Hak istimewa admin di Katalog Unity
Artikel ini menjelaskan hak istimewa yang dimiliki admin akun Azure Databricks, admin ruang kerja, dan admin metastore untuk mengelola Unity Catalog.
Catatan
Jika ruang kerja Anda diaktifkan untuk Katalog Unity secara otomatis, admin ruang kerja memiliki hak istimewa default pada metastore terlampir dan katalog ruang kerja, jika katalog ruang kerja disediakan. Lihat Hak istimewa admin ruang kerja saat ruang kerja diaktifkan untuk Katalog Unity secara otomatis.
Admin metastore
Admin metastore adalah pengguna atau grup yang sangat istimewa di Unity Catalog. Admin Metastore memiliki hak istimewa berikut pada metastore secara default:
CREATE CATALOG
: Memungkinkan pengguna untuk membuat katalog di metastore.CREATE CONNECTION
: Memungkinkan pengguna membuat koneksi ke database eksternal dalam skenario Federasi Lakehouse.CREATE EXTERNAL LOCATION
: Memungkinkan pengguna untuk membuat lokasi eksternal.CREATE STORAGE CREDENTIAL
: Memungkinkan pengguna untuk membuat kredensial penyimpanan.CREATE FOREIGN CATALOG
: Memungkinkan pengguna untuk membuat katalog asing menggunakan koneksi ke database eksternal dalam skenario Federasi Lakehouse.CREATE SHARE
: Memungkinkan pengguna penyedia data untuk membuat berbagi di Berbagi Delta.CREATE RECIPIENT
: Memungkinkan pengguna penyedia data untuk membuat penerima di Berbagi Delta.CREATE PROVIDER
: Memungkinkan pengguna penerima data untuk membuat penyedia di Berbagi Delta.MANAGE ALLOWLIST
: Memungkinkan pengguna memperbarui daftar izin yang mengelola akses kluster ke skrip dan pustaka init.CREATE MATERIALIZED VIEW
: Memungkinkan pengguna untuk membuat tampilan materialisasi.
Admin metastore juga merupakan pemilik metastore, yang memberi mereka hak istimewa berikut:
Kelola hak istimewa atau transfer kepemilikan objek apa pun dalam metastore, termasuk kredensial penyimpanan, lokasi eksternal, koneksi, berbagi, penerima, dan penyedia.
Berikan diri mereka akses baca dan tulis ke data apa pun di metastore.
Admin Metastore memiliki kemampuan ini secara tidak langsung, melalui kemampuan mereka untuk mentransfer kepemilikan semua objek. Tidak ada akses langsung secara default. Pemberian izin dicatat audit.
Membaca dan memperbarui metadata semua objek di metastore.
Menghapus metastore.
Admin metastore adalah satu-satunya pengguna yang dapat memberikan hak istimewa pada metastore itu sendiri.
Siapa memiliki hak istimewa admin metastore?
Jika admin akun membuat metastore secara manual, admin akun tersebut adalah pemilik awal metastore dan admin metastore. Semua metastore yang dibuat sebelum 9 November 2023 dibuat secara manual oleh admin akun.
Jika metastore disediakan sebagai bagian dari pengaktifan Unity Catalog otomatis, metastore dibuat tanpa admin metastore. Admin ruang kerja dalam hal ini secara otomatis diberikan hak istimewa yang membuat admin metastore opsional. Jika diperlukan, admin akun dapat menetapkan peran admin metastore ke pengguna, perwakilan layanan, atau grup. Grup sangat disarankan. Lihat Pengaktifan Otomatis Katalog Unity.
Menetapkan admin metastore
Admin Metastore adalah peran yang sangat istimewa yang harus Anda distribusikan dengan hati-hati. Ini opsional.
Admin akun dapat menetapkan peran admin metastore. Databricks merekomendasikan untuk mencalonkan grup sebagai admin metastore. Dengan melakukan ini, setiap anggota grup secara otomatis menjadi admin metastore.
Untuk menetapkan peran admin metastore ke grup:
- Sebagai admin akun, masuk ke konsol akun.
- Klik Katalog.
- Klik nama metastore untuk membuka propertinya.
