Unity Catalog-Berechtigungen und sicherungsfähige Objekte
In diesem Artikel werden die sicherungsfähigen Objekte des Unity-Katalogs und die Berechtigungen beschrieben, die für sie gelten. Erfahren Sie, wie Sie Berechtigungen in Unity Catalog erteilen unter Anzeigen, Erteilen und Widerrufen von Berechtigungen.
Hinweis
Dieser Artikel bezieht sich auf die Unity Catalog-Berechtigungen und das Vererbungsmodell in Version 1.0 des Berechtigungsmodells (Privilege Model). Wenn Sie ihren Unity-Katalogmetastore während der öffentlichen Vorschau (vor dem 25. August 2022) erstellt haben, verwenden Sie möglicherweise ein früheres Berechtigungsmodell, welches das aktuelle Vererbungsmodell nicht unterstützt. Sie können ein Upgrade auf das Berechtigungsmodell, Version 1.0, durchführen, um die Berechtigungsvererbung zu erhalten. Siehe Upgrade auf Berechtigungsvererbung.
Sicherungsfähige Objekte in Unity Catalog
Ein sicherungsfähiges Objekt ist ein Objekt, das im Unity-Katalogmetastore definiert ist, für das Berechtigungen einem Prinzipal (Benutzer, Dienstprinzipal oder Gruppe) gewährt werden können. Sicherungsfähige Objekte in Unity Catalog sind hierarchisch.
Sicherungsfähige Objekte sind:
METASTORE: Der Container der obersten Ebene für Metadaten. Jeder Unity Catalog-Metastore macht einen Namespace mit drei Ebenen (
catalog.schema.table) verfügbar, der Ihre Daten organisiert.Wenn Sie Berechtigungen für einen Metastore verwalten, beziehen Sie den Metastorenamen nicht in einen SQL-Befehl mit ein. Unity Catalog gewährt oder widerruft die Berechtigung für den an Ihren Arbeitsbereich angefügten Metastore. Der folgende Befehl beispielsweise gewährt der Gruppe Engineering die Möglichkeit zum Erstellen eines Katalogs in dem Metastore, der an den Arbeitsbereich angefügt ist:
GRANT CREATE CATALOG ON METASTORE TO engineeringKATALOG: Die erste Ebene der Objekthierarchie, die zum Organisieren Ihrer Datenressourcen verwendet wird. Ein Fremdkatalog ist ein spezieller Katalogtyp, der in einem Lakehouse-Verbundszenario eine Datenbank in einem externen Datensystem widerspiegelt.
SCHEMA: Schemas (auch als „Datenbanken“ bezeichnet) sind die zweite Ebene der Objekthierarchie und enthalten Tabellen und Sichten.
TABELLE: Tabellen stellen die niedrigste Ebene in der Objekthierarchie dar und können sein: externe Tabellen (an externen Speicherorten in einem Cloudspeicher Ihrer Wahl gespeichert) oder verwaltete Tabellen (in einem Speichercontainer in Ihrem Cloudspeicher gespeichert, den Sie ausdrücklich für Azure Databricks erstellen).
ANSICHT: Ein aus einer Abfrage auf einer oder mehreren Tabellen erstelltes schreibgeschütztes Objekt, das in einem Schema enthalten ist.
MATERIALISIERTE SICHT: Ein Objekt, das aus einer Abfrage in einer oder mehreren Tabellen erstellt wurde, die in einem Schema enthalten sind. Die Ergebnisse spiegeln den Status der Daten wider, als sie zuletzt aktualisiert wurden.
VOLUME: Volumes stellen die unterste Ebene der Objekthierarchie dar und können externe Volumes (an externen Speicherorten in einem Cloudspeicher Ihrer Wahl gespeichert) oder verwaltete Volumes (in einem Speichercontainer in Ihrem Cloudspeicher gespeichert, den Sie ausdrücklich für Azure Databricks erstellen) sein.
REGISTRIERTES MODELL: Ein bei MLflow registriertes Modell, das in einem Schema enthalten ist.
