Привилегии каталога Unity и защищаемые объекты
В этой статье описываются защищаемые объекты каталога Unity и привилегии, которые применяются к ним. Сведения о предоставлении привилегий в каталоге Unity см. в разделе Показать, предоставить и отозвать привилегии.
Примечание.
Эта статья относится к привилегиям каталога Unity и модели наследования в модели привилегий версии 1.0. Если вы создали хранилище метаданных каталога Unity во время общедоступной предварительной версии (до 25 августа 2022 г.), возможно, вы используете более раннюю модель привилегий, которая не поддерживает текущую модель наследования. Вы можете обновить модель привилегий до версии 1.0, чтобы получить наследование привилегий. См. раздел "Обновление до наследования привилегий".
защищаемые объекты в каталоге Unity
Защищаемый объект — это объект, определенный в хранилище метаданных каталога Unity, в котором могут быть предоставлены привилегии субъекту (пользователю, субъекту-службе или группе). Защищаемые объекты в каталоге Unity являются иерархическими.
Защищаемые объекты:
METASTORE: контейнер верхнего уровня для метаданных. Каждое хранилище метаданных каталога Unity предоставляет трехуровневое пространство имен (
catalog.schema.table), которое упорядочивает данные.При управлении привилегиями в хранилище метаданных не включайте имя хранилища метаданных в команду SQL. Каталог Unity предоставляет или отменяет привилегии на хранилище метаданных, подключенное к рабочей области. Например, следующая команда предоставляет группе с именем инженерии возможность создавать каталог в метахранилище, подключенном к рабочей области.
GRANT CREATE CATALOG ON METASTORE TO engineeringCATALOG: первый слой иерархии объектов, используемый для упорядочивания ресурсов данных. внешний каталог — это специальный тип каталога, который отражает базу данных во внешней системе данных в сценарии Lakehouse Federation.
SCHEMA: также известные как базы данных, схемы являются вторым слоем иерархии объектов и содержат таблицы и представления.
TABLE: Самый нижний уровень в иерархии объектов, включая управляемые таблицы, внешние таблицы, иностранные таблицы, потоковые таблицы, онлайн-таблицы и таблицы признаков. См. Что такое таблица?.
VIEW: объект только для чтения, созданный из запроса на одну или несколько таблиц, содержащихся в схеме.
- MATERIALIZED VIEW: объект, созданный из запроса на одну или несколько таблиц, содержащихся в схеме. Его результаты отражают состояние данных при последнем обновлении.
- ТОМ. Самый низкий уровень в иерархии объектов, тома могут быть внешние (хранящиеся в внешнем месте в предпочитаемом вами облачном хранилище) или управляемые (хранящиеся в контейнере, созданном вами в облачном хранилище специально для Azure Databricks).
- FUNCTION: определяемая пользователем функция или зарегистрированная модель MLflow, содержащаяся в схеме.
-
Модель: зарегистрированная модель MLflow — это конкретный тип функции. Модели перечислены отдельно от других функций в обозревателе каталогов, но при предоставлении привилегий для модели с помощью SQL используется
GRANT ON FUNCTION. - EXTERNAL LOCATION: объект, содержащий ссылку на удостоверение хранилища и путь к облачному хранилищу, который содержится в каталоге метаданных Unity.
- SERVICE CREDENTIAL: объект, инкапсулирующий долгосрочные облачные учетные данные, предоставляющие доступ к внешней службе. Содержится в хранилище метаданных каталога Unity.
- STORAGE CREDENTIAL: объект, который инкапсулирует долгосрочные облачные учетные данные, предоставляющие доступ к облачному хранилищу, содержащемуся в хранилище метаданных каталога Unity.
- CONNECTION: объект, указывающий путь и учетные данные для доступа к внешней системе баз данных в сценарии федерации Lakehouse.
- SHARE: логическая группировка таблиц, к которым вы планируете предоставить общий доступ с помощью Delta Sharing. Доля содержится в метахранилище каталога Unity.
