Unidade Catalog privilégios e objetos protegíveis
Este artigo descreve os objetos protegíveis Unity Catalog e os privilégios que se aplicam a eles. Para saber como grant privilégios no Unity Catalog, consulte Mostrar, grante revoke privilégios.
Nota
Este artigo refere-se ao modelo de privilégios e herança Unity Catalog no Modelo de Privilégios versão 1.0. Se tiver criado o seu metastore Unity Catalog durante a visualização pública (antes de 25 de agosto de 2022), poderá estar a usar um modelo de privilégios anterior que não suporta o modelo de herança atual. Você pode atualizar para o Modelo de Privilégios versão 1.0 para herdar privilégios get. Consulte Atualizar para herança de privilégios.
Objetos protegíveis no Unity Catalog
Um objeto protegível é um objeto definido no metastore Unity Catalog, no qual é possível conceder privilégios a uma entidade de segurança, como um usuário, uma entidade de serviço ou um grupo. Os objetos protegíveis no Unity Catalog são hierárquicos.
Os objetos protegíveis são:
METASTORE: O contêiner de nível superior para metadados. Cada metastore do Unity Catalog expõe um namespace de três níveis (
catalog.schema.table) que organiza seus dados.Ao gerenciar privilégios em um metastore, você não inclui o nome do metastore em um comando SQL. O Unity Catalog concede ou revoga o privilégio no metastore anexado ao seu espaço de trabalho. Por exemplo, o comando a seguir concede a um grupo chamado engenharia a possibilidade de criar um catalog no metastore associado ao espaço de trabalho.
GRANT CREATE CATALOG ON METASTORE TO engineeringCATALOG: A primeira camada da hierarquia de objetos, usada para organizar seus ativos de dados. Um catalog estrangeiro é um tipo especial de catalog que espelha uma base de dados num sistema de dados externo num cenário de Lakehouse Federation.
SCHEMA: Também conhecidos como bancos de dados, os esquemas são a segunda camada da hierarquia de objetos e contêm tables e views.
TABLE: O nível mais baixo na hierarquia de objetos, tables pode ser externo (armazenado em locais externos no armazenamento em nuvem de sua escolha) ou tables gerenciado (armazenado em um contêiner de armazenamento em seu armazenamento em nuvem que você cria expressamente para o Azure Databricks).
VIEW: Um objeto de leitura única criado a partir de uma consulta sobre um ou mais tables que esteja contido num schema.
MATERIALIZED VIEW: Um objeto criado a partir de uma consulta em um ou mais tables que está contido em um schema. Seus resultados refletem o estado dos dados quando foram atualizados pela última vez.
VOLUME: O nível mais baixo na hierarquia de objetos, volumes pode ser externo (armazenado em locais externos no armazenamento em nuvem de sua escolha) ou gerenciado (armazenado em um contêiner de armazenamento em seu armazenamento em nuvem que você cria expressamente para o Azure Databricks).
FUNÇÃO: Uma função definida pelo usuário ou um modelo registrado MLflow que está contido em um schema.
Modelo: Um modelo registrado MLflow é um tipo específico de função. Os modelos são listados separadamente de outras funções no Catalog Explorer, mas, quando se grant um privilégio num modelo usando SQL, utiliza-se
GRANT ON FUNCTION.LOCAL EXTERNO: Um objeto que contém uma referência a uma chave de acesso para armazenamento e um caminho de armazenamento em nuvem contido num metastore Unity Catalog.
CREDENCIAL DE SERVIÇO: um objeto que encapsula uma credencial de nuvem de longo prazo que fornece acesso a um serviço externo. Contido em um metastore do Unity Catalog.
STORAGE CREDENTIAL: um objeto que encapsula uma credencial de nuvem de longo prazo que fornece acesso ao armazenamento em nuvem contido em um metastore Unity Catalog.
CONNECTION: Um objeto que especifica um caminho e credentials para aceder a um sistema de base de dados externo num cenário de Lakehouse Federation.
SHARE: Um agrupamento lógico para o tables que você pretende compartilhar usando o Delta Sharing. Um compartilhamento está contido em um metastore do Unity Catalog.
DESTINATÁRIO: Um objeto que identifica uma organização ou grupo de usuários que podem ter dados compartilhados com eles usando o Compartilhamento Delta. Esses objetos estão contidos em um metastore do Unity Catalog.
PROVIDER: Um objeto que representa uma organização que disponibilizou dados para compartilhamento usando o Compartilhamento Delta. Esses objetos estão contidos em um metastore do Unity Catalog.
CLEAN ROOM: Um objeto que representa um ambiente seguro e que protege a privacidade, gerenciado pelo Databricks, where várias partes podem colaborar sem acesso direto aos dados umas das outras.
Tipos de privilégio por objeto protegível no Unity Catalog
A table a seguir lista os tipos de privilégio que se aplicam a cada objeto protegível no Unity Catalog. Para saber como grant privilégios no Unity Catalog, consulte Mostrar, grante revoke privilégios.
| Protegível | Privilégios |
|---|---|
| Metastore |
CREATE CATALOG, CREATE CLEAN ROOM, CREATE CONNECTION, , CREATE EXTERNAL LOCATIONCREATE PROVIDER, CREATE RECIPIENTCREATE SHARE, , CREATE SERVICE CREDENTIALCREATE STORAGE CREDENTIALSET SHARE PERMISSIONUSE MARKETPLACE ASSETSUSE PROVIDERUSE RECIPIENTUSE SHARE |
| Catalog |
ALL PRIVILEGES, APPLY TAG, BROWSE, CREATE SCHEMA, USE CATALOGTodos os usuários têm USE CATALOG no maincatalog por padrão.Os seguintes tipos de privilégio aplicam-se a objetos protegíveis em um catalog. Você pode grant esses privilégios ao nível de catalog para aplicá-los a objetos atuais e futuros no catalog. CREATE FUNCTION, CREATE TABLE, CREATE MATERIALIZED VIEW, CREATE MODEL, CREATE VOLUME, EXTERNAL USE SCHEMA, READ VOLUME, REFRESH, WRITE VOLUME, EXECUTE, MANAGE, MODIFY, SELECT, USE SCHEMA |
| Schema |
ALL PRIVILEGES, APPLY TAG, CREATE FUNCTION, CREATE TABLE, CREATE MODEL, CREATE VOLUME, CREATE MATERIALIZED VIEW, MANAGE, EXTERNAL USE SCHEMA, USE SCHEMAOs seguintes tipos de privilégio aplicam-se a objetos protegíveis dentro de um schema. Você pode grant esses privilégios no nível schema para aplicação em objetos atuais e futuros dentro do schema. EXECUTE, MODIFY, READ VOLUME, REFRESH, SELECT, WRITE VOLUME |
| Table |
ALL PRIVILEGES, APPLY TAG, MANAGE, MODIFY, SELECT |
| Vista materializada |
ALL PRIVILEGES, APPLY TAG, MANAGE, REFRESH, SELECT |
| Vista |
ALL PRIVILEGES, APPLY TAG, MANAGE, SELECT |
| Volume |
ALL PRIVILEGES, MANAGE, READ VOLUME, WRITE VOLUME |
| Localização externa |
ALL PRIVILEGES, BROWSE, CREATE EXTERNAL TABLE, , CREATE EXTERNAL VOLUME, CREATE FOREIGN SECURABLEMANAGE, READ FILES, WRITE FILES,CREATE MANAGED STORAGE |
| Credencial de serviço |
ALL PRIVILEGES, ACCESS, CREATE CONNECTION, MANAGE. |
| Credencial de armazenamento |
ALL PRIVILEGES, CREATE EXTERNAL LOCATION, CREATE EXTERNAL TABLE, MANAGE, READ FILES, WRITE FILES |
| Connection |
ALL PRIVILEGES, CREATE FOREIGN CATALOG, MANAGE, USE CONNECTION |
| Function |
ALL PRIVILEGES, APPLY TAG (somente modelos), EXECUTE, MANAGE |
| Modelo | Os modelos registados são um tipo de função. |
| Partilhar |
SELECT (Pode ser concedido a RECIPIENT) |
| Destinatário | Nenhuma |
| Fornecedor | Nenhuma |
| Sala limpa |
ALL PRIVILEGES, BROWSE, EXECUTE CLEAN ROOM TASK, MANAGE, MODIFY CLEAN ROOM |
Unidade Geral Catalog tipos de privilégio
Esta seção fornece detalhes sobre os tipos de privilégio que se aplicam geralmente ao Unity Catalog. Para saber como grant privilégios no Unity Catalog, consulte Mostrar, grante revoke privilégios.
TODOS OS PRIVILÉGIOS
Tipos de objetos aplicáveis: , , , , ( CATALOG incluindo modelos) EXTERNAL LOCATION, STORAGE CREDENTIAL, SCHEMAFUNCTIONTABLEMATERIALIZED VIEWVIEW,VOLUME
Usado para grant ou revoke todos os privilégios aplicáveis ao objeto protegível e seus objetos filho sem especificá-los explicitamente.
Quando ALL PRIVILEGES é concedido a um objeto, não grant ao utilizador individualmente cada privilégio aplicável no momento do grant. Em vez disso, ele se expande para todos os privilégios disponíveis no momento em que as verificações de permissões são feitas. Isso significa que, à medida que o Databricks libera novos privilégios e novos objetos securáveis, um ALL PRIVILEGESgrant existente inclui automaticamente quaisquer novos privilégios aplicáveis ao objeto securável, aos seus objetos filho existentes e a quaisquer novos objetos filho.
Quando ALL PRIVILEGES é revogado, o privilégio é revogado ALL PRIVILEGES e quaisquer privilégios explícitos concedidos ao usuário no objeto também são revogados.
Para evitar a exfiltração acidental de dados ou o escalonamento de privilégios, ALL PRIVILEGES não inclui o privilégio EXTERNAL USE SCHEMA ou o privilégio MANAGE.
Nota
Este privilégio é poderoso quando aplicado em níveis mais altos na hierarquia. Por exemplo, GRANT TODOS OS PRIVILÉGIOS EM CATALOG PRINCIPAL A analysts concede à equipe de analistas todos os privilégios existentes e futuros em todos os objetos protegíveis existentes e futuros no catalog.
ACESSO
Tipos de objeto aplicáveis: SERVICE CREDENTIAL
Permite que um usuário use uma credencial de serviço para acessar um serviço ou serviços externos.
APLICAR TAG
Tipos de objeto aplicáveis: CATALOG, SCHEMA, TABLE, VOLUME, MATERIALIZED VIEW, VIEW, modelos registrados como um FUNCTION
Permite que um utilizador adicione e edite etiquetas num objeto. Conceder APPLY TAG a um table ou vista também permite column etiquetagem. A concessão APPLY TAG a um modelo registrado também permite a marcação da versão do modelo.
O utilizador também deve ter o privilégio USE CATALOG no elemento pai catalog e USE SCHEMA no elemento pai schema.
PROCURAR
Tipos de objetos aplicáveis: CATALOG, EXTERNAL LOCATION, CLEAN ROOM
Importante
Esta funcionalidade está em Pré-visualização Pública.
Permite que um usuário visualize os metadados de um objeto usando o Catalog Explorer, o navegador schema, os resultados da pesquisa, o gráfico de linhagem, o information_schemae a API REST.
O usuário não requer o privilégio USE CATALOG no catalog pai ou USE SCHEMA no schemapai.
Todos os usuários recebem o privilégio de BROWSE por padrão em novos catalogs criados usando o Catalog Explorer. Você pode revoke o privilégio, se preferir.
Catalogs criados usando instruções SQL, a API REST ou a CLI do Databricks não grant o privilégio BROWSE por padrão. Você deve grant-lo abertamente.
CREATE CATALOG
Tipos de objeto aplicáveis: Unity Catalog metastore
Permite que um usuário crie um catalog em um metastore do Unity Catalog. Para criar um catalogestrangeiro, você também deve ter o privilégio CREATE FOREIGN CATALOG na conexão que contém o catalog estrangeiro ou no metastore.
CRIAR SALA LIMPA
Tipos de objeto aplicáveis: Unity Catalog metastore
Permite que um usuário crie uma sala limpa para colaborar com segurança em projetos com outras organizações sem compartilhar dados subjacentes.
CREATE CONNECTION
Tipos de objeto aplicáveis: Unity Catalog metastore, SERVICE CREDENTIAL
Permite que um utilizador crie uma ligação a uma base de dados externa num cenário de Lakehouse Federation. Para usar uma credencial de serviço para criar uma conexão, o usuário deve ter esse privilégio no metastore e na credencial de serviço.
CREATE EXTERNAL LOCATION
Tipos de objeto aplicáveis: Unity Catalog metastore, STORAGE CREDENTIAL
Para criar um local externo, o usuário deve ter esse privilégio no metastore e na credencial de armazenamento que está sendo referenciada no local externo.
CRIAR EXTERNO TABLE
Tipos de objetos aplicáveis: EXTERNAL LOCATION, STORAGE CREDENTIAL
Permite que um utilizador crie tables externos diretamente no seu locatário de nuvem usando um local externo ou uma credencial de armazenamento. O Databricks recomenda conceder este privilégio em um local externo em vez de uma credencial de armazenamento (uma vez que está delimitado a um caminho, permite mais controle sobre o que os utilizadores where podem criar tables externos no seu inquilino da cloud).
CRIAR VOLUME EXTERNO
Tipos de objeto aplicáveis: EXTERNAL LOCATION
Permite que um utilizador crie um volumes externo usando um local externo.
CRIAR CATALOG ESTRANGEIRA
Tipos de objeto aplicáveis: CONNECTION
Permite que um utilizador crie catalogs estrangeiro usando uma conexão com uma base de dados externa num cenário de federation Lakehouse.
CRIAR OBJETO SEGURÁVEL EXTERNO
Tipos de objeto aplicáveis: EXTERNAL LOCATION
Permite que um usuário que está criando um catalog externo especifique caminhos autorizados cobertos pelo local externo.
O usuário também deve ter CREATE CATALOG no metastore do Unity Catalog e CREATE FOREIGN CATALOG na conexão.
CREATE FUNCTION
Tipos de objeto aplicáveis: SCHEMA
Permite que um usuário crie uma função no schema. Como os privilégios são herdados, CREATE FUNCTION também pode ser concedido num catalog, o que permite que um usuário crie uma função em qualquer schema existente ou que venha a existir no catalog.
O utilizador também deve ter o privilégio de USE CATALOG no progenitor catalog e USE SCHEMA no progenitor schema.
CRIAR MODELO
Tipos de objeto aplicáveis: SCHEMA
Permite que um usuário crie um modelo registrado MLflow (que é um tipo de FUNCTION) no schema. Como os privilégios são herdados, CREATE MODEL também pode ser concedido num catalog, o que permite que um usuário crie um modelo registrado em qualquer schema existente ou futura no catalog.
O utilizador também deve ter o privilégio USE CATALOG no catalog superior e USE SCHEMA no schemasuperior.
CRIAR ARMAZENAMENTO GERENCIADO
Tipos de objeto aplicáveis: EXTERNAL LOCATION
Permite que um usuário especifique um local para armazenar tables gerenciados no nível catalog ou schema, substituindo o armazenamento raiz padrão para o metastore.
CREATE SCHEMA
Tipos de objeto aplicáveis: CATALOG
Permite que um usuário crie um schema. O utilizador também deve ter o privilégio de USE CATALOG no catalog.
CRIAR CREDENCIAL DE SERVIÇO
Tipos de objeto aplicáveis: Unity Catalog metastore
Permite que um usuário crie uma credencial de serviço em um metastore do Unity Catalog.
CRIAR CREDENCIAL DE ARMAZENAMENTO
Tipos de objeto aplicáveis: Unity Catalog metastore
Permite que um usuário crie uma credencial de armazenamento em um metastore do Unity Catalog.
CREATE TABLE
Tipos de objeto aplicáveis: SCHEMA
Permite que um utilizador crie uma table ou visualize no schema. Como os privilégios são herdados, CREATE TABLE também pode ser concedido num catalog, o que permite que um usuário crie uma table ou vista em qualquer schema existente ou futura em catalog.
O usuário também deve ter o privilégio USE CATALOG em seu catalog pai e o privilégio USE SCHEMA em seu schemapai.
CREATE MATERIALIZED VIEW
Tipos de objeto aplicáveis: SCHEMA
Permite que um usuário crie uma visualização materializada no schema. Como os privilégios são herdados, CREATE MATERIALIZED VIEW também pode ser concedido num catalog, o que permite que um utilizador crie uma table ou vista em qualquer schema existente ou futuro no catalog.
O utilizador também deve ter o privilégio USE CATALOG no pai catalog e o privilégio USE SCHEMA no pai schema.
CREATE VOLUME
Tipos de objeto aplicáveis: SCHEMA
Permite que um usuário crie um volume no schema. Como os privilégios são herdados, CREATE VOLUME também pode ser concedido num catalog, o que permite a um utilizador criar um volume em qualquer schema existente ou futuro no catalog.
O utilizador também deve ter o privilégio de USE CATALOG no catalog pai do volume e o privilégio de USE SCHEMA no seu schemapai.
EXECUTAR
Tipos de objeto aplicáveis: FUNCTION, Modelo
Permite que um usuário invoque uma função definida pelo usuário ou carregue um modelo para inferência, se o usuário também tiver USE CATALOG em seu catalog pai e USE SCHEMA em seu schemapai. Para funções, EXECUTE concede a capacidade de visualizar a definição de função e metadados. Para modelos registrados, EXECUTE concede a capacidade de visualizar metadados para todas as versões do modelo registrado e baixar arquivos de modelo.
Como os privilégios são herdados, você pode grant a um usuário o privilégio EXECUTE em um catalog ou schema, que concede automaticamente ao usuário o privilégio EXECUTE em todas as funções atuais e futuras no catalog ou schema.
EXECUTAR TAREFA DE SALA LIMPA
Tipos de objeto aplicáveis: CLEAN ROOM
Permite que um usuário execute tarefas (blocos de anotações) em uma sala limpa. Também permite que o usuário visualize os detalhes da sala limpa.
EXTERNA USE SCHEMA
Tipos de objeto aplicáveis: SCHEMA
Permite que um utilizador receba uma credencial temporária para aceder ao Unity Catalogtables a partir de um mecanismo de processamento externo usando as APIs abertas do Unity Catalog ou as APIs REST do Iceberg.
Apenas o proprietário do catalog pode grant esse privilégio.
Para evitar a exfiltração acidental de dados, ALL PRIVILEGES não inclui o privilégio EXTERNAL USE SCHEMA e schema proprietários não têm esse privilégio por padrão.
Consulte Habilitar o acesso a dados externos ao Unity Catalog.
GERIR
Tipos de objetos aplicáveis: CATALOG, EXTERNAL LOCATION, SERVICE CREDENTIAL, STORAGE CREDENTIAL, SCHEMA, FUNCTION (incluindo modelos), CONNECTION, TABLE, MATERIALIZED VIEW, VIEW,VOLUME, CLEAN ROOM
Importante
Esta funcionalidade está em Pré-visualização Pública.
Permite que um usuário visualize e gerencie privilégios, transfira propriedade, solte e renomeie um objeto.
MANAGE é semelhante à propriedade do objeto, mas os usuários com o privilégio MANAGE não recebem automaticamente todos os privilégios nesse objeto (no entanto, eles podem grant privilégios a si mesmos).
O usuário também deve ter o privilégio de USE CATALOG na catalog pai do objeto e o privilégio de USE SCHEMA em seu schemapai.
ALL PRIVILEGES não inclui o privilégio MANAGE
GERENCIAR ALLOWLIST
Tipos de objeto aplicáveis: Unity Catalog metastore
Permite que um usuário adicione ou modifique caminhos para scripts de inicialização, JARs e coordenadas Maven na lista de permissões que rege os clusters habilitados para Unity Catalogcom modo de acesso compartilhado. Consulte Bibliotecas Allowlist e scripts init em computação compartilhada.
MODIFICAR
Tipos de objeto aplicáveis: TABLE
Permite que um utilizador adicione, updatee elimine dados do ou para o table se o utilizador também tiver SELECT no table, bem como USE CATALOG no seu catalog principal e USE SCHEMA no seu schemaprincipal.
Como os privilégios são herdados, você pode grant a um usuário o privilégio MODIFY em um catalog ou schema, que concede automaticamente ao usuário o privilégio MODIFY em todos os tables atuais e futuros no catalog ou schema.
MODIFICAR SALA LIMPA
Tipos de objeto aplicáveis: CLEAN ROOM
Permite que um usuário update uma sala limpa, incluindo adicionar e remover ativos de dados, adicionar e remover blocos de anotações e atualizar comentários. Também permite que o usuário visualize os detalhes da sala limpa.
LER FICHEIROS
Tipos de objeto aplicáveis: EXTERNAL LOCATION
O Databrick recomenda gerenciar o acesso de leitura aos dados no armazenamento de objetos na nuvem usando o volumes e o privilégio READ VOLUME.
READ FILES permite que um usuário leia arquivos diretamente do seu armazenamento de objetos na nuvem configurado como um local externo. Para obter mais orientações, consulte Gerenciar locais externos, tablesexternos e volumesexternos.
VOLUME DE LEITURA
Tipos de objeto aplicáveis: VOLUME
Permite que um usuário leia arquivos e diretórios armazenados dentro de um volume se o usuário também tiver USE CATALOG em seu catalog pai e USE SCHEMA em seu schemapai.
Os privilégios são herdados. Quando você pode grant a um usuário o privilégio READ VOLUME em um catalog ou schema, você grant automaticamente ao usuário o privilégio de READ VOLUME em todos os volumes atuais e futuros no catalog ou schema.
REFRESH
Tipos de objeto aplicáveis: MATERIALIZED VIEW
Permite que um usuário refresh uma exibição materializada se o usuário também tiver USE CATALOG em seu catalog pai e USE SCHEMA em seu schemapai.
Os privilégios são herdados. Quando você grant o privilégio de REFRESH em um catalog ou schema a um usuário, você grant automaticamente ao usuário o privilégio REFRESH em todos os views materializados atuais e futuros no catalog ou schema.
SELECT
Tipos de objetos aplicáveis: TABLE, VIEW, MATERIALIZED VIEW, SHARE
Se aplicado a um table ou exibição, permite que um usuário select a partir do table ou exibição, se o usuário também tiver USE CATALOG em seu catalog pai e USE SCHEMA em seu schemapai. Se aplicado a um compartilhamento, permite que um destinatário select do compartilhamento.
Como os privilégios são herdados, você pode grant a um usuário o privilégio SELECT em um catalog ou schema, que concede automaticamente ao usuário SELECT privilégio em todos os tablesatuais e futuros e views no catalog ou schema.
USE CATALOG
Tipos de objeto aplicáveis: CATALOG
Esse privilégio não grant acesso ao catalog em si, mas é necessário para que um usuário interaja com qualquer objeto dentro do catalog. Por exemplo, para select dados de um table, os utilizadores precisam ter o privilégio SELECT nesse table e os privilégios USE CATALOG nos seus respetivos pais catalog, assim como os privilégios USE SCHEMA nos seus respetivos pais schema.
Isso é útil para permitir que os proprietários de catalog possam limit até que ponto individuais schema e os proprietários de table compartilham os dados que produzem. Por exemplo, um proprietário de table concedendo SELECT a outro usuário não permite que esse usuário tenha acesso de leitura ao table a menos que eles também tenham recebido privilégios de USE CATALOG em seu catalog pai, bem como privilégios de USE SCHEMA em seu schemapai.
O privilégio USE CATALOG no catalog pai não é necessário para ler os metadados de um objeto se o utilizador tiver o privilégio BROWSE nesse mesmo catalog.
USAR CONEXÃO
Tipos de objeto aplicáveis: CONNECTION
Permite que um utilizador list e visualize detalhes sobre connections para um banco de dados externo num cenário de Lakehouse Federation. Para criar catalogs estrangeiros para uma conexão, deve-se ter CREATE FOREIGN CATALOG na conexão ou a propriedade da conexão.
USE SCHEMA
Tipos de objeto aplicáveis: SCHEMA
Esse privilégio não grant acesso ao schema em si, mas é necessário para que um utilizador possa interagir com qualquer objeto dentro do schema. Por exemplo, para select dados de um table, os utilizadores necessitam de ter o privilégio de SELECT nesse table e de USE SCHEMA no seu schema pai, bem como de USE CATALOG no seu catalogpai.
Como os privilégios são herdados, você pode grant a um usuário o privilégio USE SCHEMA em um catalog, que concede automaticamente ao usuário o privilégio USE SCHEMA em todos os esquemas atuais e futuros no catalog.
O privilégio USE SCHEMA no schema pai não é necessário para ler os metadados de um objeto se o utilizador tiver o privilégio BROWSE nesse schema ou no seu catalogpai.
ESCREVER FICHEIROS
Tipos de objeto aplicáveis: EXTERNAL LOCATION
O Databrick recomenda gerenciar o acesso de gravação aos dados no armazenamento de objetos na nuvem usando o volumes e o privilégio WRITE VOLUME.
WRITE FILES permite que um usuário grave arquivos diretamente em seu armazenamento de objetos na nuvem configurado como um local externo. Para obter mais orientações, consulte Gerenciar locais externos, tablesexternos e volumesexternos.
VOLUME DE GRAVAÇÃO
Tipos de objeto aplicáveis: VOLUME
Permite que um utilizador adicione, remove, ou modifique ficheiros e diretórios armazenados num volume, se o utilizador também tiver USE CATALOG no seu catalog pai e USE SCHEMA no seu schemapai.
Os privilégios são herdados. Quando você pode grant a um usuário o privilégio WRITE VOLUME em um catalog ou schema, você grant automaticamente ao usuário o privilégio de WRITE VOLUME em todos os volumes atuais e futuros no catalog ou schema.
Tipos de privilégio que se aplicam apenas ao Delta Sharing ou ao Databricks Marketplace
Esta seção fornece detalhes sobre os tipos de privilégio que se aplicam somente ao Compartilhamento Delta.
CRIAR PROVEDOR
Tipos de objeto aplicáveis: Unity Catalog metastore
Permite que um usuário crie um objeto de provedor de compartilhamento delta no metastore. Um provedor identifica uma organização ou grupo de usuários que compartilharam dados usando o Compartilhamento Delta. A criação do provedor é realizada por um usuário na conta Databricks do destinatário. Consulte O que é Delta Sharing?.
CREATE RECIPIENT
Tipos de objeto aplicáveis: Unity Catalog metastore
Permite que um usuário crie um objeto de destinatário de Compartilhamento Delta no metastore. Um destinatário identifica uma organização ou grupo de usuários que podem ter dados compartilhados com eles usando o Compartilhamento Delta. A criação de destinatários é realizada por um usuário na conta Databricks do provedor. Consulte O que é Delta Sharing?.
CREATE SHARE
Tipos de objeto aplicáveis: Unity Catalog metastore
Permite que um usuário crie um compartilhamento no metastore. Um compartilhamento é um agrupamento lógico para o tables que você pretende compartilhar usando o Delta Sharing
SET PERMISSÃO DE COMPARTILHAMENTO
Tipos de objeto aplicáveis: Unity Catalog metastore
No Delta Sharing, esse privilégio, combinado com USE SHARE e USE RECIPIENT (ou propriedade do destinatário), dá a um usuário provedor a capacidade de grant a um destinatário acesso a um compartilhamento. Combinado com USE SHAREo , ele oferece a capacidade de transferir a propriedade de um compartilhamento para outro usuário, grupo ou entidade de serviço.
USAR ATIVOS DO MARKETPLACE
Tipos de objeto aplicáveis: Unity Catalog metastore
Ativado por padrão para todos os Unity Catalogmetastores. No Databricks Marketplace, esse privilégio dá ao usuário a capacidade de get acesso instantâneo ou solicitar acesso para produtos de dados compartilhados em uma listagem do Marketplace. Ele também permite que um usuário acesse o catalog somente leitura que é criado quando um provedor shares um produto de dados. Sem esse privilégio, o usuário exigiria os CREATE CATALOG privilégios e USE PROVIDER ou a função de administrador do metastore. Isso permite-lhe limit o número de utilizadores com essas permissões especiais.
PROVEDOR DE USO
Tipos de objeto aplicáveis: Unity Catalog metastore
No Delta Sharing, dá a um destinatário acesso de leitura a todos os providers no metastore do destinatário e seus shares. Combinado com o privilégio CREATE CATALOG, esse privilégio permite que um usuário destinatário que não seja um administrador de metastore monte um compartilhamento como um catalog. Isso permite-lhe limit o número de utilizadores com o poderoso papel de administrador do metastore.
USAR DESTINATÁRIO
Tipos de objeto aplicáveis: Unity Catalog metastore
No Delta Sharing, dá a um utilizador do fornecedor acesso de leitura a todos os recipients e aos seus sharesnum metastore do fornecedor. Isso permite que um utilizador do prestador que não seja um administrador do metastore visualize os detalhes do destinatário, o estado de autenticação do destinatário e a list de shares que o prestador partilhou com o destinatário.
No Databricks Marketplace, isso dá aos usuários do provedor a capacidade de visualizar listagens e solicitações de consumidores no console do provedor.
USAR PARTILHAR
Tipos de objeto aplicáveis: Unity Catalog metastore
No Compartilhamento Delta, dá a um utilizador do fornecedor acesso de apenas leitura a todos os shares definidos em um metastore do fornecedor. Isso permite que um usuário provedor que não seja um administrador de metastore listshares e list os ativos (tables e blocos de anotações) em um compartilhamento, juntamente com o recipientsdo compartilhamento.
No Databricks Marketplace, isso dá aos usuários do provedor a capacidade de visualizar detalhes sobre os dados compartilhados em uma listagem.