Unity Catalog의 관리자 권한
이 문서에서는 Azure Databricks 계정 관리자, 작업 영역 관리자 및 메타스토어 관리자가 Unity Catalog를 관리하기 위해 갖는 권한을 설명합니다.
참고 항목
Unity Catalog에 자동으로 작업 영역이 사용하도록 설정된 경우 작업 영역 관리자는 작업 영역 카탈로그가 프로비저닝되면 기본적으로 연결된 메타스토어 및 작업 영역 카탈로그에 대해 다음과 같은 권한을 갖습니다. Unity Catalog에 대해 작업 영역이 자동으로 사용하도록 설정된 경우 작업 영역 관리자 권한을 참조하세요
메타스토어 관리자
메타스토어 관리자는 Unity Catalog에서 선택 사항이지만 높은 권한이 있는 사용자 또는 그룹입니다. 메타스토어 관리자는 기본적으로 메타스토어에 대해 다음과 같은 권한을 갖습니다.
CREATE CATALOG
: 사용자가 메타스토어에서 카탈로그를 생성할 수 있습니다.CREATE CLEAN ROOM
: 사용자가 기본 데이터를 공유하지 않고도 다른 조직과 프로젝트를 안전하게 공동 작업할 수 있는 클린룸을 만들 수 있습니다.CREATE CONNECTION
: 사용자가 레이크하우스 페더레이션 시나리오에서 외부 데이터베이스에 대한 연결을 생성할 수 있습니다.CREATE EXTERNAL LOCATION
: 사용자가 외부 위치를 생성할 수 있습니다.CREATE SERVICE CREDENTIAL
: 사용자가 서비스 자격 증명을 만들 수 있습니다.CREATE STORAGE CREDENTIAL
: 사용자가 스토리지 자격 증명을 생성할 수 있습니다.CREATE FOREIGN CATALOG
: 사용자가 레이크하우스 페더레이션 시나리오에서 외부 데이터베이스에 대한 연결을 사용하여 외래 카탈로그를 생성할 수 있습니다.CREATE SHARE
: 데이터 공급자 사용자가 델타 공유에서 공유를 만들 수 있습니다.CREATE RECIPIENT
: 데이터 공급자 사용자가 델타 공유에서 수신자를 만들 수 있습니다.CREATE PROVIDER
: 데이터 수신자 사용자가 델타 공유에서 공급자를 만들 수 있습니다.CREATE MATERIALIZED VIEW
: 사용자가 구체화된 뷰를 생성할 수 있습니다.MANAGE ALLOWLIST
: 사용자가 init 스크립트 및 라이브러리에 대한 클러스터 액세스를 관리하는 허용 목록을 업데이트할 수 있습니다.
메타스토어 관리자는 메타스토어의 소유자이기도 하므로 다음과 같은 권한을 부여합니다.
스토리지 자격 증명, 외부 위치, 연결, 공유, 수신자 및 공급자를 포함하여 메타스토어 내부 개체에 대한 권한을 관리하거나 소유권을 이전합니다.
메타스토어의 모든 데이터에 대한 읽기 및 쓰기 권한을 자신에게 부여합니다.
메타스토어 관리자는 모든 개체의 소유권을 이전하는 기능을 통해 간접적으로 이 기능을 갖습니다. 기본적으로 직접 액세스는 없습니다. 권한 부여는 감사로 기록됩니다.
메타스토어에 있는 개체의 메타데이터를 읽고 업데이트합니다.
메타스토어를 삭제합니다.
메타스토어 관리자는 메타스토어 자체에 대한 권한을 부여할 수 있는 유일한 사용자입니다.
메타스토어 관리자는 이러한 권한을 가진 유일한 사용자이므로 다음 기능 중 원하는 경우 메타스토어 관리자를 할당해야 합니다.
- 누군가가 회사를 떠난 후 카탈로그의 소유권 변경.
- init 스크립트 및 jar 허용 목록에 대한 권한 관리 및 위임.
- 비 작업 영역 관리자에게 카탈로그 및 기타 최상위 권한을 만드는 기능 위임.
- 델타 공유를 통해 공유 데이터 받기.
- 기본 작업 영역 관리자 권한 제거.
- 메타스토어에 관리 스토리지 추가(없는 경우). 기존 메타스토어에 관리 스토리지 추가를 참조하세요.
초기 메타스토어 관리자 권한은 누구에게 있나요?
계정 관리자가 메타스토어를 수동으로 만드는 경우 해당 계정 관리자는 메타스토어의 초기 소유자 및 메타스토어 관리자입니다. 2023년 11월 9일 이전에 만든 모든 메타스토어는 계정 관리자가 수동으로 만들었습니다.
메타스토어가 자동 Unity Catalog 사용의 일부로 프로비전된 경우 메타스토어 관리자 없이 메타스토어가 만들어졌습니다. 이 경우 작업 영역 관리자는 메타스토어 관리자를 선택적으로 만드는 권한을 자동으로 부여합니다. 필요한 경우 계정 관리자는 메타스토어 관리자 역할을 사용자, 서비스 주체 또는 그룹에 할당할 수 있습니다. 그룹은 강력하게 권장됩니다. Unity 카탈로그 자동 사용을 참조하세요.
메타스토어 관리자 할당
메타스토어 관리자는 신중하게 배포해야 하는 높은 권한 있는 역할입니다. 이는 선택 사항입니다.
