Unity 카탈로그의 관리 권한

이 문서에서는 Azure Databricks 계정 관리자, 작업 영역 관리자 및 metastore 관리자가 Unity 카탈로그를 관리하기 위해 갖는 권한을 설명합니다.

참고 항목

작업 영역이 Unity 카탈로그에 자동으로 사용하도록 설정된 경우 작업 영역 관리자는 작업 영역 카탈로그가 프로비전된 경우 연결된 메타스토어 및 작업 영역 카탈로그에 대한 기본 권한을 갖습니다. Unity 카탈로그에 대해 작업 영역이 자동으로 사용하도록 설정된 경우 작업 영역 관리자 권한을 참조 하세요.

Metastore 관리자

메타스토어 관리자는 Unity 카탈로그에서 높은 권한이 있는 사용자 또는 그룹입니다. Metastore 관리자는 기본적으로 metastore에 대해 다음과 같은 권한을 갖습니다.

• CREATE CATALOG: 사용자가 메타스토어에서 카탈로그를 만들 수 있습니다.

• CREATE CONNECTION: 사용자가 Lakehouse 페더레이션 시나리오에서 외부 데이터베이스에 대한 연결을 만들 수 있습니다.

• CREATE EXTERNAL LOCATION: 사용자가 외부 위치를 만들 수 있습니다.

• CREATE STORAGE CREDENTIAL: 사용자가 스토리지 자격 증명을 만들 수 있습니다.

• CREATE FOREIGN CATALOG: 사용자가 Lakehouse 페더레이션 시나리오에서 외부 데이터베이스에 대한 연결을 사용하여 외국 카탈로그 를 만들 수 있습니다.

• CREATE SHARE: 데이터 공급자 사용자가 델타 공유에서 공유를 만들 수 있습니다.

• CREATE RECIPIENT: 데이터 공급자 사용자가 델타 공유에서 수신자를 만들 수 있습니다.

• CREATE PROVIDER: 데이터 수신자 사용자가 델타 공유에서 공급자를 만들 수 있습니다.

• MANAGE ALLOWLIST: 사용자가 init 스크립트 및 라이브러리에 대한 클러스터 액세스를 관리하는 허용 목록을 업데이트할 수 있습니다.

• CREATE MATERIALIZED VIEW: 사용자가 구체화된 뷰를 만들 수 있습니다.

Metastore 관리자는 metastore의 소유자이기도 하므로 다음과 같은 권한을 부여합니다.

• 스토리지 자격 증명, 외부 위치, 연결, 공유, 받는 사람 및 공급자를 포함하여 metastore 내의 모든 개체에 대한 권한을 관리하거나 소유권을 이전합니다.

• 메타스토어의 모든 데이터에 대한 읽기 및 쓰기 권한을 자신에게 부여합니다.

  Metastore 관리자는 모든 개체의 소유권을 이전하는 기능을 통해 간접적으로 이 기능을 갖습니다. 기본적으로 직접 액세스는 없습니다. 권한 부여는 감사로 기록됩니다.

• 메타스토어에 있는 개체의 메타데이터를 읽고 업데이트합니다.

• 메타스토어를 삭제합니다.

Metastore 관리자는 메타스토어 자체에 대한 권한을 부여할 수 있는 유일한 사용자입니다.

메타스토어 관리자 권한은 누구에게 있나요?

계정 관리자가 metastore를 수동으로 만드는 경우 해당 계정 관리자는 metastore의 초기 소유자 및 metastore 관리자입니다. 2023년 11월 9일 이전에 만든 모든 메타스토어는 계정 관리자가 수동으로 만들었습니다.

메타스토어가 자동 Unity 카탈로그 사용의 일부로 프로비전된 경우 메타스토어 관리자 없이 메타스토어가 만들어졌습니다. 이 경우 작업 영역 관리자는 metastore 관리자를 선택적으로 만드는 권한을 자동으로 부여합니다. 필요한 경우 계정 관리자는 metastore 관리자 역할을 사용자, 서비스 주체 또는 그룹에 할당할 수 있습니다. 그룹은 강력하게 권장됩니다. Unity 카탈로그 자동 사용을 참조하세요.

메타스토어 관리자 할당

Metastore 관리자는 신중하게 배포해야 하는 높은 권한의 역할입니다. 이는 선택 사항입니다.

계정 관리자는 metastore 관리자 역할을 할당할 수 있습니다. Databricks는 그룹을 메타스토어 관리자로 지명하는 것이 좋습니다. 이렇게 하면 그룹의 모든 구성원이 자동으로 metastore 관리자가됩니다.

메타스토어 관리자 역할을 그룹에 할당하려면 다음을 수행합니다.

