Rendszergazda jogosultságok a Unity Katalógusban

Ez a cikk azOkat a jogosultságokat ismerteti, amelyekkel az Azure Databricks-fiókgazdák, a munkaterület-rendszergazdák és a metaadattár-rendszergazdák rendelkeznek a Unity Catalog kezeléséhez.

Feljegyzés

Ha a munkaterület automatikusan engedélyezve lett a Unity-katalógushoz, a munkaterület rendszergazdái alapértelmezett jogosultságokkal rendelkeznek a csatolt metaadattárban és a munkaterület-katalógusban, ha kiépítettek egy munkaterület-katalógust. Ha a munkaterületek automatikusan engedélyezve vannak a Unity-katalógusban, tekintse meg a munkaterületek rendszergazdai jogosultságait.

Metaadattár-rendszergazdák

A metaadattár-rendszergazda egy kiemelt jogosultságokkal rendelkező felhasználó vagy csoport a Unity Catalogban. A metaadattár-rendszergazdák alapértelmezés szerint a következő jogosultságokkal rendelkeznek a metaadattárban:

• CREATE CATALOG: Lehetővé teszi, hogy a felhasználó katalógusokat hozzon létre a metaadattárban.

• CREATE CONNECTION: Lehetővé teszi a felhasználó számára, hogy kapcsolatot létesítsen egy külső adatbázissal egy Lakehouse-összevonási forgatókönyvben.

• CREATE EXTERNAL LOCATION: Lehetővé teszi a felhasználó számára, hogy külső helyeket hozzon létre.

• CREATE STORAGE CREDENTIAL: Lehetővé teszi a felhasználó számára a tárolási hitelesítő adatok létrehozását.

• CREATE FOREIGN CATALOG: Lehetővé teszi a felhasználó számára, hogy egy Lakehouse-összevonási forgatókönyvben külső adatbázissal létesített kapcsolattal hozzon létre idegen katalógusokat .

• CREATE SHARE: Lehetővé teszi egy adatszolgáltató felhasználó számára, hogy megosztást hozzon létre a Delta Sharingben.

• CREATE RECIPIENT: Lehetővé teszi, hogy egy adatszolgáltató felhasználó hozzon létre egy címzettet a Delta Sharingben.

• CREATE PROVIDER: Lehetővé teszi egy adatátvevő felhasználó számára, hogy szolgáltatót hozzon létre a Delta Sharingben.

• MANAGE ALLOWLIST: Lehetővé teszi, hogy a felhasználó frissítse az init szkriptekhez és kódtárakhoz való fürthozzáférést kezelő engedélyezési listákat.

• CREATE MATERIALIZED VIEW: Lehetővé teszi, hogy a felhasználó materializált nézeteket hozzon létre.

A metaadattár-rendszergazdák a metaadattár tulajdonosai is, amelyek a következő jogosultságokat biztosítják számukra:

• Kezelheti a metaadattárban lévő objektumok jogosultságait vagy tulajdonjogát, beleértve a tárolási hitelesítő adatokat, a külső helyeket, a kapcsolatokat, a megosztásokat, a címzetteket és a szolgáltatókat.

• Adjon olvasási és írási hozzáférést a metaadattárban lévő adatokhoz.

  A metaadattár-rendszergazdák közvetett módon képesek az összes objektum tulajdonjogának átadására. Alapértelmezés szerint nincs közvetlen hozzáférés. Az engedélyek megadását naplózza a rendszer.

• A metaadattár összes objektuma metaadatainak olvasása és frissítése.

• A metaadattár törlése.

A metaadattár-rendszergazdák az egyetlen felhasználók, akik jogosultságokat adhatnak a metaadattárhoz.

Kinek vannak metaadattár-rendszergazdai jogosultságai?

Ha egy fiókadminisztrátor manuálisan hozza létre a metaadattárat, az a fiókadminisztrátor a metaadattár kezdeti tulajdonosa és metaadattár-rendszergazdája. A 2023. november 9. előtt létrehozott összes metaadattárat manuálisan hozta létre egy fiókadminisztrátor.

Ha a metaadattár az automatikus Unity Catalog-engedélyezés részeként lett kiépítve, a metaadattár metaadattár-rendszergazda nélkül lett létrehozva. Ebben az esetben a munkaterület rendszergazdái automatikusan olyan jogosultságokat kapnak, amelyek a metaadattár-rendszergazdát nem kötelezővé teszik. Szükség esetén a fiókadminisztrátor hozzárendelheti a metaadattár-rendszergazdai szerepkört egy felhasználóhoz, szolgáltatásnévhez vagy csoporthoz. A csoportok használata erősen ajánlott. Lásd a Unity katalógus automatikus engedélyezése témakört.

Metaadattár-rendszergazda hozzárendelése

A metaadattár-rendszergazda egy kiemelt szerepkör, amelyet körültekintően kell elosztani. Nem kötelező.