- Di bawah Admin Metastore, klik Edit.
- Pilih grup dari drop down. Anda dapat memasukkan teks di bidang untuk mencari opsi.
- Klik Simpan.
Penting
Diperlukan waktu hingga 30 detik agar perubahan penetapan admin metastore tercermin di akun Anda, dan mungkin perlu waktu lebih lama untuk diterapkan di beberapa ruang kerja daripada yang lain. Penundaan ini disebabkan oleh protokol penembolokan.
Admin akun
Admin akun adalah peran yang sangat istimewa yang harus Anda distribusikan dengan hati-hati. Admin akun memiliki hak istimewa berikut:
- Dapat membuat metastore, dan secara default menjadi admin metastore awal.
- Dapat menautkan metrik ke ruang kerja.
- Dapat menetapkan peran admin metastore.
- Dapat memberikan hak istimewa pada metastores.
- Dapat mengaktifkan Berbagi Delta untuk metastore.
- Dapat mengonfigurasi kredensial penyimpanan.
- Dapat mengaktifkan tabel sistem dan mendelegasikan akses ke tabel tersebut.
Admin ruang kerja
Admin ruang kerja adalah peran yang sangat istimewa yang harus Anda distribusikan dengan hati-hati. Administrator Ruang Kerja memiliki hak istimewa berikut:
- Dapat menambahkan pengguna, prinsipal layanan, dan grup ke ruang kerja.
- Dapat mendelegasikan admin ruang kerja lainnya.
- Dapat mengelola kepemilikan pekerjaan. Lihat Mengontrol akses ke pekerjaan.
- Dapat mengelola pekerjaan Jalankan sebagai pengaturan. Lihat Jalankan pekerjaan sebagai prinsipal layanan.
- Dapat menampilkan dan mengelola buku catatan, dasbor, kueri, dan objek ruang kerja lainnya. Lihat Daftar kontrol akses.
Admin akun dapat membatasi hak istimewa admin ruang kerja menggunakan RestrictWorkspaceAdmins
pengaturan . Lihat Membatasi admin ruang kerja.
Hak istimewa admin ruang kerja saat ruang kerja diaktifkan untuk Katalog Unity secara otomatis
Jika ruang kerja Anda diaktifkan untuk Katalog Unity secara otomatis, ruang kerja dilampirkan ke metastore secara default. Untuk informasi selengkapnya, lihat Pengaktifan Otomatis Katalog Unity.
Jika ruang kerja diaktifkan untuk Katalog Unity secara otomatis, admin ruang kerja memiliki hak istimewa berikut pada metastore terpasang secara default:
CREATE CATALOG
CREATE EXTERNAL LOCATION
CREATE STORAGE CREDENTIAL
CREATE CONNECTION
CREATE SHARE
CREATE RECIPIENT
CREATE PROVIDER
CREATE MATERIALIZED VIEW
Admin ruang kerja adalah pemilik default katalog ruang kerja, jika katalog ruang kerja disediakan untuk ruang kerja Anda. Kepemilikan katalog ini memberikan hak istimewa berikut:
Kelola hak istimewa atau alihkan kepemilikan objek dalam katalog ruang kerja.
Ini termasuk kemampuan untuk memberi diri mereka akses baca dan tulis ke semua data dalam katalog (tidak ada akses langsung secara default; memberikan izin dicatat audit).
Mengalihkan kepemilikan katalog ruang kerja itu sendiri.
Semua pengguna ruang kerja menerima USE CATALOG
hak istimewa pada katalog ruang kerja. Pengguna ruang kerja juga menerima USE SCHEMA
hak istimewa , CREATE TABLE
, CREATE MODEL
CREATE VOLUME
, CREATE FUNCTION
, dan CREATE MATERIALIZED VIEW
pada default
skema dalam katalog.
Catatan
Hak istimewa default yang diberikan pada metastore terlampir dan katalog ruang kerja tidak dipertahankan di seluruh ruang kerja (jika, misalnya, katalog ruang kerja juga terikat ke ruang kerja lain).
Saran dan Komentar
https://aka.ms/ContentUserFeedback.
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat:Kirim dan lihat umpan balik untuk