Rendszergazda jogosultságok a Unity Katalógusban
Ez a cikk azOkat a jogosultságokat ismerteti, amelyekkel az Azure Databricks-fiókgazdák, a munkaterület-rendszergazdák és a metaadattár-rendszergazdák rendelkeznek a Unity Catalog kezeléséhez.
Feljegyzés
Ha a munkaterület automatikusan engedélyezve lett a Unity-katalógushoz, a munkaterület rendszergazdái alapértelmezett jogosultságokkal rendelkeznek a csatolt metaadattárban és a munkaterület-katalógusban, ha kiépítettek egy munkaterület-katalógust. Ha a munkaterületek automatikusan engedélyezve vannak a Unity-katalógusban, tekintse meg a munkaterületek rendszergazdai jogosultságait.
Metaadattár-rendszergazdák
A metaadattár-rendszergazda egy kiemelt jogosultságokkal rendelkező felhasználó vagy csoport a Unity Catalogban. A metaadattár-rendszergazdák alapértelmezés szerint a következő jogosultságokkal rendelkeznek a metaadattárban:
CREATE CATALOG
: Lehetővé teszi, hogy a felhasználó katalógusokat hozzon létre a metaadattárban.CREATE CONNECTION
: Lehetővé teszi a felhasználó számára, hogy kapcsolatot létesítsen egy külső adatbázissal egy Lakehouse-összevonási forgatókönyvben.CREATE EXTERNAL LOCATION
: Lehetővé teszi a felhasználó számára, hogy külső helyeket hozzon létre.CREATE STORAGE CREDENTIAL
: Lehetővé teszi a felhasználó számára a tárolási hitelesítő adatok létrehozását.CREATE FOREIGN CATALOG
: Lehetővé teszi a felhasználó számára, hogy egy Lakehouse-összevonási forgatókönyvben külső adatbázissal létesített kapcsolattal hozzon létre idegen katalógusokat .CREATE SHARE
: Lehetővé teszi egy adatszolgáltató felhasználó számára, hogy megosztást hozzon létre a Delta Sharingben.CREATE RECIPIENT
: Lehetővé teszi, hogy egy adatszolgáltató felhasználó hozzon létre egy címzettet a Delta Sharingben.CREATE PROVIDER
: Lehetővé teszi egy adatátvevő felhasználó számára, hogy szolgáltatót hozzon létre a Delta Sharingben.MANAGE ALLOWLIST
: Lehetővé teszi, hogy a felhasználó frissítse az init szkriptekhez és kódtárakhoz való fürthozzáférést kezelő engedélyezési listákat.CREATE MATERIALIZED VIEW
: Lehetővé teszi, hogy a felhasználó materializált nézeteket hozzon létre.
A metaadattár-rendszergazdák a metaadattár tulajdonosai is, amelyek a következő jogosultságokat biztosítják számukra:
Kezelheti a metaadattárban lévő objektumok jogosultságait vagy tulajdonjogát, beleértve a tárolási hitelesítő adatokat, a külső helyeket, a kapcsolatokat, a megosztásokat, a címzetteket és a szolgáltatókat.
Adjon olvasási és írási hozzáférést a metaadattárban lévő adatokhoz.
A metaadattár-rendszergazdák közvetett módon képesek az összes objektum tulajdonjogának átadására. Alapértelmezés szerint nincs közvetlen hozzáférés. Az engedélyek megadását naplózza a rendszer.
A metaadattár összes objektuma metaadatainak olvasása és frissítése.
A metaadattár törlése.
A metaadattár-rendszergazdák az egyetlen felhasználók, akik jogosultságokat adhatnak a metaadattárhoz.
Kinek vannak metaadattár-rendszergazdai jogosultságai?
Ha egy fiókadminisztrátor manuálisan hozza létre a metaadattárat, az a fiókadminisztrátor a metaadattár kezdeti tulajdonosa és metaadattár-rendszergazdája. A 2023. november 9. előtt létrehozott összes metaadattárat manuálisan hozta létre egy fiókadminisztrátor.
Ha a metaadattár az automatikus Unity Catalog-engedélyezés részeként lett kiépítve, a metaadattár metaadattár-rendszergazda nélkül lett létrehozva. Ebben az esetben a munkaterület rendszergazdái automatikusan olyan jogosultságokat kapnak, amelyek a metaadattár-rendszergazdát nem kötelezővé teszik. Szükség esetén a fiókadminisztrátor hozzárendelheti a metaadattár-rendszergazdai szerepkört egy felhasználóhoz, szolgáltatásnévhez vagy csoporthoz. A csoportok használata erősen ajánlott. Lásd a Unity katalógus automatikus engedélyezése témakört.
Metaadattár-rendszergazda hozzárendelése
A metaadattár-rendszergazda egy kiemelt szerepkör, amelyet körültekintően kell elosztani. Nem kötelező.
