Uprawnienia Catalog w Unity i obiekty, które można zabezpieczyć
W tym artykule opisano Catalog zabezpieczalne obiekty Unity oraz uprawnienia, które się do nich odnoszą. Aby dowiedzieć się, jak grant uprawnień w Unity Catalog, zapoznaj się z , grantoraz revoke uprawnień.
Uwaga
W tym artykule omówiony jest model uprawnień i dziedziczenia Unity Catalog w wersji 1.0 modelu uprawnień. Jeśli utworzono magazyn metadanych Unity Catalog w publicznej wersji zapoznawczej (przed 25 sierpnia 2022 r.), być może korzystasz z wcześniejszego modelu uprawnień, który nie obsługuje bieżącego modelu dziedziczenia. Możesz uaktualnić do Modelu Przywilejów w wersji 1.0 w celu get dziedziczenia uprawnień. Zobacz Uaktualnianie do dziedziczenia uprawnień.
zabezpieczane obiekty w środowisku Unity Catalog
Zabezpieczany obiekt jest obiektem zdefiniowanym w metamagazynie Unity Catalog, na którym można udzielić uprawnień podmiotowi (użytkownikowi, głównej usłudze lub grupie). Zabezpieczalne obiekty w Unity Catalog są hierarchiczne.
Zabezpieczane obiekty to:
MAGAZYN METADANYCH: kontener najwyższego poziomu dla metadanych. Każdy metastore Unity Catalog uwidacznia trzystopniową przestrzeń nazw (
catalog.schema.table), która organizuje dane.Podczas zarządzania uprawnieniami w magazynie metadanych nie należy dołączać nazwy magazynu metadanych do polecenia SQL. Unity Catalog udziela lub odwołuje uprawnienia w metastore dołączonym do obszaru roboczego. Na przykład następujące polecenie przyznaje grupie o nazwie inżynieria możliwość utworzenia catalog w magazynie metadanych dołączonym do obszaru roboczego.
GRANT CREATE CATALOG ON METASTORE TO engineeringCATALOG: pierwsza warstwa hierarchii obiektów używana do organizowania zasobów danych. obcy catalog jest specjalnym typem catalog, który odzwierciedla bazę danych w zewnętrznym systemie danych w scenariuszu federacji lakehouse.
SCHEMA: znane również jako bazy danych, schematy są drugą warstwą hierarchii obiektów i zawierają tables i views.
TABLE: najniższy poziom w hierarchii obiektów, tables może być przechowywane zewnętrznie (w wybranych lokacjach w Twojej chmurze) lub zarządzanetables (przechowywane w kontenerze magazynu w chmurze, który tworzysz specjalnie dla Azure Databricks).
VIEW: obiekt tylko do odczytu utworzony na podstawie zapytania dotyczącego co najmniej jednego tables, który jest zawarty w schema.
MATERIALIZED VIEW: obiekt utworzony na podstawie zapytania na jednym lub więcej tables, występujący w schema. Wyniki odzwierciedlają stan danych podczas ostatniego odświeżenia.
wolumin: najniższy poziom w hierarchii obiektów, volumes można zewnętrzne (przechowywane w wybranych lokalizacjach zewnętrznych w wybranej przez ciebie chmurze) lub zarządzane (przechowywane w kontenerze magazynu w chmurze utworzonym specjalnie dla usługi Azure Databricks).
FUNCTION: To funkcja zdefiniowana przez użytkownika lub model MLflow zarejestrowany, który znajduje się w schema.
Model: Zarejestrowany model MLflow jest określonym typem funkcji. Modele są wyświetlane oddzielnie od innych funkcji w eksploratorze Catalog, ale w przypadku grant uprawnień do modelu przy użyciu języka SQL należy użyć
GRANT ON FUNCTION.LOKALIZACJA ZEWNĘTRZNA: obiekt, który zawiera odniesienie do poświadczenia magazynu i ścieżkę do magazynu w chmurze, znajdującą się w metamagazynie Unity Catalog.
POŚWIADCZENIA USŁUGI: obiekt, który hermetyzuje długoterminowe poświadczenia chmury, które zapewnia dostęp do usługi zewnętrznej. Zawarte w magazynie metadanych Unity Catalog.
POŚWIADCZENIA MAGAZYNU: obiekt, który hermetyzuje długoterminowe poświadczenie w chmurze, które zapewnia dostęp do magazynu w chmurze zawartego w magazynie metadanych Catalog Unity.
CONNECTION: obiekt określający ścieżkę i credentials na potrzeby uzyskiwania dostępu do zewnętrznego systemu bazy danych w scenariuszu federacyjnym usługi Lakehouse.