FUNCTION: Eine benutzerdefinierte Funktion, die in einem Schema enthalten ist. Weitere Informationen finden Sie unter User-defined functions (UDFs) in Unity Catalog (Benutzerdefinierte Funktionen (UDFs) in Unity Catalog).
EXTERNAL LOCATION: Ein Objekt mit einem Verweis auf Speicheranmeldeinformationen und einem Cloudspeicherpfad, der in einem Unity Catalog-Metastore enthalten ist.
STORAGE CREDENTIAL: Ein Objekt, das langfristige Cloudanmeldeinformationen kapselt, die Zugriff auf den in einem Unity Catalog-Metastore enthaltenen Cloudspeicher bieten.
CONNECTION: Ein Objekt, das einen Pfad und Anmeldeinformationen für den Zugriff auf ein externes Datenbanksystem in einem Lakehouse-Verbundszenario angibt.
FREIGABE: Eine logische Gruppierung für die Tabellen, die Sie mithilfe von Delta Sharing freigeben möchten. Eine Freigabe ist in einem Unity Catalog-Metastore enthalten.
EMPFÄNGER: Ein Objekt, das eine Organisation oder eine Gruppe von Benutzern identifiziert, für die Daten mithilfe von Delta Sharing freigegeben werden können. Diese Objekte sind in einem Unity Catalog-Metastore enthalten.
ANBIETER: Ein Objekt, das eine Organisation darstellt, die Daten für die Freigabe mithilfe von Delta Sharing verfügbar gemacht hat. Diese Objekte sind in einem Unity Catalog-Metastore enthalten.
Berechtigungstypen nach sicherungsfähigem Objekt in Unity Catalog
In der folgenden Tabelle sind die Berechtigungstypen aufgeführt, die für jedes sicherungsfähige Objekt in Unity Catalog gelten. Erfahren Sie, wie Sie Berechtigungen in Unity Catalog erteilen unter Anzeigen, Erteilen und Widerrufen von Berechtigungen.
| Sicherungsfähig | Rechte |
|---|---|
| Metastore | CREATE CATALOG, CREATE CONNECTION, CREATE EXTERNAL LOCATION, CREATE PROVIDER, CREATE RECIPIENT, CREATE SHARE, CREATE STORAGE CREDENTIAL, SET SHARE PERMISSION, USE MARKETPLACE ASSETS, USE PROVIDER, USE RECIPIENT, USE SHARE |
| Katalog | ALL PRIVILEGES, APPLY TAG, BROWSE, CREATE SCHEMA, USE CATALOGAlle Benutzer verfügen standardmäßig über USE CATALOG für den main-Katalog.Die folgenden Berechtigungstypen gelten für sicherungsfähige Objekte in einem Katalog. Sie können diese Berechtigungen auf Katalogebene gewähren, um sie auf die relevanten aktuellen und zukünftigen Objekte im Katalog anzuwenden. CREATE FUNCTION, CREATE TABLE, CREATE MODEL, CREATE VOLUME, CREATE FOREIGN CATALOG, READ VOLUME, REFRESH, WRITE VOLUME, EXECUTE, MODIFY, SELECT, USE SCHEMA |
| Schema | ALL PRIVILEGES, APPLY TAG, CREATE FUNCTION, CREATE TABLE, CREATE MODEL, CREATE VOLUME, CREATE MATERIALIZED VIEW, USE SCHEMADie folgenden Berechtigungstypen gelten für sicherungsfähige Objekte in einem Schema. Sie können diese Berechtigungen auf Schemaebene gewähren, um sie auf die relevanten aktuellen und zukünftigen Objekte im Schema anzuwenden. EXECUTE, MODIFY, SELECT, READ VOLUME, REFRESH, WRITE VOLUME |
| Tabelle | ALL PRIVILEGES, APPLY TAG, MODIFY, SELECT |
| Materialisierte Sicht | ALL PRIVILEGES, APPLY TAG, REFRESH, SELECT |
| Sicht | ALL PRIVILEGES, APPLY TAG, SELECT |
| Volume | ALL PRIVILEGES, READ VOLUME, WRITE VOLUME |
| Externer Speicherort | ALL PRIVILEGES, BROWSE, CREATE EXTERNAL TABLE, CREATE EXTERNAL VOLUME, READ FILES, WRITE FILES, CREATE MANAGED STORAGE |
| Speicheranmeldeinformationen | ALL PRIVILEGES, CREATE EXTERNAL LOCATION, CREATE EXTERNAL TABLE, READ FILES, WRITE FILES |
| Verbindung | ALL PRIVILEGES, CREATE FOREIGN CATALOG, USE CONNECTION |
| Funktion | ALL PRIVILEGES, EXECUTE |
| Registriertes Modell | ALL PRIVILEGES, APPLY TAG, EXECUTE |
| Freigabe | SELECT (kann gewährt RECIPIENT werden) |
| Recipient | Keine |
| Anbieter | Keine |
Allgemeine Unity Catalog-Berechtigungstypen
Dieser Abschnitt enthält Details zu den Berechtigungstypen, die im Allgemeinen für Unity Catalog gelten. Erfahren Sie, wie Sie Berechtigungen in Unity Catalog erteilen unter Anzeigen, Erteilen und Widerrufen von Berechtigungen.