- ПОЛУЧАТЕЛЬ: объект, определяющий организацию или группу пользователей, с которыми можно делиться данными с помощью Delta Sharing. Эти объекты содержатся в хранилище метаданных каталога Unity.
- ПОСТАВЩИК: объект, который представляет организацию, предоставившую доступ к данным для совместного использования посредством Delta Sharing. Эти объекты содержатся в хранилище метаданных каталога Unity.
- CLEAN ROOM: объект, представляющий безопасную и защищенную конфиденциальность среду, управляемую Databricks, где несколько сторон могут работать без прямого доступа к данным друг друга.
Типы привилегий по объектам, подлежащим защите, в каталоге Unity
В следующей таблице перечислены типы привилегий, которые применяются к каждому защищаемому объекту в каталоге Unity. Сведения о предоставлении привилегий в каталоге Unity см. в разделе Показать, предоставить и отозвать привилегии.
| Защищаемый | Привилегии |
|---|---|
| Хранилище мета-данных |
CREATE CATALOG, CREATE CLEAN ROOM, CREATE CONNECTION, CREATE EXTERNAL LOCATION, CREATE PROVIDER, CREATE RECIPIENT, CREATE SHARE, CREATE SERVICE CREDENTIAL, CREATE STORAGE CREDENTIAL, SET SHARE PERMISSION, USE MARKETPLACE ASSETS, USE PROVIDER, USE RECIPIENT, USE SHARE |
| Каталог |
ALL PRIVILEGES, , APPLY TAGBROWSE, CREATE SCHEMAUSE CATALOGВсе пользователи по умолчанию имеют USE CATALOG в каталоге main.Следующие типы привилегий применяются к защищаемым объектам в каталоге. Эти привилегии можно предоставить на уровне каталога, чтобы применить их к текущим и будущим объектам в каталоге. CREATE FUNCTION, CREATE TABLE, CREATE MATERIALIZED VIEW, CREATE MODEL, CREATE VOLUME, EXTERNAL USE SCHEMA, READ VOLUME, REFRESH, WRITE VOLUME, EXECUTE, MANAGE, MODIFY, SELECT, USE SCHEMA |
| Схема |
ALL PRIVILEGES, APPLY TAG, CREATE FUNCTION, CREATE TABLE, CREATE MODEL, CREATE VOLUME, CREATE MATERIALIZED VIEW, MANAGE, EXTERNAL USE SCHEMA, USE SCHEMAСледующие типы привилегий применяются к защищаемым объектам в схеме. Эти привилегии можно предоставить на уровне схемы, чтобы применить их к текущим и будущим объектам в схеме. EXECUTE, MODIFY, READ VOLUME, REFRESH, SELECT, WRITE VOLUME |
| Стол |
ALL PRIVILEGES, , APPLY TAGMANAGE, MODIFYSELECT |
| Материализованное представление |
ALL PRIVILEGES, , APPLY TAGMANAGE, REFRESHSELECT |
| Просмотр |
ALL PRIVILEGES, APPLY TAG, MANAGE, SELECT |
| Громкость |
ALL PRIVILEGES, MANAGE, READ VOLUME, WRITE VOLUME |
| Внешнее расположение |
ALL PRIVILEGES, BROWSECREATE EXTERNAL TABLECREATE EXTERNAL VOLUMECREATE FOREIGN SECURABLEMANAGEREAD FILESWRITE FILESCREATE MANAGED STORAGE |
| Учетные данные службы |
ALL PRIVILEGES, ACCESS, CREATE CONNECTION, MANAGE. |
| Учетные данные хранилища |
ALL PRIVILEGES, CREATE EXTERNAL LOCATION, CREATE EXTERNAL TABLE, MANAGE, READ FILES, WRITE FILES |
| Соединение |
ALL PRIVILEGES, CREATE FOREIGN CATALOG, MANAGE, USE CONNECTION |
| Функция |
ALL PRIVILEGES, APPLY TAG (только модели), EXECUTE, MANAGE, CREATE MODEL VERSION (только модели) |
| Модель | Зарегистрированные модели — это тип функции. |
| Поделиться |
SELECT (может быть предоставлено RECIPIENT) |
| Получатель | Нет |
| Поставщик | Нет |
| Чистая комната |
ALL PRIVILEGES, , BROWSEEXECUTE CLEAN ROOM TASK, MANAGEMODIFY CLEAN ROOM |
Типы привилегий в каталоге Unity
В этом разделе содержатся сведения о типах привилегий, которые обычно применяются к каталогу Unity. Сведения о предоставлении привилегий в каталоге Unity см. в разделе Показать, предоставить и отозвать привилегии.
