Hak istimewa admin di Katalog Unity

Artikel ini menjelaskan hak istimewa yang dimiliki admin akun Azure Databricks, admin ruang kerja, dan admin metastore untuk mengelola Unity Catalog.

Catatan

Jika ruang kerja Anda diaktifkan untuk Katalog Unity secara otomatis, admin ruang kerja memiliki hak istimewa default pada metastore terlampir dan katalog ruang kerja, jika katalog ruang kerja disediakan. Lihat Hak istimewa admin ruang kerja saat ruang kerja diaktifkan untuk Katalog Unity secara otomatis.

Admin metastore

Admin metastore adalah pengguna atau grup yang sangat istimewa di Unity Catalog. Admin Metastore memiliki hak istimewa berikut pada metastore secara default:

• CREATE CATALOG: Memungkinkan pengguna untuk membuat katalog di metastore.

• CREATE CONNECTION: Memungkinkan pengguna membuat koneksi ke database eksternal dalam skenario Federasi Lakehouse.

• CREATE EXTERNAL LOCATION: Memungkinkan pengguna untuk membuat lokasi eksternal.

• CREATE STORAGE CREDENTIAL: Memungkinkan pengguna untuk membuat kredensial penyimpanan.

• CREATE FOREIGN CATALOG: Memungkinkan pengguna untuk membuat katalog asing menggunakan koneksi ke database eksternal dalam skenario Federasi Lakehouse.

• CREATE SHARE: Memungkinkan pengguna penyedia data untuk membuat berbagi di Berbagi Delta.

• CREATE RECIPIENT: Memungkinkan pengguna penyedia data untuk membuat penerima di Berbagi Delta.

• CREATE PROVIDER: Memungkinkan pengguna penerima data untuk membuat penyedia di Berbagi Delta.

• MANAGE ALLOWLIST: Memungkinkan pengguna memperbarui daftar izin yang mengelola akses kluster ke skrip dan pustaka init.

• CREATE MATERIALIZED VIEW: Memungkinkan pengguna untuk membuat tampilan materialisasi.

Admin metastore juga merupakan pemilik metastore, yang memberi mereka hak istimewa berikut:

• Kelola hak istimewa atau transfer kepemilikan objek apa pun dalam metastore, termasuk kredensial penyimpanan, lokasi eksternal, koneksi, berbagi, penerima, dan penyedia.

• Berikan diri mereka akses baca dan tulis ke data apa pun di metastore.

  Admin Metastore memiliki kemampuan ini secara tidak langsung, melalui kemampuan mereka untuk mentransfer kepemilikan semua objek. Tidak ada akses langsung secara default. Pemberian izin dicatat audit.

• Membaca dan memperbarui metadata semua objek di metastore.

• Menghapus metastore.

Admin metastore adalah satu-satunya pengguna yang dapat memberikan hak istimewa pada metastore itu sendiri.

Siapa memiliki hak istimewa admin metastore?

Jika admin akun membuat metastore secara manual, admin akun tersebut adalah pemilik awal metastore dan admin metastore. Semua metastore yang dibuat sebelum 9 November 2023 dibuat secara manual oleh admin akun.

Jika metastore disediakan sebagai bagian dari pengaktifan Unity Catalog otomatis, metastore dibuat tanpa admin metastore. Admin ruang kerja dalam hal ini secara otomatis diberikan hak istimewa yang membuat admin metastore opsional. Jika diperlukan, admin akun dapat menetapkan peran admin metastore ke pengguna, perwakilan layanan, atau grup. Grup sangat disarankan. Lihat Pengaktifan Otomatis Katalog Unity.

Menetapkan admin metastore

Admin Metastore adalah peran yang sangat istimewa yang harus Anda distribusikan dengan hati-hati. Ini opsional.

Admin akun dapat menetapkan peran admin metastore. Databricks merekomendasikan untuk mencalonkan grup sebagai admin metastore. Dengan melakukan ini, setiap anggota grup secara otomatis menjadi admin metastore.

