Права администратора в каталоге Unity

В этой статье описаны привилегии администраторов учетных записей Azure Databricks, администраторов рабочих областей и администраторов хранилища метаданных для управления каталогом Unity.

Примечание.

Если ваша рабочая область была включена для каталога Unity автоматически, администраторы рабочей области имеют привилегии по умолчанию в подключенном хранилище метаданных и каталоге рабочей области, если каталог рабочей области был подготовлен. Ознакомьтесь с правами администратора рабочей области , если рабочие области включены для каталога Unity автоматически.

Администраторы хранилища метаданных

Администратор хранилища метаданных является необязательным, но привилегированным пользователем или группой в каталоге Unity. Администраторы хранилища метаданных имеют следующие привилегии в хранилище метаданных по умолчанию:

• CREATE CATALOG. Позволяет пользователю создавать каталоги в хранилище метаданных.

• CREATE CLEAN ROOM: позволяет пользователю создать чистую комнату для безопасной совместной работы над проектами с другими организациями без предоставления общего доступа к базовым данным.

• CREATE CONNECTION: позволяет пользователю создавать подключение к внешней базе данных в сценарии федерации Lakehouse.

• CREATE EXTERNAL LOCATION: позволяет пользователю создавать внешние расположения.

• CREATE SERVICE CREDENTIAL. Позволяет пользователю создавать учетные данные службы.

• CREATE STORAGE CREDENTIAL. Позволяет пользователю создавать учетные данные хранения.

• CREATE FOREIGN CATALOG. Позволяет пользователю создавать внешние каталоги с помощью подключения к внешней базе данных в сценарии федерации Lakehouse.

• CREATE SHARE: позволяет пользователю поставщика данных создавать общую папку в Delta Sharing.

• CREATE RECIPIENT: позволяет пользователю поставщика данных создавать получателя в Delta Sharing.

• CREATE PROVIDER: позволяет пользователю-получателю данных создавать поставщика в Delta Sharing.

• CREATE MATERIALIZED VIEW: позволяет пользователю создавать материализованные представления.

• MANAGE ALLOWLIST. Позволяет пользователю обновлять списки разрешений, которые управляют доступом к кластерам к скриптам и библиотекам инициализации.

Администраторы хранилища метаданных также являются владельцами хранилища метаданных, которые предоставляют им следующие привилегии:

• Управление привилегиями или передача владения любым объектом в хранилище метаданных, включая учетные данные хранения, внешние расположения, подключения, общие папки, получатели и поставщики.

• Предоставьте себе доступ на чтение и запись к любым данным в хранилище метаданных.

  Администраторы хранилища метаданных имеют эту возможность косвенно, благодаря их способности передавать владение всеми объектами. По умолчанию прямой доступ отсутствует. Предоставление разрешений регистрируется в журнале.

• Чтение и обновление метаданных всех объектов в хранилище метаданных.

• Удаление хранилища метаданных.

Администраторы хранилища метаданных — это единственные пользователи, которые могут предоставлять привилегии в самом хранилище метаданных.

Так как администраторы хранилища метаданных являются единственными пользователями, имеющими эти привилегии, необходимо назначить администратора хранилища метаданных, если вы хотите использовать любую из следующих функций:

• Смена владельца каталогов после увольнения сотрудника.
• Управление и делегирование разрешений для скрипта init и jar allowlist.
• Делегировать возможность создавать каталоги и другие разрешения верхнего уровня администраторам, не являющимся администраторами рабочей области.
• Получение общих данных через разностный общий доступ.
• Удалите права администратора рабочей области по умолчанию .
• Добавьте управляемое хранилище в хранилище метаданных, если он отсутствует. См. статью "Добавление управляемого хранилища в существующее хранилище метаданных".

Кто имеет начальные права администратора хранилища метаданных?

Если администратор учетной записи создает хранилище метаданных вручную, администратор учетной записи является первоначальным владельцем хранилища метаданных и администратором хранилища метаданных. Все хранилища метаданных, созданные до 9 ноября 2023 года, были созданы вручную администратором учетной записи.

Если хранилище метаданных было подготовлено в рамках автоматического включения каталога Unity, хранилище метаданных было создано без администратора хранилища метаданных. В этом случае администраторы рабочей области автоматически получают права, которые делают наличие администратора хранилища метаданных необязательным. При необходимости администраторы учетных записей могут назначать роль администратора хранилища метаданных пользователю, субъекту-службе или группе. Настоятельно рекомендуется использовать группы. См. автоматическое включение каталога Unity.