ALLE BERECHTIGUNGEN
Anwendbare Objekttypen: CATALOG, EXTERNAL LOCATION, STORAGE CREDENTIAL, SCHEMA, FUNCTION, REGISTERED MODEL, TABLE, MATERIALIZED VIEW, VIEW,VOLUME
Wird zum Gewähren oder Widerrufen aller Berechtigungen verwendet, die für die sicherungsfähigen Objekte und deren untergeordnete Objekte gelten, ohne sie explizit anzugeben.
Wenn ALL PRIVILEGES für ein Objekt erteilt wird, wird Benutzer*innen zum Zeitpunkt der Erteilung nicht jede anwendbare Berechtigung einzeln gewährt. Stattdessen wird dies zum Zeitpunkt der Berechtigungsprüfungen auf alle verfügbaren Berechtigungen erweitert.
Wenn ALL PRIVILEGES widerrufen wird, wird die Berechtigung ALL PRIVILEGES widerrufen, und alle expliziten Berechtigungen, die Benutzer*innen für das Objekt gewährt werden, werden ebenfalls widerrufen.
Hinweis
Diese Berechtigung ist leistungsstark, wenn sie auf höheren Ebenen in der Hierarchie angewendet wird. Ein Beispiel: GRANT ALL PRIVILEGES FÜR CATALOG main TO (ALLE BERECHTIGUNGEN FÜR KATALOG „main“ GEWÄHREN FÜR) analysts würde dem Analystenteam sämtliche Berechtigungen für jedes Objekt (Schemas, Tabellen, Ansichten, Funktionen) im Katalog gewähren.
APPLY TAG
Anwendbare Objekttypen: CATALOG, SCHEMA, REGISTERED MODEL, TABLE, MATERIALIZED VIEW, VIEW
Ermöglicht Benutzer*innen das Hinzufügen von Tags zu einem Objekt sowie das Bearbeiten von Tags. Das Festlegen von APPLY TAG für eine Tabelle oder Sicht ermöglicht auch die Spaltenmarkierung.
Der Benutzer muss auch über die USE CATALOG Berechtigung im übergeordneten Katalog und USE SCHEMAdie Berechtigung im übergeordneten Schema verfügen.
BROWSE
Anwendbare Objekttypen: CATALOG, EXTERNAL LOCATION
Wichtig
Dieses Feature befindet sich in der Public Preview.
Gewährt die Berechtigung, die Metadaten eines Objekts über den Katalog-Explorer, den Schemabrowser, die Suchergebnisse, das Herkunftsdiagramm, information_schema und die REST-API anzuzeigen.
Die Berechtigung USE CATALOG für den übergeordneten Katalog und die Berechtigung USE SCHEMA für das übergeordnete Schema sind nicht erforderlich.
