Привилегии и защищаемые объекты Unity Catalog
В этой статье описываются объекты Unity Catalog, обладающие безопасностью и привилегии, которые к ним применяются. Сведения о том, как grant привилегий в Unity Catalog, см. в разделе Show, grantи revoke привилегий.
Примечание.
Эта статья включает в себя обсуждение привилегий Unity Catalog и модели наследования в контексте модели привилегий версии 1.0. Если вы создали хранилище метаданных Unity Catalog во время общедоступной предварительной версии (до 25 августа 2022 г.), возможно, вы используете более раннюю модель привилегий, которая не поддерживает текущую модель наследования. Вы можете обновить модель привилегий до версии 1.0 для наследования привилегий get. См. раздел "Обновление до наследования привилегий".
Защищаемые объекты в Unity Catalog
Защищаемый объект — это объект, определенный в хранилище метаданных Unity Catalog, в котором привилегии могут быть предоставлены субъекту (пользователю, субъекту-службе или группе). Защищаемые объекты в Catalog Unity являются иерархическими.
Защищаемые объекты:
METASTORE: контейнер верхнего уровня для метаданных. Каждое хранилище метаданных Unity Catalog предоставляет трехуровневое пространство имен (
catalog.schema.table), которое упорядочивает данные.При управлении привилегиями в хранилище метаданных не включайте имя хранилища метаданных в команду SQL. Unity Catalog предоставляет или отменяет привилегию на хранилище метаданных, подключенное к вашей рабочей области. Например, следующая команда предоставляет группе с именем инженерии возможность создания catalog в хранилище метаданных, подключенном к рабочей области:
GRANT CREATE CATALOG ON METASTORE TO engineeringCATALOG: первый слой иерархии объектов, используемый для упорядочивания ресурсов данных. Внешний catalog — это специальный тип catalog, который отражает базу данных в системе внешних данных в сценарии федерации Lakehouse.
SCHEMA: также известные как базы данных, схемы являются вторым слоем иерархии объектов и содержат tables и views.
TABLE. Самый низкий уровень в иерархии объектов, tables может быть внешним (хранящимся во внешнем местоположении в вашем облачном хранилище на выбор) или управляемымtables (хранящимся в контейнере в вашем облачном хранилище, созданном специально для Azure Databricks).
VIEW: объект только для чтения, созданный в результате запроса на одну или несколько tables, содержащихся в schema.
MATERIALIZED VIEW: объект, созданный из запроса на одну или несколько tables, содержащихся в schema. Его результаты отражают состояние данных при последнем обновлении.
ТОМ. Самый низкий уровень в иерархии объектов volumes может быть внешние (размещённые во внешнем расположении в предпочитаемом вами облачном хранилище) или управляемые (размещённые в контейнере в облачном хранилище, которое вы создаёте специально для Azure Databricks).
FUNCTION: функция , определяемая пользователем или модель, зарегистрированная в MLflow , которая содержится в schema.
Модель: зарегистрированная модель MLflow — это конкретный тип функции. Модели перечислены отдельно от других функций в обозревателе Catalog, но при grant привилегии для модели с помощью SQL используется
GRANT ON FUNCTION.EXTERNAL LOCATION: объект, содержащий ссылку на учетные данные хранилища и путь к облачному хранилищу, находящийся в метахранилище Unity Catalog.
SERVICE CREDENTIAL: объект, инкапсулирующий долгосрочные облачные учетные данные, предоставляющие доступ к внешней службе. Содержится в хранилище метаданных Catalog Unity.
УЧЕТНЫЕ ДАННЫЕ ХРАНИЛИЩА: объект, который инкапсулирует долгосрочные облачные учетные данные, предоставляющие доступ к облачному хранилищу, содержащемуся в хранилище метаданных Unity Catalog.
CONNECTION: объект, указывающий путь и credentials для доступа к внешней системе баз данных в рамках сценария федерации Lakehouse.
SHARE: логическая группа для tables, к которой вы планируете предоставить общий доступ с помощью Delta Sharing. Часть содержится в метахранилище Unity Catalog.
ПОЛУЧАТЕЛЬ: объект, определяющий организацию или группу пользователей, с которыми могут предоставляться доступ к данным с помощью Delta Sharing. Эти объекты содержатся в хранилище метаданных Catalog Unity.
