Привилегии каталога Unity и защищаемые объекты
В этой статье описываются защищаемые объекты каталога Unity и привилегии, которые применяются к ним. Сведения о предоставлении привилегий в каталоге Unity см. в разделе Показать, предоставить и отозвать привилегии.
Примечание.
Эта статья относится к привилегиям каталога Unity и модели наследования в модели привилегий версии 1.0. Если вы создали хранилище метаданных каталога Unity во время общедоступной предварительной версии (до 25 августа 2022 г.), возможно, вы используете более раннюю модель привилегий, которая не поддерживает текущую модель наследования. Вы можете обновить модель привилегий до версии 1.0, чтобы получить наследование привилегий. См. раздел "Обновление до наследования привилегий".
защищаемые объекты в каталоге Unity
Защищаемый объект — это объект, определенный в хранилище метаданных каталога Unity, в котором могут быть предоставлены привилегии субъекту (пользователю, субъекту-службе или группе). Защищаемые объекты в каталоге Unity являются иерархическими.
Защищаемые объекты:
METASTORE: контейнер верхнего уровня для метаданных. Каждое хранилище метаданных каталога Unity предоставляет трехуровневое пространство имен (
catalog
.schema
.table
), которое упорядочивает данные.При управлении привилегиями в хранилище метаданных не включайте имя хранилища метаданных в команду SQL. Каталог Unity предоставляет или отменяет привилегии в хранилище метаданных, подключенном к рабочей области. Например, следующая команда предоставляет группе с именем инженерии возможность создавать каталог в метахранилище, подключенном к рабочей области.
GRANT CREATE CATALOG ON METASTORE TO engineering
CATALOG: первый слой иерархии объектов, используемый для упорядочивания ресурсов данных. внешний каталог — это специальный тип каталога, который отражает базу данных во внешней системе данных в сценарии Lakehouse Federation.
SCHEMA: также известные как базы данных, схемы являются вторым слоем иерархии объектов и содержат таблицы и представления.
TABLE. Самый низкий уровень в иерархии объектов, таблицы могут быть внешними (хранящимися во внешнем расположении в вашем облачном хранилище) или управляемыми таблицами (хранящимися в контейнере хранения в облачном хранилище, который вы создаете специально для Azure Databricks).
VIEW: объект только для чтения, созданный из запроса на одну или несколько таблиц, содержащихся в схеме.
MATERIALIZED VIEW: объект, созданный из запроса на одну или несколько таблиц, содержащихся в схеме. Его результаты отражают состояние данных при последнем обновлении.
ТОМ. Самый низкий уровень в иерархии объектов, тома могут быть внешние (хранящиеся в внешнем месте в предпочитаемом вами облачном хранилище) или управляемые (хранящиеся в контейнере, созданном вами в облачном хранилище специально для Azure Databricks).
FUNCTION: определяемая пользователем функция или зарегистрированная модель MLflow, содержащаяся в схеме.
Модель: зарегистрированная модель MLflow — это конкретный тип функции. Модели перечислены отдельно от других функций в обозревателе каталогов, но при предоставлении привилегий для модели с помощью SQL используется
GRANT ON FUNCTION
.EXTERNAL LOCATION: объект, содержащий ссылку на удостоверение хранилища и путь к облачному хранилищу, который содержится в каталоге метаданных Unity.
SERVICE CREDENTIAL: объект, инкапсулирующий долгосрочные облачные учетные данные, предоставляющие доступ к внешней службе. Содержится в хранилище метаданных каталога Unity.
STORAGE CREDENTIAL: объект, который инкапсулирует долгосрочные облачные учетные данные, предоставляющие доступ к облачному хранилищу, содержащемуся в хранилище метаданных каталога Unity.
CONNECTION: объект, указывающий путь и учетные данные для доступа к внешней системе баз данных в сценарии федерации Lakehouse.
SHARE: логическая группировка таблиц, к которым вы планируете предоставить общий доступ с помощью Delta Sharing. Доля содержится в метахранилище каталога Unity.
ПОЛУЧАТЕЛЬ: объект, определяющий организацию или группу пользователей, с которыми могут предоставляться доступ к данным с помощью Delta Sharing. Эти объекты содержатся в хранилище метаданных каталога Unity.
ПОСТАВЩИК: объект, представляющий организацию, которая предоставила доступ к данным для совместного использования с помощью разностного общего доступа. Эти объекты содержатся в хранилище метаданных каталога Unity.