CREATE CATALOG
Anwendbare Objekttypen: Unity Catalog-Metastore
Ermöglicht es einem Benutzer, einen Katalog in einem Unity Catalog-Metastore zu erstellen. Um einen Fremdkatalog zu erstellen, müssen Sie auch über die Berechtigung CREATE FOREIGN CATALOG für die Verbindung verfügen, die den Fremdkatalog enthält, oder für den Metastore.
CREATE CONNECTION
Anwendbare Objekttypen: Unity Catalog-Metastore
Gewährt die Berechtigung, eine Verbindung mit einer externen Datenbank in einem Lakehouse Federation-Szenario herzustellen.
CREATE EXTERNAL LOCATION
Anwendbare Objekttypen: Unity Catalog-Metastore, STORAGE CREDENTIAL
Um einen externen Speicherort zu erstellen, muss der/die Benutzer*in über diese Berechtigung sowohl für den Metastore als auch für die Speicheranmeldeinformationen verfügen, auf die im externen Speicherort verwiesen wird.
CREATE EXTERNAL TABLE
Anwendbare Objekttypen: EXTERNAL LOCATION, STORAGE CREDENTIAL
Ermöglicht es einem Benutzer, externe Tabellen mithilfe eines externen Speicherorts oder mithilfe von Speicheranmeldeinformationen direkt in Ihrem Cloudmandanten zu erstellen. Databricks empfiehlt, diese Berechtigung für einen externen Speicherort und nicht für Speicheranmeldeinformationen zu erteilen (da sie für einen Pfad gilt, ermöglicht sie mehr Kontrolle darüber, wo Benutzer externe Tabellen in Ihrem Cloudmandanten erstellen können).
CREATE EXTERNAL VOLUME
Anwendbare Objekttypen: EXTERNAL LOCATION
Gewährt die Berechtigung, externe Volumes unter Verwendung eines externen Speicherorts zu erstellen.
CREATE FOREIGN CATALOG
Anwendbare Objekttypen: CONNECTION
Gewährt die Berechtigung, Fremdkataloge mithilfe einer Verbindung mit einer externen Datenbank in einem Lakehouse Federation-Szenario zu erstellen.
CREATE FUNCTION
Anwendbare Objekttypen: SCHEMA
Ermöglicht es einem Benutzer, eine Funktion im Schema zu erstellen. Weil Berechtigungen vererbt werden, kann CREATE FUNCTION auch für einen Katalog gewährt werden. Dies ermöglicht es einem Benutzer, eine Funktion in jedem beliebigen vorhandenen oder zukünftigen Schema im Katalog zu erstellen.
Der Benutzer muss auch über die USE CATALOG Berechtigung im übergeordneten Katalog und USE SCHEMAdie Berechtigung im übergeordneten Schema verfügen.
CREATE MODEL
Anwendbare Objekttypen: SCHEMA
Ermöglicht es einem Benutzer, ein bei MLflow registriertes Modell im Schema zu erstellen. Da Berechtigungen vererbt werden, kann CREATE MODEL auch für einen Katalog gewährt werden. Dies ermöglicht es einem Benutzer, ein registriertes Modell in jedem beliebigen vorhandenen oder zukünftigen Schema im Katalog zu erstellen.
Der Benutzer muss auch über die USE CATALOG Berechtigung im übergeordneten Katalog und USE SCHEMAdie Berechtigung im übergeordneten Schema verfügen.
CREATE MANAGED STORAGE
Anwendbare Objekttypen: EXTERNAL LOCATION
Ermöglicht einem Benutzer das Angeben eines Speicherorts für verwaltete Tabellen auf Katalog- oder Schemaebene, wobei der Standardstammspeicher für den Metastore außer Kraft gesetzt wird.
CREATE SCHEMA
Anwendbare Objekttypen: CATALOG
Ermöglicht es einem Benutzer, ein Schema zu erstellen. Der Benutzer muss auch über die Berechtigung USE CATALOG im Katalog verfügen.
SPEICHERANMELDEINFORMATIONEN ERSTELLEN
Anwendbare Objekttypen: Unity Catalog-Metastore
Ermöglicht einem Benutzer das Erstellen von Speicheranmeldeinformationen in einem Unity Catalog-Metastore.
