Поделиться через


Привилегии каталога Unity и защищаемые объекты

В этой статье описываются защищаемые объекты каталога Unity и привилегии, которые применяются к ним. Сведения о предоставлении привилегий в каталоге Unity см. в разделе Показать, предоставить и отозвать привилегии.

Примечание.

Эта статья относится к привилегиям каталога Unity и модели наследования в модели привилегий версии 1.0. Если вы создали хранилище метаданных каталога Unity во время общедоступной предварительной версии (до 25 августа 2022 г.), возможно, вы используете более раннюю модель привилегий, которая не поддерживает текущую модель наследования. Вы можете обновить модель привилегий до версии 1.0, чтобы получить наследование привилегий. См. раздел "Обновление до наследования привилегий".

защищаемые объекты в каталоге Unity

Защищаемый объект — это объект, определенный в хранилище метаданных каталога Unity, в котором могут быть предоставлены привилегии субъекту (пользователю, субъекту-службе или группе). Защищаемые объекты в каталоге Unity являются иерархическими.

иерархия объектов каталога Unity

Защищаемые объекты:

  • METASTORE: контейнер верхнего уровня для метаданных. Каждое хранилище метаданных каталога Unity предоставляет трехуровневое пространство имен (catalog.schema.table), которое упорядочивает данные.

    При управлении привилегиями в хранилище метаданных не включайте имя хранилища метаданных в команду SQL. Каталог Unity предоставляет или отменяет привилегии в хранилище метаданных, подключенном к рабочей области. Например, следующая команда предоставляет группе с именем инженерии возможность создавать каталог в метахранилище, подключенном к рабочей области.

    GRANT CREATE CATALOG ON METASTORE TO engineering
    
  • CATALOG: первый слой иерархии объектов, используемый для упорядочивания ресурсов данных. внешний каталог — это специальный тип каталога, который отражает базу данных во внешней системе данных в сценарии Lakehouse Federation.

  • SCHEMA: также известные как базы данных, схемы являются вторым слоем иерархии объектов и содержат таблицы и представления.

  • TABLE. Самый низкий уровень в иерархии объектов, таблицы могут быть внешними (хранящимися во внешнем расположении в вашем облачном хранилище) или управляемыми таблицами (хранящимися в контейнере хранения в облачном хранилище, который вы создаете специально для Azure Databricks).

  • VIEW: объект только для чтения, созданный из запроса на одну или несколько таблиц, содержащихся в схеме.

  • MATERIALIZED VIEW: объект, созданный из запроса на одну или несколько таблиц, содержащихся в схеме. Его результаты отражают состояние данных при последнем обновлении.

  • ТОМ. Самый низкий уровень в иерархии объектов, тома могут быть внешние (хранящиеся в внешнем месте в предпочитаемом вами облачном хранилище) или управляемые (хранящиеся в контейнере, созданном вами в облачном хранилище специально для Azure Databricks).

  • FUNCTION: определяемая пользователем функция или зарегистрированная модель MLflow, содержащаяся в схеме.

  • Модель: зарегистрированная модель MLflow — это конкретный тип функции. Модели перечислены отдельно от других функций в обозревателе каталогов, но при предоставлении привилегий для модели с помощью SQL используется GRANT ON FUNCTION.

  • EXTERNAL LOCATION: объект, содержащий ссылку на удостоверение хранилища и путь к облачному хранилищу, который содержится в каталоге метаданных Unity.

  • SERVICE CREDENTIAL: объект, инкапсулирующий долгосрочные облачные учетные данные, предоставляющие доступ к внешней службе. Содержится в хранилище метаданных каталога Unity.

  • STORAGE CREDENTIAL: объект, который инкапсулирует долгосрочные облачные учетные данные, предоставляющие доступ к облачному хранилищу, содержащемуся в хранилище метаданных каталога Unity.

  • CONNECTION: объект, указывающий путь и учетные данные для доступа к внешней системе баз данных в сценарии федерации Lakehouse.

  • SHARE: логическая группировка таблиц, к которым вы планируете предоставить общий доступ с помощью Delta Sharing. Доля содержится в метахранилище каталога Unity.

  • ПОЛУЧАТЕЛЬ: объект, определяющий организацию или группу пользователей, с которыми могут предоставляться доступ к данным с помощью Delta Sharing. Эти объекты содержатся в хранилище метаданных каталога Unity.