1. 계정 관리자 권한으로 계정 콘솔에 로그인합니다.
2. 카탈로그를 클릭합니다.
3. 메타스토어의 이름을 클릭하여 속성을 엽니다.
4. 메타스토어 관리자에서 편집을 클릭합니다.
5. 드롭다운에서 그룹을 선택합니다. 필드에 텍스트를 입력하여 옵션을 검색할 수 있습니다.
6. 저장을 클릭합니다.

Important

메타스토어 관리자 할당 변경 내용이 계정에 반영되는 데 최대 30초가 걸릴 수 있으며 일부 작업 영역에서 다른 작업 영역보다 적용하는 데 시간이 더 오래 걸릴 수 있습니다. 이 지연은 캐싱 프로토콜 때문입니다.

계정 관리자

계정 관리자는 신중하게 배포해야 하는 높은 권한의 역할입니다. 계정 관리자는 다음과 같은 권한을 갖습니다.

• 메타스토어를 만들 수 있으며, 기본적으로 초기 메타스토어 관리자가 됩니다.
• 메타스토어를 작업 영역에 연결할 수 있습니다.
• metastore 관리자 역할을 할당할 수 있습니다.
• 메타스토어에 대한 권한을 부여할 수 있습니다.
• 메타스토어에 Delta Sharing을 사용하도록 설정할 수 있습니다.
• 스토리지 자격 증명을 구성할 수 있습니다.
• 시스템 테이블을 사용하도록 설정하고 액세스 권한을 위임할 수 있습니다.

작업 영역 관리자

작업 영역 관리자는 신중하게 배포해야 하는 높은 권한의 역할입니다. 작업 영역 관리자는 다음과 같은 권한이 있습니다.

• 작업 영역에 사용자, 서비스 주체 및 그룹을 추가할 수 있습니다.
• 다른 작업 영역 관리자를 위임할 수 있습니다.
• 작업 소유권을 관리할 수 있습니다. 작업에 대한 액세스 제어를 참조 하세요.
• 실행 설정을 관리할 수 있습니다. 서비스 주체로 작업 실행을 참조하세요.
• Notebook, 대시보드, 쿼리 및 기타 작업 영역 개체를 보고 관리할 수 있습니다. 액세스 제어 목록을 참조하세요.

계정 관리자는 설정을 사용하여 작업 영역 관리자 권한을 제한할 RestrictWorkspaceAdmins 수 있습니다. 작업 영역 관리자 제한 참조

Unity 카탈로그에 대해 작업 영역이 자동으로 사용하도록 설정된 경우 작업 영역 관리자 권한

작업 영역이 Unity 카탈로그에 대해 자동으로 사용하도록 설정된 경우 작업 영역은 기본적으로 메타스토어에 연결됩니다. 자세한 내용은 Unity 카탈로그의 자동 사용 기능을 참조 하세요.

Unity 카탈로그에 자동으로 작업 영역이 사용하도록 설정된 경우 작업 영역 관리자는 기본적으로 연결된 메타스토어에 대해 다음과 같은 권한을 갖습니다.

• CREATE CATALOG

• CREATE EXTERNAL LOCATION

• CREATE STORAGE CREDENTIAL

• CREATE CONNECTION

• CREATE SHARE

• CREATE RECIPIENT

• CREATE PROVIDER

• CREATE MATERIALIZED VIEW

작업 영역 카탈로그가 작업 영역에 대해 프로비전된 경우 작업 영역 관리자는 작업 영역 카탈로그의 기본 소유자입니다. 이 카탈로그의 소유권은 다음 권한을 부여합니다.

• 작업 영역 카탈로그 내의 모든 개체에 대한 권한을 관리하거나 소유권을 이전합니다.

  여기에는 카탈로그의 모든 데이터에 대한 읽기 및 쓰기 액세스 권한을 자신에게 부여하는 기능이 포함됩니다(기본적으로 직접 액세스 권한 없음, 권한 부여는 감사 로깅됨).

• 작업 영역 카탈로그 자체의 소유권을 이전합니다.

모든 작업 영역 사용자는 작업 영역 카탈로그에 대한 권한을 받 USE CATALOG 습니다. 작업 영역 사용자는 카탈로그의 USE SCHEMA스키마에 대한 default , CREATE TABLECREATE VOLUME, CREATE MODEL, CREATE FUNCTION및 CREATE MATERIALIZED VIEW 권한도 받습니다.

참고 항목

연결된 메타스토어 및 작업 영역 카탈로그에 부여된 기본 권한은 기본 작업 영역에 포함되지 않습니다(예를 들어 작업 영역 카탈로그가 다른 작업 영역에 바인딩된 경우).