Einem Dienstprinzipal kann weder eine Microsoft Entra-ID (vormals Azure Active Directory) noch ein systemeigener Azure Databricks-Dienstprinzipal gewährt werden.
CREATE TABLE
Anwendbare Objekttypen: SCHEMA
Ermöglicht es einem Benutzer, eine Tabelle oder Ansicht im Schema zu erstellen. Da Berechtigungen vererbt werden, kann CREATE TABLE auch für einen Katalog gewährt werden. Dies ermöglicht es einem Benutzer, eine Tabelle oder Ansicht in jedem beliebigen vorhandenen oder zukünftigen Schema im Katalog zu erstellen.
Der Benutzer muss auch über die Berechtigung USE CATALOG im übergeordneten Katalog und die Berechtigung USE SCHEMA im übergeordneten Schema verfügen.
CREATE MATERIALIZED VIEW
Wichtig
Dieses Feature befindet sich in der Public Preview.
Anwendbare Objekttypen: SCHEMA
Ermöglicht es einem Benutzer, eine materialisierte Sicht im Schema zu erstellen. Da Berechtigungen vererbt werden, kann CREATE MATERIALIZED VIEW auch für einen Katalog gewährt werden. Dies ermöglicht es einem Benutzer, eine Tabelle oder Ansicht in jedem beliebigen vorhandenen oder zukünftigen Schema im Katalog zu erstellen.
Der Benutzer muss auch über die Berechtigung USE CATALOG im übergeordneten Katalog und die Berechtigung USE SCHEMA im übergeordneten Schema verfügen.
CREATE VOLUME
Anwendbare Objekttypen: SCHEMA
Ermöglicht es Benutzer*innen, eine Tabelle im Schema zu erstellen. Weil Berechtigungen vererbt werden, kann CREATE VOLUME auch für einen Katalog gewährt werden. Dies ermöglicht es Benutzer*innen, ein Volume in jedem beliebigen vorhandenen oder zukünftigen Schema im Katalog zu erstellen.
Die Benutzer*innen müssen auch über die Berechtigung USE CATALOG im übergeordneten Katalog und die Berechtigung USE SCHEMA im übergeordneten Schema verfügen.
Führen Sie
Anwendbare Objekttypen: FUNCTION, REGISTERED MODEL
Ermöglicht es einem Benutzer, eine benutzerdefinierte Funktion aufzurufen oder ein Modell für den Rückschluss zu laden, wenn er außerdem die Berechtigung USE CATALOG für seinen übergeordneten Katalog und die Berechtigung USE SCHEMA für sein übergeordnetes Schema hat. EXECUTE gewährt Funktionen die Möglichkeit, die Funktionsdefinition und Metadaten anzuzeigen. Bei registrierten Modellen ermöglicht EXECUTE das Anzeigen der Metadaten für alle Versionen des registrierten Modells und das Herunterladen von Modelldateien.
Weil Berechtigungen vererbt werden, können Sie einem Benutzer die Berechtigung EXECUTE für einen Katalog oder ein Schema gewähren. Dadurch wird ihm automatisch die Berechtigung EXECUTE für alle aktuellen und zukünftigen Funktionen im Katalog oder Schema gewährt.
POSITIVLISTE VERWALTEN
Anwendbare Objekttypen: Unity Catalog-Metastore
Ermöglicht es einem Benutzer, Pfade für Initialisierungsskripts, JARs und Maven-Koordinaten in der Positivliste hinzuzufügen oder zu ändern, die Unity Catalog-fähige Cluster mit freigegebenem Zugriffsmodus steuert. Weitere Informationen finden Sie unter Positivliste von Bibliotheken und Initialisierungsskripts auf freigegebenem Compute.
MODIFY
Anwendbare Objekttypen: TABLE
Ermöglicht einem Benutzer das Hinzufügen zu, Aktualisieren in oder Löschen von Daten aus der Tabelle, wenn er auch die Berechtigung SELECT für die Tabelle sowie die Berechtigung USE CATALOG für seinen übergeordneten Katalog und die Berechtigung USE SCHEMA für sein übergeordnetes Schema hat.
