Oprávnění a zabezpečitelné objekty v katalogu Unity
Platí pro: Pouze katalog Unity Pro Databricks SQL Databricks
Oprávnění je právo udělené objektu zabezpečení pro provoz na zabezpečitelném objektu v metastoru. Model oprávnění a zabezpečitelné objekty se liší v závislosti na tom, jestli používáte metastore katalogu Unity nebo starší metastore Hive. Tento článek popisuje model oprávnění pro katalog Unity. Pokud používáte metastore Hive, přečtěte si téma Oprávnění a zabezpečitelné objekty v metastoru Hive.
Poznámka:
Tento článek se týká oprávnění katalogu Unity a modelu dědičnosti v modelu oprávnění verze 1.0. Pokud jste metastore katalogu Unity vytvořili během veřejné verze Preview (před 25. srpnem 2022), upgradujte na Model oprávnění verze 1.0 podle upgradu na dědičnost oprávnění.
Zabezpečitelné objekty
Zabezpečitelný objekt je objekt definovaný v metastoru katalogu Unity, ke kterému je možné udělit oprávnění objektu zabezpečení. Pokud chcete spravovat oprávnění u libovolného objektu, musíte být jeho vlastníkem.
Syntaxe
securable_object
{ CATALOG [ catalog_name ] |
CONNECTION connection_name |
EXTERNAL LOCATION location_name |
FUNCTION function_name |
METASTORE |
SCHEMA schema_name |
SHARE share_name |
STORAGE CREDENTIAL credential_name |
[ TABLE ] table_name |
MATERIALIZED VIEW view_name |
VIEW view_name |
VOLUME volume_name
}
Můžete také zadat SERVER
místo CONNECTION
a DATABASE
místo SCHEMA
.
Parametry
CATALOG
catalog_nameŘídí přístup k celému katalogu dat.
CONNECTION
connection_nameŘídí přístup k připojení.
EXTERNAL LOCATION
location_nameŘídí přístup k externímu umístění.
FUNCTION
function_nameŘídí přístup k uživatelem definované funkci.
MATERIALIZED VIEW
view_nameDůležité
Tato funkce je ve verzi Public Preview.
Řídí přístup k materializovanému zobrazení.
METASTORE
Řídí přístup k metastoru katalogu Unity připojenému k pracovnímu prostoru. Při správě oprávnění k metastoru nezahrnete název metastoru do příkazu SQL. Katalog Unity udělí nebo odvolá oprávnění k metastoru připojenému k vašemu pracovnímu prostoru.
REGISTERED MODEL
Řídí přístup k registrovanému modelu MLflow.
SCHEMA
Schema_nameŘídí přístup ke schématu.
STORAGE CREDENTIAL
credential_nameSHARE
share_nameTABLE
Table_nameŘídí přístup ke spravované nebo externí tabulce. Pokud tabulku nenajdete, Azure Databricks vyvolá TABLE_OR_VIEW_NOT_FOUND chybu.
VIEW
view_nameŘídí přístup k zobrazení. Pokud se zobrazení nenašlo, Azure Databricks vyvolá chybu TABLE_OR_VIEW_NOT_FOUND .
VOLUME
volume_nameŘídí přístup ke svazku. Pokud se svazek nepodařilo najít, Azure Databricks vyvolá chybu.
Model dědičnosti
Zabezpečitelné objekty v katalogu Unity jsou hierarchické a oprávnění se dědí směrem dolů. To znamená, že udělení oprávnění v katalogu automaticky uděluje oprávnění všem aktuálním a budoucím schématům v katalogu. Podobně jsou oprávnění udělená schématem zděděna všemi aktuálními a budoucími tabulkami a zobrazeními v daném schématu.
Pokud například udělíte SELECT
oprávnění schématu uživateli, uživateli se automaticky udělí SELECT
oprávnění pro všechny aktuální a budoucí tabulky, zobrazení a materializovaná zobrazení ve schématu.
Typy oprávnění
Následující tabulka ukazuje, která oprávnění katalogu Unity jsou přidružena k tomu, ke kterým zabezpečitelným objektům katalogu Unity.