ВСЕ ПРИВИЛЕГИИ
Применимые типы объектов: CATALOG, EXTERNAL LOCATION, SERVICE CREDENTIAL, STORAGE CREDENTIAL, SCHEMA, FUNCTION (включая модели TABLE), MATERIALIZED VIEW, VIEW,VOLUME
Используется для предоставления или отзыва всех привилегий, применимых к защищаемому объекту и его дочерним объектам без явного указания их.
Если ALL PRIVILEGES предоставляется для объекта, это не даёт пользователю каждую применимую привилегию в момент предоставления. Вместо этого он расширяется до всех доступных привилегий при проверке разрешений. Это означает, что когда Databricks выпускает новые привилегии и охраняемые объекты, существующий ALL PRIVILEGES автоматически включает любые новые привилегии, применимые к охраняемому объекту, его существующим дочерним объектам, а также к любым новым дочерним объектам.
Когда ALL PRIVILEGES привилегия отзывается, привилегия ALL PRIVILEGES и любые явные привилегии, предоставленные пользователю на объекте, также отзываются.
Чтобы избежать случайной утечки данных или эскалации привилегий, ALL PRIVILEGES не включает привилегию EXTERNAL USE SCHEMA или привилегию MANAGE.
Примечание.
Эта привилегия эффективна при применении на более высоких уровнях в иерархии. Например, GRANT ALL PRIVILEGES ON CATALOG main TO analysts предоставляет группе аналитиков все существующие и будущие привилегии для каждого существующего и будущего защищаемого объекта в каталоге.
ДОСТУП
Применимые типы объектов: SERVICE CREDENTIAL
Позволяет пользователю использовать учетные данные службы для доступа к внешней службе или службам.
ПРИМЕНЕНИЕ ТЕГА
Применимые типы объектов: CATALOG, SCHEMA, TABLEVOLUME, MATERIALIZED VIEW, VIEWмодели, зарегистрированные в качествеFUNCTION
Позволяет пользователю добавлять и изменять теги в объекте. Предоставление APPLY TAG таблице или представлению также позволяет использовать метки столбцов. Предоставление APPLY TAG зарегистрированной модели также позволяет добавлять теги версиям модели.
Пользователь также должен иметь права USE CATALOG в родительском каталоге и USE SCHEMA в родительской схеме.
:::
ОБЗОР
Применимые типы объектов: CATALOG, EXTERNAL LOCATIONCLEAN ROOM
Позволяет пользователю просматривать метаданные объекта с помощью обозревателя каталогов, браузера схемы, результатов поиска, графа происхождения, information_schemaи REST API.
Пользователю не требуется привилегия USE CATALOG на родительский каталог или USE SCHEMA на родительскую схему.
Все пользователи по умолчанию получают привилегии BROWSE на новых каталогах, созданных с помощью Catalog Explorer. Вы можете отозвать привилегию, если вы предпочитаете. Каталоги, созданные с помощью инструкций SQL, REST API или интерфейса командной строки Databricks, по умолчанию не предоставляют права BROWSE. Вы должны предоставить его открыто.
Примечание.
Пользователи с привилегиями только для объекта имеют ограниченные BROWSE возможности для изучения метаданных с помощью SQL.
