Privilégios de administrador no Catálogo Unity

Este artigo descreve os privilégios que os administradores de conta do Azure Databricks, administradores de espaço de trabalho e administradores de metastore têm para gerenciar o Catálogo Unity.

Nota

Se seu espaço de trabalho foi habilitado para o Unity Catalog automaticamente, os administradores do espaço de trabalho terão privilégios padrão no metastore anexado e no catálogo do espaço de trabalho, se um catálogo de espaço de trabalho tiver sido provisionado. Consulte Privilégios de administrador do espaço de trabalho quando os espaços de trabalho são ativados para o Unity Catalog automaticamente.

Administradores da Metastore

O administrador do metastore é um usuário ou grupo opcional, mas altamente privilegiado, no Unity Catalog. Os administradores do Metastore têm os seguintes privilégios no metastore por padrão:

• CREATE CATALOG: Permite que um usuário crie catálogos no metastore.

• CREATE CLEAN ROOM: Permite que um usuário crie uma sala limpa para colaborar com segurança em projetos com outras organizações sem compartilhar dados subjacentes.

• CREATE CONNECTION: Permite que um usuário crie uma conexão com um banco de dados externo em um cenário de Federação Lakehouse.

• CREATE EXTERNAL LOCATION: Permite que um usuário crie locais externos.

• CREATE SERVICE CREDENTIAL: Permite que um usuário crie credenciais de serviço.

• CREATE STORAGE CREDENTIAL: Permite que um usuário crie credenciais de armazenamento.

• CREATE FOREIGN CATALOG: Permite que um usuário crie catálogos estrangeiros usando uma conexão com um banco de dados externo em um cenário de Lakehouse Federation.

• CREATE SHARE: Permite que um usuário do provedor de dados crie um compartilhamento no Delta Sharing.

• CREATE RECIPIENT: Permite que um usuário do provedor de dados crie um destinatário no Compartilhamento Delta.

• CREATE PROVIDER: Permite que um usuário destinatário de dados crie um provedor no Delta Sharing.

• CREATE MATERIALIZED VIEW: Permite que um usuário crie visualizações materializadas.

• MANAGE ALLOWLIST: Permite que um usuário atualize listas de permissões que gerenciam o acesso ao cluster para scripts e bibliotecas de inicialização.

Os administradores da Metastore também são os proprietários da metastore, o que lhes concede os seguintes privilégios:

• Gerencie os privilégios ou transfira a propriedade de qualquer objeto dentro do metastore, incluindo credenciais de armazenamento, locais externos, conexões, compartilhamentos, destinatários e provedores.

• Conceda a si mesmos acesso de leitura e gravação a quaisquer dados no metastore.

  Os administradores da Metastore têm essa capacidade indiretamente, através de sua capacidade de transferir a propriedade de todos os objetos. Não há acesso direto por padrão. A concessão de permissões é registrada em auditoria.

• Ler e atualizar os metadados de todos os objetos no metastore.

• Eliminar o metastore.

Os administradores da Metastore são os únicos usuários que podem conceder privilégios na própria metastore.

Como os administradores do metastore são os únicos usuários que têm esses privilégios, você deve atribuir um administrador do metastore se quiser usar qualquer uma das seguintes funcionalidades:

• Mude a propriedade dos catálogos depois que alguém deixar a empresa.
• Gerencie e delegue permissões no script init e na lista de permissões jar.
• Delegue a capacidade de criar catálogos e outras permissões de nível superior a administradores que não sejam do espaço de trabalho.
• Receba dados compartilhados por meio do Delta Sharing.
• Remova as permissões de administrador do espaço de trabalho padrão.
• Adicione armazenamento gerenciado ao metastore, se ele não tiver nenhum. Consulte Adicionar armazenamento gerenciado a um metastore existente.

Quem tem privilégios iniciais de administrador do metastore?

Se um administrador de conta criar o metastore manualmente, esse administrador de conta será o proprietário inicial do metastore e o administrador do metastore. Todos os metastores criados antes de 9 de novembro de 2023 foram criados manualmente por um administrador de conta.

Se o metastore foi provisionado como parte da ativação automática do Unity Catalog, o metastore foi criado sem um administrador de metastore. Nesse caso, os administradores de espaço de trabalho recebem automaticamente privilégios que tornam o administrador do metastore opcional. Se necessário, os administradores de conta podem atribuir a função de administrador do metastore a um usuário, entidade de serviço ou grupo. Recomenda-se vivamente a realização de grupos. Veja Ativação automática do Unity Catalog.

Atribuir um administrador de metastore

O administrador da Metastore é uma função altamente privilegiada que você deve distribuir com cuidado. É opcional.