Weil Berechtigungen vererbt werden, können Sie einem Benutzer die Berechtigung MODIFY für einen Katalog oder ein Schema gewähren. Dadurch wird ihm automatisch die Berechtigung MODIFY für alle aktuellen und zukünftigen Tabellen im Katalog oder Schema gewährt.
READ FILES
Anwendbare Objekttypen: VOLUME, EXTERNAL LOCATION
Ermöglicht einem Benutzer, Dateien direkt aus Ihrem Cloudobjektspeicher zu lesen. Databricks empfiehlt, diese Berechtigung für Volumes und für begrenzte Anwendungsfälle an externen Standorten zu erteilen. Weitere Anleitungen finden Sie unter Verwalten externer Standorte, externer Tabellen und externer Volumes.
READ VOLUME
Anwendbare Objekttypen: VOLUME
Erlaubt Benutzer*innen das Lesen von Dateien und Verzeichnissen, die in einem Volume gespeichert sind, wenn sie auch die Berechtigung USE CATALOG für den übergeordneten Katalog und USE SCHEMA für das übergeordnete Schema haben.
Berechtigungen werden geerbt. Wenn Sie Benutzer*innen die Berechtigung READ VOLUME für einen Katalog oder ein Schema gewähren können, erteilen Sie ihnen automatisch die Berechtigung READ VOLUME für alle aktuellen und zukünftigen Volumes im Katalog oder Schema.
SELECT
Anwendbare Objekttypen: TABLE, VIEW, MATERIALIZED VIEW, SHARE
Wird diese Berechtigung auf eine Tabelle oder Ansicht angewendet, kann ein Benutzer aus dieser Tabelle oder Ansicht auswählen, wenn er auch die Berechtigung USE CATALOG für seinen übergeordneten Katalog und die Berechtigung USE SCHEMA für sein übergeordnetes Schema hat. Wird sie auf eine Freigabe angewendet, kann ein Empfänger daraus auswählen.
Weil Berechtigungen vererbt werden, können Sie einem Benutzer die Berechtigung SELECT für einen Katalog oder ein Schema gewähren. Dadurch wird ihm automatisch die Berechtigung SELECT für alle aktuellen und zukünftigen Tabellen und Ansichten im Katalog oder Schema gewährt.
USE CATALOG
Anwendbare Objekttypen: CATALOG
Diese Berechtigung gewährt keinen Zugriff auf den Katalog selbst, ist aber erforderlich, damit ein Benutzer mit jedem beliebigen Objekt im Katalog interagieren kann. Um beispielsweise Daten aus einer Tabelle auswählen zu können, müssen Benutzer die Berechtigung SELECT für diese Tabelle sowie USE CATALOG-Berechtigungen für dessen übergeordneten Katalog und USE SCHEMA-Berechtigungen für dessen übergeordnetes Schema haben.
Dies ist nützlich, damit Katalogbesitzer einschränken können, inwieweit einzelne Schema- und Tabellenbesitzer die von ihnen generierten Daten freigeben dürfen. Ein Beispiel: Ein Tabellenbesitzer, der einem anderen Benutzer die Berechtigung SELECT gewährt, erlaubt diesem Benutzer keinen Lesezugriff auf die Tabelle, außer wenn ihm auch USE CATALOG-Berechtigungen für seinen übergeordneten Katalog und USE SCHEMA-Berechtigungen für sein übergeordnetes Schema gewährt wurden.
Die Berechtigung USE CATALOG für den übergeordneten Katalog ist nicht erforderlich, um die Metadaten eines Objekts zu lesen, wenn die Berechtigung BROWSE für diesen Katalog vorliegt.
USE CONNECTION
Anwendbare Objekttypen: CONNECTION
Erlaubt Benutzer*innen das Auflisten und Anzeigen von Details zu Verbindungen mit einer externen Datenbank in einem Lakehouse-Verbundszenario. Um Fremdkataloge für eine Verbindung erstellen zu können, müssen Sie über die Berechtigung CREATE FOREIGN CATALOG für die Verbindung verfügen oder den Besitzer der Verbindung sein.
