مسؤول الامتيازات في كتالوج Unity

توضح هذه المقالة الامتيازات التي يتمتع بها مسؤولو حساب Azure Databricks ومسؤولي مساحة العمل ومسؤولي metastore لإدارة كتالوج Unity.

إشعار

إذا تم تمكين مساحة العمل الخاصة بك ل Unity Catalog تلقائيا، فإن مسؤولي مساحة العمل لديهم امتيازات افتراضية على metastore المرفق وكتالوج مساحة العمل، إذا تم توفير كتالوج مساحة العمل. راجع امتيازات مسؤول مساحة العمل عند تمكين مساحات العمل ل Unity Catalog تلقائيا.

مسؤولو Metastore

مسؤول metastore هو مستخدم أو مجموعة مميزة للغاية في كتالوج Unity. يتمتع مسؤولو Metastore بالامتيازات التالية على metastore بشكل افتراضي:

• CREATE CATALOG: يسمح للمستخدم بإنشاء كتالوجات في metastore.

• CREATE CONNECTION: يسمح للمستخدم بإنشاء اتصال بقاعدة بيانات خارجية في سيناريو Lakehouse Federation.

• CREATE EXTERNAL LOCATION: يسمح للمستخدم بإنشاء مواقع خارجية.

• CREATE STORAGE CREDENTIAL: يسمح للمستخدم بإنشاء بيانات اعتماد التخزين.

• CREATE FOREIGN CATALOG: يسمح للمستخدم بإنشاء كتالوجات أجنبية باستخدام اتصال بقاعدة بيانات خارجية في سيناريو Lakehouse Federation.

• CREATE SHARE: يسمح لمستخدم موفر البيانات بإنشاء مشاركة في Delta Sharing.

• CREATE RECIPIENT: يسمح لمستخدم موفر البيانات بإنشاء مستلم في Delta Sharing.

• CREATE PROVIDER: يسمح لمستخدم مستلم البيانات بإنشاء موفر في Delta Sharing.

• MANAGE ALLOWLIST: يسمح للمستخدم بتحديث قوائم السماح التي تدير الوصول إلى نظام المجموعة إلى البرامج النصية والمكتبات init.

• CREATE MATERIALIZED VIEW: يسمح للمستخدم بإنشاء طرق عرض مجسدة.

مسؤولو Metastore هم أيضا مالكو metastore، ما يمنحهم الامتيازات التالية:

• إدارة الامتيازات أو نقل ملكية أي كائن داخل metastore، بما في ذلك بيانات اعتماد التخزين والمواقع الخارجية والاتصالات والمشاركات والمستلمين والموفرين.

• منح أنفسهم حق الوصول للقراءة والكتابة إلى أي بيانات في metastore.

  يتمتع مسؤولو Metastore بهذه القدرة بشكل غير مباشر، من خلال قدرتهم على نقل ملكية جميع العناصر. لا يوجد وصول مباشر بشكل افتراضي. يتم تسجيل منح الأذونات من قبل التدقيق.

• قراءة وتحديث بيانات التعريف لكافة الكائنات في metastore.

• احذف metastore.

مسؤولو Metastore هم المستخدمون الوحيدون الذين يمكنهم منح امتيازات على metastore نفسه.

روبوت Who لديه امتيازات مسؤول metastore؟

إذا قام مسؤول الحساب بإنشاء metastore يدويا، فإن مسؤول الحساب هذا هو المالك الأولي ل metastore ومسؤول metastore. تم إنشاء جميع المخازن الوصفية التي تم إنشاؤها قبل 9 نوفمبر 2023 يدويا من قبل مسؤول حساب.

إذا تم توفير metastore كجزء من تمكين كتالوج Unity التلقائي، تم إنشاء metastore دون مسؤول metastore. يتم منح مسؤولي مساحة العمل في هذه الحالة امتيازات تلقائيا تجعل مسؤول metastore اختياريا. إذا لزم الأمر، يمكن لمسؤولي الحساب تعيين دور مسؤول metastore لمستخدم أو كيان خدمة أو مجموعة. يوصى بشدة ب المجموعات. راجع التمكين التلقائي للكتالوج Unity.

تعيين مسؤول metastore

مسؤول Metastore هو دور متميز للغاية يجب توزيعه بعناية. إنه اختياري.

يمكن لمسؤولي الحساب تعيين دور مسؤول metastore. توصي Databricks بترشيح مجموعة كمسؤول metastore. من خلال القيام بذلك، يكون أي عضو في المجموعة مسؤول metastore تلقائيا.