:::
CREATE CATALOG
Применимые типы объектов: хранилище метаданных каталога Unity
Позволяет пользователю создавать каталог в хранилище метаданных каталога Unity. Чтобы создать внешний каталог, необходимо также иметь права CREATE FOREIGN CATALOG для подключения, содержащего внешний каталог или хранилище метаданных.
СОЗДАНИЕ ЧИСТОЙ КОМНАТЫ
Применимые типы объектов: хранилище метаданных каталога Unity
Позволяет пользователю создать чистую комнату для безопасной совместной работы над проектами с другими организациями без предоставления общего доступа к базовым данным.
CREATE CONNECTION
Применимые типы объектов: хранилище метаданных каталога Unity, SERVICE CREDENTIAL
Позволяет пользователю создать подключение к внешней базе данных в сценарии федерации Lakehouse. Чтобы использовать учетные данные службы для создания подключения, пользователь должен иметь эту привилегию как в хранилище метаданных, так и на учетных данных службы.
CREATE EXTERNAL LOCATION
Применимые типы объектов: хранилище метаданных каталога Unity, STORAGE CREDENTIAL
Чтобы создать внешнее расположение, пользователь должен иметь эту привилегию как в метахранилище, так и в учетных данных хранилища, на которые ссылается внешнее расположение.
СОЗДАТЬ ВНЕШНИЙ TABLE
Применимые типы объектов: EXTERNAL LOCATION, STORAGE CREDENTIAL
Позволяет пользователю создавать внешние таблицы непосредственно в вашем облачном арендаторе с использованием внешнего расположения или учетных данных хранилища. Databricks рекомендует предоставить эту привилегию во внешнем расположении, вместо учетных данных хранилища (так как она привязана к пути, это позволяет лучше контролировать, где пользователи могут создавать внешние таблицы в вашем облачном тенанте).
СОЗДАНИЕ ВНЕШНЕГО ТОМА
Применимые типы объектов: EXTERNAL LOCATION
Позволяет пользователю создавать внешние тома с использованием внешнего носителя.
CREATE FOREIGN CATALOG
Применимые типы объектов: CONNECTION
Позволяет пользователю создавать внешние каталоги с помощью подключения к внешней базе данных в сценарии федерации Lakehouse.
СОЗДАНИЕ ВНЕШНЕГО ЗАЩИЩАЕМОГО ОБЪЕКТА
Применимые типы объектов: EXTERNAL LOCATION
Позволяет пользователю, создающему внешний каталог, указать авторизованные пути, охваченные внешним расположением.
Пользователь также должен иметь CREATE CATALOG на хранилище метаданных Unity Catalog и CREATE FOREIGN CATALOG на подключении.
CREATE FUNCTION
Применимые типы объектов: SCHEMA
Позволяет пользователю создавать функцию в схеме. Так как привилегии наследуются, CREATE FUNCTION также можно предоставить в каталоге, что позволяет пользователю создавать функцию в любой существующей или будущей схеме в каталоге.
Пользователь также должен иметь права USE CATALOG в родительском каталоге и USE SCHEMA в родительской схеме.
СОЗДАТЬ МОДЕЛЬ
Применимые типы объектов: SCHEMA
Позволяет пользователю создавать зарегистрированную модель MLflow (которая является типом FUNCTION) в схеме. Так как привилегии наследуются, CREATE MODEL также можно предоставить на уровне каталога, что позволяет пользователю создавать зарегистрированную модель в любой существующей или будущей схеме в каталоге.
Пользователь также должен иметь права USE CATALOG в родительском каталоге и USE SCHEMA в родительской схеме.
СОЗДАНИЕ ВЕРСИИ МОДЕЛИ
Применимые типы объектов: MODEL
Позволяет пользователю зарегистрировать новую версию зарегистрированной модели MLflow (которая является типом FUNCTION). Не предоставляет пользователю разрешение на выполнение, изменение или добавление тегов в версию модели.
Пользователь также должен иметь права USE CATALOG в родительском каталоге и USE SCHEMA в родительской схеме.
