Administratörsbehörigheter i Unity Catalog

I den här artikeln beskrivs behörigheter som Azure Databricks-kontoadministratörer, arbetsyteadministratörer och metaarkivadministratörer har för att hantera Unity Catalog.

Kommentar

Om din arbetsyta har aktiverats för Unity Catalog automatiskt har arbetsyteadministratörer standardprivilegier i det anslutna metaarkivet och arbetsytekatalogen om en arbetsytekatalog har etablerats. Visa administratörsbehörigheter för arbetsyta när arbetsytor aktiveras automatiskt för Unity Catalog.

Metaarkivadministratörer

Metaarkivadministratören är en valfri men mycket privilegierad användare eller grupp i Unity Catalog. Metaarkivadministratörer har som standard följande behörigheter i metaarkivet:

• CREATE CATALOG: Tillåter en användare att skapa kataloger i metaarkivet.

• CREATE CLEAN ROOM: Gör att en användare kan skapa ett rent rum för att på ett säkert sätt samarbeta i projekt med andra organisationer utan att dela underliggande data.

• CREATE CONNECTION: Tillåter att en användare skapar en anslutning till en extern databas i ett Lakehouse Federation-scenario.

• CREATE EXTERNAL LOCATION: Tillåter att en användare skapar externa platser.

• CREATE SERVICE CREDENTIAL: Tillåter att en användare skapa autentiseringsuppgifter för tjänsten.

• CREATE STORAGE CREDENTIAL: Tillåter att en användare skapa lagringsautentiseringsuppgifter.

• CREATE FOREIGN CATALOG: Tillåter att en användare skapa externa kataloger med hjälp av en anslutning till en extern databas i ett Lakehouse Federation-scenario.

• CREATE SHARE: Tillåter att en dataprovideranvändare skapar en resurs i Deltadelning.

• CREATE RECIPIENT: Tillåter att en dataleverantörsanvändare skapar en mottagare i Deltadelning.

• CREATE PROVIDER: Gör att en datamottagare kan skapa en provider i DeltaDelning.

• CREATE MATERIALIZED VIEW: Tillåter en användare att skapa materialiserade vyer.

• MANAGE ALLOWLIST: Tillåter att en användare uppdatera tillåtna listor som hanterar klusteråtkomst till init-skript och bibliotek.

Metaarkivadministratörer är också ägare till metaarkivet, vilket ger dem följande behörigheter:

• Hantera behörigheter eller överföra ägarskap för alla objekt i metaarkivet, inklusive autentiseringsuppgifter för lagring, externa platser, anslutningar, resurser, mottagare och leverantörer.

• Ge sig själva läs- och skrivåtkomst till alla data i metaarkivet.

  Metaarkivadministratörer har den här möjligheten indirekt genom sin möjlighet att överföra ägarskapet för alla objekt. Det finns ingen direkt åtkomst som standard. Beviljande av behörigheter är granskningsloggat.

• Läsa och uppdatera metadata för alla objekt i metaarkivet.

• Ta bort metaarkivet.

Metaarkivadministratörer är de enda användare som kan bevilja behörigheter för själva metaarkivet.

Eftersom metaarkivadministratörer är de enda användare som har dessa behörigheter måste du tilldela en metaarkivadministratör om du vill använda någon av följande funktioner:

• Ändra ägarskap av katalogerna efter att någon har lämnat företaget.
• Hantera och delegera behörigheter för init-skriptet och jar-listan.
• Delegera möjligheten att skapa kataloger och andra behörigheter på högsta nivå till administratörer som inte hanterar arbetsytor.
• Ta emot delade data via deltadelning.
• Ta bort standardadministratörsbehörigheter för arbetsytan.
• Lägg till hanterad lagring i metaarkivet om det inte har någon. Se Lägga till hanterad lagring i ett befintligt metaarkiv.

Vem har inledande administratörsbehörighet för metaarkiv?

Om en kontoadministratör skapar metaarkivet manuellt är kontoadministratören metaarkivets första ägare och metaarkivadministratör. Alla metaarkiv som skapades före den 9 november 2023 skapades manuellt av en kontoadministratör.

Om metaarkivet etablerades som en del av automatisk aktivering av Unity Catalog skapades metaarkivet utan en metaarkivadministratör. I så fall beviljas arbetsyteadministratörer automatiskt behörigheter som gör metaarkivadministratören valfri. Vid behov kan kontoadministratörer tilldela rollen metaarkivadministratör till en användare, tjänstens huvudnamn eller grupp. Grupper rekommenderas starkt. Se Automatisk aktivering av Unity Catalog.

