Поделиться через

Управление владением объектами в каталоге Unity

  • Статья

Каждый защищаемый объект в каталоге Unity имеет владельца. Владелец может быть любым субъектом: пользователем, субъектом-службой или группой учетных записей. Субъект, создающий объект, становится его первоначальным владельцем. Владелец объекта имеет все привилегии для объекта, например SELECT и MODIFY в таблице, помимо разрешения на предоставление привилегий другим субъектам. Владелец объекта имеет возможность удалить объект.

Привилегии владельца

Владельцы объекта автоматически предоставляют все привилегии для этого объекта. Кроме того, владельцы объектов могут предоставлять права на сам объект и все его дочерние объекты. Это означает, что владельцы схемы не имеют автоматически всех привилегий для таблиц в схеме, но они могут предоставлять себе привилегии для таблиц в схеме.

Примечание.

Существует одно исключение из правила, согласно которому владельцы имеют все привилегии на объекте: чтобы избежать случайной утечки данных, владельцы схем по умолчанию не имеют привилегии EXTERNAL USE SCHEMA. См. раздел Включение доступа каталога Unity к внешним данным.

Владение хранилищем метаданных и каталогом

Администраторы хранилища метаданных являются владельцами хранилища метаданных. Роль администратора хранилища метаданных является необязательной. Администраторы хранилища метаданных могут переназначить владение хранилищем метаданных, передав роль администратора хранилища метаданных, см. раздел "Назначение администратора хранилища метаданных".

Если ваша рабочая область была включена для каталога Unity автоматически, рабочая область присоединена к хранилищу метаданных по умолчанию и каталог рабочей области создается для рабочей области в хранилище метаданных. Администраторы рабочей среды являются владельцами по умолчанию и могут переназначить владение каталогом рабочей среды. В этих рабочих областях администратор хранилища метаданных по умолчанию не назначен, но администраторы учетных записей могут предоставить роль администратора хранилища метаданных при необходимости. См. раздел администраторов хранилища метаданных.

Дополнительные сведения о привилегиях администратора в каталоге Unity см. в разделе Права администратора в каталоге Unity.

Владение против привилегии MANAGE

MANAGE (общедоступная предварительная версия) — это привилегия, аналогичная собственности на объект. Он предоставляет пользователю возможность изменять, удалять и управлять привилегиями объекта. Однако пользователям с правами MANAGE на объект не предоставляются автоматически все привилегии на этот объект. Как и в случае с другими привилегиями, пользователям требуется USE CATALOG у родительского каталога объекта и USE SCHEMA у родительской схемы объекта. Например, чтобы предоставить разрешения на таблицу, пользователи должны иметь привилегии MANAGE для этой таблицы и привилегии USE CATALOG на родительский каталог, а также привилегии USE SCHEMA на родительскую схему.

Владелец объекта может быть только одним субъектом, включая группу, в то время как MANAGE можно предоставить нескольким субъектам.

Чтобы избежать случайной эскалации привилегий, ALL PRIVILEGES не включает привилегию MANAGE

Просмотр владельца объекта

Вы можете использовать обозреватель каталогов или инструкции SQL для просмотра владельца объекта.

Необходимые разрешения: любой пользователь с BROWSE привилегиями объекта или родителя объекта может просмотреть владельца объекта.

Обозреватель каталогов

  1. В рабочей области Azure Databricks щелкните значок каталога.

  2. Выберите объект, например каталог, схему, таблицу, представление, том, внешнее расположение или учетные данные хранения.

    Переход к объекту зависит от объекта. Каталоги, схемы и содержимое схем (например, таблицы и тома) можно выбрать в левой области каталога. Вы можете найти другие объекты, такие как внешние расположения или Delta Sharing, щелкнув на значок шестеренки над панелью каталога и выбрав категорию объекта в меню.

    Для большинства объектов владелец отображается на вкладке "Обзор" на странице сведений об объекте. Для некоторых объектов, таких как внешние расположения, он отображается в верхней части страницы сведений об объекте.

SQL

Выполните следующую команду SQL в редакторе запросов записной книжки или SQL. Замените значения заполнителей:

  • <securable-type>: тип защищаемого объекта, например CATALOG или TABLE.
  • <catalog>: родительский каталог, если вы просматриваете схему или содержимое схемы.
  • <schema>: родительская схема, если вы просматриваете содержимое схемы, например таблицу или представление.
  • <securable-name>: имя защищаемого объекта.
DESCRIBE <securable-type> EXTENDED <catalog>.<schema>.<securable-name>;

Передача владения

Вы можете использовать обозреватель каталогов или инструкции SQL для просмотра владельца объекта.

необходимые разрешения: Вы можете передать владение объектом, если вы являетесь текущим владельцем, администратором хранилища метаданных, владельцем каталога (каталог для схемы, схема для таблицы) или пользователем с правами MANAGE на объект. Объекты общего ресурса delta Sharing являются исключением: субъекты с USE SHARESET SHARE PERMISSION привилегиями также могут передавать владение общей папкой.

Примечание.

Чтобы предотвратить эскалацию привилегий, только администратор хранилища метаданных может передать владение представлением, функцией или моделью любому пользователю, субъекту-службе или группе в учетной записи. Текущие владельцы и пользователи с привилегиями MANAGE могут передавать права владения только на своё имя пользователя или в группу, членами которой они являются.

Обозреватель каталогов

  1. В рабочей области Azure Databricks щелкните значок каталога.

  2. Выберите объект, например каталог, схему, таблицу, представление, внешнее расположение или учетные данные хранения.

    Переход к объекту зависит от объекта. Каталоги, схемы и содержимое схем (например, таблицы и тома) можно выбрать в левой области каталога. Вы можете найти другие объекты, такие как внешние расположения или Delta Sharing, щелкнув на значок шестеренки над панелью каталога и выбрав категорию объекта в меню.

    Для большинства объектов владелец отображается на вкладке "Обзор" на странице сведений об объекте. Для некоторых объектов, таких как внешние расположения, он отображается в верхней части страницы сведений об объекте.

  3. Щелкните значок редактирования рядом Значок с владельцем.

  4. Найдите и выберите группу, пользователя или субъекта-службу.

  5. Нажмите кнопку Сохранить.

SQL

Выполните следующую команду SQL в редакторе запросов записной книжки или SQL. Замените значения заполнителей:

  • <securable-type>: тип защищаемого объекта, например, CATALOG или TABLE. METASTORE не поддерживается в качестве защищаемого объекта в этой команде.
  • <securable-name>: имя защищаемого объекта. Если вы изменяете схему или содержимое схемы, необходимо использовать полное трехуровневое пространство имен (catalog.schema.object), если только вы еще не указали родительский каталог и/или схему.
  • <principal> — пользователь, субъект-служба (представленный значением applicationId) или группа. Необходимо заключить пользователей, субъектов-служб и имена групп, которые включают специальные символы в backticks (` `). См. раздел "Субъект".
ALTER <securable-type> <securable-name> OWNER TO <principal>;

Например, чтобы передать право собственности на таблицу orders группе accounting:

ALTER TABLE mycatalog.myschema.orders OWNER TO `accounting`;