Privilegi di amministratore nel Catalogo Unity

Questo articolo descrive i privilegi degli amministratori degli account, dell'area di lavoro e dei metastore di Azure Databricks nella gestione del Catalogo Unity.

Amministratori metastore

L’amministratore del metastore è un utente o un gruppo facoltativo ma altamente privilegiato nel Catalogo Unity. Per impostazione predefinita, gli amministratori del metastore hanno i privilegi seguenti per il metastore:

• CREATE CATALOG: Consente a un utente di create cataloghi nel metastore.

• CREATE CLEAN ROOM: consente a un utente di creare una stanza pulita per collaborare in modo sicuro ai progetti con altre organizzazioni senza condividere i dati sottostanti.

• CREATE CONNECTION: Consente a un utente di creare una connessione a un database esterno in uno scenario Lakehouse Federation.

• CREATE EXTERNAL LOCATION: consente a un utente di creare una posizione esterna.

• CREATE SERVICE CREDENTIAL: consente a un utente di creare le credenziali del servizio.

• CREATE STORAGE CREDENTIAL: consente a un utente di creare credenziali per l’archiviazione.

• CREATE FOREIGN CATALOG: Consente all'utente di creare cataloghi esterni utilizzando una connessione a un database esterno in uno scenario di federazione Lakehouse.

• CREATE SHARE: consente a un utente provider di dati di creare una condivisione nella condivisione Delta.

• CREATE RECIPIENT: consente a un utente provider di dati di creare un destinatario nella condivisione Delta.

• CREATE PROVIDER: consente a un utente destinatario di dati di creare un provider nella condivisione Delta.

• CREATE MATERIALIZED VIEW: Consente all'utente di creare viste materializzate.

• MANAGE ALLOWLIST: consente a un utente di aggiornare gli elenchi consentiti che gestiscono l'accesso del cluster a script e librerie init.

Gli amministratori metastore sono anche i proprietari del metastore, che concede loro i privilegi seguenti:

• Gestire i privilegi o trasferire la proprietà di qualsiasi oggetto all'interno del metastore, incluse le credenziali di archiviazione, le posizioni esterne, le connessioni, le condivisioni, i destinatari e i provider.

• Concedere a sé stessi l'accesso in lettura e scrittura a tutti i dati nel metastore.

  Gli amministratori metastore hanno questa capacità indirettamente, grazie alla possibilità di trasferire la proprietà di tutti gli oggetti. Per impostazione predefinita, non è disponibile alcun accesso diretto. La concessione di autorizzazioni viene registrata dal controllo.

• Leggere e aggiornare i metadati di tutti gli oggetti nel metastore.

• Eliminare il metastore.

Gli amministratori metastore sono gli unici utenti che possono concedere privilegi al metastore stesso.

Poiché gli amministratori del metastore sono gli unici utenti che dispongono di questi privilegi, è necessario assegnare un amministratore del metastore se si vuole usare una delle funzionalità seguenti:

• Modificare la proprietà dei cataloghi dopo che un utente lascia l'azienda.
• Gestire e delegare le autorizzazioni sull'elenco di elementi consentiti di file jar e script init.
• Delegare la possibilità di creare cataloghi e altre autorizzazioni di primo livello ad amministratori non dell'area di lavoro.
• Ricevere dati condivisi tramite la condivisione delta.
• Rimuovere le autorizzazioni predefinite dell'amministratore dell'area di lavoro.
• Aggiungere l'archiviazione gestita al metastore, se non è presente. Vedere Aggiungere l'archiviazione gestita a un metastore esistente.

Chi inizialmente ha privilegi di amministratore del metastore?

Se un amministratore dell'account crea manualmente il metastore, tale amministratore dell'account è il proprietario iniziale e l'amministratore del metastore. Tutti i metastore creati prima del 9 novembre 2023 sono stati creati manualmente da un amministratore dell'account.

Se è stato effettuato il provisioning del metastore come parte dell'abilitazione automatica del Catalogo Unity, il metastore è stato creato senza un amministratore. Gli amministratori dell'area di lavoro in questo caso vengono concessi automaticamente privilegi che rendono facoltativo l'amministratore del metastore. Se necessario, gli amministratori dell'account possono assegnare il ruolo di amministratore del metastore a un utente, un'entità servizio o un gruppo. I gruppi sono la scelta più consigliata. Consultare Abilitazione automatica di Unity Catalog.