  • ПОСТАВЩИК: объект, представляющий организацию, которая предоставила доступ к данным для совместного использования с помощью разностного общего доступа. Эти объекты содержатся в хранилище метаданных каталога Unity.

  • CLEAN ROOM: объект, представляющий безопасную и защищенную конфиденциальность среду, управляемую Databricks, где несколько сторон могут работать без прямого доступа к данным друг друга.

Типы привилегий по объектам, подлежащим защите, в каталоге Unity

В следующей таблице перечислены типы привилегий, которые применяются к каждому защищаемому объекту в каталоге Unity. Сведения о предоставлении привилегий в каталоге Unity см. в разделе Показать, предоставить и отозвать привилегии.

Защищаемый объект Привилегии
Хранилище мета-данных CREATE CATALOG, CREATE CLEAN ROOMCREATE CONNECTIONCREATE EXTERNAL LOCATIONCREATE PROVIDERCREATE RECIPIENTCREATE SHARECREATE SERVICE CREDENTIALCREATE STORAGE CREDENTIALSET SHARE PERMISSIONUSE MARKETPLACE ASSETSUSE PROVIDERUSE RECIPIENTUSE SHARE
Каталог ALL PRIVILEGES, , APPLY TAGBROWSE, CREATE SCHEMAUSE CATALOG

Все пользователи по умолчанию имеют USE CATALOG в каталоге main.

Следующие типы привилегий применяются к защищаемым объектам в каталоге. Эти привилегии можно предоставить на уровне каталога, чтобы применить их к текущим и будущим объектам в каталоге.

CREATE FUNCTION, CREATE TABLE, CREATE MATERIALIZED VIEW, CREATE MODEL, CREATE VOLUME, EXTERNAL USE SCHEMA, READ VOLUME, REFRESH, WRITE VOLUME, EXECUTE, MANAGE, MODIFY, SELECT, USE SCHEMA
Схема ALL PRIVILEGES, APPLY TAG, CREATE FUNCTION, CREATE TABLE, CREATE MODEL, CREATE VOLUME, CREATE MATERIALIZED VIEW, MANAGE, EXTERNAL USE SCHEMA, USE SCHEMA

Следующие типы привилегий применяются к защищаемым объектам в схеме. Эти привилегии можно предоставить на уровне схемы, чтобы применить их к текущим и будущим объектам в схеме.

EXECUTE, , MODIFYREAD VOLUMEREFRESHSELECT,WRITE VOLUME
Стол ALL PRIVILEGES, , APPLY TAGMANAGE, MODIFYSELECT
Материализованное представление ALL PRIVILEGES, , APPLY TAGMANAGE, REFRESHSELECT
Представления ALL PRIVILEGES, , APPLY TAGMANAGESELECT
Громкость ALL PRIVILEGES, , MANAGEREAD VOLUMEWRITE VOLUME
Внешнее расположение ALL PRIVILEGES, BROWSECREATE EXTERNAL TABLECREATE EXTERNAL VOLUMECREATE FOREIGN SECURABLEMANAGEREAD FILESWRITE FILESCREATE MANAGED STORAGE
Учетные данные службы ALL PRIVILEGES, ACCESS, CREATE CONNECTION, MANAGE.
Учетные данные хранилища ALL PRIVILEGES, , CREATE EXTERNAL LOCATIONCREATE EXTERNAL TABLEMANAGEREAD FILES,WRITE FILES
Connection ALL PRIVILEGES, , CREATE FOREIGN CATALOGMANAGEUSE CONNECTION
Function ALL PRIVILEGES, APPLY TAG (только модели), EXECUTE, MANAGE
Модель Зарегистрированные модели — это тип функции.
Поделиться SELECT (может быть предоставлено RECIPIENT)
Recipient Нет
Поставщик Нет
Чистая комната ALL PRIVILEGES, , BROWSEEXECUTE CLEAN ROOM TASK, MANAGEMODIFY CLEAN ROOM

Типы привилегий в каталоге Unity

В этом разделе содержатся сведения о типах привилегий, которые обычно применяются к каталогу Unity. Сведения о предоставлении привилегий в каталоге Unity см. в разделе Показать, предоставить и отозвать привилегии.