لتعيين دور مسؤول metastore إلى مجموعة:

1. بصفتك مسؤول حساب، سجل الدخول إلى وحدة تحكم الحساب.
2. انقر فوق كتالوج.
3. انقر فوق اسم metastore لفتح خصائصه.
4. ضمن Metastore مسؤول، انقر فوق تحرير.
5. حدد مجموعة من القائمة المنسدلة. يمكنك إدخال نص في الحقل للبحث عن الخيارات.
6. انقر فوق حفظ.

هام

قد يستغرق الأمر ما يصل إلى 30 ثانية حتى ينعكس تغيير تعيين مسؤول metastore في حسابك، وقد يستغرق سريانه في بعض مساحات العمل وقتا أطول من غيرها. يرجع هذا التأخير إلى بروتوكولات التخزين المؤقت.

مسؤولو الحساب

مسؤول الحساب هو دور متميز للغاية يجب توزيعه بعناية. يتمتع مسؤولو الحساب بالامتيازات التالية:

• يمكن إنشاء metastores، وبشكل افتراضي يصبح مسؤول metastore الأولي.
• يمكن ربط metastores بمساحات العمل.
• يمكن تعيين دور مسؤول metastore.
• يمكن منح امتيازات على المخازن الوصفية.
• يمكن تمكين مشاركة دلتا لمخزن بيانات التعريف.
• يمكن تكوين بيانات اعتماد التخزين.
• يمكن تمكين جداول النظام وتفويض الوصول إليها.

مسؤولو مساحة العمل

مسؤول مساحة العمل هو دور متميز للغاية يجب توزيعه بعناية. يتمتع مسؤولو مساحة العمل بالامتيازات التالية:

• يمكن إضافة مستخدمين وكيانات خدمة ومجموعات إلى مساحة عمل.
• يمكن تفويض مسؤولي مساحة العمل الآخرين.
• يمكنه إدارة ملكية الوظيفة. راجع التحكم في الوصول إلى وظيفة.
• يمكنه إدارة إعداد تشغيل كمهمة. راجع تشغيل وظيفة ككيان خدمة.
• يمكنه عرض وإدارة دفاتر الملاحظات ولوحات المعلومات والاستعلامات وعناصر مساحة العمل الأخرى. راجع قوائم التحكم بالوصول.

يمكن لمسؤولي الحساب تقييد امتيازات مسؤول مساحة العمل باستخدام RestrictWorkspaceAdmins الإعداد . راجع تقييد مسؤولي مساحة العمل.

امتيازات مسؤول مساحة العمل عند تمكين مساحات العمل ل "كتالوج Unity" تلقائيا

إذا تم تمكين مساحة العمل الخاصة بك ل Unity Catalog تلقائيا، يتم إرفاق مساحة العمل بمخزن بيانات التعريف بشكل افتراضي. لمزيد من المعلومات، راجع التمكين التلقائي للكتالوج Unity.

إذا تم تمكين مساحة العمل الخاصة بك ل Unity Catalog تلقائيا، فإن مسؤولي مساحة العمل لديهم الامتيازات التالية على metastore المرفق بشكل افتراضي:

• CREATE CATALOG

• CREATE EXTERNAL LOCATION

• CREATE STORAGE CREDENTIAL

• CREATE CONNECTION

• CREATE SHARE

• CREATE RECIPIENT

• CREATE PROVIDER

• CREATE MATERIALIZED VIEW

مسؤولو مساحة العمل هم المالكون الافتراضيون للكتالوج مساحة العمل، إذا تم توفير كتالوج مساحة عمل لمساحة العمل الخاصة بك. تمنح ملكية هذا الكتالوج الامتيازات التالية:

• إدارة امتيازات أو نقل ملكية أي كائن داخل كتالوج مساحة العمل.

  يتضمن ذلك القدرة على منح أنفسهم حق الوصول للقراءة والكتابة إلى جميع البيانات في الكتالوج (لا يوجد وصول مباشر بشكل افتراضي؛ يتم تسجيل منح الأذونات في التدقيق).

• نقل ملكية كتالوج مساحة العمل نفسه.

يحصل جميع مستخدمي مساحة العمل على الامتياز USE CATALOG على كتالوج مساحة العمل. يتلقى مستخدمو مساحة العمل أيضا الامتيازات USE SCHEMACREATE VOLUMECREATE MODELCREATE FUNCTIONCREATE TABLEو CREATE MATERIALIZED VIEW على default المخطط في الكتالوج.

إشعار

لا يتم الاحتفاظ بالامتيازات الافتراضية الممنوحة على metastore المرفق وكتالوج مساحة العمل عبر مساحات العمل (على سبيل المثال، إذا كان كتالوج مساحة العمل مرتبطا أيضا بمساحة عمل أخرى).