ПОСТАВЩИК: объект, представляющий организацию, которая предоставила доступ к данным для совместного использования с помощью разностного общего доступа. Эти объекты содержатся в хранилище метаданных Catalog Unity.
CLEAN ROOM: объект, представляющий собой безопасную среду, обеспечивающую защиту конфиденциальности, управляемую Databricks, where где несколько сторон могут сотрудничать без прямого доступа к данным друг друга.
Типы привилегий по защищаемому объекту в Unity Catalog
В следующем table перечислены типы прав, которые применяются к каждому защищаемому объекту в Unity Catalog. Чтобы узнать, как grant привилегий в Unity Catalog, обратитесь к Show, grantи revoke привилегий.
| Защищаемый объект | Привилегии |
|---|---|
| Хранилище мета-данных |
CREATE CATALOG, CREATE CLEAN ROOMCREATE CONNECTIONCREATE EXTERNAL LOCATIONCREATE PROVIDERCREATE RECIPIENTCREATE SHARECREATE SERVICE CREDENTIALCREATE STORAGE CREDENTIALSET SHARE PERMISSIONUSE MARKETPLACE ASSETSUSE PROVIDERUSE RECIPIENTUSE SHARE |
| Catalog |
ALL PRIVILEGES, , APPLY TAGBROWSE, CREATE SCHEMAUSE CATALOGПо умолчанию у всех пользователей есть USE CATALOG на maincatalog.Следующие типы привилегий применяются к защищаемым объектам в catalog. Эти привилегии можно grant на уровне catalog, чтобы применить их к текущим и будущим объектам в catalog. CREATE FUNCTION, CREATE TABLE, CREATE MATERIALIZED VIEW, CREATE MODEL, CREATE VOLUME, EXTERNAL USE SCHEMA, READ VOLUME, REFRESH, WRITE VOLUME, EXECUTE, MANAGE, MODIFY, SELECT, USE SCHEMA |
| Schema |
ALL PRIVILEGES, APPLY TAG, CREATE FUNCTION, CREATE TABLE, CREATE MODEL, CREATE VOLUME, CREATE MATERIALIZED VIEW, MANAGE, EXTERNAL USE SCHEMA, USE SCHEMAСледующие типы привилегий применяются к защищаемым объектам в schema. Эти привилегии можно grant на уровне schema, чтобы применить их к текущим и будущим объектам в schema. EXECUTE, , MODIFYREAD VOLUMEREFRESHSELECT,WRITE VOLUME |
| Table |
ALL PRIVILEGES, , APPLY TAGMANAGE, MODIFYSELECT |
| Материализованное представление |
ALL PRIVILEGES, , APPLY TAGMANAGE, REFRESHSELECT |
| Представления |
ALL PRIVILEGES, , APPLY TAGMANAGESELECT |
| Громкость |
ALL PRIVILEGES, , MANAGEREAD VOLUMEWRITE VOLUME |
| Внешнее расположение |
ALL PRIVILEGES, BROWSECREATE EXTERNAL TABLECREATE EXTERNAL VOLUMECREATE FOREIGN SECURABLEMANAGEREAD FILESWRITE FILESCREATE MANAGED STORAGE |
| Учетные данные службы |
ALL PRIVILEGES, ACCESS, CREATE CONNECTION, MANAGE. |
| Учетные данные хранилища |
ALL PRIVILEGES, , CREATE EXTERNAL LOCATIONCREATE EXTERNAL TABLEMANAGEREAD FILES,WRITE FILES |
| Connection |
ALL PRIVILEGES, , CREATE FOREIGN CATALOGMANAGEUSE CONNECTION |
| Function |
ALL PRIVILEGES, APPLY TAG (только модели), EXECUTE, MANAGE |
| Модель | Зарегистрированные модели — это тип функции. |
| Поделиться |
SELECT (может быть предоставлено RECIPIENT) |
| Recipient | Нет |
| Поставщик | Нет |
| Чистая комната |
ALL PRIVILEGES, , BROWSEEXECUTE CLEAN ROOM TASK, MANAGEMODIFY CLEAN ROOM |
Основные типы привилегий Unity Catalog
В этом разделе содержатся сведения о типах привилегий, которые обычно применяются к Unity Catalog. Сведения о том, как grant привилегий в Unity Catalog, см. в разделе Show, grantи revoke привилегий.