CLEAN ROOM: объект, представляющий безопасную и защищенную конфиденциальность среду, управляемую Databricks, где несколько сторон могут работать без прямого доступа к данным друг друга.
Типы привилегий по объектам, подлежащим защите, в каталоге Unity
В следующей таблице перечислены типы привилегий, которые применяются к каждому защищаемому объекту в каталоге Unity. Сведения о предоставлении привилегий в каталоге Unity см. в разделе Показать, предоставить и отозвать привилегии.
Защищаемый объект | Привилегии |
---|---|
Хранилище мета-данных |
CREATE CATALOG , CREATE CLEAN ROOM CREATE CONNECTION CREATE EXTERNAL LOCATION CREATE PROVIDER CREATE RECIPIENT CREATE SHARE CREATE SERVICE CREDENTIAL CREATE STORAGE CREDENTIAL SET SHARE PERMISSION USE MARKETPLACE ASSETS USE PROVIDER USE RECIPIENT USE SHARE |
Каталог |
ALL PRIVILEGES , , APPLY TAG BROWSE , CREATE SCHEMA USE CATALOG Все пользователи по умолчанию имеют USE CATALOG в каталоге main .Следующие типы привилегий применяются к защищаемым объектам в каталоге. Эти привилегии можно предоставить на уровне каталога, чтобы применить их к текущим и будущим объектам в каталоге. CREATE FUNCTION , CREATE TABLE , CREATE MATERIALIZED VIEW , CREATE MODEL , CREATE VOLUME , EXTERNAL USE SCHEMA , READ VOLUME , REFRESH , WRITE VOLUME , EXECUTE , MANAGE , MODIFY , SELECT , USE SCHEMA |
Схема |
ALL PRIVILEGES , APPLY TAG , CREATE FUNCTION , CREATE TABLE , CREATE MODEL , CREATE VOLUME , CREATE MATERIALIZED VIEW , MANAGE , EXTERNAL USE SCHEMA , USE SCHEMA Следующие типы привилегий применяются к защищаемым объектам в схеме. Эти привилегии можно предоставить на уровне схемы, чтобы применить их к текущим и будущим объектам в схеме. EXECUTE , , MODIFY READ VOLUME REFRESH SELECT ,WRITE VOLUME |
Стол |
ALL PRIVILEGES , , APPLY TAG MANAGE , MODIFY SELECT |
Материализованное представление |
ALL PRIVILEGES , , APPLY TAG MANAGE , REFRESH SELECT |
Представления |
ALL PRIVILEGES , , APPLY TAG MANAGE SELECT |
Громкость |
ALL PRIVILEGES , , MANAGE READ VOLUME WRITE VOLUME |
Внешнее расположение |
ALL PRIVILEGES , BROWSE CREATE EXTERNAL TABLE CREATE EXTERNAL VOLUME CREATE FOREIGN SECURABLE MANAGE READ FILES WRITE FILES CREATE MANAGED STORAGE |
Учетные данные службы |
ALL PRIVILEGES , ACCESS , CREATE CONNECTION , MANAGE . |
Учетные данные хранилища |
ALL PRIVILEGES , , CREATE EXTERNAL LOCATION CREATE EXTERNAL TABLE MANAGE READ FILES ,WRITE FILES |
Connection |
ALL PRIVILEGES , , CREATE FOREIGN CATALOG MANAGE USE CONNECTION |
Function |
ALL PRIVILEGES , APPLY TAG (только модели), EXECUTE , MANAGE |
Модель | Зарегистрированные модели — это тип функции. |
Поделиться |
SELECT (может быть предоставлено RECIPIENT ) |
Recipient | Нет |
Поставщик | Нет |
Чистая комната |
ALL PRIVILEGES , , BROWSE EXECUTE CLEAN ROOM TASK , MANAGE MODIFY CLEAN ROOM |
Типы привилегий в каталоге Unity
В этом разделе содержатся сведения о типах привилегий, которые обычно применяются к каталогу Unity. Сведения о предоставлении привилегий в каталоге Unity см. в разделе Показать, предоставить и отозвать привилегии.
ALL PRIVILEGES
Применимые типы объектов: CATALOG
, EXTERNAL LOCATION
, SERVICE CREDENTIAL
, STORAGE CREDENTIAL
, SCHEMA
, FUNCTION
(включая модели TABLE
), MATERIALIZED VIEW
, VIEW,
VOLUME
Используется для предоставления или отзыва всех привилегий, применимых к защищаемому объекту и его дочерним объектам без явного указания их.
