Oprávnění a zabezpečitelné objekty v katalogu Unity

  • Článek

Platí pro:zaškrtnutí označeného ano Pouze katalog Unity Pro Databricks SQL zaškrtnutí označeného ano Databricks zaškrtnutí označeného ano

Oprávnění je právo udělené objektu zabezpečení pro provoz na zabezpečitelném objektu v metastoru. Model oprávnění a zabezpečitelné objekty se liší v závislosti na tom, jestli používáte metastore katalogu Unity nebo starší metastore Hive. Tento článek popisuje model oprávnění pro katalog Unity. Pokud používáte metastore Hive, přečtěte si téma Oprávnění a zabezpečitelné objekty v metastoru Hive.

Poznámka:

Tento článek se týká oprávnění katalogu Unity a modelu dědičnosti v modelu oprávnění verze 1.0. Pokud jste metastore katalogu Unity vytvořili během veřejné verze Preview (před 25. srpnem 2022), upgradujte na Model oprávnění verze 1.0 podle upgradu na dědičnost oprávnění.

Zabezpečitelné objekty

Zabezpečitelný objekt je objekt definovaný v metastoru katalogu Unity, ke kterému je možné udělit oprávnění objektu zabezpečení. Pokud chcete spravovat oprávnění u libovolného objektu, musíte být jeho vlastníkem.

Syntaxe

securable_object
  { CATALOG [ catalog_name ] |
    CONNECTION connection_name |
    EXTERNAL LOCATION location_name |
    FUNCTION function_name |
    METASTORE |
    SCHEMA schema_name |
    SHARE share_name |
    STORAGE CREDENTIAL credential_name |
    [ TABLE ] table_name |
    MATERIALIZED VIEW view_name |
    VIEW view_name |
    VOLUME volume_name
  }

Můžete také zadat SERVER místo CONNECTION a DATABASE místo SCHEMA.

Parametry

  • CATALOGcatalog_name

    Řídí přístup k celému katalogu dat.

  • CONNECTIONconnection_name

    Řídí přístup k připojení.

  • EXTERNAL LOCATIONlocation_name

    Řídí přístup k externímu umístění.

  • FUNCTIONfunction_name

    Řídí přístup k uživatelem definované funkci.

  • MATERIALIZED VIEWview_name

    Důležité

    Tato funkce je ve verzi Public Preview.

    Řídí přístup k materializovanému zobrazení.

  • METASTORE

    Řídí přístup k metastoru katalogu Unity připojenému k pracovnímu prostoru. Při správě oprávnění k metastoru nezahrnete název metastoru do příkazu SQL. Katalog Unity udělí nebo odvolá oprávnění k metastoru připojenému k vašemu pracovnímu prostoru.

  • REGISTERED MODEL

    Řídí přístup k registrovanému modelu MLflow.

  • SCHEMASchema_name

    Řídí přístup ke schématu.

  • STORAGE CREDENTIALcredential_name

    Řídí přístup k přihlašovacím údajům úložiště.

  • SHAREshare_name

    Řídí přístup ke sdílené složce příjemci.

  • TABLETable_name

    Řídí přístup ke spravované nebo externí tabulce. Pokud tabulku nenajdete, Azure Databricks vyvolá TABLE_OR_VIEW_NOT_FOUND chybu.

  • VIEWview_name

    Řídí přístup k zobrazení. Pokud se zobrazení nenašlo, Azure Databricks vyvolá chybu TABLE_OR_VIEW_NOT_FOUND .

  • VOLUMEvolume_name

    Řídí přístup ke svazku. Pokud se svazek nepodařilo najít, Azure Databricks vyvolá chybu.

Model dědičnosti

Zabezpečitelné objekty v katalogu Unity jsou hierarchické a oprávnění se dědí směrem dolů. To znamená, že udělení oprávnění v katalogu automaticky uděluje oprávnění všem aktuálním a budoucím schématům v katalogu. Podobně jsou oprávnění udělená schématem zděděna všemi aktuálními a budoucími tabulkami a zobrazeními v daném schématu.

Pokud například udělíte SELECT oprávnění schématu uživateli, uživateli se automaticky udělí SELECT oprávnění pro všechny aktuální a budoucí tabulky, zobrazení a materializovaná zobrazení ve schématu.