USE SCHEMA
Anwendbare Objekttypen: SCHEMA
Diese Berechtigung gewährt keinen Zugriff auf das Schema selbst, ist aber erforderlich, damit ein Benutzer mit jedem beliebigen Objekt innerhalb des Schemas interagieren kann. Um beispielsweise Daten aus einer Tabelle auswählen zu können, müssen Benutzer die Berechtigung SELECT für diese Tabelle sowie USE SCHEMA-Berechtigungen für dessen übergeordnetes Schema und USE CATALOG-Berechtigungen für dessen übergeordneten Katalog haben.
Weil Berechtigungen vererbt werden, können Sie einem Benutzer die Berechtigung USE SCHEMA für einen Katalog gewähren. Dadurch wird ihm automatisch die Berechtigung USE SCHEMA für alle aktuellen und zukünftigen Schemas im Katalog gewährt.
Die Berechtigung USE SCHEMA für das übergeordnete Schema ist nicht erforderlich, um die Metadaten eines Objekts zu lesen, wenn die Berechtigung BROWSE für dieses Schema oder das übergeordnete Schema vorliegt.
WRITE FILES
Anwendbare Objekttypen: VOLUME,EXTERNAL LOCATION
Ermöglicht es einem Benutzer, Dateien direkt in Ihren Cloudobjektspeicher zu schreiben. Databricks empfiehlt, diese Berechtigung für Volumes zu erteilen. Gewähren Sie diese Berechtigung sparsam für externe Standorte. Weitere Anleitungen finden Sie unter Verwalten externer Standorte, externer Tabellen und externer Volumes.
WRITE VOLUME
Anwendbare Objekttypen: VOLUME
Erlaubt Benutzer*innen das Hinzufügen, Entfernen oder Ändern von Dateien und Verzeichnissen, die in einem Volume gespeichert sind, wenn sie auch über die Berechtigung USE CATALOG für den übergeordneten Katalog und USE SCHEMA für das übergeordneten Schema verfügen.
Berechtigungen werden geerbt. Wenn Sie Benutzer*innen die Berechtigung WRITE VOLUME für einen Katalog oder ein Schema gewähren können, erteilen Sie ihnen automatisch die Berechtigung WRITE VOLUME für alle aktuellen und zukünftigen Volumes im Katalog oder Schema.
REFRESH
Anwendbare Objekttypen: MATERIALIZED VIEW
Ermöglicht es einem Benutzer, eine materialisierte Sicht zu aktualisieren, wenn der Benutzer auch USE CATALOG im übergeordneten Katalog und USE SCHEMA im übergeordneten Schema hat.
Berechtigungen werden geerbt. Wenn Sie Benutzer*innen die Berechtigung REFRESH für einen Katalog oder ein Schema gewähren können, erteilen Sie ihnen automatisch die Berechtigung REFRESH für alle aktuellen und zukünftigen materialisierten Sichten im Katalog oder Schema.
Berechtigungstypen, die nur für Delta Sharing (Deltafreigabe) oder Databricks Marketplace gelten
Dieser Abschnitt enthält Details zu den Berechtigungstypen, die nur für Delta-Freigabe gelten.
CREATE PROVIDER
Anwendbare Objekttypen: Unity Catalog-Metastore
Ermöglicht einem Benutzer das Erstellen eines Delta Sharing-Anbieterobjekts im Metastore. Ein Anbieter identifiziert eine Organisation oder eine Benutzergruppe, die Daten über Delta Sharing freigegeben hat. Die Erstellung des Anbieters wird von einem Benutzer im Databricks-Konto des Empfängers ausgeführt. Weitere Informationen unter Sicheres Freigeben von Daten und KI-Ressourcen mithilfe von Delta Sharing.