Zabezpečený | Oprávnění |
---|---|
Metastore | CREATE CATALOG , CREATE CONNECTION , , , CREATE RECIPIENT USE MARKETPLACE ASSETS CREATE SHARE USE RECIPIENT CREATE PROVIDER CREATE STORAGE CREDENTIAL SET SHARE PERMISSION USE PROVIDER CREATE EXTERNAL LOCATION USE SHARE |
Katalog | ALL PRIVILEGES , APPLY TAG , BROWSE , , CREATE SCHEMA USE CATALOG Všichni uživatelé mají USE CATALOG ve main výchozím nastavení katalog.Následující typy oprávnění platí pro zabezpečitelné objekty v katalogu. Tato oprávnění můžete udělit na úrovni katalogu, abyste je mohli použít pro příslušné aktuální a budoucí objekty v katalogu. CREATE FUNCTION , CREATE TABLE , , , CREATE FOREIGN CATALOG EXECUTE READ VOLUME SELECT CREATE VOLUME REFRESH WRITE VOLUME MODIFY CREATE MODEL USE SCHEMA |
Schéma | ALL PRIVILEGES , APPLY TAG , CREATE FUNCTION , , CREATE MODEL CREATE TABLE , CREATE VOLUME , , CREATE MATERIALIZED VIEW USE SCHEMA Následující typy oprávnění platí pro zabezpečitelné objekty v rámci schématu. Tato oprávnění můžete udělit na úrovni schématu, abyste je mohli použít pro příslušné aktuální a budoucí objekty v rámci schématu. EXECUTE , MODIFY , SELECT , READ VOLUME , , REFRESH WRITE VOLUME |
Table | ALL PRIVILEGES , APPLY TAG , , MODIFY SELECT |
Materializované zobrazení | ALL PRIVILEGES , APPLY TAG , , REFRESH SELECT |
Zobrazení | ALL PRIVILEGES , , APPLY TAG SELECT |
Objem | ALL PRIVILEGES , , READ VOLUME WRITE VOLUME |
Externí umístění | ALL PRIVILEGES , BROWSE , CREATE EXTERNAL TABLE , CREATE EXTERNAL VOLUME , READ FILES , , WRITE FILES CREATE MANAGED STORAGE |
Přihlašovací údaje úložiště | ALL PRIVILEGES , CREATE EXTERNAL LOCATION , CREATE EXTERNAL TABLE , , READ FILES WRITE FILES |
Connection | ALL PRIVILEGES , , CREATE FOREIGN CATALOG USE CONNECTION |
Funkce | ALL PRIVILEGES , EXECUTE |
Registrovaný model | ALL PRIVILEGES , , APPLY TAG EXECUTE |
Sdílení | SELECT (Může být uděleno RECIPIENT ) |
Příjemce | Žádné |
Poskytovatel | Žádné |
APPLY TAG
Použití a úprava značek u objektu
ALL PRIVILEGES
Slouží k udělení nebo odvolání všech oprávnění vztahujících se k zabezpečitelnému objektu a jeho podřízeným objektům bez jejich explicitního zadání. Tím se rozšíří na všechna dostupná oprávnění v době kontroly oprávnění. Neuděluje uživateli všechna příslušná oprávnění v okamžiku udělení.
Pokud
ALL PRIVILEGES
je odvolána pouzeALL PRIVILEGES
samotná oprávnění, je odvolána. Uživatelé si zachovají všechna další oprávnění, která jim byla udělena samostatně.BROWSE
Důležité
Tato funkce je ve verzi Public Preview.
Zobrazte metadata objektu pomocí Průzkumníka katalogu, prohlížeče schématu, výsledků hledání, grafu
information_schema
rodokmenu a rozhraní REST API. Uživatel nevyžadujeUSE CATALOG
oprávnění nadřazeného katalogu aniUSE SCHEMA
nadřazeného schématu.CREATE CATALOG
Umožňuje vytvářet katalogy v metastoru katalogu Unity.
CREATE CONNECTION
Vytvořte cizí připojení v metastoru katalogu Unity.
CREATE EXTERNAL LOCATION
Vytvořte externí umístění pomocí přihlašovacích údajů úložiště. Při použití na přihlašovací údaje úložiště umožňuje uživateli vytvořit externí umístění pomocí pověření úložiště. Toto oprávnění je také potřeba udělit uživateli v metastoru, aby mohl vytvořit externí umístění v tomto metastoru.