ALL PRIVILEGES

Применимые типы объектов: CATALOG, EXTERNAL LOCATION, SERVICE CREDENTIAL, STORAGE CREDENTIAL, SCHEMA, FUNCTION (включая модели TABLE), MATERIALIZED VIEW, VIEW,VOLUME

Используется для предоставления или отзыва всех привилегий, применимых к защищаемому объекту и его дочерним объектам без явного указания их.

Если ALL PRIVILEGES предоставляется для объекта, это не даёт пользователю каждую применимую привилегию в момент предоставления. Вместо этого он расширяется до всех доступных привилегий при проверке разрешений. Это означает, что когда Databricks выпускает новые привилегии и охраняемые объекты, существующий ALL PRIVILEGES автоматически включает любые новые привилегии, применимые к охраняемому объекту, его существующим дочерним объектам, а также к любым новым дочерним объектам.

При ALL PRIVILEGES отмене привилегии отменяются, а все явные привилегии, ALL PRIVILEGES предоставленные пользователю в объекте, также отзываются.

Чтобы избежать случайной утечки данных или эскалации привилегий, ALL PRIVILEGES не включает привилегию EXTERNAL USE SCHEMA или привилегию MANAGE.

Примечание.

Эта привилегия эффективна при применении на более высоких уровнях в иерархии. Например, GRANT ALL PRIVILEGES ON CATALOG main TO analysts предоставляет группе аналитиков все существующие и будущие привилегии для каждого существующего и будущего защищаемого объекта в каталоге.

ДОСТУП

Применимые типы объектов: SERVICE CREDENTIAL

Позволяет пользователю использовать учетные данные службы для доступа к внешней службе или службам.

ПРИМЕНЕНИЕ ТЕГА

Применимые типы объектов: CATALOG, SCHEMA, TABLEVOLUME, MATERIALIZED VIEW, VIEWмодели, зарегистрированные в качествеFUNCTION

Позволяет пользователю добавлять и изменять теги в объекте. Предоставление APPLY TAG таблице или представлению также позволяет использовать метки столбцов. Предоставление APPLY TAG зарегистрированной модели также включает теги версий модели.

Пользователь также должен иметь права USE CATALOG в родительском каталоге и USE SCHEMA в родительской схеме.

ОБЗОР

Применимые типы объектов: CATALOG, EXTERNAL LOCATIONCLEAN ROOM

Внимание

Эта функция предоставляется в режиме общедоступной предварительной версии.

Позволяет пользователю просматривать метаданные объекта с помощью обозревателя каталогов, браузера схемы, результатов поиска, графа происхождения, information_schemaи REST API.

Пользователю не требуется привилегия USE CATALOG на родительский каталог или USE SCHEMA на родительскую схему.

Все пользователи по умолчанию получают привилегии BROWSE на новых каталогах, созданных с помощью Catalog Explorer. Вы можете отозвать привилегию, если вы предпочитаете. Каталоги, созданные с помощью инструкций SQL, REST API или интерфейса командной строки Databricks, по умолчанию не предоставляют права BROWSE. Вы должны предоставить его открыто.

CREATE CATALOG

Применимые типы объектов: хранилище метаданных каталога Unity

Позволяет пользователю создавать каталог в хранилище метаданных каталога Unity. Чтобы создать внешний каталог, необходимо также иметь права CREATE FOREIGN CATALOG для подключения, содержащего внешний каталог или хранилище метаданных.

СОЗДАНИЕ ЧИСТОЙ КОМНАТЫ

Применимые типы объектов: хранилище метаданных каталога Unity

Позволяет пользователю создать чистую комнату для безопасной совместной работы над проектами с другими организациями без предоставления общего доступа к базовым данным.

CREATE CONNECTION

Применимые типы объектов: хранилище метаданных каталога Unity, SERVICE CREDENTIAL

Позволяет пользователю создать подключение к внешней базе данных в сценарии федерации Lakehouse. Чтобы использовать учетные данные службы для создания подключения, пользователь должен иметь эту привилегию как в хранилище метаданных, так и на учетных данных службы.

CREATE EXTERNAL LOCATION

Применимые типы объектов: хранилище метаданных каталога Unity, STORAGE CREDENTIAL

Чтобы создать внешнее расположение, пользователь должен иметь эту привилегию как в хранилище метаданных, так и на учетные данные хранения, на которые ссылаются внешние расположения.