Tilldela en metaarkivadministratör

Metaarkivadministratör är en mycket privilegierad roll som du bör distribuera noggrant. Det är valfritt.

Kontoadministratörer kan tilldela administratörsrollen metaarkiv. Databricks rekommenderar att du nominerar en grupp som metaarkivadministratör. Genom att göra detta är alla medlemmar i gruppen automatiskt en metaarkivadministratör.

Så här tilldelar du administratörsrollen för metaarkivet till en grupp:

1. Logga in på kontokonsolen som kontoadministratör.
2. Klicka på Catalog.
3. Klicka på namnet på ett metaarkiv för att öppna dess egenskaper.
4. Under Metaarkivadministratör klickar du på Redigera.
5. Välj en grupp i listrutan. Du kan ange text i fältet för att söka efter alternativ.
6. Klicka på Spara.

Viktigt!

Det kan ta upp till 30 sekunder innan en ändring av administratörstilldelningen för metaarkiv återspeglas i ditt konto, och det kan ta längre tid att börja gälla på vissa arbetsytor än andra. Den här fördröjningen beror på cachelagringsprotokoll.

Kontoadministratörer

Kontoadministratör är en mycket privilegierad roll som du bör distribuera noggrant. Kontoadministratörer har följande behörigheter:

• Kan skapa metaarkiv och som standard bli den första metaarkivadministratören.
• Kan länka metaarkiv till arbetsytor.
• Kan tilldela administratörsrollen för metaarkivet.
• Kan bevilja behörigheter för metaarkiv.
• Kan aktivera deltadelning för ett metaarkiv.
• Kan konfigurera autentiseringsuppgifter för lagring.
• Kan aktivera systemtabeller och delegera åtkomst till dem.

Information om hur du etablerar din första Azure Databricks-kontoadministratör finns i Etablera din första kontoadministratör.

Administratörer för arbetsytan

Arbetsyteadministratör är en mycket privilegierad roll som du bör distribuera noggrant. Arbetsyteadministratörer har följande privilegier:

• Kan lägga till användare, tjänstens huvudnamn och grupper till en arbetsyta.
• Kan delegera andra arbetsyteadministratörer.
• Kan hantera jobbägarskap. Se Kontrollera åtkomst till ett jobb.
• Kan hantera inställningen Kör som för jobbet. Se Konfigurera identitet för jobbkörningar.
• Kan visa och hantera notebooks, instrumentpaneler, frågor och andra arbetsyteobjekt. Se Åtkomstkontrollistor.

Kontoadministratörer kan begränsa administratörsbehörigheter för arbetsytan med hjälp av inställningen RestrictWorkspaceAdmins . Se Begränsa administratörer för arbetsytor.

administratörsbehörigheter för arbetsytor när arbetsytor aktiveras automatiskt för Unity Catalog

Om din arbetsyta aktiverades automatiskt för Unity Catalog kopplas arbetsytan till ett metaarkiv som standard. Mer information finns i Automatisk aktivering av Unity Catalog.

Om din arbetsyta har aktiverats automatiskt för Unity Catalog har arbetsyteadministratörer följande behörigheter i det anslutna metaarkivet som standard:

• CREATE CATALOG

• CREATE CLEAN ROOM

• CREATE EXTERNAL LOCATION

• CREATE SERVICE CREDENTIAL

• CREATE STORAGE CREDENTIAL

• CREATE CONNECTION

• CREATE SHARE

• CREATE RECIPIENT

• CREATE PROVIDER

• CREATE MATERIALIZED VIEW

Arbetsyteadministratörer är standardägare för arbetsytekatalogen om en arbetsytekatalog har etablerats för din arbetsyta. Ägarskapet för den här katalogen ger följande behörigheter:

• Hantera behörigheter för eller överföra ägarskap för alla objekt i arbetsytekatalogen.

  Detta inkluderar möjligheten att ge sig själva läs- och skrivåtkomst till alla data i katalogen (ingen direkt åtkomst som standard, beviljande av behörigheter är granskningsloggad).

• Överföra ägarskapet för själva arbetsytekatalogen.

Alla arbetsyteanvändarna får USE CATALOG-behörigheten i arbetsytekatalogen. Arbetsplatsanvändare får också USE SCHEMA, CREATE TABLE, CREATE VOLUME, CREATE MODEL, CREATE FUNCTIONoch CREATE MATERIALIZED VIEW behörigheter på schemat default i katalogen.

Kommentar

Standardprivilegier som beviljas för det anslutna metaarkivet och arbetsytekatalogen underhålls inte mellan arbetsytor (om till exempel arbetsytekatalogen också är bunden till en annan arbetsyta).