A fiókadminisztrátor hozzárendelheti a metaadattár-rendszergazdai szerepkört. A Databricks azt javasolja, hogy nevezz ki egy csoportot metaadattár-rendszergazdaként. Ezzel a művelettal a csoport bármely tagja automatikusan metaadattár-rendszergazda lesz.

A metaadattár-rendszergazdai szerepkör hozzárendelése egy csoporthoz:

1. Fiókadminisztrátorként jelentkezzen be a fiókkonzolra.
2. Kattintson a Katalógus gombra.
3. Kattintson a metaadattár nevére a tulajdonságainak megnyitásához.
4. A Metastore Rendszergazda csoportban kattintson a Szerkesztés gombra.
5. Jelöljön ki egy csoportot a legördülő listában. A mezőkbe beírhat szöveget a beállítások kereséséhez.
6. Kattintson a Mentés gombra.

Fontos

Akár 30 másodpercet is igénybe vehet, amíg a metaadattár-rendszergazdai hozzárendelés módosítása megjelenik a fiókjában, és néhány munkaterületen hosszabb ideig is eltarthat, amíg másoknál érvénybe lép. Ezt a késést gyorsítótárazási protokollok okozták.

Fiókadminisztrátor

A fiókadminisztrátor egy kiemelt szerepkör, amelyet körültekintően kell elosztani. A fiókadminisztrátor a következő jogosultságokkal rendelkezik:

• Létrehozhat metaadattárakat, és alapértelmezés szerint a kezdeti metaadattár-rendszergazda lesz.
• A metaadattárak munkaterületekhez kapcsolhatók.
• Hozzárendelheti a metaadattár-rendszergazdai szerepkört.
• Jogosultságokat adhat a metaadattárakhoz.
• Engedélyezheti a Delta-megosztást egy metaadattárhoz.
• Konfigurálhatja a tárolási hitelesítő adatokat.
• Engedélyezheti a rendszertáblákat, és delegálhat hozzájuk hozzáférést.

Munkaterület-rendszergazdák

A munkaterület-rendszergazda egy kiemelt szerepkör, amelyet körültekintően kell elosztani. A munkaterület rendszergazdái a következő jogosultságokkal rendelkeznek:

• Hozzáadhat felhasználókat, szolgáltatásneveket és csoportokat egy munkaterülethez.
• Delegálhat más munkaterület-rendszergazdákat is.
• Kezelheti a feladat tulajdonjogát. Lásd: Feladathoz való hozzáférés szabályozása.
• Kezelheti a Futtatás beállításként feladatot. Lásd: Feladat futtatása alkalmazáspéldányként
• Megtekintheti és kezelheti a jegyzetfüzeteket, irányítópultokat, lekérdezéseket és más munkaterület-objektumokat. Lásd: Hozzáférés-vezérlési listák.

A fiókadminisztrátor a beállítással korlátozhatja a munkaterület rendszergazdai RestrictWorkspaceAdmins jogosultságait. Lásd: Munkaterület-rendszergazdák korlátozása.

Munkaterület-rendszergazdai jogosultságok, ha a munkaterületek automatikusan engedélyezve vannak a Unity-katalógusban

Ha a munkaterület automatikusan engedélyezve lett a Unity Cataloghoz, a munkaterület alapértelmezés szerint egy metaadattárhoz van csatolva. További információ: A Unity Katalógus automatikus engedélyezése.

Ha a munkaterület automatikusan engedélyezve lett a Unity Cataloghoz, a munkaterület-rendszergazdák alapértelmezés szerint a következő jogosultságokkal rendelkeznek a csatolt metaadattárban:

• CREATE CATALOG

• CREATE EXTERNAL LOCATION

• CREATE STORAGE CREDENTIAL

• CREATE CONNECTION

• CREATE SHARE

• CREATE RECIPIENT

• CREATE PROVIDER

• CREATE MATERIALIZED VIEW

A munkaterület-rendszergazdák a munkaterület-katalógus alapértelmezett tulajdonosai, ha a munkaterülethez kiépítettek egy munkaterület-katalógust. A katalógus tulajdonjoga a következő jogosultságokat biztosítja:

• A munkaterület-katalógusban lévő objektumok jogosultságainak kezelése vagy tulajdonjogának átadása.

  Ez magában foglalja azt a képességet, hogy olvasási és írási hozzáférést biztosítson a katalógus összes adatához (alapértelmezés szerint nincs közvetlen hozzáférés, az engedélyek megadása naplózással történik).

• A munkaterület-katalógus tulajdonjogának átadása.

Minden munkaterület-felhasználó megkapja a jogosultságot USE CATALOG a munkaterület-katalógusban. A munkaterület felhasználói a USE SCHEMAkatalógus sémáján is megkapják a default , CREATE TABLE, CREATE VOLUME, CREATE MODEL, CREATE FUNCTIONés CREATE MATERIALIZED VIEW jogosultságokat.

Feljegyzés

A csatolt metaadattárban és munkaterület-katalógusban megadott alapértelmezett jogosultságok nem maradnak fenn a munkaterületeken (ha például a munkaterület-katalógus egy másik munkaterülethez is kötődik).