СОЗДАТЬ ВНЕШНИЙ TABLE

Применимые типы объектов: EXTERNAL LOCATION, STORAGE CREDENTIAL

Позволяет пользователю создавать внешние таблицы непосредственно в вашем облачном арендаторе с использованием внешнего расположения или учетных данных хранилища. Databricks рекомендует предоставить эту привилегию во внешнем расположении, вместо учетных данных хранилища (так как она привязана к пути, это позволяет лучше контролировать, где пользователи могут создавать внешние таблицы в вашем облачном тенанте).

СОЗДАНИЕ ВНЕШНЕГО ТОМА

Применимые типы объектов: EXTERNAL LOCATION

Позволяет пользователю создавать внешние тома с помощью внешнего расположения.

CREATE FOREIGN CATALOG

Применимые типы объектов: CONNECTION

Позволяет пользователю создавать внешние каталоги с помощью подключения к внешней базе данных в сценарии федерации Lakehouse.

СОЗДАНИЕ ВНЕШНЕГО ЗАЩИЩАЕМОГО ОБЪЕКТА

Применимые типы объектов: EXTERNAL LOCATION

Позволяет пользователю, создающему внешний каталог, указать авторизованные пути, охваченные внешним расположением.

Пользователь также должен иметь CREATE CATALOG на хранилище метаданных Unity Catalog и CREATE FOREIGN CATALOG на подключении.

CREATE FUNCTION

Применимые типы объектов: SCHEMA

Позволяет пользователю создавать функцию в схеме. Так как привилегии наследуются, CREATE FUNCTION также можно предоставить в каталоге, что позволяет пользователю создавать функцию в любой существующей или будущей схеме в каталоге.

Пользователь также должен иметь права USE CATALOG в родительском каталоге и USE SCHEMA в родительской схеме.

CREATE MODEL

Применимые типы объектов: SCHEMA

Позволяет пользователю создавать зарегистрированную модель MLflow (которая является типом FUNCTION) в схеме. Так как привилегии наследуются, CREATE MODEL также можно предоставить в каталоге, что позволяет пользователю создавать зарегистрированную модель в любой существующей или будущей схеме в каталоге.

Пользователь также должен иметь права USE CATALOG в родительском каталоге и USE SCHEMA в родительской схеме.

СОЗДАНИЕ УПРАВЛЯЕМОГО ХРАНИЛИЩА

Применимые типы объектов: EXTERNAL LOCATION

Позволяет пользователю указать расположение для хранения управляемых таблиц на уровне каталога или схемы, переопределяя корневое хранилище по умолчанию для хранилища метаданных.

CREATE SCHEMA

Применимые типы объектов: CATALOG

Позволяет пользователю создавать схему. Пользователь также должен иметь привилегию USE CATALOG в каталоге.

СОЗДАНИЕ УЧЕТНЫХ ДАННЫХ СЛУЖБЫ

Применимые типы объектов: хранилище метаданных каталога Unity

Позволяет пользователю создавать учетные данные службы в хранилище метаданных каталога Unity.

СОЗДАНИЕ УЧЕТНЫХ ДАННЫХ ХРАНИЛИЩА

Применимые типы объектов: хранилище метаданных каталога Unity

Позволяет пользователю создавать учетные данные хранения в хранилище метаданных каталога Unity.

CREATE TABLE

Применимые типы объектов: SCHEMA

Позволяет пользователю создавать таблицу или представление в схеме. Так как привилегии наследуются, CREATE TABLE также можно предоставить в каталоге, что позволяет пользователю создавать таблицу или представление в любой существующей или будущей схеме в каталоге.

Пользователь также должен иметь привилегии USE CATALOG в родительском каталоге и USE SCHEMA в родительской схеме.

CREATE MATERIALIZED VIEW

Применимые типы объектов: SCHEMA

Позволяет пользователю создать материализованное представление в схеме. Так как привилегии наследуются, CREATE MATERIALIZED VIEW также можно предоставить в каталоге, что позволяет пользователю создавать таблицу или представление в любой существующей или будущей схеме в каталоге.

Пользователь также должен иметь привилегии USE CATALOG в родительском каталоге и USE SCHEMA в родительской схеме.

CREATE VOLUME

Применимые типы объектов: SCHEMA

Позволяет пользователю создавать том в схеме данных. Поскольку привилегии наследуются, CREATE VOLUME также может быть предоставлено в каталоге, что позволяет пользователю создавать том в любой существующей или будущей схеме внутри каталога.

Пользователь также должен иметь привилегии USE CATALOG на родительский каталог тома и USE SCHEMA на его родительскую схему.