Если ALL PRIVILEGES
предоставляется для объекта, это не даёт пользователю каждую применимую привилегию в момент предоставления. Вместо этого он расширяется до всех доступных привилегий при проверке разрешений. Это означает, что когда Databricks выпускает новые привилегии и охраняемые объекты, существующий ALL PRIVILEGES
автоматически включает любые новые привилегии, применимые к охраняемому объекту, его существующим дочерним объектам, а также к любым новым дочерним объектам.
При ALL PRIVILEGES
отмене привилегии отменяются, а все явные привилегии, ALL PRIVILEGES
предоставленные пользователю в объекте, также отзываются.
Чтобы избежать случайной утечки данных или эскалации привилегий, ALL PRIVILEGES
не включает привилегию EXTERNAL USE SCHEMA
или привилегию MANAGE
.
Примечание.
Эта привилегия эффективна при применении на более высоких уровнях в иерархии. Например, GRANT ALL PRIVILEGES ON CATALOG main TO analysts
предоставляет группе аналитиков все существующие и будущие привилегии для каждого существующего и будущего защищаемого объекта в каталоге.
ДОСТУП
Применимые типы объектов: SERVICE CREDENTIAL
Позволяет пользователю использовать учетные данные службы для доступа к внешней службе или службам.
ПРИМЕНЕНИЕ ТЕГА
Применимые типы объектов: CATALOG
, SCHEMA
, TABLE
VOLUME
, MATERIALIZED VIEW
, VIEW
модели, зарегистрированные в качествеFUNCTION
Позволяет пользователю добавлять и изменять теги в объекте. Предоставление APPLY TAG
таблице или представлению также позволяет использовать метки столбцов. Предоставление APPLY TAG
зарегистрированной модели также включает теги версий модели.
Пользователь также должен иметь права USE CATALOG
в родительском каталоге и USE SCHEMA
в родительской схеме.
ОБЗОР
Применимые типы объектов: CATALOG
, EXTERNAL LOCATION
CLEAN ROOM
Внимание
Эта функция предоставляется в режиме общедоступной предварительной версии.
Позволяет пользователю просматривать метаданные объекта с помощью обозревателя каталогов, браузера схемы, результатов поиска, графа происхождения, information_schema
и REST API.
Пользователю не требуется привилегия USE CATALOG
на родительский каталог или USE SCHEMA
на родительскую схему.
Все пользователи по умолчанию получают привилегии BROWSE
на новых каталогах, созданных с помощью Catalog Explorer. Вы можете отозвать привилегию, если вы предпочитаете. Каталоги, созданные с помощью инструкций SQL, REST API или интерфейса командной строки Databricks, по умолчанию не предоставляют права BROWSE
. Вы должны предоставить его открыто.
CREATE CATALOG
Применимые типы объектов: хранилище метаданных каталога Unity
Позволяет пользователю создавать каталог в хранилище метаданных каталога Unity. Чтобы создать внешний каталог, необходимо также иметь права CREATE FOREIGN CATALOG для подключения, содержащего внешний каталог или хранилище метаданных.
СОЗДАНИЕ ЧИСТОЙ КОМНАТЫ
Применимые типы объектов: хранилище метаданных каталога Unity
Позволяет пользователю создать чистую комнату для безопасной совместной работы над проектами с другими организациями без предоставления общего доступа к базовым данным.
CREATE CONNECTION
Применимые типы объектов: хранилище метаданных каталога Unity, SERVICE CREDENTIAL
Позволяет пользователю создать подключение к внешней базе данных в сценарии федерации Lakehouse. Чтобы использовать учетные данные службы для создания подключения, пользователь должен иметь эту привилегию как в хранилище метаданных, так и на учетных данных службы.
CREATE EXTERNAL LOCATION
Применимые типы объектов: хранилище метаданных каталога Unity, STORAGE CREDENTIAL
Чтобы создать внешнее расположение, пользователь должен иметь эту привилегию как в хранилище метаданных, так и на учетные данные хранения, на которые ссылаются внешние расположения.