Назначение администратора хранилища метаданных

Администратор хранилища метаданных — это очень привилегированная роль, которую следует тщательно распределить. Этот параметр необязателен.

Администраторы учетных записей могут назначать роль администратора хранилища метаданных. Databricks рекомендует номинировать группу в качестве администратора хранилища метаданных. При этом любой член группы автоматически является администратором хранилища метаданных.

Чтобы назначить роль администратора хранилища метаданных группе, выполните следующие действия.

1. Войдите в консоль учетной записи с правами администратора учетных записей.
2. Щелкните значок каталога.
3. Нажмите на имя хранилища метаданных, чтобы открыть его свойства.
4. В разделе Администратор хранилища метаданных нажмите Изменить.
5. Выберите группу из раскрывающегося списка. Для поиска параметров можно ввести текст в поле.
6. Нажмите кнопку Сохранить.

Внимание

Изменение назначения администратора хранилища метаданных может занять до 30 секунд, чтобы отразиться в вашей учетной записи, и в некоторых рабочих областях может потребоваться больше времени, чем другие. Эта задержка возникает из-за протоколов кэширования.

Администраторы учетной записи

Администратор учетной записи — это роль с высоким уровнем привилегий, которую следует тщательно распределить. Администраторы учетных записей имеют следующие привилегии:

• Может создавать хранилища метаданных и по умолчанию стать начальным администратором хранилища метаданных.
• Может связывать хранилища метаданных с рабочими областями.
• Может назначить роль администратора хранилища метаданных.
• Может предоставлять привилегии в хранилищах метаданных.
• Могут включить разностный общий доступ для хранилища метаданных.
• Может настроить учетные данные хранения.
• Может включить системные таблицы и делегировать к ним доступ.

Чтобы установить первого администратора учетной записи Azure Databricks, см. статью "Установка первого администратора учетной записи".

Администраторы рабочей области

Администратор рабочей области — это очень привилегированная роль, которую следует тщательно распределить. Администраторы рабочего пространства имеют следующие привилегии:

• Могут добавлять пользователей, субъекты-службы и группы в рабочее пространство.
• Могут делегировать задачи другим администраторам рабочего пространства.
• Могут управлять владением заданиями. См. раздел "Управление доступом к заданию".
• Может управлять заданием запуска от имени . См. раздел "Настройка удостоверения для выполнения заданий".
• Могут просматривать и управлять записными книжками, панелями мониторинга, запросами и другими объектами рабочего пространства. См. раздел Списки управления доступом.

Администраторы учетных записей могут ограничить права администратора рабочей области с помощью RestrictWorkspaceAdmins параметра. См. раздел "Ограничить администраторы рабочей области".

Администраторские привилегии в рабочих областях при автоматическом включении этих областей для Unity Catalog

Если ваша рабочая область была включена для каталога Unity автоматически, рабочая область будет присоединена к хранилищу метаданных по умолчанию. Дополнительные сведения см. в разделе Автоматическое включение каталога Unity.

Если ваша рабочая область включена для каталога Unity автоматически, администраторы рабочей области имеют следующие привилегии в подключенном хранилище метаданных по умолчанию:

• CREATE CATALOG

• CREATE CLEAN ROOM

• CREATE EXTERNAL LOCATION

• CREATE SERVICE CREDENTIAL

• CREATE STORAGE CREDENTIAL

• CREATE CONNECTION

• CREATE SHARE

• CREATE RECIPIENT

• CREATE PROVIDER

• CREATE MATERIALIZED VIEW

Администраторы рабочей области являются владельцами каталога рабочих областей по умолчанию, если каталог рабочей области был подготовлен для рабочей области. Владение этим каталогом предоставляет следующие привилегии:

• Управляйте привилегиями для любого объекта в каталоге рабочего пространства или передавайте права собственности на них.

  Это включает возможность предоставлять себе доступ на чтение и запись ко всем данным в каталоге (прямой доступ по умолчанию отсутствует; предоставление разрешений регистрируется в журнале).

• Передайте право собственности на сам каталог рабочей области.

Все пользователи рабочей области получают права USE CATALOG в каталоге рабочих областей. Пользователи рабочей области также получают привилегии USE SCHEMA, CREATE TABLE, CREATE VOLUME, CREATE MODEL, CREATE FUNCTIONи CREATE MATERIALIZED VIEW в схеме default в каталоге.

Примечание.

Привилегии по умолчанию, предоставленные в подключенном хранилище метаданных и каталоге рабочих областей, не поддерживаются в рабочих областях (например, если каталог рабочей области также привязан к другой рабочей области).