.

Todos os usuários do espaço de trabalho recebem o privilégio USE CATALOG no catálogo do espaço de trabalho. Os usuários do workspace também recebem os privilégios USE SCHEMA, CREATE TABLE, CREATE VOLUME, CREATE MODEL, CREATE FUNCTION e CREATE MATERIALIZED VIEW no esquema default do catálogo.

Observação

Os privilégios padrão concedidos no catálogo do espaço de trabalho e no metastore anexado não serão mantidos entre os espaços de trabalho (se, por exemplo, o catálogo do espaço de trabalho também estiver associado a outro espaço de trabalho).