Выполнение 

Применимые типы объектов: FUNCTION, модель

Позволяет пользователю вызывать функцию, определенную пользователем, или загружать модель для проведения инференса, если у пользователя также есть роль USE CATALOG в родительском каталоге и роль USE SCHEMA в родительской схеме. Для функций EXECUTE предоставляет возможность просматривать определение и метаданные функции. Для зарегистрированных моделей EXECUTE предоставляет возможность просматривать метаданные для всех версий зарегистрированной модели и загружать файлы моделей.

Так как привилегии наследуются, вы можете предоставить пользователю привилегию EXECUTE в каталоге или схеме, которая автоматически предоставляет пользователю привилегию EXECUTE для всех текущих и будущих функций в каталоге или схеме.

ВЫПОЛНЕНИЕ ЗАДАЧИ "ЧИСТАЯ КОМНАТА"

Применимые типы объектов: CLEAN ROOM

Позволяет пользователю выполнять задачи (записные книжки) в чистом помещении. Кроме того, пользователь может просматривать сведения о чистом помещении.

ВНЕШНИЕ USE SCHEMA

Применимые типы объектов: SCHEMA

Позволяет пользователю получить временные учетные данные для доступа к таблицам Unity Catalog из внешнего обработчика данных с помощью API интерфейсов с открытым доступом для Unity Catalog или REST API Iceberg.

Только владелец каталога может предоставить этому привилегию.

Чтобы избежать случайного кражи данных, ALL PRIVILEGES не включает привилегию EXTERNAL USE SCHEMA, а владельцы схем по умолчанию не имеют этой привилегии.

См. раздел Включение доступа к внешним данным в каталоге Unity.

РУКОВОДИТЬ

Применимые типы объектов: CATALOG, EXTERNAL LOCATION, SERVICE CREDENTIAL, STORAGE CREDENTIAL, SCHEMA, FUNCTION (включая модели), CONNECTION, TABLE, MATERIALIZED VIEW, VIEW,VOLUME, CLEAN ROOM

Внимание

Эта функция предоставляется в режиме общедоступной предварительной версии.

Позволяет пользователю просматривать привилегии и управлять ими, передавать права владения, удалять и переименовать объект. MANAGE похож на владение объектом, но пользователи с привилегией MANAGE не получают автоматически все привилегии этого объекта (однако они могут предоставить себе привилегии).

Пользователь также должен иметь права USE CATALOG в родительском каталоге объекта и привилегии USE SCHEMA в родительской схеме.

ALL PRIVILEGES не включает привилегию MANAGE

УПРАВЛЕНИЕ ALLOWLIST

Применимые типы объектов: хранилище метаданных каталога Unity

Позволяет пользователю добавлять или изменять пути для скриптов инициализации, JAR и Maven в списке разрешений, который управляет кластерами с поддержкой каталога Unity с общим доступом. См . библиотеки allowlist и скрипты инициализации в общих вычислительных ресурсах.

MODIFY

Применимые типы объектов: TABLE

Позволяет пользователю добавлять, обновлять и удалять данные в таблице или из нее, если у него также есть SELECT для таблицы, а также USE CATALOG для родительского каталога и USE SCHEMA для родительской схемы.

Так как привилегии наследуются, вы можете предоставить пользователю привилегию MODIFY в каталоге или схеме, которая автоматически предоставляет пользователю права MODIFY привилегии для всех текущих и будущих таблиц в каталоге или схеме.

ИЗМЕНЕНИЕ ЧИСТОЙ КОМНАТЫ

Применимые типы объектов: CLEAN ROOM

Позволяет пользователю обновлять чистую комнату, включая добавление и удаление ресурсов данных, добавление и удаление записных книжек и обновление комментариев. Кроме того, пользователь может просматривать сведения о чистом помещении.

READ FILES

Применимые типы объектов: EXTERNAL LOCATION

Databrick рекомендует управлять доступом на чтение к данным в облачном хранилище объектов с помощью томов и привилегий READ VOLUME.

READ FILES позволяет пользователю считывать файлы непосредственно из облачного объектного хранилища, настроенного как внешняя директория. Для получения дополнительных рекомендаций см. статью Управление внешними расположениями, внешними таблицами и внешними томами.