Share: Logiczne grupowanie dla tables, które zamierzasz udostępnić przy użyciu Delta Sharing. Udział znajduje się w repozytorium metadanych Unity Catalog.
ODBIORCA: obiekt identyfikujący organizację lub grupę użytkowników, którzy mogą udostępniać im dane przy użyciu funkcji udostępniania różnicowego. Te obiekty znajdują się w magazynie metadanych Unity Catalog.
DOSTAWCA: obiekt reprezentujący organizację, która udostępniła dane do udostępniania przy użyciu funkcji udostępniania różnicowego. Te obiekty znajdują się w magazynie metadanych Catalog Unity.
czyste pomieszczenie: obiekt reprezentujący bezpieczne i chroniące prywatność środowisko zarządzane przez Databricks, where wiele stron może współpracować bez bezpośredniego dostępu do danych siebie nawzajem.
Typy uprawnień dla obiektów możliwych do zabezpieczenia w Unity Catalog
W poniższej table wymieniono typy uprawnień, które mają zastosowanie do każdego zabezpieczanego obiektu w środowisku Unity Catalog. Aby dowiedzieć się, jak grant korzystać z uprawnień w programie Unity Catalog, zobacz Show, grantoraz revoke używanie uprawnień.
| Zabezpieczany | Uprawnienia |
|---|---|
| Magazyn metadanych |
CREATE CATALOG, CREATE CLEAN ROOM, CREATE CONNECTIONCREATE EXTERNAL LOCATIONCREATE PROVIDERCREATE RECIPIENTCREATE SHARECREATE SERVICE CREDENTIALCREATE STORAGE CREDENTIALSET SHARE PERMISSIONUSE MARKETPLACE ASSETSUSE PROVIDERUSE RECIPIENTUSE SHARE |
| Catalog |
ALL PRIVILEGES, , APPLY TAG, BROWSE, , CREATE SCHEMAUSE CATALOGWszyscy użytkownicy domyślnie mają USE CATALOG na maincatalog.Następujące typy uprawnień mają zastosowanie do zabezpieczanych obiektów w catalog. Na poziomie catalog można grant te uprawnienia, aby zastosować je do bieżących i przyszłych obiektów w catalog. CREATE FUNCTION, CREATE TABLE, CREATE MATERIALIZED VIEW, CREATE MODEL, CREATE VOLUME, EXTERNAL USE SCHEMA, READ VOLUME, REFRESH, WRITE VOLUME, EXECUTE, MANAGE, MODIFY, SELECT, USE SCHEMA |
| Schema |
ALL PRIVILEGES, APPLY TAG, CREATE FUNCTION, CREATE TABLE, CREATE MODEL, CREATE VOLUME, CREATE MATERIALIZED VIEW, MANAGE, EXTERNAL USE SCHEMA, USE SCHEMANastępujące typy uprawnień mają zastosowanie do zabezpieczanych obiektów w schema. Te uprawnienia można grant na poziomie schema, aby zastosować je do bieżących i przyszłych obiektów w schema. EXECUTE, , MODIFY, READ VOLUME, REFRESH, , SELECTWRITE VOLUME |
| Table |
ALL PRIVILEGES, , APPLY TAG, MANAGE, , MODIFYSELECT |
| Zmaterializowany widok |
ALL PRIVILEGES, , APPLY TAG, MANAGE, , REFRESHSELECT |
| Widok |
ALL PRIVILEGES, , APPLY TAG, , MANAGESELECT |
| Objętość |
ALL PRIVILEGES, , MANAGE, , READ VOLUMEWRITE VOLUME |
| Lokalizacja zewnętrzna |
ALL PRIVILEGES, BROWSE, , CREATE EXTERNAL TABLE, CREATE EXTERNAL VOLUMECREATE FOREIGN SECURABLE, MANAGE, , READ FILESWRITE FILESCREATE MANAGED STORAGE |
| Poświadczenia usługi |
ALL PRIVILEGES, ACCESS, CREATE CONNECTION, MANAGE. |
| Poświadczenia magazynu |
ALL PRIVILEGES, , CREATE EXTERNAL LOCATION, CREATE EXTERNAL TABLE, MANAGE, , READ FILESWRITE FILES |
| Connection |
ALL PRIVILEGES, , CREATE FOREIGN CATALOG, , MANAGEUSE CONNECTION |
| Function |
ALL PRIVILEGES, APPLY TAG (tylko modele), EXECUTE, MANAGE |
| Model | Zarejestrowane modele są typem funkcji. |
| Udostępnij |
SELECT (Można udzielić użytkownikowi RECIPIENT) |
| Adresat | Brak |
| Dostawca | Brak |
| Czysta sala |
ALL PRIVILEGES, , BROWSE, EXECUTE CLEAN ROOM TASK, , MANAGEMODIFY CLEAN ROOM |
Ogólne typy uprawnień Unity Catalog
Ta sekcja zawiera szczegółowe informacje o typach uprawnień, które mają zastosowanie ogólnie do środowiska Unity Catalog. Aby dowiedzieć się, jak korzystać z grant uprawnień w programie Unity Catalog, należy zobaczyć Show, granti revoke dotyczące uprawnień.