СОЗДАНИЕ УПРАВЛЯЕМОГО ХРАНИЛИЩА
Применимые типы объектов: EXTERNAL LOCATION
Позволяет пользователю указать расположение для хранения управляемых таблиц на уровне каталога или схемы, переопределяя корневое хранилище по умолчанию для хранилища метаданных.
CREATE SCHEMA
Применимые типы объектов: CATALOG
Позволяет пользователю создавать схему. Пользователь также должен иметь привилегию USE CATALOG в каталоге.
СОЗДАНИЕ УЧЕТОЧНЫХ ДАННЫХ ДЛЯ СЕРВИСА
Применимые типы объектов: хранилище метаданных каталога Unity
Позволяет пользователю создавать учетные данные службы в хранилище метаданных каталога Unity.
СОЗДАНИЕ УЧЕТНЫХ ДАННЫХ ХРАНИЛИЩА
Применимые типы объектов: хранилище метаданных каталога Unity
Позволяет пользователю создавать учетные данные хранения в хранилище метаданных каталога Unity.
CREATE TABLE
Применимые типы объектов: SCHEMA
Позволяет пользователю создавать таблицу или представление в схеме. Так как привилегии наследуются, CREATE TABLE также можно предоставить в каталоге, что позволяет пользователю создавать таблицу или представление в любой существующей или будущей схеме в каталоге.
Пользователь также должен иметь привилегии USE CATALOG в родительском каталоге и USE SCHEMA в родительской схеме.
CREATE MATERIALIZED VIEW
Применимые типы объектов: SCHEMA
Позволяет пользователю создать материализованное представление в схеме. Так как привилегии наследуются, CREATE MATERIALIZED VIEW также можно предоставить в каталоге, что позволяет пользователю создавать таблицу или представление в любой существующей или будущей схеме в каталоге.
Пользователь также должен иметь привилегии USE CATALOG в родительском каталоге и USE SCHEMA в родительской схеме.
CREATE VOLUME
Применимые типы объектов: SCHEMA
Позволяет пользователю создавать том в схеме данных. Поскольку привилегии наследуются, CREATE VOLUME также может быть предоставлено в каталоге, что позволяет пользователю создавать том в любой существующей или будущей схеме внутри каталога.
Пользователь также должен иметь привилегии USE CATALOG на родительский каталог тома и USE SCHEMA на его родительскую схему.
Выполнять
Применимые типы объектов: FUNCTION, модель
Позволяет пользователю вызывать функцию, определенную пользователем, или загружать модель для проведения инференса, если у пользователя также есть роль USE CATALOG в родительском каталоге и роль USE SCHEMA в родительской схеме. Для функций EXECUTE предоставляет возможность просматривать определение и метаданные функции. Для зарегистрированных моделей EXECUTE предоставляет возможность просматривать метаданные для всех версий зарегистрированной модели и загружать файлы моделей.
Так как привилегии наследуются, вы можете предоставить пользователю привилегию EXECUTE в каталоге или схеме, которая автоматически предоставляет пользователю привилегию EXECUTE для всех текущих и будущих функций в каталоге или схеме.
ВЫПОЛНЕНИЕ ЗАДАНИЯ "ОЧИСТКА КОМНАТЫ"
Применимые типы объектов: CLEAN ROOM
Позволяет пользователю выполнять задачи (записные книжки) в чистом помещении. Кроме того, пользователь может просматривать сведения о чистом помещении.
ВНЕШНИЕ USE SCHEMA
Применимые типы объектов: SCHEMA
Позволяет пользователю получить временные учетные данные для доступа к таблицам Unity Catalog из внешнего обработчика данных с помощью API интерфейсов с открытым доступом для Unity Catalog или REST API Iceberg.
Только владелец каталога может предоставить этому привилегию.
Чтобы избежать случайного кражи данных, ALL PRIVILEGES не включает привилегию EXTERNAL USE SCHEMA, а владельцы схем по умолчанию не имеют этой привилегии.