Assegnare un amministratore del metastore

Quello di amministratore del metastore è un ruolo privilegiato che deve essere distribuito con cautela. Questo passaggio è facoltativo.

Gli amministratori dell'account possono assegnare il ruolo di amministratore del metastore. Databricks consiglia di nominare un gruppo come amministratore del metastore. In questo modo, qualsiasi membro del gruppo è automaticamente un amministratore del metastore.

Per assegnare il ruolo di amministratore del metastore a un gruppo:

1. Come amministratore dell'account, accedere alla console dell'account.
2. Fare clic su Catalogo.
3. Fare clic sul nome di un metastore per aprire le relative proprietà.
4. In Amministratore Metastore, fare clic su Modifica.
5. Selezionare un gruppo dall'elenco a discesa. È possibile immettere testo nel campo per cercare le opzioni.
6. Fare clic su Salva.

Amministratori degli account

Quello di amministratore dell’account è un ruolo privilegiato che deve essere distribuito con cautela. Gli amministratori dell’account dispongono dei privilegi seguenti:

• Può creare metastore e per impostazione predefinita diventa l'amministratore del metastore iniziale.
• Può collegare metastore alle aree di lavoro.
• Può assegnare il ruolo di amministratore del metastore.
• Può concedere privilegi ai metastore.
• Può abilitare la condivisione differenziale per un metastore.
• Può configurare le credenziali di archiviazione.
• Può abilitare le tabelle di sistema e delegare l'accesso a tali tabelle.

Per stabilire il primo amministratore dell'account di Azure Databricks, consultare Stabilire il primo amministratore dell'account.

Amministratori dell'area di lavoro

Quello di amministratore dell’area di lavoro è un ruolo altamente privilegiato che deve essere distribuito con cautela. Gli amministratori dell'area di lavoro dispongono dei privilegi seguenti:

• Possono aggiungere utenti, entità servizio e gruppi a un'area di lavoro.
• Possono delegare altri amministratori dell'area di lavoro.
• Possono gestire la proprietà del processo. Consultare Controllare l'accesso ai processi.
• Possono gestire l'impostazione Esegui come. Vedere Configurare l'identità per le esecuzioni dei processi.
• Possono visualizzare e gestire notebook, dashboard, query e altri oggetti dell'area di lavoro. Consultare Elenchi di controllo di accesso.

Gli amministratori dell'account possono limitare i privilegi di amministratore dell'area di lavoro usando l'impostazione RestrictWorkspaceAdmins. Vedere Limitare gli amministratori dell'area di lavoro.

Privilegi di amministratore dell'area di lavoro quando le aree di lavoro sono abilitate automaticamente per il Catalogo Unity

Se l'area di lavoro è stata abilitata automaticamente per il Catalogo Unity, l'area di lavoro è collegata a un metastore per impostazione predefinita. Per altre informazioni, consultare Abilitazione automatica del Catalogo Unity.

Se l'area di lavoro è stata abilitata automaticamente per il Catalogo Unity, gli amministratori dell'area di lavoro hanno i seguenti privilegi sul metastore collegato per impostazione predefinita:

• CREATE CATALOG

• CREATE CLEAN ROOM

• CREATE EXTERNAL LOCATION

• CREATE SERVICE CREDENTIAL

• CREATE STORAGE CREDENTIAL

• CREATE CONNECTION

• CREATE SHARE

• CREATE RECIPIENT

• CREATE PROVIDER

• CREATE MATERIALIZED VIEW

Gli amministratori dell'area di lavoro sono i proprietari per impostazione predefinita del catalogo dell’area di lavoro, se è stato effettuato il provisioning di un catalogo di aree di lavoro per l'area di lavoro. La proprietà di questo catalogo concede i privilegi seguenti:

• Gestire i privilegi per o trasferire la proprietà di qualsiasi oggetto all'interno del catalogo dell'area di lavoro.

  Ciò include la possibilità di concedere a se stessi l'accesso in lettura e scrittura a tutti i dati del catalogo (nessun accesso diretto per impostazione predefinita; la concessione delle autorizzazioni viene registrata dal controllo).

• Trasferire la proprietà del catalogo dell'area di lavoro stesso.

Tutti gli utenti dell'area di lavoro ricevono il privilegio USE CATALOG sul catalogo dell'area di lavoro. Gli utenti dell'area di lavoro ricevono anche i privilegi USE SCHEMA, CREATE TABLE, CREATE VOLUME, CREATE MODEL, CREATE FUNCTION e CREATE MATERIALIZED VIEW sullo schema default nel catalogo.