Typy oprávnění

Následující tabulka ukazuje, která oprávnění katalogu Unity jsou přidružena k tomu, ke kterým zabezpečitelným objektům katalogu Unity.

Zabezpečený Oprávnění
Metastore CREATE CATALOG, CREATE CONNECTION, , , CREATE RECIPIENTUSE MARKETPLACE ASSETSCREATE SHAREUSE RECIPIENTCREATE PROVIDERCREATE STORAGE CREDENTIALSET SHARE PERMISSIONUSE PROVIDERCREATE EXTERNAL LOCATIONUSE SHARE
Katalog ALL PRIVILEGES, APPLY TAG, BROWSE, , CREATE SCHEMAUSE CATALOG

Všichni uživatelé mají USE CATALOG ve main výchozím nastavení katalog.

Následující typy oprávnění platí pro zabezpečitelné objekty v katalogu. Tato oprávnění můžete udělit na úrovni katalogu, abyste je mohli použít pro příslušné aktuální a budoucí objekty v katalogu.

CREATE FUNCTION, CREATE TABLE, , , CREATE FOREIGN CATALOGEXECUTEREAD VOLUMESELECTCREATE VOLUMEREFRESHWRITE VOLUMEMODIFYCREATE MODELUSE SCHEMA
Schéma ALL PRIVILEGES, APPLY TAG, CREATE FUNCTION, , CREATE MODELCREATE TABLE, CREATE VOLUME, , CREATE MATERIALIZED VIEWUSE SCHEMA

Následující typy oprávnění platí pro zabezpečitelné objekty v rámci schématu. Tato oprávnění můžete udělit na úrovni schématu, abyste je mohli použít pro příslušné aktuální a budoucí objekty v rámci schématu.

EXECUTE, MODIFY, SELECT, READ VOLUME, , REFRESHWRITE VOLUME
Table ALL PRIVILEGES, APPLY TAG, , MODIFYSELECT
Materializované zobrazení ALL PRIVILEGES, APPLY TAG, , REFRESHSELECT
Zobrazení ALL PRIVILEGES, , APPLY TAGSELECT
Objem ALL PRIVILEGES, , READ VOLUMEWRITE VOLUME
Externí umístění ALL PRIVILEGES, BROWSE, CREATE EXTERNAL TABLE, CREATE EXTERNAL VOLUME, READ FILES, , WRITE FILESCREATE MANAGED STORAGE
Přihlašovací údaje úložiště ALL PRIVILEGES, CREATE EXTERNAL LOCATION, CREATE EXTERNAL TABLE, , READ FILESWRITE FILES
Connection ALL PRIVILEGES, , CREATE FOREIGN CATALOGUSE CONNECTION
Funkce ALL PRIVILEGES, EXECUTE
Registrovaný model ALL PRIVILEGES, , APPLY TAGEXECUTE
Sdílení SELECT (Může být uděleno RECIPIENT)
Příjemce Žádné
Poskytovatel Žádné

  • APPLY TAG

    Použití a úprava značek u objektu

  • ALL PRIVILEGES

    Slouží k udělení nebo odvolání všech oprávnění vztahujících se k zabezpečitelnému objektu a jeho podřízeným objektům bez jejich explicitního zadání. Tím se rozšíří na všechna dostupná oprávnění v době kontroly oprávnění. Neuděluje uživateli všechna příslušná oprávnění v okamžiku udělení.

    Pokud ALL PRIVILEGES je odvolána pouze ALL PRIVILEGES samotná oprávnění, je odvolána. Uživatelé si zachovají všechna další oprávnění, která jim byla udělena samostatně.

  • BROWSE

    Důležité

    Tato funkce je ve verzi Public Preview.

    Zobrazte metadata objektu pomocí Průzkumníka katalogu, prohlížeče schématu, výsledků hledání, grafu information_schemarodokmenu a rozhraní REST API. Uživatel nevyžaduje USE CATALOG oprávnění nadřazeného katalogu ani USE SCHEMA nadřazeného schématu.

  • CREATE CATALOG

    Umožňuje vytvářet katalogy v metastoru katalogu Unity.

  • CREATE CONNECTION

    Vytvořte cizí připojení v metastoru katalogu Unity.

