Privilégios de administrador no Unity Catalog

Este artigo descreve os privilégios que os administradores de conta do Azure Databricks, administradores de espaço de trabalho e administradores de metastore têm para gerenciar o Unity Catalog.

Nota

Se o seu espaço de trabalho foi habilitado no Unity Catalog automaticamente, os administradores do espaço de trabalho têm privilégios padrão no metastore anexado e no espaço de trabalho catalog, se um espaço de trabalho catalog tiver sido provisionado. Consulte privilégios de administrador do espaço de trabalho quando os espaços de trabalho estão habilitados para o Unity Catalog automaticamente.

Administradores da Metastore

O administrador do metastore é um usuário ou grupo opcional, mas altamente privilegiado no Unity Catalog. Os administradores do Metastore têm os seguintes privilégios no metastore por padrão:

• CREATE CATALOG: Permite que um usuário crie catalogs no metastore.

• CREATE CLEAN ROOM: Permite que um usuário crie uma sala limpa para colaborar com segurança em projetos com outras organizações sem compartilhar dados subjacentes.

• CREATE CONNECTION: Permite que um usuário crie uma conexão com um banco de dados externo em um cenário de Federação Lakehouse.

• CREATE EXTERNAL LOCATION: Permite que um usuário crie locais externos.

• CREATE SERVICE CREDENTIAL: Permite que um usuário crie serviço credentials.

• CREATE STORAGE CREDENTIAL: Permite que um usuário crie credentialsde armazenamento.

• CREATE FOREIGN CATALOG: Permite que um utilizador crie catalogs estrangeiros usando uma conexão com um banco de dados externo num cenário de Lakehouse Federation.

• CREATE SHARE: Permite que um usuário do provedor de dados crie um compartilhamento no Delta Sharing.

• CREATE RECIPIENT: Permite que um usuário do provedor de dados crie um destinatário no Compartilhamento Delta.

• CREATE PROVIDER: Permite que um usuário destinatário de dados crie um provedor no Delta Sharing.

• CREATE MATERIALIZED VIEW: Permite que um utilizador crie materializado views.

• MANAGE ALLOWLIST: Permite que um usuário update listas de permissões que gerenciam o acesso ao cluster para scripts e bibliotecas de inicialização.

Os administradores da Metastore também são os proprietários da metastore, o que lhes concede os seguintes privilégios:

• Gerir os privilégios ou transferir a propriedade de qualquer objeto dentro do metastore, incluindo armazenamento credentials, locais externos, connections, shares, recipientse providers.

• Grant eles próprios têm acesso de leitura e escrita a quaisquer dados no metastore.

  Os administradores da Metastore têm essa capacidade indiretamente, através de sua capacidade de transferir a propriedade de todos os objetos. Não há acesso direto por padrão. A concessão de permissões é registrada em auditoria.

• Leia e update os metadados de todos os objetos no metastore.

• Eliminar o metastore.

Os administradores da Metastore são os únicos usuários que podem grant privilégios na própria metastore.

Como os administradores do metastore são os únicos usuários que têm esses privilégios, você deve atribuir um administrador do metastore se quiser usar qualquer uma das seguintes funcionalidades:

• Mudar a propriedade de catalogs depois de alguém sair da empresa.
• Gerencie e delegue permissões no script init e na lista de permissões jar.
• Delegue a capacidade de criar catalogs e outras permissões de nível superior a administradores que não são administradores do espaço de trabalho.
• Receba dados compartilhados por meio do Delta Sharing.
• Remove permissões padrão de administrador do espaço de trabalho.
• Adicione armazenamento gerenciado ao metastore, se ele não tiver nenhum. Consulte Adicionar armazenamento gerenciado a um metastore existente.

Quem tem privilégios iniciais de administrador do metastore?

Se um administrador de conta criar o metastore manualmente, esse administrador de conta será o proprietário inicial do metastore e o administrador do metastore. Todos os metastores criados antes de 9 de novembro de 2023 foram criados manualmente por um administrador de conta.

Se o metastore foi provisionado como parte da ativação automática do Unity Catalog, o metastore foi criado sem um administrador de metastore. Nesse caso, os administradores de espaço de trabalho recebem automaticamente privilégios que tornam o administrador do metastore opcional. Se necessário, os administradores de conta podem atribuir a função de administrador do metastore a um usuário, entidade de serviço ou grupo. Recomenda-se vivamente a realização de grupos. Consulte Ativação automática do Unity Catalog.

Atribuir um administrador de metastore

O administrador da Metastore é uma função altamente privilegiada que você deve distribuir com cuidado. É opcional.