WSZYSTKIE UPRAWNIENIA
Odpowiednie typy obiektów: CATALOG, , EXTERNAL LOCATIONSTORAGE CREDENTIAL, SCHEMA, FUNCTION (w tym modele) TABLE, , MATERIALIZED VIEWVIEW,VOLUME
Służy do grant lub revoke wszystkich uprawnień mających zastosowanie do zabezpieczanego obiektu i jego obiektów podrzędnych bez jawnego określenia ich.
Po udzieleniu ALL PRIVILEGES dla obiektu nie jest on indywidualnie grant użytkownika z każdym odpowiednim uprawnieniem w momencie grant. Zamiast tego rozwija się do wszystkich dostępnych uprawnień podczas sprawdzania uprawnień. Oznacza to, że gdy usługa Databricks zwalnia nowe uprawnienia i nowe zabezpieczane obiekty, istniejąca ALL PRIVILEGESgrant automatycznie zawiera wszelkie nowe uprawnienia dotyczące zabezpieczanego obiektu, istniejących obiektów podrzędnych i wszelkich nowych obiektów podrzędnych.
Po ALL PRIVILEGES odwołaniu uprawnienie zostanie odwołane, ALL PRIVILEGES a wszelkie jawne uprawnienia przyznane użytkownikowi w obiekcie również zostaną odwołane.
Aby uniknąć przypadkowej eksfiltracji danych lub eskalacji uprawnień, ALL PRIVILEGES nie obejmuje uprawnień EXTERNAL USE SCHEMA ani uprawnień MANAGE.
Uwaga
To uprawnienie jest zaawansowane w przypadku zastosowania na wyższych poziomach w hierarchii. Na przykład GRANT WSZYSTKIE UPRAWNIENIA NA CATALOG głównym TO analysts przyznaje zespołowi analitykowi wszystkie istniejące i przyszłe uprawnienia do każdego istniejącego i przyszłego zabezpieczanego obiektu w catalog.
DOSTĘP
Odpowiednie typy obiektów: SERVICE CREDENTIAL
Umożliwia użytkownikowi używanie poświadczeń usługi w celu uzyskania dostępu do zewnętrznej usługi lub usług.
ZASTOSUJ TAG
Odpowiednie typy obiektów: CATALOG, , SCHEMATABLEVOLUMEMATERIALIZED VIEW, VIEW, modele, które są zarejestrowane jakoFUNCTION
Umożliwia użytkownikowi dodawanie i edytowanie tagów w obiekcie. Udzielanie dostępu do APPLY TAG lub table albo widoku umożliwia również tagowanie column. Przyznanie APPLY TAG zarejestrowanemu modelowi umożliwia również tagowanie wersji modelu.
Użytkownik musi również mieć uprawnienia USE CATALOG na nadrzędnym catalog oraz USE SCHEMA na nadrzędnym schema.
PRZEGLĄDAJ
Odpowiednie typy obiektów: CATALOG, , EXTERNAL LOCATIONCLEAN ROOM
Ważne
Ta funkcja jest dostępna w publicznej wersji zapoznawczej.
Umożliwia użytkownikowi wyświetlanie metadanych obiektu przy użyciu eksploratora Catalog, przeglądarki schema, wyników wyszukiwania, grafu pochodzenia, information_schemai interfejsu API REST.
Użytkownik nie wymaga uprawnień USE CATALOG na elemencie nadrzędnym catalog lub USE SCHEMA na elemencie nadrzędnym schema.
Wszyscy użytkownicy mają domyślnie przyznane uprawnienia BROWSE dla nowych catalogs utworzonych za pomocą Eksploratora Catalog. Jeśli wolisz, możesz revoke uprawnienia.
Catalogs utworzone przy użyciu instrukcji SQL, interfejsu API REST lub interfejsu wiersza polecenia usługi Databricks nie grant domyślnie uprawnień BROWSE. Musisz grant to jawnie.