CREATE EXTERNAL TABLE
Vytvořte externí tabulky pomocí přihlašovacích údajů úložiště nebo externího umístění.
CREATE EXTERNAL VOLUME
Vytvořte externí svazky pomocí externího umístění.
CREATE FOREIGN CATALOG
Vytvořte katalogy na cizím připojení. Každý cizí katalog pak zveřejní schémata dostupná v federovaného cílovém systému.
CREATE FUNCTION
Vytvořte funkci ve schématu. Uživatel také vyžaduje
USE CATALOG
oprávnění v katalogu aUSE SCHEMA
oprávnění ke schématu.CREATE MANAGED STORAGE
Umožňuje uživateli zadat umístění pro ukládání spravovaných tabulek na úrovni katalogu nebo schématu a přepisovat výchozí kořenové úložiště metastoru katalogu Unity.
CREATE MATERIALIZED VIEW
Umožňuje uživateli vytvořit materializované zobrazení ve schématu. Protože jsou práva dědičná,
CREATE MATERIALIZED VIEW
je možné udělit také v katalogu, což uživateli umožňuje vytvořit tabulku nebo pohled v jakémkoli existujícím nebo budoucím schématu v katalogu.Uživatel musí mít
USE CATALOG
také oprávnění pro nadřazený katalog aUSE SCHEMA
nadřazené schéma.CREATE MODEL
Umožňuje uživateli vytvořit ve schématu zaregistrovaný model MLflow. Vzhledem k tomu, že jsou zděděná oprávnění,
CREATE MODEL
lze také udělit v katalogu, což uživateli umožňuje vytvořit registrovaný model v jakémkoli existujícím nebo budoucím schématu v katalogu.Uživatel musí mít
USE CATALOG
také oprávnění pro nadřazený katalog aUSE SCHEMA
nadřazené schéma.CREATE PROVIDER
(Pro příjemce dat rozdílového sdílení) Vytvořte zprostředkovatele v metastoru katalogu Unity.
CREATE RECIPIENT
(Pro poskytovatele dat rozdílového sdílení) Vytvořte příjemce v metastoru katalogu Unity.
CREATE SCHEMA
Vytvořte schéma v katalogu. Uživatel také vyžaduje
USE CATALOG
oprávnění v katalogu.CREATE SHARE
(Pro poskytovatele dat rozdílového sdílení) Vytvořte sdílenou složku v metastoru katalogu Unity.
CREATE STORAGE CREDENTIAL
Vytvořte přihlašovací údaje úložiště v metastoru katalogu Unity.
CREATE TABLE
Vytvořte tabulku nebo zobrazení ve schématu. Uživatel také vyžaduje
USE CATALOG
oprávnění v katalogu aUSE SCHEMA
oprávnění ke schématu. K vytvoření externí tabulky vyžadujeCREATE EXTERNAL TABLE
uživatel také oprávnění k externímu umístění nebo přihlašovacím údajům úložiště.CREATE VOLUME
Vytvořte svazek ve schématu. Uživatel také vyžaduje
USE CATALOG
oprávnění v katalogu aUSE SCHEMA
oprávnění ke schématu. K vytvoření externího svazku vyžadujeCREATE EXTERNAL VOLUME
uživatel také oprávnění k externímu umístění.EXECUTE
Vyvolání uživatelem definované funkce Uživatel také vyžaduje
USE CATALOG
oprávnění v katalogu aUSE SCHEMA
oprávnění ke schématu.MODIFY
COPY INTO, UPDATEDELETE, INSERT nebo MERGE INTO the table.
READ FILES
Dotazujte se na soubory přímo pomocí přihlašovacích údajů úložiště nebo externího umístění.
