Unity Catalog-Berechtigungen und sicherungsfähige Objekte
In diesem Artikel werden die sicherungsfähigen Objekte in Unity Catalog und die Berechtigungen beschrieben, die für sie gelten. Erfahren Sie, wie Sie Berechtigungen in Unity Catalog erteilen unter Anzeigen, Erteilen und Widerrufen von Berechtigungen.
Hinweis
Dieser Artikel bezieht sich auf die Unity Catalog-Berechtigungen und das Vererbungsmodell in Version 1.0 des Berechtigungsmodells (Privilege Model). Wenn Sie ihren Unity-Katalogmetastore während der öffentlichen Vorschau (vor dem 25. August 2022) erstellt haben, verwenden Sie möglicherweise ein früheres Berechtigungsmodell, welches das aktuelle Vererbungsmodell nicht unterstützt. Sie können ein Upgrade auf das Berechtigungsmodell, Version 1.0, durchführen, um die Berechtigungsvererbung zu erhalten. Siehe Upgrade auf Berechtigungsvererbung.
Sicherungsfähige Objekte in Unity Catalog
Ein sicherungsfähiges Objekt ist ein Objekt, das im Unity Catalog-Metastore definiert ist, für das Berechtigungen einem Prinzipal (Benutzer, Dienstprinzipal oder Gruppe) gewährt werden können. Sicherungsfähige Objekte in Unity Catalog sind hierarchisch.
Sicherungsfähige Objekte sind:
METASTORE: Der Container der obersten Ebene für Metadaten. Jeder Unity Catalog-Metastore macht einen Namespace mit drei Ebenen (
catalog
.schema
.table
) verfügbar, der Ihre Daten organisiert.Wenn Sie Berechtigungen für einen Metastore verwalten, beziehen Sie den Metastorenamen nicht in einen SQL-Befehl mit ein. Unity Catalog gewährt oder widerruft die Berechtigung für den an Ihren Arbeitsbereich angefügten Metastore. Der folgende Befehl beispielsweise gewährt der Gruppe Engineering die Möglichkeit zum Erstellen eines Katalogs in dem Metastore, der an den Arbeitsbereich angefügt ist:
GRANT CREATE CATALOG ON METASTORE TO engineering
KATALOG: Die erste Ebene der Objekthierarchie, die zum Organisieren Ihrer Datenressourcen verwendet wird. Ein Fremdkatalog ist ein spezieller Katalogtyp, der in einem Lakehouse-Verbundszenario eine Datenbank in einem externen Datensystem widerspiegelt.
SCHEMA: Schemas (auch als „Datenbanken“ bezeichnet) sind die zweite Ebene der Objekthierarchie und enthalten Tabellen und Sichten.
TABELLE: Tabellen stellen die niedrigste Ebene in der Objekthierarchie dar und können sein: externe Tabellen (an externen Speicherorten in einem Cloudspeicher Ihrer Wahl gespeichert) oder verwaltete Tabellen (in einem Speichercontainer in Ihrem Cloudspeicher gespeichert, den Sie ausdrücklich für Azure Databricks erstellen).
ANSICHT: Ein aus einer Abfrage auf einer oder mehreren Tabellen erstelltes schreibgeschütztes Objekt, das in einem Schema enthalten ist.
MATERIALISIERTE SICHT: Ein Objekt, das aus einer Abfrage in einer oder mehreren Tabellen erstellt wurde, die in einem Schema enthalten sind. Die Ergebnisse spiegeln den Status der Daten wider, als sie zuletzt aktualisiert wurden.
VOLUME: Volumes stellen die unterste Ebene der Objekthierarchie dar und können externe Volumes (an externen Speicherorten in einem Cloudspeicher Ihrer Wahl gespeichert) oder verwaltete Volumes (in einem Speichercontainer in Ihrem Cloudspeicher gespeichert, den Sie ausdrücklich für Azure Databricks erstellen) sein.
FUNCTION: Eine benutzerdefinierte Funktion oder ein registriertes MLflow-Modell, das in einem Schema enthalten ist.
Modell: Ein registriertes MLflow-Modell ist eine bestimmte Art von Funktion. Modelle werden im Katalog-Explorer getrennt von anderen Funktionen aufgeführt, aber wenn Sie einem Modell mit SQL eine Berechtigung gewähren, ist
GRANT ON FUNCTION
zu verwenden.EXTERNAL LOCATION: Ein Objekt mit einem Verweis auf Speicheranmeldeinformationen und einem Cloudspeicherpfad, der in einem Unity Catalog-Metastore enthalten ist.
SERVICE-ANMELDEINFORMATIONEN: Ein Objekt, das eine langfristige Cloudanmeldeinformationen kapselt, die Zugriff auf einen externen Dienst bieten. In einem Unity-Katalog-Metastore enthalten.
STORAGE CREDENTIAL: Ein Objekt, das langfristige Cloudanmeldeinformationen kapselt, die Zugriff auf den in einem Unity Catalog-Metastore enthaltenen Cloudspeicher bieten.
CONNECTION: Ein Objekt, das einen Pfad und Anmeldeinformationen für den Zugriff auf ein externes Datenbanksystem in einem Lakehouse-Verbundszenario angibt.
FREIGABE: Eine logische Gruppierung für die Tabellen, die Sie mithilfe von Delta Sharing freigeben möchten. Eine Freigabe ist in einem Unity Catalog-Metastore enthalten.
EMPFÄNGER: Ein Objekt, das eine Organisation oder eine Gruppe von Benutzern identifiziert, für die Daten mithilfe von Delta Sharing freigegeben werden können. Diese Objekte sind in einem Unity Catalog-Metastore enthalten.
ANBIETER: Ein Objekt, das eine Organisation darstellt, die Daten für die Freigabe mithilfe von Delta Sharing verfügbar gemacht hat. Diese Objekte sind in einem Unity Catalog-Metastore enthalten.
REINRAUM: Ein Objekt, das eine sichere und datenschutzfreundliche, von Databricks verwaltete Umgebung darstellt, in der mehrere Parteien ohne direkten Zugriff auf die Daten der anderen zusammenarbeiten können.
Berechtigungstypen nach sicherungsfähigem Objekt in Unity Catalog
In der folgenden Tabelle sind die Berechtigungstypen aufgeführt, die für jedes sicherungsfähige Objekt in Unity Catalog gelten. Erfahren Sie, wie Sie Berechtigungen in Unity Catalog erteilen unter Anzeigen, Erteilen und Widerrufen von Berechtigungen.
Sicherungsfähig | Rechte |
---|---|
Metastore | CREATE CATALOG , CREATE CLEAN ROOM , , CREATE CONNECTION , CREATE EXTERNAL LOCATION , CREATE PROVIDER , CREATE SHARE CREATE RECIPIENT ,CREATE SERVICE CREDENTIAL , USE PROVIDER SET SHARE PERMISSION USE MARKETPLACE ASSETS USE RECIPIENT CREATE STORAGE CREDENTIAL USE SHARE |
Katalog | ALL PRIVILEGES , , APPLY TAG BROWSE , , CREATE SCHEMA USE CATALOG Alle Benutzer verfügen standardmäßig über USE CATALOG für den main -Katalog.Die folgenden Berechtigungstypen gelten für sicherungsfähige Objekte in einem Katalog. Sie können diese Berechtigungen auf Katalogebene gewähren, um sie auf die aktuellen und zukünftigen Objekte im Katalog anzuwenden. CREATE FUNCTION , CREATE TABLE , , CREATE MATERIALIZED VIEW , CREATE MODEL , EXTERNAL USE SCHEMA CREATE VOLUME , READ VOLUME , , REFRESH , WRITE VOLUME , , EXECUTE MODIFY , , SELECT USE SCHEMA |
Schema | ALL PRIVILEGES , APPLY TAG , , CREATE TABLE CREATE FUNCTION , CREATE MODEL , CREATE VOLUME , CREATE MATERIALIZED VIEW , , EXTERNAL USE SCHEMA USE SCHEMA Die folgenden Berechtigungstypen gelten für sicherungsfähige Objekte in einem Schema. Sie können diese Berechtigungen auf Schemaebene gewähren, um sie auf die aktuellen und zukünftigen Objekte im Schema anzuwenden. EXECUTE , , MODIFY READ VOLUME , REFRESH , , SELECT WRITE VOLUME |
Tabelle | ALL PRIVILEGES , , APPLY TAG MODIFY SELECT |
Materialisierte Sicht | ALL PRIVILEGES , , APPLY TAG REFRESH SELECT |
Sicht | ALL PRIVILEGES , APPLY TAG SELECT |
Volume | ALL PRIVILEGES , READ VOLUME WRITE VOLUME |
Externer Speicherort | ALL PRIVILEGES , , BROWSE CREATE EXTERNAL TABLE , CREATE EXTERNAL VOLUME , READ FILES , , WRITE FILES CREATE MANAGED STORAGE |
Dienstanmeldeinformationen | ALL PRIVILEGES , , ACCESS CREATE CONNECTION . |
Speicheranmeldeinformationen | ALL PRIVILEGES , , CREATE EXTERNAL LOCATION CREATE EXTERNAL TABLE , , READ FILES WRITE FILES |
Verbindung | ALL PRIVILEGES , CREATE FOREIGN CATALOG USE CONNECTION |
Funktion | ALL PRIVILEGES , APPLY TAG (nur Modelle), EXECUTE |
Modell | Registrierte Modelle sind eine Art von Funktion. |
Freigabe | SELECT (kann RECIPIENT gewährt werden) |
Recipient | Keine |
Anbieter | Keine |
Reinraum | ALL PRIVILEGES , , BROWSE EXECUTE CLEAN ROOM TASK MODIFY CLEAN ROOM |
Allgemeine Unity Catalog-Berechtigungstypen
Dieser Abschnitt enthält Details zu den Berechtigungstypen, die im Allgemeinen für Unity Catalog gelten. Erfahren Sie, wie Sie Berechtigungen in Unity Catalog erteilen unter Anzeigen, Erteilen und Widerrufen von Berechtigungen.
ALLE BERECHTIGUNGEN
Entsprechende Objekttypen: CATALOG
, EXTERNAL LOCATION
, STORAGE CREDENTIAL
, SCHEMA
, FUNCTION
(einschließlich Modelle) TABLE
, MATERIALIZED VIEW
, VIEW,
VOLUME
Wird zum Gewähren oder Widerrufen aller Berechtigungen verwendet, die für die sicherungsfähigen Objekte und deren untergeordnete Objekte gelten, ohne sie explizit anzugeben.
Wenn ALL PRIVILEGES
für ein Objekt erteilt wird, wird Benutzer*innen zum Zeitpunkt der Erteilung nicht jede anwendbare Berechtigung einzeln gewährt. Stattdessen wird dies zum Zeitpunkt der Berechtigungsprüfungen auf alle verfügbaren Berechtigungen erweitert. Das bedeutet: Wenn Databricks neue Berechtigungen und neue sicherungsfähige Objekte veröffentlicht, enthält eine bereits vorhandene ALL PRIVILEGES
-Zuweisung automatisch alle neuen Berechtigungen, die für das sicherungsfähige Objekt sowie für seine bereits vorhandenen untergeordneten Objekte und für alle neuen untergeordneten Objekte gelten.
Wenn ALL PRIVILEGES
widerrufen wird, wird die Berechtigung ALL PRIVILEGES
widerrufen, und alle expliziten Berechtigungen, die Benutzer*innen für das Objekt gewährt werden, werden ebenfalls widerrufen.
Um eine versehentliche Datenexfiltration zu vermeiden, schließt ALL PRIVILEGES
die Berechtigung EXTERNAL USE SCHEMA
nicht ein.
Hinweis
Diese Berechtigung ist leistungsstark, wenn sie auf höheren Ebenen in der Hierarchie angewendet wird. So erteilt „GRANT ALL PRIVILEGES ON CATALOG main TO analysts
“ beispielsweise dem Analystenteam alle bereits vorhandenen und zukünftigen Berechtigungen für alle bereits vorhandenen und zukünftigen sicherungsfähigen Objekte im Katalog.
ZUGRIFF
Anwendbare Objekttypen: SERVICE CREDENTIAL
Ermöglicht einem Benutzer die Verwendung von Dienstanmeldeinformationen für den Zugriff auf einen externen Dienst oder dienste.
APPLY TAG
Entsprechende Objekttypen: CATALOG
, SCHEMA
, TABLE
, VOLUME
, MATERIALIZED VIEW
, VIEW
, als FUNCTION
registrierte Modelle
Ermöglicht Benutzer*innen das Hinzufügen von Tags zu einem Objekt sowie das Bearbeiten von Tags. Das Festlegen von APPLY TAG
für eine Tabelle oder Sicht ermöglicht auch die Spaltenmarkierung. Das Gewähren von APPLY TAG
für ein registriertes Modell ermöglicht auch das Tagging der Modellversion.
Der Benutzer muss auch über die USE CATALOG
Berechtigung im übergeordneten Katalog und USE SCHEMA
die Berechtigung im übergeordneten Schema verfügen.
BROWSE
Anwendbare Objekttypen: CATALOG
, EXTERNAL LOCATION
, CLEAN ROOM
Wichtig
Dieses Feature befindet sich in der Public Preview.
Gewährt die Berechtigung, die Metadaten eines Objekts über den Katalog-Explorer, den Schemabrowser, die Suchergebnisse, das Herkunftsdiagramm, information_schema
und die REST-API anzuzeigen.
Die Berechtigung USE CATALOG
für den übergeordneten Katalog und die Berechtigung USE SCHEMA
für das übergeordnete Schema sind nicht erforderlich.
Allen Benutzern wird standardmäßig die BROWSE
-Berechtigung für neue Kataloge gewährt, die mit dem Katalog-Explorer erstellt werden. Sie können die Berechtigung widerrufen, wenn Sie dies bevorzugen. Kataloge, die mit SQL-Anweisungen, der REST-API oder der Databricks-CLI erstellt wurden, gewähren die BROWSE
-Berechtigung nicht standardmäßig. Sie müssen sie explizit erteilen.
CREATE CATALOG
Anwendbare Objekttypen: Unity Catalog-Metastore
Ermöglicht es einem Benutzer, einen Katalog in einem Unity Catalog-Metastore zu erstellen. Um einen Fremdkatalog zu erstellen, müssen Sie auch über die Berechtigung CREATE FOREIGN CATALOG für die Verbindung verfügen, die den Fremdkatalog enthält, oder für den Metastore.
ERSTELLEN EINES REINRAUMS
Anwendbare Objekttypen: Unity Catalog-Metastore
Ermöglicht es einem Benutzer, einen Reinraum für die sichere Zusammenarbeit an Projekten mit anderen Organisationen zu erstellen, ohne zugrunde liegende Daten freizugeben
CREATE CONNECTION
Anwendbare Objekttypen: Unity Catalog-Metastore, SERVICE CREDENTIAL
Gewährt die Berechtigung, eine Verbindung mit einer externen Datenbank in einem Lakehouse Federation-Szenario herzustellen. Um eine Dienstanmeldeinformationen zum Erstellen einer Verbindung zu verwenden, muss der Benutzer über diese Berechtigung sowohl für den Metaspeicher als auch für die Dienstanmeldeinformationen verfügen.
CREATE EXTERNAL LOCATION
Anwendbare Objekttypen: Unity Catalog-Metastore, STORAGE CREDENTIAL
Um einen externen Speicherort zu erstellen, muss der/die Benutzer*in über diese Berechtigung sowohl für den Metastore als auch für die Speicheranmeldeinformationen verfügen, auf die im externen Speicherort verwiesen wird.
CREATE EXTERNAL TABLE
Anwendbare Objekttypen: EXTERNAL LOCATION
, STORAGE CREDENTIAL
Ermöglicht es einem Benutzer, externe Tabellen mithilfe eines externen Speicherorts oder mithilfe von Speicheranmeldeinformationen direkt in Ihrem Cloudmandanten zu erstellen. Databricks empfiehlt, diese Berechtigung für einen externen Speicherort und nicht für Speicheranmeldeinformationen zu erteilen (da sie für einen Pfad gilt, ermöglicht sie mehr Kontrolle darüber, wo Benutzer externe Tabellen in Ihrem Cloudmandanten erstellen können).
CREATE EXTERNAL VOLUME
Anwendbare Objekttypen: EXTERNAL LOCATION
Gewährt die Berechtigung, externe Volumes unter Verwendung eines externen Speicherorts zu erstellen.
CREATE FOREIGN CATALOG
Anwendbare Objekttypen: CONNECTION
Gewährt die Berechtigung, Fremdkataloge mithilfe einer Verbindung mit einer externen Datenbank in einem Lakehouse Federation-Szenario zu erstellen.
CREATE FUNCTION
Anwendbare Objekttypen: SCHEMA
Ermöglicht es einem Benutzer, eine Funktion im Schema zu erstellen. Weil Berechtigungen vererbt werden, kann CREATE FUNCTION
auch für einen Katalog gewährt werden. Dies ermöglicht es einem Benutzer, eine Funktion in jedem beliebigen vorhandenen oder zukünftigen Schema im Katalog zu erstellen.
Der Benutzer muss auch über die USE CATALOG
Berechtigung im übergeordneten Katalog und USE SCHEMA
die Berechtigung im übergeordneten Schema verfügen.
CREATE MODEL
Anwendbare Objekttypen: SCHEMA
Ermöglicht es einem Benutzer, ein bei MLflow registriertes Modell (eine Art von Funktion) im Schema zu erstellen. Da Berechtigungen vererbt werden, kann CREATE MODEL
auch für einen Katalog gewährt werden. Dies ermöglicht es einem Benutzer, ein registriertes Modell in jedem beliebigen vorhandenen oder zukünftigen Schema im Katalog zu erstellen.
Der Benutzer muss auch über die USE CATALOG
Berechtigung im übergeordneten Katalog und USE SCHEMA
die Berechtigung im übergeordneten Schema verfügen.
CREATE MANAGED STORAGE
Anwendbare Objekttypen: EXTERNAL LOCATION
Ermöglicht einem Benutzer das Angeben eines Speicherorts für verwaltete Tabellen auf Katalog- oder Schemaebene, wobei der Standardstammspeicher für den Metastore außer Kraft gesetzt wird.
CREATE SCHEMA
Anwendbare Objekttypen: CATALOG
Ermöglicht es einem Benutzer, ein Schema zu erstellen. Der Benutzer muss auch über die Berechtigung USE CATALOG
im Katalog verfügen.
DIENSTANMELDEINFORMATIONEN ERSTELLEN
Anwendbare Objekttypen: Unity Catalog-Metastore
Ermöglicht einem Benutzer das Erstellen von Dienstanmeldeinformationen in einem Unity-Katalog-Metastore.
SPEICHERANMELDEINFORMATIONEN ERSTELLEN
Anwendbare Objekttypen: Unity Catalog-Metastore
Ermöglicht einem Benutzer das Erstellen von Speicheranmeldeinformationen in einem Unity Catalog-Metastore.
Kann weder einem Microsoft Entra-ID noch einem nativen Azure Databricks-Dienstprinzipal gewährt werden
CREATE TABLE
Anwendbare Objekttypen: SCHEMA
Ermöglicht es einem Benutzer, eine Tabelle oder Ansicht im Schema zu erstellen. Da Berechtigungen vererbt werden, kann CREATE TABLE
auch für einen Katalog gewährt werden. Dies ermöglicht es einem Benutzer, eine Tabelle oder Ansicht in jedem beliebigen vorhandenen oder zukünftigen Schema im Katalog zu erstellen.
Der Benutzer muss auch über die Berechtigung USE CATALOG
im übergeordneten Katalog und die Berechtigung USE SCHEMA
im übergeordneten Schema verfügen.
CREATE MATERIALIZED VIEW
Anwendbare Objekttypen: SCHEMA
Ermöglicht es einem Benutzer, eine materialisierte Sicht im Schema zu erstellen. Da Berechtigungen vererbt werden, kann CREATE MATERIALIZED VIEW
auch für einen Katalog gewährt werden. Dies ermöglicht es einem Benutzer, eine Tabelle oder Ansicht in jedem beliebigen vorhandenen oder zukünftigen Schema im Katalog zu erstellen.
Der Benutzer muss auch über die Berechtigung USE CATALOG
im übergeordneten Katalog und die Berechtigung USE SCHEMA
im übergeordneten Schema verfügen.
CREATE VOLUME
Anwendbare Objekttypen: SCHEMA
Ermöglicht es Benutzer*innen, eine Tabelle im Schema zu erstellen. Weil Berechtigungen vererbt werden, kann CREATE VOLUME
auch für einen Katalog gewährt werden. Dies ermöglicht es Benutzer*innen, ein Volume in jedem beliebigen vorhandenen oder zukünftigen Schema im Katalog zu erstellen.
Die Benutzer*innen müssen auch über die Berechtigung USE CATALOG
im übergeordneten Katalog und die Berechtigung USE SCHEMA
im übergeordneten Schema verfügen.
Führen Sie
Anwendbare Objekttypen: FUNCTION
, Modell
Ermöglicht es einem Benutzer, eine benutzerdefinierte Funktion aufzurufen oder ein Modell für den Rückschluss zu laden, wenn er außerdem die Berechtigung USE CATALOG
für seinen übergeordneten Katalog und die Berechtigung USE SCHEMA
für sein übergeordnetes Schema hat. EXECUTE
gewährt Funktionen die Möglichkeit, die Funktionsdefinition und Metadaten anzuzeigen. Bei registrierten Modellen ermöglicht EXECUTE
das Anzeigen der Metadaten für alle Versionen des registrierten Modells und das Herunterladen von Modelldateien.
Weil Berechtigungen vererbt werden, können Sie einem Benutzer die Berechtigung EXECUTE
für einen Katalog oder ein Schema gewähren. Dadurch wird ihm automatisch die Berechtigung EXECUTE
für alle aktuellen und zukünftigen Funktionen im Katalog oder Schema gewährt.
AUFGABE „REINRAUM AUSFÜHREN“
Anwendbare Objekttypen: CLEAN ROOM
Ermöglicht es einem Benutzer, Aufgaben (Notebooks) in einem Reinraum auszuführen. Ermöglicht dem Benutzer auch das Anzeigen von Reinraumdetails
SCHEMA FÜR EXTERNE VERWENDUNG
Anwendbare Objekttypen: SCHEMA
Ermöglicht es einem Benutzer, temporäre Anmeldeinformationen für den Zugriff auf Unity Catalog-Tabellen aus einem externen Verarbeitungsmodul mithilfe der geöffneten APIs von Unity Catalog oder Iceberg-REST-APIs zu erhalten.
Nur der Katalogbesitzer kann diese Berechtigung erteilen.
Um versehentliche Datenexfiltration zu vermeiden, ALL PRIVILEGES
nicht die EXTERNAL USE SCHEMA
-Berechtigung, und Schemabesitzer verfügen nicht standardmäßig über diese Berechtigung.
Siehe Steuern des externen Zugriffs auf Daten in Unity Catalog.
POSITIVLISTE VERWALTEN
Anwendbare Objekttypen: Unity Catalog-Metastore
Ermöglicht es einem Benutzer, Pfade für Initialisierungsskripts, JARs und Maven-Koordinaten in der Positivliste hinzuzufügen oder zu ändern, die Unity Catalog-fähige Cluster mit freigegebenem Zugriffsmodus steuert. Weitere Informationen finden Sie unter Positivliste von Bibliotheken und Initialisierungsskripts auf freigegebenem Compute.
MODIFY
Anwendbare Objekttypen: TABLE
Ermöglicht einem Benutzer das Hinzufügen zu, Aktualisieren in oder Löschen von Daten aus der Tabelle, wenn er auch die Berechtigung SELECT
für die Tabelle sowie die Berechtigung USE CATALOG
für seinen übergeordneten Katalog und die Berechtigung USE SCHEMA
für sein übergeordnetes Schema hat.
Weil Berechtigungen vererbt werden, können Sie einem Benutzer die Berechtigung MODIFY
für einen Katalog oder ein Schema gewähren. Dadurch wird ihm automatisch die Berechtigung MODIFY
für alle aktuellen und zukünftigen Tabellen im Katalog oder Schema gewährt.
REINRAUM ÄNDERN
Anwendbare Objekttypen: CLEAN ROOM
Ermöglicht es einem Benutzer, einen Reinraum zu aktualisieren, einschließlich Hinzufügen und Entfernen von Datenressourcen, Hinzufügen und Entfernen von Notebooks und Aktualisieren von Kommentaren. Ermöglicht dem Benutzer auch das Anzeigen von Reinraumdetails
READ FILES
Anwendbare Objekttypen: VOLUME
, EXTERNAL LOCATION
Ermöglicht einem Benutzer, Dateien direkt aus Ihrem Cloudobjektspeicher zu lesen. Databricks empfiehlt, diese Berechtigung für Volumes und für begrenzte Anwendungsfälle an externen Standorten zu erteilen. Weitere Anleitungen finden Sie unter Verwalten externer Standorte, externer Tabellen und externer Volumes.
READ VOLUME
Anwendbare Objekttypen: VOLUME
Erlaubt Benutzer*innen das Lesen von Dateien und Verzeichnissen, die in einem Volume gespeichert sind, wenn sie auch die Berechtigung USE CATALOG
für den übergeordneten Katalog und USE SCHEMA
für das übergeordnete Schema haben.
Berechtigungen werden geerbt. Wenn Sie Benutzer*innen die Berechtigung READ VOLUME
für einen Katalog oder ein Schema gewähren können, erteilen Sie ihnen automatisch die Berechtigung READ VOLUME
für alle aktuellen und zukünftigen Volumes im Katalog oder Schema.
REFRESH
Anwendbare Objekttypen: MATERIALIZED VIEW
Ermöglicht es einem Benutzer, eine materialisierte Sicht zu aktualisieren, wenn der Benutzer auch USE CATALOG
im übergeordneten Katalog und USE SCHEMA
im übergeordneten Schema hat.
Berechtigungen werden geerbt. Wenn Sie Benutzer*innen die Berechtigung REFRESH
für einen Katalog oder ein Schema gewähren können, erteilen Sie ihnen automatisch die Berechtigung REFRESH
für alle aktuellen und zukünftigen materialisierten Sichten im Katalog oder Schema.
SELECT
Anwendbare Objekttypen: TABLE
, VIEW
, MATERIALIZED VIEW
, SHARE
Wird diese Berechtigung auf eine Tabelle oder Ansicht angewendet, kann ein Benutzer aus dieser Tabelle oder Ansicht auswählen, wenn er auch die Berechtigung USE CATALOG
für seinen übergeordneten Katalog und die Berechtigung USE SCHEMA
für sein übergeordnetes Schema hat. Wird sie auf eine Freigabe angewendet, kann ein Empfänger daraus auswählen.
Weil Berechtigungen vererbt werden, können Sie einem Benutzer die Berechtigung SELECT
für einen Katalog oder ein Schema gewähren. Dadurch wird ihm automatisch die Berechtigung SELECT
für alle aktuellen und zukünftigen Tabellen und Ansichten im Katalog oder Schema gewährt.