СОЗДАТЬ ВНЕШНИЙ TABLE
Применимые типы объектов: EXTERNAL LOCATION
, STORAGE CREDENTIAL
Позволяет пользователю создавать внешние таблицы непосредственно в вашем облачном арендаторе с использованием внешнего расположения или учетных данных хранилища. Databricks рекомендует предоставить эту привилегию во внешнем расположении, вместо учетных данных хранилища (так как она привязана к пути, это позволяет лучше контролировать, где пользователи могут создавать внешние таблицы в вашем облачном тенанте).
СОЗДАНИЕ ВНЕШНЕГО ТОМА
Применимые типы объектов: EXTERNAL LOCATION
Позволяет пользователю создавать внешние тома с помощью внешнего расположения.
CREATE FOREIGN CATALOG
Применимые типы объектов: CONNECTION
Позволяет пользователю создавать внешние каталоги с помощью подключения к внешней базе данных в сценарии федерации Lakehouse.
СОЗДАНИЕ ВНЕШНЕГО ЗАЩИЩАЕМОГО ОБЪЕКТА
Применимые типы объектов: EXTERNAL LOCATION
Позволяет пользователю, создающему внешний каталог, указать авторизованные пути, охваченные внешним расположением.
Пользователь также должен иметь CREATE CATALOG
на хранилище метаданных Unity Catalog и CREATE FOREIGN CATALOG
на подключении.
CREATE FUNCTION
Применимые типы объектов: SCHEMA
Позволяет пользователю создавать функцию в схеме. Так как привилегии наследуются, CREATE FUNCTION
также можно предоставить в каталоге, что позволяет пользователю создавать функцию в любой существующей или будущей схеме в каталоге.
Пользователь также должен иметь права USE CATALOG
в родительском каталоге и USE SCHEMA
в родительской схеме.
CREATE MODEL
Применимые типы объектов: SCHEMA
Позволяет пользователю создавать зарегистрированную модель MLflow (которая является типом FUNCTION) в схеме. Так как привилегии наследуются, CREATE MODEL
также можно предоставить в каталоге, что позволяет пользователю создавать зарегистрированную модель в любой существующей или будущей схеме в каталоге.
Пользователь также должен иметь права USE CATALOG
в родительском каталоге и USE SCHEMA
в родительской схеме.
СОЗДАНИЕ УПРАВЛЯЕМОГО ХРАНИЛИЩА
Применимые типы объектов: EXTERNAL LOCATION
Позволяет пользователю указать расположение для хранения управляемых таблиц на уровне каталога или схемы, переопределяя корневое хранилище по умолчанию для хранилища метаданных.
CREATE SCHEMA
Применимые типы объектов: CATALOG
Позволяет пользователю создавать схему. Пользователь также должен иметь привилегию USE CATALOG
в каталоге.
СОЗДАНИЕ УЧЕТНЫХ ДАННЫХ СЛУЖБЫ
Применимые типы объектов: хранилище метаданных каталога Unity
Позволяет пользователю создавать учетные данные службы в хранилище метаданных каталога Unity.
СОЗДАНИЕ УЧЕТНЫХ ДАННЫХ ХРАНИЛИЩА
Применимые типы объектов: хранилище метаданных каталога Unity
Позволяет пользователю создавать учетные данные хранения в хранилище метаданных каталога Unity.
CREATE TABLE
Применимые типы объектов: SCHEMA
Позволяет пользователю создавать таблицу или представление в схеме. Так как привилегии наследуются, CREATE TABLE
также можно предоставить в каталоге, что позволяет пользователю создавать таблицу или представление в любой существующей или будущей схеме в каталоге.
Пользователь также должен иметь привилегии USE CATALOG
в родительском каталоге и USE SCHEMA
в родительской схеме.
CREATE MATERIALIZED VIEW
Применимые типы объектов: SCHEMA
Позволяет пользователю создать материализованное представление в схеме. Так как привилегии наследуются, CREATE MATERIALIZED VIEW
также можно предоставить в каталоге, что позволяет пользователю создавать таблицу или представление в любой существующей или будущей схеме в каталоге.
Пользователь также должен иметь привилегии USE CATALOG
в родительском каталоге и USE SCHEMA
в родительской схеме.
CREATE VOLUME
Применимые типы объектов: SCHEMA
Позволяет пользователю создавать том в схеме данных. Поскольку привилегии наследуются, CREATE VOLUME
также может быть предоставлено в каталоге, что позволяет пользователю создавать том в любой существующей или будущей схеме внутри каталога.
Пользователь также должен иметь привилегии USE CATALOG
на родительский каталог тома и USE SCHEMA
на его родительскую схему.