ЧТЕНИЕ ТОМА

Применимые типы объектов: VOLUME

Позволяет пользователю читать файлы и каталоги, хранящиеся в томе, если у пользователя также имеются права USE CATALOG в родительском каталоге и USE SCHEMA в родительской схеме.

Привилегии наследуются. Когда вы можете предоставить пользователю привилегию READ VOLUME в каталоге или схеме, вы автоматически предоставляете ему привилегию READ VOLUME на все текущие и будущие тома в этом каталоге или схеме.

REFRESH

Применимые типы объектов: MATERIALIZED VIEW

Позволяет пользователю обновить материализованное представление, если у пользователя также есть USE CATALOG в родительском каталоге и USE SCHEMA в родительской схеме.

Привилегии наследуются. При предоставлении пользователю привилегии REFRESH в каталоге или схеме, ему автоматически предоставляется привилегия REFRESH на все текущие и будущие материализованные представления в этом каталоге или схеме.

SELECT

Применимые типы объектов: TABLE, VIEW, MATERIALIZED VIEWSHARE

При применении к таблице или представлению пользователь может выбрать из таблицы или представления, если пользователь также USE CATALOG в родительском каталоге и USE SCHEMA в родительской схеме. При применении к общей папке получатель может выбрать из общей папки.

Так как привилегии наследуются, вы можете предоставить пользователю привилегию SELECT в каталоге или схеме, которая автоматически предоставляет пользователю SELECT привилегии для всех текущих и будущих таблиц, а также представлений в каталоге или схеме.

USE CATALOG

Применимые типы объектов: CATALOG

Эта привилегия не предоставляет доступ к самому каталогу, но требуется для взаимодействия пользователя с любым объектом в каталоге. Например, чтобы выбрать данные из таблицы, пользователям необходимо иметь привилегии SELECT для этой таблицы, USE CATALOG привилегии для родительского каталога, а также USE SCHEMA привилегии для родительской схемы.

Это полезно для того, чтобы владельцы каталога могли ограничивать уровень, до которого отдельные схемы и владельцы таблиц могут предоставлять общий доступ к данным, которые они производят. Например, владелец таблицы, предоставляющий SELECT другому пользователю, не разрешает доступ пользователя на чтение к таблице, пока им также не были предоставлены привилегии USE CATALOG на родительский каталог, а также привилегии USE SCHEMA на родительскую схему.

Права USE CATALOG на родительский каталог не требуются для чтения метаданных объекта, если у пользователя есть привилегия BROWSE в данном каталоге.

ИСПОЛЬЗОВАНИЕ ПОДКЛЮЧЕНИЯ

Применимые типы объектов: CONNECTION

Позволяет пользователю перечислять и просматривать сведения о подключениях к внешней базе данных в сценарии федерации Lakehouse. Чтобы создать внешние каталоги для подключения, необходимо иметь CREATE FOREIGN CATALOG на подключении или обладать правами владельца подключения.

USE SCHEMA

Применимые типы объектов: SCHEMA

Эта привилегия не предоставляет доступ к самой схеме, но требуется для взаимодействия пользователя с любым объектом в схеме. Например, чтобы выбрать данные из таблицы, пользователям необходимо иметь права SELECT для этой таблицы и USE SCHEMA на родительской схеме, а также USE CATALOG в родительском каталоге.

Так как привилегии наследуются, вы можете предоставить пользователю привилегию USE SCHEMA в каталоге, которая автоматически предоставляет пользователю привилегию USE SCHEMA для всех текущих и будущих схем в каталоге.

Привилегия USE SCHEMA родительской схемы не требуется для чтения метаданных объекта, если у пользователя есть права BROWSE привилегии в этой схеме или родительском каталоге.

WRITE FILES

Применимые типы объектов: EXTERNAL LOCATION

Databrick рекомендует управлять доступом на запись к данным в облачном хранилище объектов с помощью томов и привилегий WRITE VOLUME.

WRITE FILES позволяет пользователю записывать файлы непосредственно в облачное хранилище объектов, настроенное как внешнее местоположение. Для получения дополнительных рекомендаций см. статью Управление внешними расположениями, внешними таблицами и внешними томами.

ЗАПИСЬ ТОМА

Применимые типы объектов: VOLUME

Позволяет пользователю добавлять, удалять или изменять файлы и каталоги, хранящиеся в томе, в случае, если у пользователя есть USE CATALOG в родительском каталоге и USE SCHEMA в родительской схеме.