ALL PRIVILEGES
Применимые типы объектов: CATALOG, EXTERNAL LOCATIONSTORAGE CREDENTIAL, SCHEMA, FUNCTION (включая модели), TABLE, MATERIALIZED VIEWVIEW,VOLUME
Используется для grant или revoke всех привилегий, применимых к защищаемому объекту и его дочерним объектам без явного указания их.
Если ALL PRIVILEGES предоставляется для объекта, это не grant пользователя каждой применимой привилегии в момент grant. Вместо этого он расширяется до всех доступных привилегий при проверке разрешений. Это означает, что при выпуске Databricks новых привилегий и новых защищаемых объектов существующий ALL PRIVILEGESgrant автоматически включает все новые привилегии, применимые к защищаемому объекту, его существующим дочерним объектам и любым новым дочерним объектам.
При ALL PRIVILEGES отмене привилегии отменяются, а все явные привилегии, ALL PRIVILEGES предоставленные пользователю в объекте, также отзываются.
Чтобы избежать случайной утечки данных или эскалации привилегий, ALL PRIVILEGES не включает привилегию EXTERNAL USE SCHEMA или привилегию MANAGE.
Примечание.
Эта привилегия эффективна при применении на более высоких уровнях в иерархии. Например, GRANT ALL PRIVILEGES ON CATALOG main TO analysts предоставляет группе аналитиков все существующие и будущие привилегии для каждого существующего и будущего защищаемого объекта в catalog.
ДОСТУП
Применимые типы объектов: SERVICE CREDENTIAL
Позволяет пользователю использовать учетные данные службы для доступа к внешней службе или службам.
ПРИМЕНЕНИЕ ТЕГА
Применимые типы объектов: CATALOG, SCHEMA, TABLEVOLUME, MATERIALIZED VIEW, VIEWмодели, зарегистрированные в качествеFUNCTION
Позволяет пользователю добавлять и изменять теги в объекте. Предоставление доступа к APPLY TAGtable или представлению также включает возможность применения тегов column. Предоставление APPLY TAG зарегистрированной модели также включает теги версий модели.
Пользователь также должен иметь привилегию USE CATALOG на родительском catalog и USE SCHEMA на родительском schema.
ОБЗОР
Применимые типы объектов: CATALOG, EXTERNAL LOCATIONCLEAN ROOM
Внимание
Эта функция предоставляется в режиме общедоступной предварительной версии.
Позволяет пользователю просматривать метаданные объекта с помощью обозревателя Catalog, браузера schema, результатов поиска, графа происхождения, information_schemaи REST API.
Пользователю не требуются права USE CATALOG на родительский catalog или USE SCHEMA на родительский schema.
Всем пользователям по умолчанию предоставляются права BROWSE на новые catalogs, созданные с помощью Catalog Explorer. Вы можете revoke привилегии, если вы предпочитаете.
Catalogs созданные с помощью инструкций SQL, REST API или интерфейса командной строки Databricks по умолчанию не grant привилегии BROWSE. Вы должны grant его открыто.
CREATE CATALOG
Применимые типы объектов: Unity Catalog хранилище метаданных
Позволяет пользователю создавать catalog в хранилище метаданных Catalog Unity. Чтобы создать внешнюю catalog, необходимо также иметь привилегию CREATE FOREIGN CATALOG на подключении, содержащее внешние catalog или в хранилище метаданных.
СОЗДАНИЕ ЧИСТОЙ КОМНАТЫ
Применимые типы объектов: Unity хранилище метаданных Catalog
Позволяет пользователю создать чистую комнату для безопасной совместной работы над проектами с другими организациями без предоставления общего доступа к базовым данным.
CREATE CONNECTION
Применимые типы объектов: метастор Unity Catalog, SERVICE CREDENTIAL
Позволяет пользователю создать подключение к внешней базе данных в сценарии федерации Lakehouse. Чтобы использовать учетные данные службы для создания подключения, пользователь должен иметь эту привилегию как в хранилище метаданных, так и на учетных данных службы.
CREATE EXTERNAL LOCATION
Применимые типы объектов: Unity хранилище метаданных, CatalogSTORAGE CREDENTIAL
Чтобы создать внешнее расположение, пользователь должен иметь эту привилегию как в хранилище метаданных, так и на учетные данные хранения, на которые ссылаются внешние расположения.
