Управление привилегиями в Unity Catalog

В этой статье объясняется, как управлять доступом к данным и другим объектам в каталоге Unity.

Вы можете задать элементы управления доступом с помощью Обозреватель каталога, инструкций SQL в записных книжках или запросах Databricks SQL, с помощью REST API каталога Unity или с помощью Terraform.

Изначально пользователи не имеют доступа к данным в хранилище метаданных. Доступ может предоставляться администратором хранилища метаданных, владельцем объекта, владельцем каталога или схемы, содержащей объект.

привилегии Администратор

Администраторы учетных записей Azure Databricks, администраторы рабочих областей и администраторы хранилища метаданных имеют привилегии по умолчанию для управления каталогом Unity. См. Администратор привилегий в каталоге Unity.

Владелец объекта

Все защищаемые объекты в каталоге Unity имеют владельца. Владельцы объектов имеют все привилегии для этого объекта, включая возможность предоставления привилегий другим субъектам. См. раздел Управление владельцем объекта каталога Unity.

Привилегии для каталога Unity

Привилегии доступа могут предоставляться администратором хранилища метаданных, владельцем объекта, владельцем каталога или схемы, содержащей объект. См. статью Защищаемые объекты и привилегии Unity Catalog.

Наследование привилегий

Защищаемые объекты в каталоге Unity иерархичны, а привилегии наследуются сверху вниз. Это означает, что предоставление привилегий в каталоге автоматически предоставляет права всем текущим и будущим объектам в каталоге. Аналогичным образом привилегии, предоставленные схеме, наследуются всеми текущими и будущими объектами в этой схеме. См . модель наследования.

Примечание.

Если вы создали хранилище метаданных каталога Unity во время общедоступной предварительной версии (до 25 августа 2022 г.), вы можете перейти на модель привилегий версии 1.0 с наследованием привилегий. См. раздел "Обновление до наследования привилегий".

Основные привилегии объектов

Каталог Unity поддерживает ключевые слова SQL SHOW, GRANT и REVOKE для управления привилегиями для каталогов, схем, таблиц, представлений и функций.

Владелец объекта или администратор хранилища метаданных может вывести список всех предоставленных разрешений на этот объект. Если объект содержится в каталоге или схеме (например, в таблице или представлении), то владелец каталога или схемы также может перечислить все разрешения для объекта.

Примеры этого синтаксиса см. в справочной документации по SQL:

• SHOW CATALOGS
• SHOW SCHEMAS
• SHOW TABLES
• ПОКАЗАТЬ ПРЕДСТАВЛЕНИЯ
• GRANT
• REVOKE

Обозреватель каталога предоставляет пользовательский интерфейс для выполнения этих действий; см. раздел "Управление разрешениями каталога Unity" в Обозреватель каталога.

Передача владения

Чтобы передать владение объектом в хранилище метаданных, можно использовать sql или catalog Обозреватель. См. статью "Управление владением объектами каталога Unity" или "Управление владением объектами каталога Unity" в Обозреватель каталога.

Управление внешними расположениями и учетными данными хранилища

Вы можете настроить внешние расположения и учетные данные хранилища для каталога Unity с помощью Обозреватель каталога. Дополнительные сведения см. в разделе "Управление учетными данными хранилища" и "Управление внешними расположениями".

Динамические представления

Динамические представления позволяют управлять доступом пользователей к строкам, столбцам и даже к конкретным записям представления путем фильтрации или маскирования их значений. См. раздел Создание динамического представления.