  • CREATE EXTERNAL LOCATION

    Vytvořte externí umístění pomocí přihlašovacích údajů úložiště. Při použití na přihlašovací údaje úložiště umožňuje uživateli vytvořit externí umístění pomocí pověření úložiště. Toto oprávnění je také potřeba udělit uživateli v metastoru, aby mohl vytvořit externí umístění v tomto metastoru.

  • CREATE EXTERNAL TABLE

    Vytvořte externí tabulky pomocí přihlašovacích údajů úložiště nebo externího umístění.

  • CREATE EXTERNAL VOLUME

    Vytvořte externí svazky pomocí externího umístění.

  • CREATE FOREIGN CATALOG

    Vytvořte katalogy na cizím připojení. Každý cizí katalog pak zveřejní schémata dostupná v federovaného cílovém systému.

  • CREATE FUNCTION

    Vytvořte funkci ve schématu. Uživatel také vyžaduje USE CATALOG oprávnění v katalogu a USE SCHEMA oprávnění ke schématu.

  • CREATE MANAGED STORAGE

    Umožňuje uživateli zadat umístění pro ukládání spravovaných tabulek na úrovni katalogu nebo schématu a přepisovat výchozí kořenové úložiště metastoru katalogu Unity.

  • CREATE MATERIALIZED VIEW

    Umožňuje uživateli vytvořit materializované zobrazení ve schématu. Protože jsou práva dědičná, CREATE MATERIALIZED VIEW je možné udělit také v katalogu, což uživateli umožňuje vytvořit tabulku nebo pohled v jakémkoli existujícím nebo budoucím schématu v katalogu.

    Uživatel musí mít USE CATALOG také oprávnění pro nadřazený katalog a USE SCHEMA nadřazené schéma.

  • CREATE MODEL

    Umožňuje uživateli vytvořit ve schématu zaregistrovaný model MLflow. Vzhledem k tomu, že jsou zděděná oprávnění, CREATE MODEL lze také udělit v katalogu, což uživateli umožňuje vytvořit registrovaný model v jakémkoli existujícím nebo budoucím schématu v katalogu.

    Uživatel musí mít USE CATALOG také oprávnění pro nadřazený katalog a USE SCHEMA nadřazené schéma.

  • CREATE PROVIDER

    (Pro příjemce dat rozdílového sdílení) Vytvořte zprostředkovatele v metastoru katalogu Unity.

  • CREATE RECIPIENT

    (Pro poskytovatele dat rozdílového sdílení) Vytvořte příjemce v metastoru katalogu Unity.

  • CREATE SCHEMA

    Vytvořte schéma v katalogu. Uživatel také vyžaduje USE CATALOG oprávnění v katalogu.

  • CREATE SHARE

    (Pro poskytovatele dat rozdílového sdílení) Vytvořte sdílenou složku v metastoru katalogu Unity.

  • CREATE STORAGE CREDENTIAL

    Vytvořte přihlašovací údaje úložiště v metastoru katalogu Unity.

  • CREATE TABLE

    Vytvořte tabulku nebo zobrazení ve schématu. Uživatel také vyžaduje USE CATALOG oprávnění v katalogu a USE SCHEMA oprávnění ke schématu. K vytvoření externí tabulky vyžaduje CREATE EXTERNAL TABLE uživatel také oprávnění k externímu umístění nebo přihlašovacím údajům úložiště.

  • CREATE VOLUME

    Vytvořte svazek ve schématu. Uživatel také vyžaduje USE CATALOG oprávnění v katalogu a USE SCHEMA oprávnění ke schématu. K vytvoření externího svazku vyžaduje CREATE EXTERNAL VOLUME uživatel také oprávnění k externímu umístění.

  • EXECUTE

    Vyvolání uživatelem definované funkce Uživatel také vyžaduje USE CATALOG oprávnění v katalogu a USE SCHEMA oprávnění ke schématu.

  • MODIFY

    COPY INTO, UPDATEDELETE, INSERT nebo MERGE INTO the table.

  • READ FILES

    Dotazujte se na soubory přímo pomocí přihlašovacích údajů úložiště nebo externího umístění.

  • READ VOLUME

    Dotazování souborů ve svazku

  • REFRESH

    Umožňuje uživateli aktualizovat materializované zobrazení, pokud má USE CATALOG uživatel také svůj nadřazený katalog a USE SCHEMA nadřazené schéma. Uživatel také vyžaduje USE CATALOG oprávnění v katalogu a USE SCHEMA oprávnění ke schématu.