СОЗДАТЬ ВНЕШНИЙ TABLE
Применимые типы объектов: EXTERNAL LOCATION, STORAGE CREDENTIAL
Позволяет пользователю непосредственно в вашем облачном клиенте создавать внешние tables с использованием внешнего расположения или учетных данных хранилища. Databricks рекомендует предоставлять эту привилегию для внешнего расположения, а не для учетных данных (так как она ограничена путем, это позволяет лучше контролировать, каким образом where пользователи могут создавать внешние tables в вашем облачном клиенте).
СОЗДАНИЕ ВНЕШНЕГО ТОМА
Применимые типы объектов: EXTERNAL LOCATION
Позволяет пользователю создавать внешние volumes во внешнем расположении.
CREATE FOREIGN CATALOG
Применимые типы объектов: CONNECTION
Позволяет пользователю создавать иностранные catalogs с помощью подключения к внешней базе данных в сценарии федерации Lakehouse.
СОЗДАНИЕ ВНЕШНЕГО ЗАЩИЩАЕМОГО ОБЪЕКТА
Применимые типы объектов: EXTERNAL LOCATION
Позволяет пользователю, создающему внешний catalog, указать авторизованные пути, которые охватываются внешним расположением.
Пользователь также должен иметь CREATE CATALOG в хранилище метаданных Unity Catalog и CREATE FOREIGN CATALOG на подключении.
CREATE FUNCTION
Применимые типы объектов: SCHEMA
Позволяет пользователю создавать функцию в schema. Так как привилегии наследуются, CREATE FUNCTION также можно предоставить на catalog, что позволяет пользователю создавать функцию в любой существующей или будущей schema в catalog.
Пользователь также должен иметь привилегии USE CATALOG на родительском catalog и USE SCHEMA на родительском schema.
CREATE MODEL
Применимые типы объектов: SCHEMA
Позволяет пользователю создать зарегистрированную модель MLflow (которая является типом функции) в schema. Так как привилегии наследуются, CREATE MODEL также можно предоставить для catalog, что позволяет пользователю создавать зарегистрированную модель в любом существующем или будущем schema в catalog.
Пользователь также должен иметь привилегию USE CATALOG на родительском catalog и USE SCHEMA на родительском schema.
СОЗДАНИЕ УПРАВЛЯЕМОГО ХРАНИЛИЩА
Применимые типы объектов: EXTERNAL LOCATION
Позволяет пользователю указать расположение для хранения управляемых tables на уровне catalog или schema, переопределяя корневое хранилище по умолчанию для хранилища метаданных.
CREATE SCHEMA
Применимые типы объектов: CATALOG
Позволяет пользователю создавать schema. Пользователь также должен иметь права USE CATALOG на catalog.
СОЗДАНИЕ УЧЕТНЫХ ДАННЫХ СЛУЖБЫ
Применимые типы объектов: Unity Catalog хранилище метаданных
Позволяет пользователю создавать учетные данные службы в хранилище метаданных Catalog Unity.
СОЗДАНИЕ УЧЕТНЫХ ДАННЫХ ХРАНИЛИЩА
Применимые типы объектов: Unity Catalog хранилище метаданных
Позволяет пользователю создавать учетные данные хранения в хранилище метаданных Catalog Unity.
CREATE TABLE
Применимые типы объектов: SCHEMA
Позволяет пользователю создавать table или просматривать в schema. Так как привилегии наследуются, CREATE TABLE также можно предоставить на catalog, что позволяет пользователю создавать table или просматривать любые существующие или будущие schema в catalog.
Пользователь также должен иметь привилегии USE CATALOG на родительском catalog и привилегии USE SCHEMA на родительском schema.
CREATE MATERIALIZED VIEW
Применимые типы объектов: SCHEMA
Позволяет пользователю создавать материализованное представление в schema. Так как привилегии наследуются, CREATE MATERIALIZED VIEW также можно предоставить на catalog, что позволяет пользователю создавать table или просматривать любые существующие или будущие schema в catalog.
Пользователь также должен иметь привилегии USE CATALOG для родительского catalog и привилегии USE SCHEMA для родительского schema.
CREATE VOLUME
Применимые типы объектов: SCHEMA
Позволяет пользователю создать том в schema. Так как привилегии наследуются, CREATE VOLUME также можно предоставить на catalog, что позволяет пользователю создавать том в любом существующем или будущем schema в catalog.