Выполнение
Применимые типы объектов: FUNCTION
, модель
Позволяет пользователю вызывать функцию, определенную пользователем, или загружать модель для проведения инференса, если у пользователя также есть роль USE CATALOG
в родительском каталоге и роль USE SCHEMA
в родительской схеме. Для функций EXECUTE
предоставляет возможность просматривать определение и метаданные функции. Для зарегистрированных моделей EXECUTE
предоставляет возможность просматривать метаданные для всех версий зарегистрированной модели и загружать файлы моделей.
Так как привилегии наследуются, вы можете предоставить пользователю привилегию EXECUTE
в каталоге или схеме, которая автоматически предоставляет пользователю привилегию EXECUTE
для всех текущих и будущих функций в каталоге или схеме.
ВЫПОЛНЕНИЕ ЗАДАЧИ "ЧИСТАЯ КОМНАТА"
Применимые типы объектов: CLEAN ROOM
Позволяет пользователю выполнять задачи (записные книжки) в чистом помещении. Кроме того, пользователь может просматривать сведения о чистом помещении.
ВНЕШНИЕ USE SCHEMA
Применимые типы объектов: SCHEMA
Позволяет пользователю получить временные учетные данные для доступа к таблицам Unity Catalog из внешнего обработчика данных с помощью API интерфейсов с открытым доступом для Unity Catalog или REST API Iceberg.
Только владелец каталога может предоставить этому привилегию.
Чтобы избежать случайного кражи данных, ALL PRIVILEGES
не включает привилегию EXTERNAL USE SCHEMA
, а владельцы схем по умолчанию не имеют этой привилегии.
См. раздел Включение доступа к внешним данным в каталоге Unity.
РУКОВОДИТЬ
Применимые типы объектов: CATALOG
, EXTERNAL LOCATION
, SERVICE CREDENTIAL
, STORAGE CREDENTIAL
, SCHEMA
, FUNCTION
(включая модели), CONNECTION
, TABLE
, MATERIALIZED VIEW
, VIEW,
VOLUME
, CLEAN ROOM
Внимание
Эта функция предоставляется в режиме общедоступной предварительной версии.
Позволяет пользователю просматривать привилегии и управлять ими, передавать права владения, удалять и переименовать объект.
MANAGE
похож на владение объектом, но пользователи с привилегией MANAGE
не получают автоматически все привилегии этого объекта (однако они могут предоставить себе привилегии).
Пользователь также должен иметь права USE CATALOG
в родительском каталоге объекта и привилегии USE SCHEMA
в родительской схеме.
ALL PRIVILEGES
не включает привилегию MANAGE
УПРАВЛЕНИЕ ALLOWLIST
Применимые типы объектов: хранилище метаданных каталога Unity
Позволяет пользователю добавлять или изменять пути для скриптов инициализации, JAR и Maven в списке разрешений, который управляет кластерами с поддержкой каталога Unity с общим доступом. См . библиотеки allowlist и скрипты инициализации в общих вычислительных ресурсах.
MODIFY
Применимые типы объектов: TABLE
Позволяет пользователю добавлять, обновлять и удалять данные в таблице или из нее, если у него также есть SELECT
для таблицы, а также USE CATALOG
для родительского каталога и USE SCHEMA
для родительской схемы.
Так как привилегии наследуются, вы можете предоставить пользователю привилегию MODIFY
в каталоге или схеме, которая автоматически предоставляет пользователю права MODIFY
привилегии для всех текущих и будущих таблиц в каталоге или схеме.
ИЗМЕНЕНИЕ ЧИСТОЙ КОМНАТЫ
Применимые типы объектов: CLEAN ROOM
Позволяет пользователю обновлять чистую комнату, включая добавление и удаление ресурсов данных, добавление и удаление записных книжек и обновление комментариев. Кроме того, пользователь может просматривать сведения о чистом помещении.
READ FILES
Применимые типы объектов: EXTERNAL LOCATION
Databrick рекомендует управлять доступом на чтение к данным в облачном хранилище объектов с помощью томов и привилегий READ VOLUME
.
READ FILES
позволяет пользователю считывать файлы непосредственно из облачного объектного хранилища, настроенного как внешняя директория. Для получения дополнительных рекомендаций см. статью Управление внешними расположениями, внешними таблицами и внешними томами.
ЧТЕНИЕ ТОМА
Применимые типы объектов: VOLUME
Позволяет пользователю читать файлы и каталоги, хранящиеся в томе, если у пользователя также имеются права USE CATALOG
в родительском каталоге и USE SCHEMA
в родительской схеме.
