Dela via

Hantera objektägarskap i Unity Catalog

  • Artikel

Varje skyddsbart objekt i Unity Catalog har en ägare. Ägaren kan vara vilket huvudnamn som helst: en användare, tjänstens huvudnamn eller kontogrupp. Det huvudnamn som skapar ett objekt blir dess första ägare. Ett objekts ägare har alla behörigheter för objektet, till exempel SELECT och MODIFY på en tabell, samt behörigheten att bevilja rättigheter till andra användare. Ett objekts ägare har möjlighet att släppa objektet.

Ägarbehörigheter

Ägare av ett objekt beviljas automatiskt alla behörigheter för objektet. Dessutom kan objektägare bevilja behörigheter för själva objektet och för alla underordnade objekt. Det innebär att ägare av ett schema inte automatiskt har alla behörigheter för tabellerna i schemat, men de kan ge sig själva behörigheter för tabellerna i schemat.

Kommentar

Det finns ett undantag från regeln att ägare har alla behörigheter för ett objekt: för att undvika oavsiktlig dataexfiltrering har schemaägare inte EXTERNAL USE SCHEMA behörighet som standard. Se Aktivera extern dataåtkomst till Unity Catalog.

Metaarkiv och katalogägarskap

Metaarkivadministratörer är ägare till metaarkivet. Administratörsrollen för metaarkivet är valfri. Metaarkivadministratörer kan tilldela om ägarskapet för metaarkivet genom att överföra administratörsrollen för metaarkivet, se Tilldela en metaarkivadministratör.

Om din arbetsyta aktiverades automatiskt för Unity Catalog kopplas arbetsytan till ett metaarkiv som standard och en arbetsytekatalog skapas för arbetsytan i metaarkivet. Arbetsyteadministratörer är standardägare och kan ordna om ägarskapet för arbetsytekatalogen. På dessa arbetsytor finns det ingen metaarkivadministratör tilldelad som standard, men kontoadministratörer kan bevilja administratörsrollen för metaarkivet om det behövs. Se Metaarkivadministratörer.

Mer information om administratörsbehörigheter i Unity Catalog finns i Administratörsbehörigheter i Unity Catalog.

Ägarskap jämfört med MANAGE behörighet

MANAGE (offentlig förhandsversion) är ett privilegium som liknar objektägarskapet. Det ger en användare möjlighet att redigera, släppa och hantera behörigheter för objektet. Användare med MANAGE behörighet för ett objekt beviljas dock inte automatiskt alla behörigheter för objektet. Precis som med andra privilegier kräver användarna USE CATALOG i objektets överordnade katalog och USE SCHEMA i objektets överordnade schema. Om du till exempel vill bevilja behörigheter för en tabell måste användarna ha MANAGE behörighet i tabellen och USE CATALOG behörigheter i den överordnade katalogen, tillsammans med USE SCHEMA behörigheter i det överordnade schemat.

Ett objekts ägare kan bara vara en enda huvudman, inklusive en grupp, medan MANAGE kan beviljas flera huvudmän.

För att undvika oavsiktlig eskalering av privilegier inkluderar ALL PRIVILEGES inte MANAGE behörighet

Visa ett objekts ägare

Du kan använda Catalog Explorer- eller SQL-instruktioner för att visa ett objekts ägare.

Behörigheter som krävs: Alla användare med BROWSE behörighet för objektet eller en överordnad objekt kan visa objektets ägare.

Katalogutforskaren

  1. På din Azure Databricks-arbetsyta klickar du på katalogikonen KatalogKatalog.

  2. Välj objektet, till exempel en katalog, ett schema, en tabell, en vy, en volym, en extern plats eller lagringsautentiseringsuppgifter.

    Hur du navigerar till objektet beror på objektet. Kataloger, scheman och innehållet i scheman (till exempel tabeller och volymer) kan väljas i det vänstra fönstret Katalog. Du hittar andra objekt, till exempel externa platser eller Deltadelningsresurser, genom att klicka på Gear-ikonen kugghjulsikonen ovanför fönstret Katalog och välja objektkategorin på menyn.