CREATE CATALOG
Odpowiednie typy obiektów: Unity Catalog metasklep
Umożliwia użytkownikowi utworzenie catalog w repozytorium metadanych Catalog Unity. Aby utworzyć zagraniczny catalog, musisz również mieć uprawnienie CREATE FOREIGN CATALOG w połączeniu, które zawiera zagraniczny catalog lub w magazynie metadanych.
TWORZENIE CZYSTEGO POKOJU
Odpowiednie typy obiektów: Unity Catalog magazyn metastore
Umożliwia użytkownikowi utworzenie czystego miejsca do bezpiecznej współpracy nad projektami z innymi organizacjami bez udostępniania danych bazowych.
CREATE CONNECTION
Odpowiednie typy obiektów: metasklep Unity Catalog, SERVICE CREDENTIAL
Umożliwia użytkownikowi utworzenie połączenia z zewnętrzną bazą danych w scenariuszu federacji usługi Lakehouse. Aby użyć poświadczeń usługi do utworzenia połączenia, użytkownik musi mieć to uprawnienie zarówno w magazynie metadanych, jak i poświadczeniu usługi.
CREATE EXTERNAL LOCATION
Odpowiednie typy obiektów: magazyn metadanych Unity Catalog, STORAGE CREDENTIAL
Aby utworzyć lokalizację zewnętrzną, użytkownik musi mieć to uprawnienie zarówno w magazynie metadanych, jak i poświadczeniu magazynu, do którego odwołuje się lokalizacja zewnętrzna.
UTWÓRZ ZEWNĘTRZNY TABLE
Odpowiednie typy obiektów: EXTERNAL LOCATION, STORAGE CREDENTIAL
Umożliwia użytkownikowi tworzenie tables zewnętrznych bezpośrednio w dzierżawie chmury przy użyciu poświadczeń lokalizacji zewnętrznej lub magazynu. Usługa Databricks zaleca przyznanie tego uprawnienia w lokalizacji zewnętrznej zamiast na poziomie poświadczeń dostępu do zasobów magazynowych (ponieważ uprawnienia te są ograniczone do ścieżki, co pozwala na większą kontrolę nad tym, co where użytkownicy mogą tworzyć zewnętrzne tables w twojej dzierżawie chmurowej).
TWORZENIE WOLUMINU ZEWNĘTRZNEGO
Odpowiednie typy obiektów: EXTERNAL LOCATION
Umożliwia użytkownikowi tworzenie zewnętrznych volumes z wykorzystaniem lokalizacji zewnętrznej.
UTWÓRZ ZAGRANICZNY CATALOG
Odpowiednie typy obiektów: CONNECTION
Umożliwia użytkownikowi tworzenie obcych catalogs przy użyciu połączenia z zewnętrzną bazą danych w scenariuszu Lakehouse Federation.
TWORZENIE OBCEGO OBIEKTU ZABEZPIECZAJĄCEGO
Odpowiednie typy obiektów: EXTERNAL LOCATION
Umożliwia użytkownikowi, który tworzy obcy catalog, określenie autoryzowanych ścieżek , które są objęte lokalizacją zewnętrzną.
Użytkownik musi również mieć CREATE CATALOG w magazynie metadanych Unity Catalog i CREATE FOREIGN CATALOG przy połączeniu.
CREATE FUNCTION
Odpowiednie typy obiektów: SCHEMA
Umożliwia użytkownikowi utworzenie funkcji w schema. Ponieważ uprawnienia są dziedziczone, CREATE FUNCTION może być również przyznane na catalog, co pozwala użytkownikowi tworzyć funkcje w dowolnym istniejącym lub przyszłym schema w catalog.
Użytkownik musi również mieć uprawnienia USE CATALOG na nadrzędnej catalog i USE SCHEMA na nadrzędnym schema.
TWORZENIE MODELU
Odpowiednie typy obiektów: SCHEMA
Umożliwia użytkownikowi utworzenie zarejestrowanego modelu MLflow (który jest typem funkcji) w schema. Ponieważ uprawnienia są dziedziczone, CREATE MODEL można również udzielić na catalog, co umożliwia użytkownikowi utworzenie zarejestrowanego modelu w dowolnym istniejącym lub przyszłym schema w catalog.
Użytkownik musi również mieć uprawnienia USE CATALOG do nadrzędnego catalog oraz USE SCHEMA do nadrzędnego schema.