USE CATALOG
Anwendbare Objekttypen: CATALOG
Diese Berechtigung gewährt keinen Zugriff auf den Katalog selbst, ist aber erforderlich, damit ein Benutzer mit jedem beliebigen Objekt im Katalog interagieren kann. Um beispielsweise Daten aus einer Tabelle auswählen zu können, müssen Benutzer die Berechtigung SELECT
für diese Tabelle sowie USE CATALOG
-Berechtigungen für dessen übergeordneten Katalog und USE SCHEMA
-Berechtigungen für dessen übergeordnetes Schema haben.
Dies ist nützlich, damit Katalogbesitzer einschränken können, inwieweit einzelne Schema- und Tabellenbesitzer die von ihnen generierten Daten freigeben dürfen. Ein Beispiel: Ein Tabellenbesitzer, der einem anderen Benutzer die Berechtigung SELECT
gewährt, erlaubt diesem Benutzer keinen Lesezugriff auf die Tabelle, außer wenn ihm auch USE CATALOG
-Berechtigungen für seinen übergeordneten Katalog und USE SCHEMA
-Berechtigungen für sein übergeordnetes Schema gewährt wurden.
Die Berechtigung USE CATALOG
für den übergeordneten Katalog ist nicht erforderlich, um die Metadaten eines Objekts zu lesen, wenn die Berechtigung BROWSE
für diesen Katalog vorliegt.
USE CONNECTION
Anwendbare Objekttypen: CONNECTION
Erlaubt Benutzer*innen das Auflisten und Anzeigen von Details zu Verbindungen mit einer externen Datenbank in einem Lakehouse-Verbundszenario. Um Fremdkataloge für eine Verbindung erstellen zu können, müssen Sie über die Berechtigung CREATE FOREIGN CATALOG
für die Verbindung verfügen oder den Besitzer der Verbindung sein.
USE SCHEMA
Anwendbare Objekttypen: SCHEMA
Diese Berechtigung gewährt keinen Zugriff auf das Schema selbst, ist aber erforderlich, damit ein Benutzer mit jedem beliebigen Objekt innerhalb des Schemas interagieren kann. Um beispielsweise Daten aus einer Tabelle auswählen zu können, müssen Benutzer die Berechtigung SELECT
für diese Tabelle sowie USE SCHEMA
-Berechtigungen für dessen übergeordnetes Schema und USE CATALOG
-Berechtigungen für dessen übergeordneten Katalog haben.
Weil Berechtigungen vererbt werden, können Sie einem Benutzer die Berechtigung USE SCHEMA
für einen Katalog gewähren. Dadurch wird ihm automatisch die Berechtigung USE SCHEMA
für alle aktuellen und zukünftigen Schemas im Katalog gewährt.
Die Berechtigung USE SCHEMA
für das übergeordnete Schema ist nicht erforderlich, um die Metadaten eines Objekts zu lesen, wenn die Berechtigung BROWSE
für dieses Schema oder das übergeordnete Schema vorliegt.
WRITE FILES
Anwendbare Objekttypen: VOLUME
,EXTERNAL LOCATION
Ermöglicht es einem Benutzer, Dateien direkt in Ihren Cloudobjektspeicher zu schreiben. Databricks empfiehlt, diese Berechtigung für Volumes zu erteilen. Gewähren Sie diese Berechtigung sparsam für externe Standorte. Weitere Anleitungen finden Sie unter Verwalten externer Standorte, externer Tabellen und externer Volumes.
WRITE VOLUME
Anwendbare Objekttypen: VOLUME
Erlaubt Benutzer*innen das Hinzufügen, Entfernen oder Ändern von Dateien und Verzeichnissen, die in einem Volume gespeichert sind, wenn sie auch über die Berechtigung USE CATALOG
für den übergeordneten Katalog und USE SCHEMA
für das übergeordneten Schema verfügen.
Berechtigungen werden geerbt. Wenn Sie Benutzer*innen die Berechtigung WRITE VOLUME
für einen Katalog oder ein Schema gewähren können, erteilen Sie ihnen automatisch die Berechtigung WRITE VOLUME
für alle aktuellen und zukünftigen Volumes im Katalog oder Schema.
Berechtigungstypen, die nur für Delta Sharing (Deltafreigabe) oder Databricks Marketplace gelten
Dieser Abschnitt enthält Details zu den Berechtigungstypen, die nur für Delta-Freigabe gelten.