Привилегии наследуются. Когда вы можете предоставить пользователю привилегию READ VOLUME
в каталоге или схеме, вы автоматически предоставляете ему привилегию READ VOLUME
на все текущие и будущие тома в этом каталоге или схеме.
REFRESH
Применимые типы объектов: MATERIALIZED VIEW
Позволяет пользователю обновить материализованное представление, если у пользователя также есть USE CATALOG
в родительском каталоге и USE SCHEMA
в родительской схеме.
Привилегии наследуются. При предоставлении пользователю привилегии REFRESH
в каталоге или схеме, ему автоматически предоставляется привилегия REFRESH
на все текущие и будущие материализованные представления в этом каталоге или схеме.
SELECT
Применимые типы объектов: TABLE
, VIEW
, MATERIALIZED VIEW
SHARE
При применении к таблице или представлению пользователь может выбрать из таблицы или представления, если пользователь также USE CATALOG
в родительском каталоге и USE SCHEMA
в родительской схеме. При применении к общей папке получатель может выбрать из общей папки.
Так как привилегии наследуются, вы можете предоставить пользователю привилегию SELECT
в каталоге или схеме, которая автоматически предоставляет пользователю SELECT
привилегии для всех текущих и будущих таблиц, а также представлений в каталоге или схеме.
USE CATALOG
Применимые типы объектов: CATALOG
Эта привилегия не предоставляет доступ к самому каталогу, но требуется для взаимодействия пользователя с любым объектом в каталоге. Например, чтобы выбрать данные из таблицы, пользователям необходимо иметь привилегии SELECT
для этой таблицы, USE CATALOG
привилегии для родительского каталога, а также USE SCHEMA
привилегии для родительской схемы.
Это полезно для того, чтобы владельцы каталога могли ограничивать уровень, до которого отдельные схемы и владельцы таблиц могут предоставлять общий доступ к данным, которые они производят. Например, владелец таблицы, предоставляющий SELECT
другому пользователю, не разрешает доступ пользователя на чтение к таблице, пока им также не были предоставлены привилегии USE CATALOG
на родительский каталог, а также привилегии USE SCHEMA
на родительскую схему.
Права USE CATALOG
на родительский каталог не требуются для чтения метаданных объекта, если у пользователя есть привилегия BROWSE
в данном каталоге.
ИСПОЛЬЗОВАНИЕ ПОДКЛЮЧЕНИЯ
Применимые типы объектов: CONNECTION
Позволяет пользователю перечислять и просматривать сведения о подключениях к внешней базе данных в сценарии федерации Lakehouse. Чтобы создать внешние каталоги для подключения, необходимо иметь CREATE FOREIGN CATALOG
на подключении или обладать правами владельца подключения.
USE SCHEMA
Применимые типы объектов: SCHEMA
Эта привилегия не предоставляет доступ к самой схеме, но требуется для взаимодействия пользователя с любым объектом в схеме. Например, чтобы выбрать данные из таблицы, пользователям необходимо иметь права SELECT
для этой таблицы и USE SCHEMA
на родительской схеме, а также USE CATALOG
в родительском каталоге.
Так как привилегии наследуются, вы можете предоставить пользователю привилегию USE SCHEMA
в каталоге, которая автоматически предоставляет пользователю привилегию USE SCHEMA
для всех текущих и будущих схем в каталоге.
Привилегия USE SCHEMA
родительской схемы не требуется для чтения метаданных объекта, если у пользователя есть права BROWSE
привилегии в этой схеме или родительском каталоге.
WRITE FILES
Применимые типы объектов: EXTERNAL LOCATION
Databrick рекомендует управлять доступом на запись к данным в облачном хранилище объектов с помощью томов и привилегий WRITE VOLUME
.
WRITE FILES
позволяет пользователю записывать файлы непосредственно в облачное хранилище объектов, настроенное как внешнее местоположение. Для получения дополнительных рекомендаций см. статью Управление внешними расположениями, внешними таблицами и внешними томами.
ЗАПИСЬ ТОМА
Применимые типы объектов: VOLUME
Позволяет пользователю добавлять, удалять или изменять файлы и каталоги, хранящиеся в томе, в случае, если у пользователя есть USE CATALOG
в родительском каталоге и USE SCHEMA
в родительской схеме.