TWORZENIE MAGAZYNU ZARZĄDZANEGO
Odpowiednie typy obiektów: EXTERNAL LOCATION
Umożliwia użytkownikowi określenie lokalizacji przechowywania zarządzanych tables na poziomie catalog lub schema, zastępując domyślną główną lokalizację magazynowania dla metastore.
CREATE SCHEMA
Odpowiednie typy obiektów: CATALOG
Umożliwia użytkownikowi utworzenie schema. Użytkownik musi również mieć uprawnienia USE CATALOG w catalog.
TWORZENIE POŚWIADCZEŃ USŁUGI
Odpowiednie typy obiektów: Unity Catalog metastore
Pozwala użytkownikowi stworzyć poświadczenie dostępu w repozytorium metadanych Unity Catalog.
TWORZENIE POŚWIADCZEŃ MAGAZYNU
Odpowiednie typy obiektów: Unity Catalog magazyn metadanych
Umożliwia użytkownikowi utworzenie poświadczenia magazynowego w metastore Unity Catalog.
CREATE TABLE
Odpowiednie typy obiektów: SCHEMA
Umożliwia użytkownikowi utworzenie table lub widoku w schema. Ponieważ uprawnienia są dziedziczone, CREATE TABLE można również przyznać w catalog, co umożliwia użytkownikowi utworzenie table lub wyświetlenie w dowolnym istniejącym lub przyszłym schema w catalog.
Użytkownik musi również mieć uprawnienie USE CATALOG na swoim nadrzędnym catalog oraz uprawnienie USE SCHEMA na swoim nadrzędnym schema.
CREATE MATERIALIZED VIEW
Odpowiednie typy obiektów: SCHEMA
Umożliwia użytkownikowi utworzenie zmaterializowanego widoku w schema. Ponieważ uprawnienia są dziedziczone, CREATE MATERIALIZED VIEW można również przyznać w catalog, co umożliwia użytkownikowi utworzenie table lub wyświetlenie w dowolnym istniejącym lub przyszłym schema w catalog.
Użytkownik musi również mieć uprawnienie USE CATALOG w swoim nadrzędnym catalog oraz uprawnienie USE SCHEMA w swoim nadrzędnym schema.
CREATE VOLUME
Odpowiednie typy obiektów: SCHEMA
Umożliwia użytkownikowi utworzenie woluminu w schema. Ponieważ uprawnienia są dziedziczone, CREATE VOLUME może być również nadane na catalog, co umożliwia utworzenie woluminu przez użytkownika w dowolnym istniejącym lub przyszłym schema w catalog.
Użytkownik musi również mieć uprawnienia USE CATALOG przy nadrzędnym woluminie catalog oraz uprawnienia USE SCHEMA przy jego nadrzędnym schema.
WYKONAJ
Odpowiednie typy obiektów: FUNCTION, Model
Umożliwia użytkownikowi wywołanie funkcji zdefiniowanej przez użytkownika lub załadowanie modelu do wnioskowania, jeśli użytkownik posiada także USE CATALOG na swoim nadrzędnym catalog oraz USE SCHEMA na jego nadrzędnym schema. W przypadku funkcji EXECUTE można wyświetlać definicję funkcji i metadane. W przypadku zarejestrowanych modeli EXECUTE przyznaje możliwość wyświetlania metadanych dla wszystkich wersji zarejestrowanego modelu oraz pobierania plików modelu.
Ponieważ uprawnienia są dziedziczone, możesz grant użytkownikowi przyznać uprawnienia EXECUTE w catalog lub schema, co automatycznie nadaje użytkownikowi uprawnienia EXECUTE do wszystkich bieżących i przyszłych funkcji w catalog lub schema.
WYKONYWANIE ZADANIA CLEAN ROOM
Odpowiednie typy obiektów: CLEAN ROOM
Umożliwia użytkownikowi uruchamianie zadań (notesów) w czystym pomieszczeniu. Umożliwia również użytkownikowi wyświetlanie szczegółów pomieszczeń czystych.
Zewnętrzne USE SCHEMA
Odpowiednie typy obiektów: SCHEMA
Umożliwia nadanie użytkownikowi tymczasowego poświadczenia dostępu do Unity Catalogtables z zewnętrznego silnika przetwarzania, korzystając z otwartych interfejsów API Unity Catalog lub Iceberg REST API.
Tylko właściciel catalog może grant tego uprawnienia.
Aby uniknąć przypadkowej eksfiltracji danych, ALL PRIVILEGES nie obejmuje uprawnień EXTERNAL USE SCHEMA, a właściciele schema nie mają tego uprawnienia domyślnie.