  • SELECT

    Dotazování na tabulku nebo zobrazení, vyvolání uživatelem definované nebo anonymní funkce nebo výběr ANY FILE. Uživatel potřebuje SELECT v tabulce, zobrazení nebo funkci a USE CATALOG také v katalogu objektu a USE SCHEMA ve schématu objektu.

  • SET SHARE PERMISSION

    V případě rozdílového sdílení toto oprávnění v kombinaci s vlastnictvím USE SHARE a USE RECIPIENT (nebo vlastnictvím příjemce) dává zprostředkovateli možnost udělit příjemci přístup ke sdílené složce. V kombinaci s USE SHAREtím dává možnost převést vlastnictví sdílené složky jinému uživateli, skupině nebo instančnímu objektu.

  • USE CATALOG

    Povinné, ale nestačí odkazovat na žádné objekty v katalogu. Objekt zabezpečení musí mít také oprávnění k jednotlivým zabezpečitelným objektům. Uživatel nemusí používat metadata čtení objektu BROWSE pomocí oprávnění.

  • USE CONNECTION

    Vyžaduje se ke čtení metadat u cizího připojení nebo všech cizích připojení při použití v metastoru.

  • USE MARKETPLACE ASSETS

    Ve výchozím nastavení je povoleno pro všechny metastore katalogu Unity. V Databricks Marketplace toto oprávnění uživateli umožňuje získat okamžitý přístup nebo požádat o přístup k datovým produktům sdíleným v seznamu Marketplace. Umožňuje také uživateli přístup k katalogu jen pro čtení, který se vytvoří, když poskytovatel sdílí datový produkt. Bez tohoto oprávnění by uživatel vyžadoval CREATE CATALOG roli a USE PROVIDER oprávnění nebo roli správce metastoru. To vám umožní omezit počet uživatelů s těmito výkonnými oprávněními.

  • USE PROVIDER

    V režimu Delta Sharing poskytuje uživateli přístup jen pro čtení všem poskytovatelům v metastoru příjemce a jejich sdílených složkách. V kombinaci s CREATE CATALOG oprávněním tato oprávnění umožňuje uživateli příjemce, který není správcem metastoru, připojit sdílenou složku jako katalog. Díky tomu můžete omezit počet uživatelů s výkonnou rolí správce metastoru.

  • USE RECIPIENT

    V případě rozdílového sdílení poskytuje poskytovateli přístup jen pro čtení všem příjemcům v metastoru poskytovatele a jejich sdílených složkách. To umožňuje uživateli poskytovatele, který není správcem metastoru, zobrazit podrobnosti o příjemci, stav ověření příjemce a seznam sdílených složek, které poskytovatel sdílel s příjemcem.

    V Databricks Marketplace to umožňuje uživatelům poskytovatele zobrazit výpisy a žádosti uživatelů v konzole poskytovatele.

  • USE SCHEMA

    Povinné, ale nestačí odkazovat na žádné objekty ve schématu. Objekt zabezpečení musí mít také oprávnění k jednotlivým zabezpečitelným objektům. Uživatel nemusí používat metadata čtení objektu BROWSE pomocí oprávnění.

  • USE SHARE

    V případě rozdílového sdílení poskytuje poskytovateli přístup jen pro čtení ke všem sdíleným složkám definovaným v metastoru zprostředkovatele. To umožňuje uživateli poskytovatele, který není správcem metastoru, vypsat sdílené složky a vypsat prostředky (tabulky a poznámkové bloky) ve sdílené složce spolu s příjemci sdílené složky.

    V Databricks Marketplace můžou uživatelé poskytovatele zobrazit podrobnosti o datech sdílených v seznamu.

  • WRITE FILES

    Přímé kopírování do souborů, které se řídí přihlašovacími údaji úložiště nebo externím umístěním.

  • WRITE VOLUME

    Přímo KOPÍROVAT DO souborů do svazku.

Příklady

-- Grant a privilege to the user alf@melmak.et
> GRANT SELECT ON TABLE t TO `alf@melmak.et`;

-- Revoke a privilege from the general public group.
> REVOKE USE SCHEMA ON SCHEMA some_schema FROM `alf@melmak.et`;