Пользователь также должен иметь привилегии USE CATALOG для родительского тома catalog и привилегии USE SCHEMA для родительского schema.
Выполнение
Применимые типы объектов: FUNCTION, модель
Позволяет пользователю вызвать заданную пользователем функцию или загрузить модель для вывода, если у пользователя также есть USE CATALOG на его родительском catalog и USE SCHEMA на родительском schema. Для функций EXECUTE предоставляет возможность просматривать определение и метаданные функции. Для зарегистрированных моделей EXECUTE предоставляет возможность просматривать метаданные для всех версий зарегистрированной модели и загружать файлы моделей.
Так как привилегии наследуются, вы можете grant пользователю привилегию EXECUTE на catalog или schema, что автоматически предоставляет пользователю привилегию EXECUTE для всех текущих и будущих функций в catalog или schema.
ВЫПОЛНЕНИЕ ЗАДАЧИ "ЧИСТАЯ КОМНАТА"
Применимые типы объектов: CLEAN ROOM
Позволяет пользователю выполнять задачи (записные книжки) в чистом помещении. Кроме того, пользователь может просматривать сведения о чистом помещении.
ВНЕШНИЕ USE SCHEMA
Применимые типы объектов: SCHEMA
Позволяет предоставить пользователю временные учетные данные для доступа к Unity Catalogtables из внешней системы обработки данных с использованием открытых API-интерфейсов Unity Catalog или REST API Iceberg.
Только владелец catalog может grant эту привилегию.
Чтобы избежать случайного кражи данных, ALL PRIVILEGES не включает привилегию EXTERNAL USE SCHEMA, а владельцы schema по умолчанию не имеют этой привилегии.
См. раздел Включение доступа к внешним данным Unity Catalog.
РУКОВОДИТЬ
Применимые типы объектов: CATALOG, EXTERNAL LOCATION, SERVICE CREDENTIAL, STORAGE CREDENTIAL, SCHEMA, FUNCTION (включая модели), CONNECTION, TABLE, MATERIALIZED VIEW, VIEW,VOLUME, CLEAN ROOM
Внимание
Эта функция предоставляется в режиме общедоступной предварительной версии.
Позволяет пользователю просматривать привилегии и управлять ими, передавать права владения, удалять и переименовать объект.
MANAGE аналогично праву на объект, но пользователи с привилегией MANAGE не получают автоматически все права на этот объект (однако они могут grant себе эти права).
Пользователь также должен иметь привилегию USE CATALOG на родительском catalog объекта и привилегию USE SCHEMA на родительском schema.
ALL PRIVILEGES не включает привилегию MANAGE
УПРАВЛЕНИЕ ALLOWLIST
Применимые типы объектов: хранилище метаданных Catalog Unity
Позволяет пользователю добавлять или изменять пути для скриптов инициализации, JAR и Maven в списке разрешений, который управляет кластерами с поддержкой Unity Catalogс режимом общего доступа. См . библиотеки allowlist и скрипты инициализации в общих вычислительных ресурсах.
MODIFY
Применимые типы объектов: TABLE
Позволяет пользователю добавлять данные в table, updateи удалять данные из table, если пользователь также имеет SELECT на table, а также USE CATALOG на родительском catalog и USE SCHEMA на родительском schema.
Так как привилегии наследуются, вы можете предоставить пользователю привилегию MODIFY с помощью grant на catalog или schema, которая автоматически предоставляет пользователю привилегию MODIFY на все текущие и будущие tables в catalog или schema.
ИЗМЕНЕНИЕ ЧИСТОЙ КОМНАТЫ
Применимые типы объектов: CLEAN ROOM
Позволяет пользователю update чистую комнату, включая добавление и удаление ресурсов данных, добавление и удаление блокнотов и обновление комментариев. Кроме того, пользователь может просматривать сведения о чистом помещении.
READ FILES
Применимые типы объектов: EXTERNAL LOCATION
Databrick рекомендует управлять доступом на чтение к данным в облачном хранилище объектов с помощью volumes и привилегии READ VOLUME.
READ FILES позволяет пользователю считывать файлы непосредственно из облачного объектного хранилища, настроенного как внешняя директория. Дополнительные рекомендации см. в статье Управление внешними расположениями, внешними tablesи внешними volumes.
