Uprawnienia i zabezpieczane obiekty w środowisku Unity Catalog
Dotyczy:
Databricks SQL Databricks Runtime Unity tylko Catalog
Uprawnienie jest uprawnieniem przyznanym podmiotowi zabezpieczeń do działania na zabezpieczanym obiekcie w magazynie metadanych. Model uprawnień i obiekty podlegające zabezpieczeniu różnią się w zależności od tego, czy używasz repozytorium metadanych aparatu Unity Catalog, czy starszego repozytorium metadanych Hive. W tym artykule opisano model uprawnień dla środowiska Unity Catalog. Jeśli używasz magazynu metadanych Hive, zobacz Uprawnienia i zabezpieczane obiekty w magazynie metadanych Hive.
Aby uzyskać szczegółowe informacje na temat zarządzania uprawnieniami w Unity Catalog, zobacz Zarządzanie uprawnieniami w Unity Catalog.
Uwaga
W tym artykule omówiono model uprawnień i dziedziczenia Unity Catalog w wersji 1.0 Modelu Uprawnień. Jeśli utworzyłeś magazyn metadanych Unity Catalog podczas publicznej wersji zapoznawczej (przed 25 sierpnia 2022 r.), możesz korzystać z wcześniejszego modelu uprawnień, który nie obsługuje obecnego modelu dziedziczenia. Możesz zaktualizować do wersji 1.0 modelu Privilege, aby mieć get dziedziczenie uprawnień. Zobacz Uaktualnianie do dziedziczenia uprawnień.
Zabezpieczane obiekty
Obiekt zabezpieczalny to obiekt zdefiniowany w magazynie metadanych Unity Catalog, na który można nadać uprawnienia głównemu podmiotowi . Aby uzyskać pełną list zabezpieczanych obiektów aparatu Unity Catalog oraz uprawnienia, które można na nich przyznać, zobacz unity Catalog uprawnienia i zabezpieczane obiekty.
Aby zarządzać uprawnieniami dla dowolnego obiektu, musisz być jego właścicielem lub mieć uprawnienia MANAGE w obiekcie, a także USE CATALOG w catalog nadrzędnym obiektu i USE SCHEMA na jego schemanadrzędnym .
Składnia
securable_object
{ CATALOG [ catalog_name ] |
CONNECTION connection_name |
CLEAN ROOM clean_room_name |
EXTERNAL LOCATION location_name |
FUNCTION function_name |
METASTORE |
SCHEMA schema_name |
SHARE share_name |
[ STORAGE | SERVICE ] CREDENTIAL credential_name |
[ TABLE ] table_name |
MATERIALIZED VIEW view_name |
VIEW view_name |
VOLUME volume_name
}
Można również określić SERVER zamiast CONNECTION i DATABASE zamiast SCHEMA.
Parameters
CATALOGcatalog_nameKontroluje dostęp do wszystkich danych catalog.
CLEAN ROOMclean_room_nameKontroluje dostęp do czystego pokoju.
CONNECTIONconnection_nameKontroluje dostęp do połączenia.
EXTERNAL LOCATIONlocation_nameKontroluje dostęp do lokalizacji zewnętrznej.
FUNCTIONfunction_nameKontroluje dostęp do funkcji zdefiniowanej przez użytkownika lub zarejestrowanego modelu MLflow.
MATERIALIZED VIEWview_nameKontroluje dostęp do zmaterializowanego widoku.
METASTOREKontroluje dostęp do magazynu metadanych platformy Unity Catalog dołączonego do obszaru roboczego. Podczas zarządzania uprawnieniami w magazynie metadanych nie należy dołączać nazwy magazynu metadanych do polecenia SQL. Catalog jednostki Unity grant lub revoke przywilej w magazynie metadanych podłączonym do twojego obszaru roboczego.
SCHEMAschema_nameKontroluje dostęp do schema.
[ STORAGE | SERVICE ] CREDENTIALcredential_nameKontroluje dostęp do poświadczeń.
Słowa kluczowe
STORAGEiSERVICE( Databricks Runtime 15.4 i nowsze) są opcjonalne.SHAREshare_nameKontroluje dostęp do udziału odbiorcy.
TABLEtable_nameKontroluje dostęp do zarządzanego lub zewnętrznego table. Jeśli nie można odnaleźć table, na platformie Azure Databricks pojawi się błąd TABLE_OR_VIEW_NOT_FOUND.
VIEWview_nameKontroluje dostęp do widoku. Jeśli nie można odnaleźć widoku usługi Azure Databricks, wystąpi błąd TABLE_OR_VIEW_NOT_FOUND .
VOLUMEvolume_nameKontroluje dostęp do woluminu. Jeśli nie można odnaleźć woluminu usługi Azure Databricks, wystąpi błąd.
Typy uprawnień
Aby uzyskać listę list typów uprawnień, zobacz uprawnienia Catalog Unity i obiekty, które można zabezpieczyć.
Przykłady
-- Grant a privilege to the user alf@melmak.et
> GRANT SELECT ON TABLE t TO `alf@melmak.et`;
-- Revoke a privilege from the general public group.
> REVOKE USE SCHEMA ON SCHEMA some_schema FROM `alf@melmak.et`;