계정 관리자는 메타스토어 관리자 역할을 할당할 수 있습니다. Databricks는 그룹을 메타스토어 관리자로 지명하는 것이 좋습니다. 이렇게 하면 그룹의 모든 구성원이 자동으로 메타스토어 관리자가 됩니다.
메타스토어 관리자 역할을 그룹에 할당하려면 다음을 수행합니다.
- 계정 관리자 권한으로 계정 콘솔에 로그인합니다.
- 카탈로그를 클릭합니다.
- 메타스토어의 이름을 클릭하여 속성을 엽니다.
- 메타스토어 관리자에서 편집을 클릭합니다.
- 드롭다운에서 그룹을 선택합니다. 필드에 텍스트를 입력하여 옵션을 검색할 수 있습니다.
- 저장을 클릭합니다.
Important
메타스토어 관리자 할당 변경 내용이 계정에 반영되는 데 최대 30초가 걸릴 수 있으며 일부 작업 영역에서 다른 작업 영역보다 적용하는 데 시간이 더 오래 걸릴 수 있습니다. 이러한 지연은 캐싱 프로토콜 때문입니다.
계정 관리자
계정 관리자는 신중하게 배포해야 하는 높은 권한 있는 역할입니다. 계정 관리자는 다음과 같은 권한을 갖고 있습니다.
- 메타스토어를 만들 수 있으며, 기본적으로 초기 메타스토어 관리자가 됩니다.
- 메타스토어를 작업 영역에 연결할 수 있습니다.
- 메타스토어 관리자 역할을 할당할 수 있습니다.
- 메타스토어에 대한 권한을 부여할 수 있습니다.
- 메타스토어에 Delta Sharing을 사용하도록 설정할 수 있습니다.
- 스토리지 자격 증명을 구성할 수 있습니다.
- 시스템 테이블을 사용하도록 설정하고 액세스 권한을 위임할 수 있습니다.
첫 번째 Azure Databricks 계정 관리자를 설정하려면 첫 번째 계정 관리자 설정을 참조하세요.
작업 영역 관리자
작업 영역 관리자는 신중하게 배포해야 하는 높은 권한 있는 역할입니다. 작업 영역 관리자는 다음과 같은 권한이 있습니다.
- 작업 영역에 사용자, 서비스 주체 및 그룹을 추가할 수 있습니다.
- 다른 작업 영역 관리자를 위임할 수 있습니다.
- 작업 소유권을 관리할 수 있습니다. 작업에 대한 액세스 제어를 참조하세요.
- 작업 다음으로 실행 설정을 관리할 수 있습니다. 작업 실행에 대한 ID 구성을 참조하세요.
- Notebook, 대시보드, 쿼리 및 기타 작업 영역 개체를 보고 관리할 수 있습니다. 액세스 제어 목록을 참조하세요.
계정 관리자는 RestrictWorkspaceAdmins
설정을 사용하여 작업 영역 관리자 권한을 제한할 수 있습니다. 작업 영역 관리자 제한을 참조하세요.
Unity Catalog에 대해 작업 영역이 자동으로 사용하도록 설정된 경우 작업 영역 관리자 권한
Unity Catalog에 대해 작업 영역이 자동으로 사용하도록 설정된 경우 작업 영역은 기본적으로 메타스토어에 연결됩니다. 자세한 내용은 Unity Catalog 자동 사용을 참조하세요.
Unity 카탈로그에 자동으로 작업 영역이 사용하도록 설정된 경우 작업 영역 관리자는 기본적으로 연결된 메타스토어에 대해 다음과 같은 권한을 갖습니다.
CREATE CATALOG
CREATE CLEAN ROOM
CREATE EXTERNAL LOCATION
CREATE SERVICE CREDENTIAL
CREATE STORAGE CREDENTIAL
CREATE CONNECTION
CREATE SHARE
CREATE RECIPIENT
CREATE PROVIDER
CREATE MATERIALIZED VIEW
작업 영역 카탈로그가 작업 영역에 대해 프로비전된 경우 작업 영역 관리자는 작업 영역 카탈로그의 기본 소유자입니다. 이 카탈로그의 소유권은 다음 권한을 부여합니다.
작업 영역 카탈로그 내의 모든 개체에 대한 권한을 관리하거나 소유권을 이전합니다.
여기에는 카탈로그의 모든 데이터에 대한 읽기 및 쓰기 액세스 권한을 자신에게 부여하는 기능이 포함됩니다(기본적으로 직접 액세스 권한이 없으며, 권한 부여는 감사 기록됨)
작업 영역 카탈로그 자체의 소유권을 이전합니다.
모든 작업 영역 사용자는 작업 영역 카탈로그에 대한 USE CATALOG
권한을 받습니다. 작업 영역 사용자는 카탈로그의 default
스키마에 대한 USE SCHEMA
, CREATE TABLE
, CREATE VOLUME
, CREATE MODEL
, CREATE FUNCTION
및 CREATE MATERIALIZED VIEW
권한도 받습니다.
참고 항목
연결된 메타스토어 및 작업 영역 카탈로그에 부여된 기본 권한은 작업 영역 간에 유지 관리되지 않습니다(예를 들어 작업 영역 카탈로그도 다른 작업 영역에 바인딩된 경우).