Privilegios de administrador en el Catálogo Unity

Artículo
05/03/2024

En este artículo se describen los privilegios que tienen los administradores de cuentas de Azure Databricks, los administradores del área de trabajo y los administradores de metastore para administrar Unity Catalog.

Nota:

Si el área de trabajo se ha habilitado automáticamente para Unity Catalog, los administradores del área de trabajo tienen privilegios predeterminados en la metastore adjunta y el catálogo del área de trabajo, si se aprovisionó alguno. Consulte Privilegios de administrador del área de trabajo cuando las áreas de trabajo están habilitadas para el catálogo de Unity automáticamente.

Administradores Metastore

El administrador de metastore es un usuario o grupo con privilegios elevados en Unity Catalog. Los administradores de metastore tienen los siguientes privilegios en la metastore de forma predeterminada:

CREATE CATALOG: Permite que un usuario cree catálogos en el metastore.
CREATE CONNECTION: Permite a un usuario crear una conexión a una base de datos externa en un escenario de federación de Lakehouse.
CREATE EXTERNAL LOCATION: Permite que un usuario cree ubicaciones externas.
CREATE STORAGE CREDENTIAL: permite a un usuario crear credenciales de almacenamiento.
CREATE FOREIGN CATALOG: Permite a un usuario crear catálogos externos mediante una conexión a una base de datos externa en un escenario de federación de Lakehouse.
CREATE SHARE: Permite que un proveedor de datos cree un recurso compartido en Delta Sharing.
CREATE RECIPIENT: Permite que un proveedor de datos cree un destinatario en Delta Sharing.
CREATE PROVIDER: Permite que un destinatario de datos cree un proveedor en Delta Sharing.
MANAGE ALLOWLIST: permite a un usuario actualizar listas de permitidos que administran el acceso de clúster a scripts y bibliotecas de inicialización.
CREATE MATERIALIZED VIEW: permite a un usuario crear vistas materializadas.

Los administradores de metastore también son los propietarios de la metastore, que les concede los siguientes privilegios:

Administrar los privilegios o transferir la propiedad de cualquier objeto dentro del metastore, incluidas las credenciales de almacenamiento, las ubicaciones externas, las conexiones, los recursos compartidos, los destinatarios y los proveedores.
Conceda acceso de lectura y escritura a todos los datos del metastore.

Los administradores de metastore tienen esta capacidad indirectamente, a través de su capacidad para transferir la propiedad de todos los objetos. De forma predeterminada, no hay acceso directo. La concesión de permisos se registra en auditoría.
Leer y actualizar los metadatos de todos los objetos del metastore.
Eliminar el metastore.

Los administradores de metastore son los únicos usuarios que pueden conceder privilegios en el propio metastore.

¿Quién tiene privilegios de administrador del metastore?

Si un administrador de cuenta crea el metastore manualmente, ese administrador de cuenta es el propietario inicial y el administrador del metastore. Un administrador de cuentas creó manualmente todas las tiendas de metadatos creadas antes del 9 de noviembre de 2023.

Si el metastore se aprovisionó como parte de la habilitación automática del catálogo de Unity, el metastore se creó sin un administrador de metastore. En ese caso, a los administradores del área de trabajo se les conceden privilegios automáticamente que hacen que el administrador de metastore sea opcional. Si es necesario, los administradores de cuentas pueden asignar el rol de administrador de metastore a un usuario, una entidad de servicio o un grupo. Se recomienda encarecidamente que los grupos. Consulte Habilitación automática de Unity Catalog.

Asignación de un administrador de metastore

El administrador del metastore es un rol altamente privilegiado que debes distribuir con cuidado. Es opcional.

Los administradores de cuentas pueden asignar el rol de administrador de metastore. Databricks recomienda designar un grupo como administrador de metastore. Al hacerlo, cualquier miembro del grupo es automáticamente un administrador de metastore.

Para asignar el rol de administrador del metastore a un grupo:

Como administrador de la cuenta, inicie sesión en la consola de la cuenta.
Haga clic en el Catálogo.
Haga clic en el nombre de un metastore para abrir sus propiedades.
En Metastore Admin, haga clic en Edit.
Seleccione un grupo en la lista desplegable. Puede escribir texto en el campo para buscar opciones.
Haga clic en Save(Guardar).

Importante

Un cambio en la asignación del administrador del metastore puede tardar hasta 30 segundos en reflejarse en su cuenta, y puede tardar más tiempo en surtir efecto en algunas áreas de trabajo que en otras. Este retraso se debe a los protocolos de almacenamiento en caché.

Administradores de cuentas.

El administrador de cuentas es un rol con privilegios elevados que se debe distribuir cuidadosamente. Los administradores de cuentas tienen los siguientes privilegios:

Pueden crear metastores y, de forma predeterminada, convertirse en el administrador de metastore inicial.
Puede vincular metastores a áreas de trabajo.
Puede asignar el rol de administrador de metastore.
Pueden habilitar Delta Sharing para un metastore.
Pueden configurar credenciales de almacenamiento.
Puede habilitar las tablas del sistema y delegar el acceso a ellas.

Administradores de áreas de trabajo

El administrador del área de trabajo es un rol con privilegios elevados que se debe distribuir cuidadosamente. Los administradores del área de trabajo tienen los siguientes privilegios:

Puede agregar usuarios, entidades de servicio y grupos a un área de trabajo.
Puede delegar otros administradores del área de trabajo.
Puede administrar la propiedad del trabajo. Consulte Controlar el acceso a un archivo.
Puede administrar la configuración Ejecutar como del trabajo. Consulte Ejecutar trabajos como una entidad de servicio.
Puede ver y administrar cuadernos, paneles, consultas y otros objetos del área de trabajo. Consulte las Listas de control de acceso.

Los administradores de cuentas pueden restringir los privilegios de administrador del área de trabajo mediante el valor RestrictWorkspaceAdmins. Consulte Restringir administradores de áreas de trabajo.

Privilegios de administrador del área de trabajo cuando las áreas de trabajo están habilitadas para el catálogo de Unity automáticamente

Si el área de trabajo se ha habilitado automáticamente para Unity Catalog, el área de trabajo se adjunta a un metastore de forma predeterminada. Para obtener más información, consulte Habilitación automática de Unity Catalog.

Si el área de trabajo se ha habilitado automáticamente para el catálogo de Unity, los administradores del área de trabajo tienen los siguientes privilegios en el metastore adjunto de forma predeterminada:

CREATE CATALOG
CREATE EXTERNAL LOCATION
CREATE STORAGE CREDENTIAL
CREATE CONNECTION
CREATE SHARE
CREATE RECIPIENT
CREATE PROVIDER
CREATE MATERIALIZED VIEW

Los administradores del área de trabajo son los propietarios predeterminados del catálogo del área de trabajo, si se aprovisionó alguno para el área de trabajo. La propiedad de este catálogo concede los siguientes privilegios:

Administre los privilegios para o transfiera la propiedad de cualquier objeto dentro del catálogo del área de trabajo.

Esto incluye la capacidad de conceder acceso de lectura y escritura a todos los datos del catálogo (sin acceso directo de forma predeterminada; la concesión de permisos está registrada por auditoría).
Transfiera la propiedad del catálogo del área de trabajo.

Todos los usuarios del área de trabajo reciben el USE CATALOG privilegio en el catálogo del área de trabajo. Los usuarios del área de trabajo también reciben los privilegios USE SCHEMA, CREATE TABLE, CREATE VOLUME, CREATE MODEL, CREATE FUNCTION, y CREATE MATERIALIZED VIEW en el esquema default del catálogo.