    För de flesta objekt visas ägaren på fliken Översikt på objektinformationssidan. För vissa objekt, till exempel externa platser, visas det överst på objektinformationssidan.

SQL

Kör följande SQL-kommando i en notebook- eller SQL-frågeredigerare. Ersätt platshållarvärdena:

  • <securable-type>: Typen av skyddsbar, till exempel CATALOG eller TABLE.
  • <catalog>: Den överordnade katalogen där du visar ett schema eller innehållet i ett schema.
  • <schema>: Det överordnade schemat om du visar innehållet i ett schema, till exempel en tabell eller vy.
  • <securable-name>: Namnet på det skyddsbara objektet.
DESCRIBE <securable-type> EXTENDED <catalog>.<schema>.<securable-name>;

Överför projektägarskap

Du kan använda Catalog Explorer- eller SQL-instruktioner för att visa ett objekts ägare.

Behörigheter som krävs: Du kan överföra objektägarskapet om du är den aktuella ägaren, en metaarkivadministratör, containerns ägare (katalogen för ett schema, schemat för en tabell) eller en användare med MANAGE behörighet för objektet. Deltadelningsresursobjekt är ett undantag: huvudnamn med USE SHARE behörigheterna och SET SHARE PERMISSION kan också överföra ägarskapet för resursen.

Kommentar

För att förhindra behörighetseskaleringar kan endast en metaarkivadministratör överföra ägarskapet för en vy, funktion eller modell till alla användare, tjänstens huvudnamn eller grupper i kontot. Aktuella ägare och användare med MANAGE behörighet är begränsade till att överföra ägarskapet till sitt användarnamn eller till en grupp som de är medlemmar i.

Katalogutforskaren

  1. På din Azure Databricks-arbetsyta klickar du på katalogikonen KatalogKatalog.

  2. Välj objektet, till exempel en katalog, ett schema, en tabell, en vy, en extern plats eller lagringsautentiseringsuppgifter.

    Hur du navigerar till objektet beror på objektet. Kataloger, scheman och innehållet i scheman (till exempel tabeller och volymer) kan väljas i det vänstra fönstret Katalog. Du hittar andra objekt, till exempel externa platser eller Deltadelningsresurser, genom att klicka på Gear-ikonen kugghjulsikonen ovanför fönstret Katalog och välja objektkategorin på menyn.

    För de flesta objekt visas ägaren på fliken Översikt på objektinformationssidan. För vissa objekt, till exempel externa platser, visas det överst på objektinformationssidan.

  3. Klicka på redigeringsikonen Edit icon bredvid Ägaren.

  4. Sök efter och välj en grupp, användare eller tjänstens huvudnamn.

  5. Klicka på Spara.

SQL

Kör följande SQL-kommando i en notebook- eller SQL-frågeredigerare. Ersätt platshållarvärdena:

  • <securable-type>: Typen av skyddsbart objekt, till exempel CATALOG eller TABLE. METASTORE stöds inte som ett skyddsbart objekt i det här kommandot.
  • <securable-name>: Namnet på det säkra. Om du ändrar ett schema eller innehållet i ett schema måste du använda det fullständiga namnområdet på tre nivåer (catalog.schema.object), såvida du inte redan har angett den överordnade katalogen och/eller schemat.
  • <principal> är en användare, tjänstens huvudnamn (representeras av dess applicationId-värde) eller grupp. Du måste omsluta användare, tjänstens huvudnamn och gruppnamn som innehåller specialtecken i backticks (` `). Se Huvudnamn.
ALTER <securable-type> <securable-name> OWNER TO <principal>;

Om du till exempel vill överföra ägarskapet för tabellen orders till gruppen accounting:

ALTER TABLE mycatalog.myschema.orders OWNER TO `accounting`;