ЧТЕНИЕ ТОМА
Применимые типы объектов: VOLUME
Позволяет пользователю считывать файлы и каталоги, хранящиеся в томе, если у пользователя также есть USE CATALOG на родительском catalog и USE SCHEMA на родительском schema.
Привилегии наследуются. Если вы можете grant пользователю привилегию READ VOLUME в catalog или schema, вы автоматически grant пользователя READ VOLUME привилегию для всех текущих и будущих volumes в catalog или schema.
REFRESH
Применимые типы объектов: MATERIALIZED VIEW
Позволяет пользователю refresh материализованное представление, если у него также есть USE CATALOG на родительском catalog и USE SCHEMA на родительском schema.
Привилегии наследуются. При grant привилегии REFRESHcatalog или schema пользователю автоматически grant права REFRESH для всех текущих и будущих материализованных views в catalog или schema.
SELECT
Применимые типы объектов: TABLE, VIEW, MATERIALIZED VIEWSHARE
При применении к table или представлению пользователь имеет возможность select из table или представления, если у пользователя также есть возможность USE CATALOG у родительского catalog и USE SCHEMA у родительского schema. При применении к расшаренному ресурсу получатель может выполнить действие select из общего ресурса.
Так как привилегии наследуются, вы можете предоставить пользователю grantSELECT привилегию на catalog или schema, что автоматически дает пользователю SELECT привилегию для всех текущих и будущих tables, а также views в catalog или schema.
USE CATALOG
Применимые типы объектов: CATALOG
Эта привилегия не grant доступа к самому catalog, но необходима пользователю для взаимодействия с любым объектом в catalog. Например, чтобы select данные из table, пользователи должны иметь привилегии SELECT для этого table и USE CATALOG привилегий для родительского catalog, а также USE SCHEMA привилегий для родительского schema.
Это полезно, чтобы позволить владельцам catalog иметь возможность limit, насколько далеко отдельные schema и table владельцы могут обмениваться данными, которые они производят. Например, владелец table, предоставляющий SELECT другому пользователю, не разрешает этому пользователю доступ на чтение к table, если ему также не были предоставлены USE CATALOG привилегии на родительский catalog, а также USE SCHEMA привилегии на родительский schema.
Привилегия USE CATALOG на родительском catalog не требуется для чтения метаданных объекта, если у пользователя есть привилегия BROWSE на этот catalog.
ИСПОЛЬЗОВАНИЕ ПОДКЛЮЧЕНИЯ
Применимые типы объектов: CONNECTION
Позволяет пользователю list и просматривать сведения о connections во внешней базе данных в контексте федерации Lakehouse. Чтобы создать внешний catalogs для подключения, необходимо иметь CREATE FOREIGN CATALOG на подключение или обладать правами на подключение.
USE SCHEMA
Применимые типы объектов: SCHEMA
Эта привилегия не grant доступа к самому schema, но необходима для взаимодействия пользователя с любым объектом в schema. Например, для данных select из tableпользователи должны иметь привилегии SELECT для этого table и USE SCHEMA для его родителя schema, а также USE CATALOG для его родителя catalog.
Так как привилегии наследуются, вы можете grant пользователя USE SCHEMA привилегию на catalog, которая автоматически предоставляет пользователю права USE SCHEMA на все текущие и будущие схемы в catalog.
Привилегия USE SCHEMA на родительском schema не требуется для чтения метаданных объекта, если у пользователя есть привилегия BROWSE на этот schema или его родительский catalog.
WRITE FILES
Применимые типы объектов: EXTERNAL LOCATION
Databrick рекомендует управлять доступом на запись к данным в облачном хранилище объектов с помощью volumes и привилегии WRITE VOLUME.
WRITE FILES позволяет пользователю записывать файлы непосредственно в облачное хранилище объектов, настроенное как внешнее местоположение. Дополнительные рекомендации см. в статье Управление внешними расположениями, внешними tablesи внешними volumes.
ЗАПИСЬ ТОМА
Применимые типы объектов: VOLUME
Позволяет пользователю добавлять, removeили изменять файлы и каталоги, хранящиеся внутри тома, если пользователь также имеет USE CATALOG на родительском catalog и USE SCHEMA на родительском schema.