Untuk menetapkan peran admin metastore ke grup:

1. Sebagai admin akun, masuk ke konsol akun.
2. Klik Katalog.
3. Klik nama metastore untuk membuka propertinya.
4. Di bawah Admin Metastore, klik Edit.
5. Pilih grup dari drop down. Anda dapat memasukkan teks di bidang untuk mencari opsi.
6. Klik Simpan.

Penting

Diperlukan waktu hingga 30 detik agar perubahan penetapan admin metastore tercermin di akun Anda, dan mungkin perlu waktu lebih lama untuk diterapkan di beberapa ruang kerja daripada yang lain. Penundaan ini disebabkan oleh protokol penembolokan.

Admin akun

Admin akun adalah peran yang sangat istimewa yang harus Anda distribusikan dengan hati-hati. Admin akun memiliki hak istimewa berikut:

• Dapat membuat metastore, dan secara default menjadi admin metastore awal.
• Dapat menautkan metrik ke ruang kerja.
• Dapat menetapkan peran admin metastore.
• Dapat memberikan hak istimewa pada metastores.
• Dapat mengaktifkan Berbagi Delta untuk metastore.
• Dapat mengonfigurasi kredensial penyimpanan.
• Dapat mengaktifkan tabel sistem dan mendelegasikan akses ke tabel tersebut.

Admin ruang kerja

Admin ruang kerja adalah peran yang sangat istimewa yang harus Anda distribusikan dengan hati-hati. Administrator Ruang Kerja memiliki hak istimewa berikut:

• Dapat menambahkan pengguna, prinsipal layanan, dan grup ke ruang kerja.
• Dapat mendelegasikan admin ruang kerja lainnya.
• Dapat mengelola kepemilikan pekerjaan. Lihat Mengontrol akses ke pekerjaan.
• Dapat mengelola pekerjaan Jalankan sebagai pengaturan. Lihat Jalankan pekerjaan sebagai prinsipal layanan.
• Dapat menampilkan dan mengelola buku catatan, dasbor, kueri, dan objek ruang kerja lainnya. Lihat Daftar kontrol akses.

Admin akun dapat membatasi hak istimewa admin ruang kerja menggunakan RestrictWorkspaceAdmins pengaturan . Lihat Membatasi admin ruang kerja.

Hak istimewa admin ruang kerja saat ruang kerja diaktifkan untuk Katalog Unity secara otomatis

Jika ruang kerja Anda diaktifkan untuk Katalog Unity secara otomatis, ruang kerja dilampirkan ke metastore secara default. Untuk informasi selengkapnya, lihat Pengaktifan Otomatis Katalog Unity.

Jika ruang kerja diaktifkan untuk Katalog Unity secara otomatis, admin ruang kerja memiliki hak istimewa berikut pada metastore terpasang secara default:

• CREATE CATALOG

• CREATE EXTERNAL LOCATION

• CREATE STORAGE CREDENTIAL

• CREATE CONNECTION

• CREATE SHARE

• CREATE RECIPIENT

• CREATE PROVIDER

• CREATE MATERIALIZED VIEW

Admin ruang kerja adalah pemilik default katalog ruang kerja, jika katalog ruang kerja disediakan untuk ruang kerja Anda. Kepemilikan katalog ini memberikan hak istimewa berikut:

• Kelola hak istimewa atau alihkan kepemilikan objek dalam katalog ruang kerja.

  Ini termasuk kemampuan untuk memberi diri mereka akses baca dan tulis ke semua data dalam katalog (tidak ada akses langsung secara default; memberikan izin dicatat audit).

• Mengalihkan kepemilikan katalog ruang kerja itu sendiri.

Semua pengguna ruang kerja menerima USE CATALOG hak istimewa pada katalog ruang kerja. Pengguna ruang kerja juga menerima USE SCHEMAhak istimewa , CREATE TABLE, CREATE MODELCREATE VOLUME, CREATE FUNCTION, dan CREATE MATERIALIZED VIEW pada default skema dalam katalog.

Catatan

Hak istimewa default yang diberikan pada metastore terlampir dan katalog ruang kerja tidak dipertahankan di seluruh ruang kerja (jika, misalnya, katalog ruang kerja juga terikat ke ruang kerja lain).