Zobacz Włączanie dostępu do danych zewnętrznych do środowiska Unity Catalog.
zarządzać
Odpowiednie typy obiektów: CATALOG, EXTERNAL LOCATION, SERVICE CREDENTIAL, STORAGE CREDENTIAL, SCHEMA, FUNCTION (w tym modele), CONNECTION, TABLE, MATERIALIZED VIEW, VIEW,VOLUME, CLEAN ROOM
Ważne
Ta funkcja jest dostępna w publicznej wersji zapoznawczej.
Umożliwia użytkownikowi wyświetlanie uprawnień, przenoszenie własności, usuwanie i zmienianie nazwy obiektu oraz zarządzanie nimi.
MANAGE jest podobna do własności obiektu, ale użytkownicy z uprawnieniami MANAGE nie otrzymują automatycznie wszystkich uprawnień do tego obiektu (jednak mogą grant sobie uprawnienia).
Użytkownik musi również mieć uprawnienia USE CATALOG na nadrzędnym obiektu catalog oraz uprawnienia USE SCHEMA na jego nadrzędnym schema.
ALL PRIVILEGES nie obejmuje uprawnień MANAGE
ZARZĄDZANIE LISTĄ DOZWOLONYCH
Odpowiednie typy obiektów: Unity Catalog magazyn metadanych
Umożliwia użytkownikowi dodawanie lub modyfikowanie ścieżek dla skryptów inicjalizacyjnych, plików JAR i współrzędnych Maven na liście dopuszczonych, która zarządza klastrami z włączonym Unity Catalogi trybem dostępu współdzielonego. Zobacz Allowlist libraries and init scripts on shared compute (Biblioteki dozwolonych i skrypty inicjowania w udostępnionych obliczeniach).
MODYFIKOWAĆ
Odpowiednie typy obiektów: TABLE
Umożliwia użytkownikowi dodawanie, updatei usuwanie danych z table, jeśli użytkownik ma również SELECT w table, a także USE CATALOG w nadrzędnym catalog oraz USE SCHEMA w nadrzędnym schema.
Ponieważ uprawnienia są dziedziczone, możesz grant użytkownika uprawnienia MODIFY na catalog lub schema, co automatycznie przyznaje użytkownikowi uprawnienia MODIFY dla wszystkich bieżących i przyszłych tables w catalog lub schema.
MODYFIKOWANIE CZYSTEGO POKOJU
Odpowiednie typy obiektów: CLEAN ROOM
Umożliwia użytkownikowi update czyste pomieszczenie, w tym dodawanie i usuwanie zasobów danych, dodawanie i usuwanie notesów oraz aktualizowanie komentarzy. Umożliwia również użytkownikowi wyświetlanie szczegółów pomieszczeń czystych.
ODCZYTYWANIE PLIKÓW
Odpowiednie typy obiektów: EXTERNAL LOCATION
Usługa Databrick zaleca zarządzanie dostępem do odczytu do danych w magazynie obiektów w chmurze przy użyciu volumes i uprawnień READ VOLUME.
READ FILES umożliwia użytkownikowi odczytywanie plików bezpośrednio z magazynu obiektów w chmurze skonfigurowanego jako lokalizacja zewnętrzna. Aby uzyskać więcej wskazówek, zobacz Zarządzanie lokalizacjami zewnętrznymi, zewnętrznymi tablesi zewnętrznymi volumes.
ODCZYT WOLUMINU
Odpowiednie typy obiektów: VOLUME
Umożliwia użytkownikowi odczytywanie plików i katalogów przechowywanych wewnątrz woluminu, jeśli użytkownik posiada również USE CATALOG na nadrzędnym catalog oraz USE SCHEMA na nadrzędnym schema.
Uprawnienia są dziedziczone. Gdy możesz grant użytkownikowi uprawnienia READ VOLUME w catalog lub schema, automatycznie grant użytkownika uprawnienia READ VOLUME dla wszystkich bieżących i przyszłych volumes w catalog lub schema.
REFRESH
Odpowiednie typy obiektów: MATERIALIZED VIEW
Umożliwia użytkownikowi refresh zmaterializowany widok, jeśli użytkownik ma również USE CATALOG na nadrzędnym catalog i USE SCHEMA na nadrzędnym schema.
Uprawnienia są dziedziczone. Gdy grant uprawnienia REFRESH w catalog lub schema dla użytkownika, użytkownik automatycznie grant uprawnienia REFRESH dla wszystkich bieżących i przyszłych zmaterializowanych views w catalog lub schema.