См. раздел Включение доступа к внешним данным в каталоге Unity.
УПРАВЛЯТЬ
Применимые типы объектов: CATALOG, EXTERNAL LOCATION, SERVICE CREDENTIAL, STORAGE CREDENTIAL, SCHEMA, FUNCTION (включая модели), CONNECTION, TABLE, MATERIALIZED VIEW, VIEW,VOLUME, CLEAN ROOM
Внимание
Эта функция предоставляется в режиме общедоступной предварительной версии.
Позволяет пользователю просматривать привилегии и управлять ими, передавать права владения, удалять и переименовать объект.
MANAGE похож на владение объектом, но пользователи с привилегией MANAGE не получают автоматически все привилегии этого объекта (однако они могут предоставить себе привилегии).
Пользователь также должен иметь права USE CATALOG в родительском каталоге объекта и привилегии USE SCHEMA в родительской схеме.
ALL PRIVILEGES не включает привилегию MANAGE
УПРАВЛЕНИЕ СПИСКОМ РАЗРЕШЕННЫХ АДРЕСОВ
Применимые типы объектов: хранилище метаданных каталога Unity
Позволяет пользователю добавлять или изменять пути для скриптов инициализации, JAR-файлов и координат Maven в списке разрешений, который управляет кластерами с поддержкой Unity Catalog в стандартном режиме доступа. См. библиотеки допустимых списков и скрипты инициализации для вычислений в стандартном режиме доступа (ранее называвшегося режимом общего доступа).
ИЗМЕНИТЬ
Применимые типы объектов: TABLE
Позволяет пользователю добавлять, обновлять и удалять данные в таблице или из нее, если у него также есть SELECT для таблицы, а также USE CATALOG для родительского каталога и USE SCHEMA для родительской схемы.
Так как привилегии наследуются, вы можете предоставить пользователю привилегию MODIFY в каталоге или схеме, которая автоматически предоставляет пользователю права MODIFY привилегии для всех текущих и будущих таблиц в каталоге или схеме.
Примечание.
MODIFY нельзя предоставить для внешней таблицы, так как внешние таблицы доступны только для чтения.
ИЗМЕНИТЬ ЧИСТУЮ КОМНАТУ
Применимые типы объектов: CLEAN ROOM
Позволяет пользователю обновлять чистую комнату, включая добавление и удаление ресурсов данных, добавление и удаление записных книжек и обновление комментариев. Кроме того, пользователь может просматривать сведения о чистом помещении.
ЧИТАТЬ ФАЙЛЫ
Применимые типы объектов: EXTERNAL LOCATION
Databrick рекомендует управлять доступом на чтение к данным в облачном хранилище объектов с помощью томов и привилегий READ VOLUME.
READ FILES позволяет пользователю считывать файлы непосредственно из облачного объектного хранилища, настроенного как внешняя директория. Для получения дополнительных рекомендаций см. статью Управление внешними расположениями, внешними таблицами и внешними томами.
ЧТЕНИЕ ОБЪЕМА
Применимые типы объектов: VOLUME
Позволяет пользователю читать файлы и каталоги, хранящиеся в томе, если у пользователя также имеются права USE CATALOG в родительском каталоге и USE SCHEMA в родительской схеме.
Привилегии наследуются. Когда вы можете предоставить пользователю привилегию READ VOLUME в каталоге или схеме, вы автоматически предоставляете ему привилегию READ VOLUME на все текущие и будущие тома в этом каталоге или схеме.
REFRESH
Применимые типы объектов: MATERIALIZED VIEW
Позволяет пользователю обновить материализованное представление, если у пользователя также есть USE CATALOG в родительском каталоге и USE SCHEMA в родительской схеме.
Привилегии наследуются. При предоставлении пользователю привилегии REFRESH в каталоге или схеме, ему автоматически предоставляется привилегия REFRESH на все текущие и будущие материализованные представления в этом каталоге или схеме.