A fiókadminisztrátor hozzárendelheti a metaadattár-rendszergazdai szerepkört. A Databricks azt javasolja, hogy nevezz ki egy csoportot metaadattár-rendszergazdaként. Ezzel a művelettal a csoport bármely tagja automatikusan metaadattár-rendszergazda lesz.
A metaadattár-rendszergazdai szerepkör hozzárendelése egy csoporthoz:
- Fiókadminisztrátorként jelentkezzen be a fiókkonzolra.
- Kattintson a Katalógus gombra.
- Kattintson a metaadattár nevére a tulajdonságainak megnyitásához.
- A Metastore Rendszergazda csoportban kattintson a Szerkesztés gombra.
- Jelöljön ki egy csoportot a legördülő listában. A mezőkbe beírhat szöveget a beállítások kereséséhez.
- Kattintson a Mentés gombra.
Fontos
Akár 30 másodpercet is igénybe vehet, amíg a metaadattár-rendszergazdai hozzárendelés módosítása megjelenik a fiókjában, és néhány munkaterületen hosszabb ideig is eltarthat, amíg másoknál érvénybe lép. Ezt a késést gyorsítótárazási protokollok okozták.
Fiókadminisztrátor
A fiókadminisztrátor egy kiemelt szerepkör, amelyet körültekintően kell elosztani. A fiókadminisztrátor a következő jogosultságokkal rendelkezik:
- Létrehozhat metaadattárakat, és alapértelmezés szerint a kezdeti metaadattár-rendszergazda lesz.
- A metaadattárak munkaterületekhez kapcsolhatók.
- Hozzárendelheti a metaadattár-rendszergazdai szerepkört.
- Jogosultságokat adhat a metaadattárakhoz.
- Engedélyezheti a Delta-megosztást egy metaadattárhoz.
- Konfigurálhatja a tárolási hitelesítő adatokat.
- Engedélyezheti a rendszertáblákat, és delegálhat hozzájuk hozzáférést.
Munkaterület-rendszergazdák
A munkaterület-rendszergazda egy kiemelt szerepkör, amelyet körültekintően kell elosztani. A munkaterület rendszergazdái a következő jogosultságokkal rendelkeznek:
- Hozzáadhat felhasználókat, szolgáltatásneveket és csoportokat egy munkaterülethez.
- Delegálhat más munkaterület-rendszergazdákat is.
- Kezelheti a feladat tulajdonjogát. Lásd: Feladathoz való hozzáférés szabályozása.
- Kezelheti a Futtatás beállításként feladatot. Lásd: Feladat futtatása alkalmazáspéldányként
- Megtekintheti és kezelheti a jegyzetfüzeteket, irányítópultokat, lekérdezéseket és más munkaterület-objektumokat. Lásd: Hozzáférés-vezérlési listák.
A fiókadminisztrátor a beállítással korlátozhatja a munkaterület rendszergazdai RestrictWorkspaceAdmins
jogosultságait. Lásd: Munkaterület-rendszergazdák korlátozása.
Munkaterület-rendszergazdai jogosultságok, ha a munkaterületek automatikusan engedélyezve vannak a Unity-katalógusban
Ha a munkaterület automatikusan engedélyezve lett a Unity Cataloghoz, a munkaterület alapértelmezés szerint egy metaadattárhoz van csatolva. További információ: A Unity Katalógus automatikus engedélyezése.
Ha a munkaterület automatikusan engedélyezve lett a Unity Cataloghoz, a munkaterület-rendszergazdák alapértelmezés szerint a következő jogosultságokkal rendelkeznek a csatolt metaadattárban:
CREATE CATALOG
CREATE EXTERNAL LOCATION
CREATE STORAGE CREDENTIAL
CREATE CONNECTION
CREATE SHARE
CREATE RECIPIENT
CREATE PROVIDER
CREATE MATERIALIZED VIEW
A munkaterület-rendszergazdák a munkaterület-katalógus alapértelmezett tulajdonosai, ha a munkaterülethez kiépítettek egy munkaterület-katalógust. A katalógus tulajdonjoga a következő jogosultságokat biztosítja:
A munkaterület-katalógusban lévő objektumok jogosultságainak kezelése vagy tulajdonjogának átadása.
Ez magában foglalja azt a képességet, hogy olvasási és írási hozzáférést biztosítson a katalógus összes adatához (alapértelmezés szerint nincs közvetlen hozzáférés, az engedélyek megadása naplózással történik).
A munkaterület-katalógus tulajdonjogának átadása.
Minden munkaterület-felhasználó megkapja a jogosultságot USE CATALOG
a munkaterület-katalógusban. A munkaterület felhasználói a USE SCHEMA
katalógus sémáján is megkapják a default
, CREATE TABLE
, CREATE VOLUME
, CREATE MODEL
, CREATE FUNCTION
és CREATE MATERIALIZED VIEW
jogosultságokat.
Feljegyzés
A csatolt metaadattárban és munkaterület-katalógusban megadott alapértelmezett jogosultságok nem maradnak fenn a munkaterületeken (ha például a munkaterület-katalógus egy másik munkaterülethez is kötődik).
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: