Privilegier och skyddsbara objekt i Unity Catalog
gäller för:
Databricks SQL Databricks Runtime Unity Catalog
En behörighet är en rättighet som beviljas ett huvudnamn att arbeta med ett skyddsbart objekt i metaarkivet. Behörighetsmodellen och skyddsbara objekt skiljer sig åt beroende på om du använder ett Unity-Catalog metaarkiv eller det äldre Hive-metaarkivet. I den här artikeln beskrivs behörighetsmodellen för Unity Catalog. Om du använder Hive-metaarkivet läser du Privilegier och skyddsbara objekt i Hive-metaarkivet.
Detaljerad information om hur du hanterar privilegier i Unity Catalogfinns i Hantera privilegier i Unity Catalog.
Kommentar
Den här artikeln refererar till Unity Catalog-privilegier och arvsmodellen i Privilege Model version 1.0. Om du skapade ditt Unity-Catalog metaarkiv under den offentliga förhandsversionen (före den 25 augusti 2022) kanske du använder en tidigare privilegierad modell som inte stöder den aktuella arvsmodellen. Du kan uppgradera till Privilege Model version 1.0 för get behörighetsarv. Se Uppgradera till arv av privilegier.
Skyddsbara objekt
Ett säkerhetsbart objekt är ett objekt som definierats i Unity Catalog:s metaarkiv där privilegier kan beviljas till en aktör. En fullständig list av Unity Catalog skyddsbara objekt och de behörigheter som kan beviljas för dem finns i Unity Catalog-privilegier och skyddsbara objekt.
Om du vill hantera behörigheter för ett objekt måste du vara dess ägare eller ha MANAGE behörighet för objektet, samt USE CATALOG på objektets överordnade catalog och USE SCHEMA på dess överordnade schema.
Syntax
securable_object
{ CATALOG [ catalog_name ] |
CONNECTION connection_name |
CLEAN ROOM clean_room_name |
EXTERNAL LOCATION location_name |
FUNCTION function_name |
METASTORE |
SCHEMA schema_name |
SHARE share_name |
[ STORAGE | SERVICE ] CREDENTIAL credential_name |
[ TABLE ] table_name |
MATERIALIZED VIEW view_name |
VIEW view_name |
VOLUME volume_name
}
Du kan också ange SERVER i stället för CONNECTION och DATABASE i stället för SCHEMA.
Parameters
CATALOGcatalog_nameStyr åtkomsten till hela data catalog.
CLEAN ROOMclean_room_nameStyr åtkomsten till ett rent rum.
CONNECTIONconnection_nameStyr åtkomsten till anslutningen.
EXTERNAL LOCATIONlocation_nameStyr åtkomsten till en extern plats.
FUNCTIONfunction_nameStyr åtkomsten till en användardefinierad funktion eller en MLflow-registrerad modell.
MATERIALIZED VIEWview_nameStyr åtkomsten till en materialiserad vy.
METASTOREStyr åtkomsten till Unity Catalog metaarkiv som är kopplat till arbetsytan. När du hanterar behörigheter i ett metaarkiv inkluderar du inte metaarkivnamnet i ett SQL-kommando. Unity Cataloggrant eller revoke behörighet för metastore som är kopplat till din arbetsyta.
SCHEMAschema_nameStyr åtkomsten till en schema.
[ STORAGE | SERVICE ] CREDENTIALcredential_nameStyr åtkomsten till en autentiseringsuppgift.
STORAGENyckelorden ochSERVICE( Databricks Runtime 15.4 och senare) är valfria.SHAREshare_nameTABLEtable_nameStyr åtkomsten till en hanterad eller extern table. Om table inte kan hittas genererar Azure Databricks ett TABLE_OR_VIEW_NOT_FOUND fel.
VIEWview_nameStyr åtkomsten till en vy. Om vyn inte kan hittas genererar Azure Databricks ett TABLE_OR_VIEW_NOT_FOUND fel.
VOLUMEvolume_nameStyr åtkomsten till en volym. Om volymen inte kan hittas genererar Azure Databricks ett fel.
Behörighetstyper
För en list av behörighetstyper, se Unity Catalog-privilegier och skyddsbara objekt.
Exempel
-- Grant a privilege to the user alf@melmak.et
> GRANT SELECT ON TABLE t TO `alf@melmak.et`;
-- Revoke a privilege from the general public group.
> REVOKE USE SCHEMA ON SCHEMA some_schema FROM `alf@melmak.et`;