SELECT
Применимые типы объектов: TABLE, VIEW, MATERIALIZED VIEWSHARE
При применении к таблице или представлению пользователь имеет доступ к таблице или представлению, если он также имеет USE CATALOG в родительском каталоге и USE SCHEMA в родительской схеме. При применении к общей папке получатель может выбрать из общей папки.
Так как привилегии наследуются, вы можете предоставить пользователю привилегию SELECT в каталоге или схеме, которая автоматически предоставляет пользователю SELECT привилегии для всех текущих и будущих таблиц, а также представлений в каталоге или схеме.
USE CATALOG
Применимые типы объектов: CATALOG
Эта привилегия не предоставляет доступ к самому каталогу, но требуется для взаимодействия пользователя с любым объектом в каталоге. Например, чтобы выбрать данные из таблицы, пользователям необходимо иметь привилегии SELECT для этой таблицы, USE CATALOG привилегии для родительского каталога, а также USE SCHEMA привилегии для родительской схемы.
Это полезно для того, чтобы владельцы каталога могли ограничивать уровень, до которого отдельные схемы и владельцы таблиц могут предоставлять общий доступ к данным, которые они производят. Например, владелец таблицы, предоставляющий SELECT другому пользователю, не разрешает доступ пользователя на чтение к таблице, пока им также не были предоставлены привилегии USE CATALOG на родительский каталог, а также привилегии USE SCHEMA на родительскую схему.
Права USE CATALOG на родительский каталог не требуются для чтения метаданных объекта, если у пользователя есть привилегия BROWSE в данном каталоге.
ИСПОЛЬЗОВАНИЕ ПОДКЛЮЧЕНИЯ
Применимые типы объектов: CONNECTION
Позволяет пользователю перечислять и просматривать сведения о подключениях к внешней базе данных в сценарии федерации Lakehouse. Чтобы создать внешние каталоги для подключения, необходимо иметь CREATE FOREIGN CATALOG на подключении или обладать правами владельца подключения.
USE SCHEMA
Применимые типы объектов: SCHEMA
Эта привилегия не предоставляет доступ к самой схеме, но требуется для взаимодействия пользователя с любым объектом в схеме. Например, чтобы выбрать данные из таблицы, пользователям необходимо иметь права SELECT для этой таблицы и USE SCHEMA на родительской схеме, а также USE CATALOG в родительском каталоге.
Так как привилегии наследуются, вы можете предоставить пользователю привилегию USE SCHEMA в каталоге, которая автоматически предоставляет пользователю привилегию USE SCHEMA для всех текущих и будущих схем в каталоге.
Привилегия USE SCHEMA родительской схемы не требуется для чтения метаданных объекта, если пользователь имеет BROWSE привилегию в родительском каталоге этой схемы.
ЗАПИСАТЬ ФАЙЛЫ
Применимые типы объектов: EXTERNAL LOCATION
Databrick рекомендует управлять доступом на запись к данным в облачном хранилище объектов с помощью томов и привилегий WRITE VOLUME.
WRITE FILES позволяет пользователю записывать файлы непосредственно в облачное хранилище объектов, настроенное как внешнее местоположение. Для получения дополнительных рекомендаций см. статью Управление внешними расположениями, внешними таблицами и внешними томами.
Выполнить запись тома
Применимые типы объектов: VOLUME
Позволяет пользователю добавлять, удалять или изменять файлы и каталоги, хранящиеся в томе, в случае, если у пользователя есть USE CATALOG в родительском каталоге и USE SCHEMA в родительской схеме.
Привилегии наследуются. Когда вы можете предоставить пользователю привилегию WRITE VOLUME в каталоге или схеме, вы автоматически предоставляете ему привилегию WRITE VOLUME на все текущие и будущие тома в этом каталоге или схеме.
Типы привилегий, которые применяются только к Delta Sharing или Databricks Marketplace
В этом разделе содержатся сведения о типах привилегий, которые применяются только к delta Sharing.