Os administradores de conta podem atribuir a função de administrador do metastore. O Databricks recomenda nomear um grupo como administrador do metastore. Ao fazer isso, qualquer membro do grupo é automaticamente um administrador de metastore.

Para atribuir a função de administrador do metastore a um grupo:

1. Como administrador da conta, inicie sessão na consola da conta.
2. Clique em Catálogo.
3. Clique no nome de um metastore para abrir suas propriedades.
4. Em Metastore Admin, clique em Editar.
5. Selecione um grupo na lista suspensa. Você pode inserir texto no campo para procurar opções.
6. Clique em Guardar.

Importante

Pode levar até 30 segundos para que uma alteração de atribuição de administrador de metastore seja refletida em sua conta, e pode levar mais tempo para entrar em vigor em alguns espaços de trabalho do que em outros. Esse atraso é devido a protocolos de cache.

Administradores de conta

O administrador da conta é uma função altamente privilegiada que você deve distribuir com cuidado. Os administradores de conta têm os seguintes privilégios:

• Podem criar metastores e, por predefinição, tornar-se os administradores do metastore inicial.
• Pode vincular metastores a espaços de trabalho.
• Pode atribuir a função de administrador do metastore.
• Pode conceder privilégios em metastores.
• Podem ativar a Partilha Delta para um metastore.
• Podem configurar credenciais de armazenamento.
• Pode habilitar tabelas do sistema e delegar acesso a elas.

Para estabelecer seu primeiro administrador de conta do Azure Databricks, consulte Estabelecer seu primeiro administrador de conta.

Administradores de área de trabalho

O administrador do espaço de trabalho é uma função altamente privilegiada que você deve distribuir com cuidado. Os administradores de áreas de trabalho têm os seguintes privilégios:

• Pode adicionar utilizadores, principais de serviço e grupos a uma área de trabalho.
• Pode delegar outros administradores das áreas de trabalho.
• Pode gerir a propriedade dos trabalhos. Consulte Controlar o acesso a um trabalho.
• Pode gerenciar o trabalho Executar como configuração. Consulte Configurar identidade para execuções de trabalho.
• Pode ver e gerir blocos de notas, dashboards, consultas e outros objetos das áreas de trabalho. Consulte Listas de controle de acesso.

Os administradores de conta podem restringir os privilégios de administrador do espaço de trabalho usando a RestrictWorkspaceAdmins configuração. Consulte Restringir administradores de espaço de trabalho.

Privilégios de administrador de espaço de trabalho quando os espaços de trabalho são habilitados para o Unity Catalog automaticamente

Se seu espaço de trabalho foi habilitado para o Unity Catalog automaticamente, o espaço de trabalho será anexado a um metastore por padrão. Para obter mais informações, consulte Ativação automática do catálogo Unity.

Se a sua área de trabalho tiver sido ativada para o Catálogo do Unity automaticamente, os administradores da área de trabalho têm os seguintes privilégios no metastore anexado por predefinição:

• CREATE CATALOG

• CREATE CLEAN ROOM

• CREATE EXTERNAL LOCATION

• CREATE SERVICE CREDENTIAL

• CREATE STORAGE CREDENTIAL

• CREATE CONNECTION

• CREATE SHARE

• CREATE RECIPIENT

• CREATE PROVIDER

• CREATE MATERIALIZED VIEW

Os administradores da área de trabalho são os proprietários predefinidos do catálogo da área de trabalho, se um catálogo de área de trabalho tiver sido aprovisionado para a sua área de trabalho. A propriedade deste catálogo concede os seguintes privilégios:

• Gerir os privilégios ou transferir a propriedade de qualquer objeto dentro do catálogo da área de trabalho.

  Isso inclui a capacidade de conceder a si mesmos acesso de leitura e gravação a todos os dados no catálogo (sem acesso direto por padrão; a concessão de permissões é registrada em auditoria).

• Transferir a propriedade do próprio catálogo da área de trabalho.

Todos os usuários do espaço de trabalho recebem o USE CATALOG privilégio no catálogo do espaço de trabalho. Os usuários do espaço de trabalho também recebem os USE SCHEMAprivilégios default , CREATE TABLE, CREATE VOLUME, CREATE MODELCREATE FUNCTION, e no CREATE MATERIALIZED VIEW esquema no catálogo.

Nota

Os privilégios padrão concedidos no metastore anexado e no catálogo de espaços de trabalho não são mantidos entre espaços de trabalho (se, por exemplo, o catálogo de espaços de trabalho também estiver vinculado a outro espaço de trabalho).