Привилегии наследуются. Когда вы можете предоставить пользователю привилегию WRITE VOLUME
в каталоге или схеме, вы автоматически предоставляете ему привилегию WRITE VOLUME
на все текущие и будущие тома в этом каталоге или схеме.
Типы привилегий, которые применяются только к Delta Sharing или Databricks Marketplace
В этом разделе содержатся сведения о типах привилегий, которые применяются только к delta Sharing.
CREATE PROVIDER
Применимые типы объектов: хранилище метаданных каталога Unity
Позволяет пользователю создать объект поставщика Delta Sharing в хранилище метаданных. Поставщик определяет организацию или группу пользователей с общими данными с помощью разностного общего доступа. Создание поставщика выполняется пользователем в учетной записи databricks получателя. См. раздел "Что такое разностный общий доступ?".
CREATE RECIPIENT
Применимые типы объектов: хранилище метаданных каталога Unity
Позволяет пользователю создавать объект получателя Delta Sharing в хранилище метаданных. Получатель определяет организацию или группу пользователей, с которыми могут предоставляться доступ к данным с ними с помощью разностного общего доступа. Создание получателя выполняется пользователем в учетной записи Databricks поставщика. См. раздел "Что такое разностный общий доступ?".
CREATE SHARE
Применимые типы объектов: хранилище метаданных каталога Unity
Позволяет пользователю создать общую папку в хранилище метаданных. Доля — это логическая группировка для таблиц, которыми вы планируете делиться с использованием Delta Sharing.
РАЗРЕШЕНИЕ SET ОБЩИЙ ДОСТУП
Применимые типы объектов: хранилище метаданных каталога Unity
В Delta Sharing эта привилегия в сочетании с USE SHARE
и USE RECIPIENT
(или владением получателем) предоставляет пользователю-поставщику возможность предоставлять получателю доступ к ресурсу. В сочетании с USE SHARE
этим предоставляется возможность передавать владение общей папкой другому пользователю, группе или субъекту-службе.
ИСПОЛЬЗОВАНИЕ РЕСУРСОВ MARKETPLACE
Применимые типы объектов: хранилище метаданных каталога Unity
Включен по умолчанию для всех хранилищ метаданных каталога Unity. В Databricks Marketplace эта привилегия дает пользователю возможность получать мгновенный доступ или запрашивать доступ к продуктам данных, размещённым в Databricks Marketplace. Он также позволяет пользователю получить доступ к каталогу только для чтения, который создается при совместном использовании поставщиком продукта данных. Без этой привилегии пользователю потребуется CREATE CATALOG
роль администратора хранилища метаданных и USE PROVIDER
разрешения. Это позволяет ограничить количество пользователей этими мощными разрешениями.
ИСПОЛЬЗОВАНИЕ ПОСТАВЩИКА
Применимые типы объектов: хранилище метаданных каталога Unity
Delta Sharing предоставляет пользователю-получателю доступ только для чтения ко всем провайдерам в хранилище метаданных получателя и их общим данным. В сочетании с привилегией CREATE CATALOG
эта привилегия позволяет пользователю-получателю, который не является администратором хранилища метаданных, монтировать общую папку в качестве каталога. Это позволяет ограничить количество пользователей с помощью мощной роли администратора хранилища метаданных.
ИСПОЛЬЗОВАНИЕ ПОЛУЧАТЕЛЯ
Применимые типы объектов: хранилище метаданных каталога Unity
В Delta Sharing дает пользователю-поставщику доступ только для чтения ко всем получателям в метахранилище поставщика и их долям. Это позволяет пользователю поставщика, который не является администратором хранилища метаданных, просматривать сведения о получателе, состояние проверки подлинности получателя и список общих папок, которым поставщик предоставил общий доступ получателю.
В Databricks Marketplace это дает пользователям возможность просматривать списки и запросы потребителей в консоли поставщика.
ИСПОЛЬЗОВАНИЕ ОБЩЕГО РЕСУРСА
Применимые типы объектов: хранилище метаданных каталога Unity
В Delta Sharing пользователю поставщика предоставляется доступ только для чтения ко всем долям, определенным в хранилище метаданных поставщика. Это позволяет пользователю провайдера, который не является администратором хранилища метаданных, перечислять шеры и перечислять ресурсы (таблицы и записные книжки) в шере вместе с получателями этого шера.
В Databricks Marketplace это дает пользователям возможность просматривать сведения об общих данных в списке.