SELECT
Odpowiednie typy obiektów: TABLE, , VIEW, MATERIALIZED VIEWSHARE
W przypadku zastosowania do table lub widoku, umożliwia użytkownikowi select z table lub widoku, pod warunkiem że użytkownik ma również USE CATALOG w nadrzędnym catalog oraz USE SCHEMA w nadrzędnym schema. W przypadku zastosowania do udziału pozwala odbiorcy na select z udziału.
Ponieważ uprawnienia są dziedziczone, możesz grant użytkownikowi uprawnienia SELECT na catalog lub schema, co automatycznie przyznaje mu uprawnienia SELECT na wszystkie obecne i przyszłe tablesoraz views w catalog lub schema.
USE CATALOG
Odpowiednie typy obiektów: CATALOG
To uprawnienie nie grant dostępu do samego catalog, ale jest wymagane, aby użytkownik wchodził w interakcję z dowolnym obiektem w catalog. Na przykład aby select dane z table, użytkownicy muszą mieć uprawnienia SELECT na tym table i USE CATALOG uprawnienia w catalog nadrzędnym, a także uprawnienia USE SCHEMA na schemanadrzędnym.
Jest to przydatne, aby właściciele catalog mogli limit, jak daleko poszczególni właściciele schema i table mogą udostępniać dane, które tworzą. Na przykład, właściciel table przyznający SELECT innemu użytkownikowi nie zezwala na dostęp do odczytu table, chyba że również przyznano im uprawnienia USE CATALOG w nadrzędnym catalog oraz USE SCHEMA w nadrzędnym schema.
Uprawnienia USE CATALOG na nadrzędnym catalog nie są wymagane do odczytywania metadanych obiektu, jeśli użytkownik ma uprawnienia BROWSE na tym catalog.
UŻYJ POŁĄCZENIA
Odpowiednie typy obiektów: CONNECTION
Umożliwia użytkownikowi list i wyświetlanie szczegółów connections do zewnętrznej bazy danych w scenariuszu federacji Lakehouse. Aby utworzyć zagraniczne catalogs dla połączenia, musisz mieć CREATE FOREIGN CATALOG na połączeniu lub być jego właścicielem.
USE SCHEMA
Odpowiednie typy obiektów: SCHEMA
To uprawnienie nie grant dostępu do samego schema, ale jest potrzebne, aby użytkownik mógł wchodzić w interakcję z dowolnym obiektem w schema. Na przykład, aby uzyskać select dane z table, użytkownicy muszą mieć uprawnienia SELECT dla tego table oraz USE SCHEMA dla jego nadrzędnego schema, a także USE CATALOG dla jego nadrzędnego catalog.
Ponieważ uprawnienia są dziedziczone, możesz grant użytkownika uprawnienia USE SCHEMA na catalog, co automatycznie przyznaje użytkownikowi uprawnienia USE SCHEMA dla wszystkich bieżących i przyszłych schematów w catalog.
Uprawnienia USE SCHEMA na schema nadrzędnym nie są wymagane do odczytania metadanych obiektu, jeśli użytkownik ma uprawnienia BROWSE dla tego schema lub jego nadrzędnego catalog.
ZAPISYWANIE PLIKÓW
Odpowiednie typy obiektów: EXTERNAL LOCATION
Usługa Databricks zaleca zarządzanie dostępem do zapisu danych w magazynie obiektów w chmurze za pomocą uprawnień volumes i WRITE VOLUME.
WRITE FILES umożliwia użytkownikowi bezpośrednie zapisywanie plików w zewnętrznie skonfigurowanym magazynie obiektów w chmurze. Aby uzyskać więcej wskazówek, zobacz Zarządzanie lokalizacjami zewnętrznymi, zewnętrznymi tablesi zewnętrznymi volumes.
WOLUMIN ZAPISU
Odpowiednie typy obiektów: VOLUME
Umożliwia użytkownikowi dodawanie, removelub modyfikowanie plików i katalogów przechowywanych wewnątrz woluminu, jeśli użytkownik ma również USE CATALOG w jego nadrzędnym catalog i USE SCHEMA w jego nadrzędnym schema.
Uprawnienia są dziedziczone. Gdy możesz grant użytkownikowi uprawnienia WRITE VOLUME w catalog lub schema, automatycznie grant użytkownika uprawnienia WRITE VOLUME dla wszystkich bieżących i przyszłych volumes w catalog lub schema.
Typy uprawnień, które mają zastosowanie tylko do udostępniania różnicowego lub witryny Databricks Marketplace
Ta sekcja zawiera szczegółowe informacje o typach uprawnień, które mają zastosowanie tylko do udostępniania różnicowego.