СОЗДАТЬ ПРОВАЙДЕРА
Применимые типы объектов: хранилище метаданных каталога Unity
Позволяет пользователю создать объект поставщика Delta Sharing в хранилище метаданных. Поставщик определяет организацию или группу пользователей, которые использовали Delta Sharing для передачи данных. Создание поставщика выполняется пользователем в учетной записи Databricks получателя. См. раздел "Что такое Delta Sharing?".
CREATE RECIPIENT
Применимые типы объектов: хранилище метаданных каталога Unity
Позволяет пользователю создавать объект получателя Delta Sharing в хранилище метаданных. Получатель определяет организацию или группу пользователей, с которыми могут передаваться данные с помощью Delta Sharing. Создание получателя выполняется пользователем в учетной записи Databricks поставщика. См. раздел "Что такое Delta Sharing?".
CREATE SHARE
Применимые типы объектов: хранилище метаданных каталога Unity
Позволяет пользователю создать раздел в хранилище метаданных. Доля — это логическая группировка для таблиц, которыми вы планируете делиться с использованием Delta Sharing.
SET ПРАВА ОБЩЕГО ДОСТУПА
Применимые типы объектов: хранилище метаданных каталога Unity
В Delta Sharing эта привилегия в сочетании с USE SHARE и USE RECIPIENT (или владением получателем) предоставляет пользователю-поставщику возможность предоставлять получателю доступ к ресурсу. В сочетании с USE SHARE предоставляется возможность передавать владение долей другому пользователю, группе или принципалу услуги.
ИСПОЛЬЗОВАНИЕ РЕСУРСОВ MARKETPLACE
Применимые типы объектов: хранилище метаданных каталога Unity
Включен по умолчанию для всех хранилищ метаданных каталога Unity. В Databricks Marketplace эта привилегия дает пользователю возможность получать мгновенный доступ или запрашивать доступ к продуктам данных, размещённым в Databricks Marketplace. Он также позволяет пользователю получить доступ к каталогу только для чтения, который создается при совместном использовании поставщиком продукта данных. Без этой привилегии пользователю потребуются привилегии CREATE CATALOG и USE PROVIDER или роль администратора хранилища метаданных. Это позволяет ограничить количество пользователей этими мощными разрешениями.
ИСПОЛЬЗУЙТЕ ПОСТАВЩИКА
Применимые типы объектов: хранилище метаданных каталога Unity
Delta Sharing предоставляет пользователю-получателю доступ только для чтения ко всем провайдерам в хранилище метаданных получателя и их общим данным. В сочетании с привилегией CREATE CATALOG эта привилегия позволяет пользователю-получателю, который не является администратором хранилища метаданных, монтировать общую папку в качестве каталога. Это позволяет ограничить количество пользователей с помощью мощной роли администратора хранилища метаданных.
ИСПОЛЬЗОВАТЬ ПОЛУЧАТЕЛЯ
Применимые типы объектов: хранилище метаданных каталога Unity
В Delta Sharing дает пользователю-поставщику доступ только для чтения ко всем получателям в метахранилище поставщика и их долям. Это позволяет пользователю поставщика, который не является администратором хранилища метаданных, просматривать сведения о получателе, состояние проверки подлинности получателя и список общих папок, которым поставщик предоставил общий доступ получателю.
В Databricks Marketplace это дает пользователям возможность просматривать списки и запросы потребителей в консоли поставщика.
ИСПОЛЬЗУЙТЕ ДОЛЮ
Применимые типы объектов: хранилище метаданных каталога Unity
В Delta Sharing пользователю поставщика предоставляется доступ только для чтения ко всем долям, определенным в хранилище метаданных поставщика. Это позволяет пользователю провайдера, который не является администратором хранилища метаданных, перечислять шеры и перечислять ресурсы (таблицы и записные книжки) в шере вместе с получателями этого шера.
В Databricks Marketplace это дает пользователям возможность просматривать сведения о данных, предоставляемых в списке.