Os administradores de conta podem atribuir a função de administrador do metastore. O Databricks recomenda nomear um grupo como administrador do metastore. Ao fazer isso, qualquer membro do grupo é automaticamente um administrador de metastore.

Para atribuir a função de administrador do metastore a um grupo:

1. Como administrador da conta, inicie sessão na consola da conta.
2. Clique no ícone Catalog.
3. Clique no nome de um metastore para abrir suas propriedades.
4. Em Metastore Admin, clique em Editar.
5. Select um grupo a partir da lista suspensa. Você pode inserir texto no campo para procurar opções.
6. Clique em Guardar.

Importante

Pode levar até 30 segundos para que uma alteração de atribuição de administrador de metastore seja refletida em sua conta, e pode levar mais tempo para entrar em vigor em alguns espaços de trabalho do que em outros. Esse atraso é devido a protocolos de cache.

Administradores de conta

O administrador da conta é uma função altamente privilegiada que você deve distribuir com cuidado. Os administradores de conta têm os seguintes privilégios:

• Pode criar metastorese, por padrão, tornar-se o administrador inicial do metastore.
• Pode vincular metastores a espaços de trabalho.
• Pode atribuir a função de administrador do metastore.
• Pode conceder privilégios em grant sobre metastores.
• Podem ativar a Partilha Delta para um metastore.
• Pode configurar o armazenamento credentials.
• Pode habilitar o sistema tables e delegar acesso a ele.

Para estabelecer seu primeiro administrador de conta do Azure Databricks, consulte Estabelecer seu primeiro administrador de conta.

Administradores de área de trabalho

O administrador do espaço de trabalho é uma função altamente privilegiada que você deve distribuir com cuidado. Os administradores de áreas de trabalho têm os seguintes privilégios:

• Pode adicionar utilizadores, principais de serviço e grupos a uma área de trabalho.
• Pode delegar outros administradores das áreas de trabalho.
• Pode gerir a propriedade dos trabalhos. Consulte Controlar o acesso a um trabalho.
• Pode gerenciar o trabalho Executar como configuração. Consulte Configurar identidade para execuções de trabalho.
• Pode ver e gerir blocos de notas, dashboards, consultas e outros objetos das áreas de trabalho. Consulte Listas de controle de acesso.

Os administradores de conta podem restringir os privilégios de administrador do espaço de trabalho usando a RestrictWorkspaceAdmins configuração. Consulte Restringir administradores de espaço de trabalho.

privilégios de administrador dos espaços de trabalho quando os espaços de trabalho são ativados automaticamente para o Unity Catalog

Se seu espaço de trabalho foi habilitado para o Unity Catalog automaticamente, o espaço de trabalho será anexado a um metastore por padrão. Para obter mais informações, consulte Ativação automática do Unity Catalog.

Se seu espaço de trabalho foi habilitado para o Unity Catalog automaticamente, os administradores do espaço de trabalho terão os seguintes privilégios no metastore anexado por padrão:

• CREATE CATALOG

• CREATE CLEAN ROOM

• CREATE EXTERNAL LOCATION

• CREATE SERVICE CREDENTIAL

• CREATE STORAGE CREDENTIAL

• CREATE CONNECTION

• CREATE SHARE

• CREATE RECIPIENT

• CREATE PROVIDER

• CREATE MATERIALIZED VIEW

Os administradores de espaço de trabalho são os proprietários padrão do espaço de trabalho catalog, caso um espaço de trabalho catalog tenha sido provisionado para o seu espaço de trabalho. A propriedade deste catalog concede os seguintes privilégios:

• Gerencie os privilégios ou transfira a propriedade de qualquer objeto dentro do espaço de trabalho catalog.

  Isso inclui a capacidade de grant acesso de leitura e gravação a todos os dados no catalog (sem acesso direto por padrão; a concessão de permissões é registrada em auditoria).

• Transfira a propriedade do próprio espaço de trabalho catalog.

Todos os usuários do espaço de trabalho recebem o privilégio USE CATALOG no espaço de trabalho catalog. Os usuários do espaço de trabalho também recebem os privilégios USE SCHEMA, CREATE TABLE, CREATE VOLUME, CREATE MODEL, CREATE FUNCTIONe CREATE MATERIALIZED VIEW no defaultschema no catalog.

Nota

Os privilégios padrão concedidos no metastore anexado e no espaço de trabalho catalog não são mantidos entre diferentes espaços de trabalho (se, por exemplo, o espaço de trabalho catalog também estiver vinculado a outro espaço de trabalho).