Привилегии наследуются. Когда вы можете предоставить пользователю привилегию WRITE VOLUME в каталоге или схеме, вы автоматически предоставляете ему привилегию WRITE VOLUME на все текущие и будущие тома в этом каталоге или схеме.

Типы привилегий, которые применяются только к Delta Sharing или Databricks Marketplace

В этом разделе содержатся сведения о типах привилегий, которые применяются только к delta Sharing.

CREATE PROVIDER

Применимые типы объектов: хранилище метаданных каталога Unity

Позволяет пользователю создать объект поставщика Delta Sharing в хранилище метаданных. Поставщик определяет организацию или группу пользователей с общими данными с помощью разностного общего доступа. Создание поставщика выполняется пользователем в учетной записи databricks получателя. См. раздел "Что такое разностный общий доступ?".

CREATE RECIPIENT

Применимые типы объектов: хранилище метаданных каталога Unity

Позволяет пользователю создавать объект получателя Delta Sharing в хранилище метаданных. Получатель определяет организацию или группу пользователей, с которыми могут предоставляться доступ к данным с ними с помощью разностного общего доступа. Создание получателя выполняется пользователем в учетной записи Databricks поставщика. См. раздел "Что такое разностный общий доступ?".

CREATE SHARE

Применимые типы объектов: хранилище метаданных каталога Unity

Позволяет пользователю создать общую папку в хранилище метаданных. Доля — это логическая группировка для таблиц, которыми вы планируете делиться с использованием Delta Sharing.

РАЗРЕШЕНИЕ SET ОБЩИЙ ДОСТУП

Применимые типы объектов: хранилище метаданных каталога Unity

В Delta Sharing эта привилегия в сочетании с USE SHARE и USE RECIPIENT (или владением получателем) предоставляет пользователю-поставщику возможность предоставлять получателю доступ к ресурсу. В сочетании с USE SHAREэтим предоставляется возможность передавать владение общей папкой другому пользователю, группе или субъекту-службе.

ИСПОЛЬЗОВАНИЕ РЕСУРСОВ MARKETPLACE

Применимые типы объектов: хранилище метаданных каталога Unity

Включен по умолчанию для всех хранилищ метаданных каталога Unity. В Databricks Marketplace эта привилегия дает пользователю возможность получать мгновенный доступ или запрашивать доступ к продуктам данных, размещённым в Databricks Marketplace. Он также позволяет пользователю получить доступ к каталогу только для чтения, который создается при совместном использовании поставщиком продукта данных. Без этой привилегии пользователю потребуется CREATE CATALOG роль администратора хранилища метаданных и USE PROVIDER разрешения. Это позволяет ограничить количество пользователей этими мощными разрешениями.

ИСПОЛЬЗОВАНИЕ ПОСТАВЩИКА

Применимые типы объектов: хранилище метаданных каталога Unity

Delta Sharing предоставляет пользователю-получателю доступ только для чтения ко всем провайдерам в хранилище метаданных получателя и их общим данным. В сочетании с привилегией CREATE CATALOG эта привилегия позволяет пользователю-получателю, который не является администратором хранилища метаданных, монтировать общую папку в качестве каталога. Это позволяет ограничить количество пользователей с помощью мощной роли администратора хранилища метаданных.

ИСПОЛЬЗОВАНИЕ ПОЛУЧАТЕЛЯ

Применимые типы объектов: хранилище метаданных каталога Unity

В Delta Sharing дает пользователю-поставщику доступ только для чтения ко всем получателям в метахранилище поставщика и их долям. Это позволяет пользователю поставщика, который не является администратором хранилища метаданных, просматривать сведения о получателе, состояние проверки подлинности получателя и список общих папок, которым поставщик предоставил общий доступ получателю.

В Databricks Marketplace это дает пользователям возможность просматривать списки и запросы потребителей в консоли поставщика.

ИСПОЛЬЗОВАНИЕ ОБЩЕГО РЕСУРСА

Применимые типы объектов: хранилище метаданных каталога Unity

В Delta Sharing пользователю поставщика предоставляется доступ только для чтения ко всем долям, определенным в хранилище метаданных поставщика. Это позволяет пользователю провайдера, который не является администратором хранилища метаданных, перечислять шеры и перечислять ресурсы (таблицы и записные книжки) в шере вместе с получателями этого шера.

В Databricks Marketplace это дает пользователям возможность просматривать сведения об общих данных в списке.