TWORZENIE DOSTAWCY
Odpowiednie typy obiektów: metastore Unity Catalog
Umożliwia użytkownikowi utworzenie obiektu dostawcy udostępniania różnicowego w magazynie metadanych. Dostawca identyfikuje organizację lub grupę użytkowników, którzy mają udostępnione dane przy użyciu funkcji udostępniania różnicowego. Tworzenie dostawcy jest wykonywane przez użytkownika na koncie usługi Databricks odbiorcy. Zobacz Co to jest udostępnianie różnicowe?.
CREATE RECIPIENT
Odpowiednie typy obiektów: magazynu metadanych aparatu Unity Catalog
Umożliwia użytkownikowi utworzenie obiektu adresata funkcji Delta Sharing w magazynie metadanych. Odbiorca identyfikuje organizację lub grupę użytkowników, którzy mogą udostępniać im dane przy użyciu funkcji udostępniania różnicowego. Tworzenie adresata jest wykonywane przez użytkownika na koncie usługi Databricks dostawcy. Zobacz Co to jest udostępnianie różnicowe?.
CREATE SHARE
Odpowiednie typy obiektów: Unity Catalog metamagazyn
Umożliwia użytkownikowi utworzenie udziału w magazynie metadanych. Udział to logiczne grupowanie dla tables, które zamierzasz udostępniać przy użyciu funkcji Delta Sharing.
UPRAWNIENIA DO UDOSTĘPNIANIA SET
Odpowiednie typy obiektów: metastore Unity Catalog
W usłudze Delta Sharing to uprawnienie w połączeniu z USE SHARE i USE RECIPIENT (lub własnością adresata) daje użytkownikowi dostawcy możliwość grant dostępu odbiorcy do udziału. W połączeniu z USE SHAREprogramem daje możliwość przeniesienia własności udziału do innego użytkownika, grupy lub jednostki usługi.
KORZYSTANIE Z ZASOBÓW WITRYNY MARKETPLACE
Odpowiednie typy obiektów: Unity Catalog metastore
Domyślnie włączone dla wszystkich Unity Catalogmetastores. W witrynie Databricks Marketplace to uprawnienie daje użytkownikowi możliwość get natychmiastowego dostępu lub żądania dostępu do produktów danych udostępnionych na liście w witrynie Marketplace. Umożliwia również użytkownikowi dostęp do catalog tylko do odczytu, który jest tworzony, gdy dostawca shares produkt danych. Bez tego uprawnienia użytkownik będzie wymagał CREATE CATALOG uprawnień i USE PROVIDER lub roli administratora magazynu metadanych. Dzięki temu można limit liczbę użytkowników z tymi zaawansowanymi uprawnieniami.
UŻYJ DOSTAWCY
Odpowiednie typy obiektów: Unity Catalog magazyn metadanych
Delta Sharing daje użytkownikowi-odbiorcy dostęp tylko do odczytu do wszystkich providers w magazynie metadanych odbiorcy oraz do ich shares. W połączeniu z uprawnieniami CREATE CATALOG to uprawnienie umożliwia użytkownikowi odbiorcy, który nie jest administratorem metastore'u, zamontować udział jako catalog. Dzięki temu można limit liczbę użytkowników z zaawansowaną rolą administratora magazynu metadanych.
UŻYJ ADRESATA
Odpowiednie typy obiektów: metastore Unity Catalog
W systemie Delta Sharing, użytkownik dostawcy otrzymuje dostęp tylko do odczytu do wszystkich recipients w magazynie metadanych dostawcy oraz ich shares. Dzięki temu użytkownik dostawcy, który nie jest administratorem magazynu metadanych, może wyświetlać szczegóły adresata, stan uwierzytelniania adresata oraz listshares, które dostawca udostępnił adresatowi.
W witrynie Databricks Marketplace zapewnia to użytkownikom dostawcy możliwość wyświetlania list i żądań konsumentów w konsoli dostawcy.
USE SHARE
Odpowiednie typy obiektów: Unity Catalog metastore
W Delta Sharing użytkownik dostawcy otrzymuje dostęp tylko do odczytu do wszystkich shares zdefiniowanych w magazynie metadanych dostawcy. Umożliwia to użytkownikowi dostawcy, który nie jest administratorem magazynu metadanych, list,shares i list zasobów (tables i notesów) w ramach współdzielenia, wraz z recipientswspółdzielenia.
W witrynie Databricks Marketplace zapewnia to użytkownikom dostawcy możliwość wyświetlania szczegółów dotyczących danych udostępnionych na liście.