CREATE PROVIDER
Anwendbare Objekttypen: Unity Catalog-Metastore
Ermöglicht einem Benutzer das Erstellen eines Delta Sharing-Anbieterobjekts im Metastore. Ein Anbieter identifiziert eine Organisation oder eine Benutzergruppe, die Daten über Delta Sharing freigegeben hat. Die Erstellung des Anbieters wird von einem Benutzer im Databricks-Konto des Empfängers ausgeführt. Weitere Informationen finden Sie unter Was ist Delta Sharing?.
CREATE RECIPIENT
Anwendbare Objekttypen: Unity Catalog-Metastore
Ermöglicht einem Benutzer das Erstellen eines Delta Sharing-Empfängerobjekts im Metastore. Ein Empfänger identifiziert eine Organisation oder eine Gruppe von Benutzern, für die Daten mithilfe von Delta Sharing freigegeben werden können. Die Erstellung des Empfängers wird von einem Benutzer im Databricks-Konto des Anbieters ausgeführt. Weitere Informationen finden Sie unter Was ist Delta Sharing?.
CREATE SHARE
Anwendbare Objekttypen: Unity Catalog-Metastore
Ermöglicht es einem Benutzer, eine Freigabe im Metastore zu erstellen. Eine Freigabe ist eine logische Gruppierung für die Tabellen, die Sie mithilfe von Delta Sharing freigeben möchten.
FREIGABEBERECHTIGUNG FESTLEGEN
Anwendbare Objekttypen: Unity Catalog-Metastore
In Delta Sharing gibt diese Berechtigung in Kombination mit USE SHARE
und USE RECIPIENT
(oder Empfängerbesitz) Anbieterbenutzer*innen die Möglichkeit, Empfänger*innen Zugriff auf eine Freigabe zu gewähren. In Kombination mit USE SHARE
können Sie das Eigentum einer Freigabe auf einen anderen Benutzer, eine Gruppe oder einen Dienstprinzipal übertragen.
USE MARKETPLACE ASSETS
Anwendbare Objekttypen: Unity Catalog-Metastore
Standardmäßig für alle Unity Catalog-Metastores aktiviert. Gibt Benutzer*innen im Databricks Marketplace die Möglichkeit, sofortigen Zugriff zu erhalten oder Zugriff auf Datenprodukte anzufordern, die in einem Marketplace-Eintrag freigegeben sind. Außerdem kann ein Benutzer auf den schreibgeschützten Katalog zugreifen, der erstellt wird, wenn ein Anbieter ein Datenprodukt freigibt. Ohne diese Berechtigung benötigt der Benutzer die Berechtigungen CREATE CATALOG
und USE PROVIDER
oder die Metastore-Administratorrolle. Dadurch können Sie die Anzahl der Benutzer mit diesen mächtigen Berechtigungen begrenzen.
ANBIETER VERWENDEN
Anwendbare Objekttypen: Unity Catalog-Metastore
Gewährt in Delta Sharing einem Empfängerbenutzer schreibgeschützten Zugriff auf alle Anbieter in einem Empfänger-Metastore und deren Freigaben. In Kombination mit der CREATE CATALOG
-Berechtigung ermöglicht diese Berechtigung einem Empfängerbenutzer, der kein Metastore-Administrator ist, das Einbinden einer Freigabe als Katalog. Dadurch können Sie die Anzahl der Benutzer mit der Metastore-Administratorrolle begrenzen, die viele Berechtigungen umfasst.
EMPFÄNGER VERWENDEN
Anwendbare Objekttypen: Unity Catalog-Metastore
Gewährt in Delta Sharing einem Anbieterbenutzer schreibgeschützten Zugriff auf alle Empfänger in einem Anbieter-Metastore und deren Freigaben. Dadurch kann ein Anbieterbenutzer, der kein Metastore-Administrator ist, Empfängerdetails, den Status der Empfängerauthentifizierung und die Liste der Freigaben anzeigen, die der Anbieter für den Empfänger freigegeben hat.
Im Databricks Marketplace können Anbieterbenutzer Auflistungen und Consumeranforderungen in der Anbieterkonsole anzeigen.
VERWENDEN DER FREIGABE
Anwendbare Objekttypen: Unity Catalog-Metastore
Gewährt in Delta Sharing einem Anbieterbenutzer schreibgeschützten Zugriff auf alle Freigaben, die in einem Anbieter-Metastore definiert sind. Dadurch kann ein Anbieterbenutzer, der kein Metastore-Administrator ist, Freigaben auflisten und die Ressourcen (Tabellen und Notebooks) in einer Freigabe zusammen mit den Empfängern der Freigabe auflisten.
Im Databricks Marketplace können Anbieterbenutzer so Details zu den in einem Eintrag freigegebenen Daten anzeigen.