CREATE RECIPIENT
Anwendbare Objekttypen: Unity Catalog-Metastore
Ermöglicht einem Benutzer das Erstellen eines Delta Sharing-Empfängerobjekts im Metastore. Ein Empfänger identifiziert eine Organisation oder eine Gruppe von Benutzern, für die Daten mithilfe von Delta Sharing freigegeben werden können. Die Erstellung des Empfängers wird von einem Benutzer im Databricks-Konto des Anbieters ausgeführt. Weitere Informationen unter Sicheres Freigeben von Daten und KI-Ressourcen mithilfe von Delta Sharing.
CREATE SHARE
Anwendbare Objekttypen: Unity Catalog-Metastore
Ermöglicht es einem Benutzer, eine Freigabe im Metastore zu erstellen. Eine Freigabe ist eine logische Gruppierung für die Tabellen, die Sie mithilfe von Delta Sharing freigeben möchten.
FREIGABEBERECHTIGUNG FESTLEGEN
Anwendbare Objekttypen: Unity Catalog-Metastore
In Delta Sharing gibt diese Berechtigung in Kombination mit USE SHARE und USE RECIPIENT (oder Empfängerbesitz) Anbieterbenutzer*innen die Möglichkeit, Empfänger*innen Zugriff auf eine Freigabe zu gewähren. In Kombination mit USE SHARE können Sie das Eigentum einer Freigabe auf einen anderen Benutzer, eine Gruppe oder einen Dienstprinzipal übertragen.
USE MARKETPLACE ASSETS
Anwendbare Objekttypen: Unity Catalog-Metastore
Standardmäßig für alle Unity Catalog-Metastores aktiviert. Gibt Benutzer*innen im Databricks Marketplace die Möglichkeit, sofortigen Zugriff zu erhalten oder Zugriff auf Datenprodukte anzufordern, die in einem Marketplace-Eintrag freigegeben sind. Außerdem kann ein Benutzer auf den schreibgeschützten Katalog zugreifen, der erstellt wird, wenn ein Anbieter ein Datenprodukt freigibt. Ohne diese Berechtigung benötigt der Benutzer die Berechtigungen CREATE CATALOG und USE PROVIDER oder die Metastore-Administratorrolle. Dadurch können Sie die Anzahl der Benutzer mit diesen mächtigen Berechtigungen begrenzen.
ANBIETER VERWENDEN
Anwendbare Objekttypen: Unity Catalog-Metastore
Gewährt in Delta Sharing einem Empfängerbenutzer schreibgeschützten Zugriff auf alle Anbieter in einem Empfänger-Metastore und deren Freigaben. In Kombination mit der CREATE CATALOG-Berechtigung ermöglicht diese Berechtigung einem Empfängerbenutzer, der kein Metastore-Administrator ist, das Einbinden einer Freigabe als Katalog. Dadurch können Sie die Anzahl der Benutzer mit der Metastore-Administratorrolle begrenzen, die viele Berechtigungen umfasst.
EMPFÄNGER VERWENDEN
Anwendbare Objekttypen: Unity Catalog-Metastore
Gewährt in Delta Sharing einem Anbieterbenutzer schreibgeschützten Zugriff auf alle Empfänger in einem Anbieter-Metastore und deren Freigaben. Dadurch kann ein Anbieterbenutzer, der kein Metastore-Administrator ist, Empfängerdetails, den Status der Empfängerauthentifizierung und die Liste der Freigaben anzeigen, die der Anbieter für den Empfänger freigegeben hat.
Im Databricks Marketplace können Anbieterbenutzer Auflistungen und Consumeranforderungen in der Anbieterkonsole anzeigen.
VERWENDEN DER FREIGABE
Anwendbare Objekttypen: Unity Catalog-Metastore
Gewährt in Delta Sharing einem Anbieterbenutzer schreibgeschützten Zugriff auf alle Freigaben, die in einem Anbieter-Metastore definiert sind. Dadurch kann ein Anbieterbenutzer, der kein Metastore-Administrator ist, Freigaben auflisten und die Ressourcen (Tabellen und Notebooks) in einer Freigabe zusammen mit den Empfängern der Freigabe auflisten.
Im Databricks Marketplace können Anbieterbenutzer so Details zu den in einem Eintrag freigegebenen Daten anzeigen.
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für