Administración de la propiedad de objetos de Unity Catalog

Cada objeto protegible de Unity Catalog tiene un propietario. El propietario puede ser cualquier entidad de seguridad: un usuario, una entidad de servicio o un grupo de cuentas. La entidad de seguridad que crea un objeto se convierte en su propietario inicial. El propietario de un objeto tiene todos los privilegios en el objeto, como SELECT y MODIFY en una tabla, así como el permiso para conceder privilegios a otras entidades de seguridad. El propietario de un objeto tiene la capacidad de anular el objeto.

Privilegios de propietario

A los propietarios de un objeto se les conceden automáticamente todos los privilegios en ese objeto. Además, los propietarios de objetos pueden conceder privilegios en el propio objeto y en todos sus objetos secundarios. Esto significa que los propietarios de un esquema no tienen automáticamente todos los privilegios en las tablas del esquema, pero pueden concederse privilegios a sí mismos en las tablas del esquema.

Propiedad del metastore y catálogo

Los administradores de metastore son los propietarios del metastore. El rol de administrador de metastore es opcional. Los administradores de metastore pueden reasignar la propiedad de metastore mediante la transferencia del rol de administrador de metastore; consulte Asignación de un administrador de metastore.

Si el área de trabajo se ha habilitado automáticamente para Unity Catalog, el área de trabajo se adjunta a un metastore de forma predeterminada y se crea un catálogo de áreas de trabajo para el área de trabajo del metastore. Los administradores del área de trabajo son los propietarios predeterminados y pueden reasignar la propiedad del catálogo del área de trabajo. En estas áreas de trabajo, no hay ningún administrador de metastore asignado de forma predeterminada, pero los administradores de cuentas pueden conceder permisos de administrador de metastore si es necesario. Consulte Administrador de metastore.

Para más información sobre todos los privilegios de Unity Catalog, consulte Administración de privilegios en Unity Catalog.

Visualización del propietario del objeto

Explorador de catálogos

1. En el área de trabajo de Azure Databricks, haga clic en el Catálogo.
2. Seleccione el objeto, como un catálogo, un esquema, una tabla, una vista, un volumen, una ubicación externa o una credencial de almacenamiento.
3. Haga clic en Permisos.

Sql

Ejecute el siguiente comando SQL en un cuaderno o en un editor de consultas SQL. Reemplace los valores de marcador de posición:

• <securable-type>: tipo de objeto protegible, como CATALOG o TABLE.
• <catalog>: catálogo primario de una tabla o una vista.
• <schema>: esquema primario de una tabla o una vista.
• <securable-name>: nombre del objeto protegible, como una tabla o una vista.

DESCRIBE <securable-type> EXTENDED <catalog>.<schema>.<securable-name>;

Transferencia de la propiedad

El propietario actual, un administrador de metastore o el propietario del contenedor pueden transferir la propiedad del objeto a otras entidades de seguridad (el catálogo de un esquema, el esquema de una tabla). Los objetos de recurso compartido Delta Sharing son una excepción: las entidades de seguridad con USE SHARE y SET SHARE PERMISSION también pueden transferir la propiedad del recurso compartido.

Explorador de catálogos

1. En el área de trabajo de Azure Databricks, haga clic en el Catálogo.
2. Seleccione el objeto, como un catálogo, un esquema, una tabla, una vista, una ubicación externa o una credencial de almacenamiento.
3. Haga clic en Permisos.
4. Haga clic en el lápiz azul situado junto a Propietario.
5. Seleccione un grupo, un usuario o una entidad de servicio en la lista desplegable.
6. Haga clic en Save(Guardar).

Sql

Ejecute el siguiente comando SQL en un cuaderno o en un editor de consultas SQL. Reemplace los valores de marcador de posición:

• <securable-type>: Tipo de objeto protegible, como CATALOG o TABLE. METASTORE no se admite como un objeto protegible en este comando.

  • <securable-name>: nombre del objeto protegible.
  • <principal> es un usuario, una entidad de servicio (representada por su valor applicationId) o un grupo. Debe incluir usuarios, entidades de servicio y nombres de grupo que incluyan caracteres especiales en acentos graves (` `). Consulte Entidad de seguridad.

  ALTER <securable-type> <securable-name> OWNER TO <principal>;
  

  Por ejemplo, para transferir la propiedad de una tabla al grupo accounting:

  ALTER TABLE orders OWNER TO `accounting`;