Привилегии наследуются. Если вы можете grant пользователю привилегию WRITE VOLUME в catalog или schema, вы автоматически grant пользователя WRITE VOLUME привилегию для всех текущих и будущих volumes в catalog или schema.
Типы привилегий, которые применяются только к Delta Sharing или Databricks Marketplace
В этом разделе содержатся сведения о типах привилегий, которые применяются только к delta Sharing.
CREATE PROVIDER
Применимые типы объектов: Unity Catalog хранилище метаданных
Позволяет пользователю создать объект поставщика Delta Sharing в хранилище метаданных. Поставщик определяет организацию или группу пользователей с общими данными с помощью разностного общего доступа. Создание поставщика выполняется пользователем в учетной записи databricks получателя. См. раздел "Что такое разностный общий доступ?".
CREATE RECIPIENT
Применимые типы объектов: Unity Catalog хранилище метаданных
Позволяет пользователю создавать объект получателя Delta Sharing в хранилище метаданных. Получатель определяет организацию или группу пользователей, с которыми могут предоставляться доступ к данным с ними с помощью разностного общего доступа. Создание получателя выполняется пользователем в учетной записи Databricks поставщика. См. раздел "Что такое разностный общий доступ?".
CREATE SHARE
Применимые типы объектов: Unity Catalog хранилище метаданных
Позволяет пользователю создать общую папку в хранилище метаданных. Общее пространство — это логическая группировка для tables, которую вы планируете использовать для совместного доступа с помощью Delta Sharing
РАЗРЕШЕНИЕ SET ОБЩИЙ ДОСТУП
Применимые типы объектов: Unity метахранилище Catalog
В Delta Sharing эта привилегия, в сочетании с USE SHARE и USE RECIPIENT (или правом собственности получателя), предоставляет пользователю-поставщику возможность grant доступ получателя к общему ресурсу. В сочетании с USE SHAREэтим предоставляется возможность передавать владение общей папкой другому пользователю, группе или субъекту-службе.
ИСПОЛЬЗОВАНИЕ РЕСУРСОВ MARKETPLACE
Применимые типы объектов: Unity Catalog хранилище метаданных
Включен по умолчанию для всех CatalogmetastoresUnity. В Databricks Marketplace эта привилегия дает пользователю возможность get мгновенный доступ или запрашивать доступ к продуктам данных, общим в списке Marketplace. Он также позволяет пользователю получить доступ только для чтения к catalog, созданному, когда поставщик shares продукт данных. Без этой привилегии пользователю потребуется CREATE CATALOG роль администратора хранилища метаданных и USE PROVIDER разрешения. Это даёт возможность limit количество пользователей, обладающих этими мощными разрешениями.
ИСПОЛЬЗОВАНИЕ ПОСТАВЩИКА
Применимые типы объектов: метахранилище Unity Catalog
В системе Delta Sharing предоставляется пользователю доступ только для чтения ко всем providers в хранилище метаданных получателей и их элементам shares. В сочетании с привилегиями CREATE CATALOG эта привилегия позволяет пользователю-получателю, который не является администратором хранилища метаданных, подключать общую папку как catalog. Это позволяет вам limit количество пользователей, обладающих мощной ролью администратора хранилища метаданных.
ИСПОЛЬЗОВАНИЕ ПОЛУЧАТЕЛЯ
Применимые типы объектов: Unity Catalog хранилище метаданных
В Delta Sharing предоставляет поставщику доступ только для чтения ко всем recipients в хранилище метаданных поставщика и их shares. Это позволяет пользователю поставщика, который не является администратором хранилища метаданных, просматривать детали получателя, статус аутентификации получателя и list из shares, которые поставщик предоставил в общий доступ получателю.
В Databricks Marketplace это дает пользователям возможность просматривать списки и запросы потребителей в консоли поставщика.
ИСПОЛЬЗОВАНИЕ ОБЩЕГО РЕСУРСА
Применимые типы объектов: метахранилище Unity Catalog
В системе Delta Sharing пользователь-поставщик получает доступ только для чтения ко всем shares, определенным в его хранилище метаданных. Это позволяет пользователю поставщика, который не является администратором хранилища метаданных, listshares и list ресурсы (tables и записные книжки) в общей папке, а также recipientsобщей папки.
В Databricks Marketplace это дает пользователям возможность просматривать сведения об общих данных в списке.