READ VOLUME
REFRESH
Umožňuje uživateli aktualizovat materializované zobrazení, pokud má
USE CATALOG
uživatel také svůj nadřazený katalog aUSE SCHEMA
nadřazené schéma. Uživatel také vyžadujeUSE CATALOG
oprávnění v katalogu aUSE SCHEMA
oprávnění ke schématu.SELECT
Dotazování na tabulku nebo zobrazení, vyvolání uživatelem definované nebo anonymní funkce nebo výběr
ANY FILE
. Uživatel potřebujeSELECT
v tabulce, zobrazení nebo funkci aUSE CATALOG
také v katalogu objektu aUSE SCHEMA
ve schématu objektu.SET SHARE PERMISSION
V případě rozdílového sdílení toto oprávnění v kombinaci s vlastnictvím
USE SHARE
aUSE RECIPIENT
(nebo vlastnictvím příjemce) dává zprostředkovateli možnost udělit příjemci přístup ke sdílené složce. V kombinaci sUSE SHARE
tím dává možnost převést vlastnictví sdílené složky jinému uživateli, skupině nebo instančnímu objektu.USE CATALOG
Povinné, ale nestačí odkazovat na žádné objekty v katalogu. Objekt zabezpečení musí mít také oprávnění k jednotlivým zabezpečitelným objektům. Uživatel nemusí používat metadata čtení objektu
BROWSE
pomocí oprávnění.USE CONNECTION
Vyžaduje se ke čtení metadat u cizího připojení nebo všech cizích připojení při použití v metastoru.
USE MARKETPLACE ASSETS
Ve výchozím nastavení je povoleno pro všechny metastore katalogu Unity. V Databricks Marketplace toto oprávnění uživateli umožňuje získat okamžitý přístup nebo požádat o přístup k datovým produktům sdíleným v seznamu Marketplace. Umožňuje také uživateli přístup k katalogu jen pro čtení, který se vytvoří, když poskytovatel sdílí datový produkt. Bez tohoto oprávnění by uživatel vyžadoval
CREATE CATALOG
roli aUSE PROVIDER
oprávnění nebo roli správce metastoru. To vám umožní omezit počet uživatelů s těmito výkonnými oprávněními.USE PROVIDER
V režimu Delta Sharing poskytuje uživateli přístup jen pro čtení všem poskytovatelům v metastoru příjemce a jejich sdílených složkách. V kombinaci s
CREATE CATALOG
oprávněním tato oprávnění umožňuje uživateli příjemce, který není správcem metastoru, připojit sdílenou složku jako katalog. Díky tomu můžete omezit počet uživatelů s výkonnou rolí správce metastoru.USE RECIPIENT
V případě rozdílového sdílení poskytuje poskytovateli přístup jen pro čtení všem příjemcům v metastoru poskytovatele a jejich sdílených složkách. To umožňuje uživateli poskytovatele, který není správcem metastoru, zobrazit podrobnosti o příjemci, stav ověření příjemce a seznam sdílených složek, které poskytovatel sdílel s příjemcem.
V Databricks Marketplace to umožňuje uživatelům poskytovatele zobrazit výpisy a žádosti uživatelů v konzole poskytovatele.
USE SCHEMA
Povinné, ale nestačí odkazovat na žádné objekty ve schématu. Objekt zabezpečení musí mít také oprávnění k jednotlivým zabezpečitelným objektům. Uživatel nemusí používat metadata čtení objektu
BROWSE
pomocí oprávnění.USE SHARE
V případě rozdílového sdílení poskytuje poskytovateli přístup jen pro čtení ke všem sdíleným složkám definovaným v metastoru zprostředkovatele. To umožňuje uživateli poskytovatele, který není správcem metastoru, vypsat sdílené složky a vypsat prostředky (tabulky a poznámkové bloky) ve sdílené složce spolu s příjemci sdílené složky.
V Databricks Marketplace můžou uživatelé poskytovatele zobrazit podrobnosti o datech sdílených v seznamu.
WRITE FILES
Přímé kopírování do souborů, které se řídí přihlašovacími údaji úložiště nebo externím umístěním.
WRITE VOLUME
Přímo KOPÍROVAT DO souborů do svazku.
Příklady
-- Grant a privilege to the user alf@melmak.et
> GRANT SELECT ON TABLE t TO `alf@melmak.et`;
-- Revoke a privilege from the general public group.
> REVOKE USE SCHEMA ON SCHEMA some_schema FROM `alf@melmak.et`;
Související
Váš názor
https://aka.ms/ContentUserFeedback.
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu:Odeslat a zobrazit názory pro