Администратор привилегии в каталоге Unity

Статья
04/16/2024

В этой статье описаны привилегии администраторов учетных записей Azure Databricks, администраторов рабочих областей и администраторов хранилища метаданных для управления каталогом Unity.

Примечание.

Если ваша рабочая область была включена для каталога Unity автоматически, администраторы рабочей области имеют привилегии по умолчанию в подключенном хранилище метаданных и каталоге рабочей области, если каталог рабочей области был подготовлен. Ознакомьтесь с правами администратора рабочей области, если рабочие области включены для каталога Unity автоматически.

Администраторы хранилища метаданных

Администратор хранилища метаданных — это привилегированный пользователь или группа в каталоге Unity. Администраторы хранилища метаданных имеют следующие привилегии в хранилище метаданных по умолчанию:

CREATE CATALOG: позволяет пользователю создавать каталоги в хранилище метаданных .
CREATE CONNECTION: позволяет пользователю создавать подключение к внешней базе данных в сценарии федерации Lakehouse.
CREATE EXTERNAL LOCATION: позволяет пользователю создавать внешние расположения.
CREATE STORAGE CREDENTIAL: позволяет пользователю создавать учетные данные хранения.
CREATE FOREIGN CATALOG: позволяет пользователю создавать внешние каталоги с помощью подключения к внешней базе данных в сценарии федерации Lakehouse.
CREATE SHARE: позволяет пользователю поставщика данных создавать общую папку в Delta Sharing.
CREATE RECIPIENT: позволяет пользователю поставщика данных создавать получателя в Delta Sharing.
CREATE PROVIDER: позволяет пользователю-получателю данных создавать поставщика в Delta Sharing.
MANAGE ALLOWLIST: позволяет пользователю обновлять списки разрешений, которые управляют доступом к кластерам к скриптам и библиотекам инициализации.
CREATE MATERIALIZED VIEW: позволяет пользователю создавать материализованные представления.

Администраторы хранилища метаданных также являются владельцами хранилища метаданных, которые предоставляют им следующие привилегии:

Управление привилегиями или передача владения любым объектом в хранилище метаданных, включая учетные данные хранения, внешние расположения, подключения, общие папки, получатели и поставщики.
Предоставьте себе доступ на чтение и запись к любым данным в хранилище метаданных.

Администраторы хранилища метаданных имеют эту возможность косвенно, благодаря их способности передавать владение всеми объектами. По умолчанию прямой доступ отсутствует. Предоставление разрешений регистрируется в журнале.
Чтение и обновление метаданных всех объектов в хранилище метаданных.
Удаление хранилища метаданных.

Администраторы хранилища метаданных — это единственные пользователи, которые могут предоставлять привилегии в самом хранилище метаданных.

Кто имеет права администратора хранилища метаданных?

Если администратор учетной записи создает хранилище метаданных вручную, администратор учетной записи является первоначальным владельцем хранилища метаданных и администратором хранилища метаданных. Все хранилища метаданных, созданные до 9 ноября 2023 года, были созданы вручную администратором учетной записи.

Если хранилище метаданных было подготовлено в рамках автоматического включения каталога Unity, хранилище метаданных было создано без администратора хранилища метаданных. Администраторы рабочей области в этом случае автоматически предоставляют права, которые делают администратор хранилища метаданных необязательным. При необходимости администраторы учетных записей могут назначать роль администратора хранилища метаданных пользователю, субъекту-службе или группе. Настоятельно рекомендуется использовать группы. См . статью "Автоматическое включение каталога Unity".

Назначение администратора хранилища метаданных

Администратор хранилища метаданных — это очень привилегированная роль, которую следует тщательно распределить. Этот параметр необязателен.

Администраторы учетных записей могут назначать роль администратора хранилища метаданных. Databricks рекомендует номинировать группу в качестве администратора хранилища метаданных. При этом любой член группы автоматически является администратором хранилища метаданных.

Чтобы назначить роль администратора хранилища метаданных группе, выполните следующие действия.

Войдите в консоль учетной записи с правами администратора учетных записей.
Щелкните каталог.
Нажмите на имя хранилища метаданных, чтобы открыть его свойства.
В разделе Администратор хранилища метаданных нажмите Изменить.
Выберите группу из раскрывающегося списка. Для поиска параметров можно ввести текст в поле.
Нажмите кнопку Сохранить.

Внимание

Изменение назначения администратора хранилища метаданных может занять до 30 секунд, чтобы отразиться в вашей учетной записи, и в некоторых рабочих областях может потребоваться больше времени, чем другие. Эта задержка возникает из-за протоколов кэширования.

Администраторы учетной записи

Администратор учетной записи — это роль с высоким уровнем привилегий, которую следует тщательно распределить. Администраторы учетных записей имеют следующие привилегии:

Могут создавать хранилища метаданных и по умолчанию становится начальным администратором хранилища метаданных.
Может связывать хранилища метаданных с рабочими областями.
Может назначить роль администратора хранилища метаданных.
Могут включить разностный общий доступ для хранилища метаданных.
Могут настраивать учетные данных хранилища.
Может включить системные таблицы и делегировать к ним доступ.

Администраторы рабочей области

Администратор рабочей области — это очень привилегированная роль, которую следует тщательно распределить. Администраторы рабочего пространства имеют следующие привилегии:

Могут добавлять пользователей, субъекты-службы и группы в рабочее пространство.
Могут делегировать задачи другим администраторам рабочего пространства.
Могут управлять владением заданиями. См. раздел "Управление доступом к заданию".
Может управлять заданием запуска от имени . См. Выполнение задания в качестве субъекта-службы.
Могут просматривать и управлять записными книжками, панелями мониторинга, запросами и другими объектами рабочего пространства. См. раздел Списки управления доступом.

Администраторы учетных записей могут ограничить права администратора рабочей области с помощью RestrictWorkspaceAdmins параметра. См. раздел "Ограничить администраторы рабочей области".

Права администратора рабочей области, если рабочие области включены для каталога Unity автоматически

Если ваша рабочая область была включена для каталога Unity автоматически, рабочая область будет присоединена к хранилищу метаданных по умолчанию. Дополнительные сведения см. в статье автоматическое включение каталога Unity.

Если ваше рабочее пространство автоматически включено для каталога Unity, его администраторы имеют следующие привилегии в подключенном хранилище метаданных по умолчанию:

CREATE CATALOG
CREATE EXTERNAL LOCATION
CREATE STORAGE CREDENTIAL
CREATE CONNECTION
CREATE SHARE
CREATE RECIPIENT
CREATE PROVIDER
CREATE MATERIALIZED VIEW

Администраторы рабочего пространства являются владельцами его каталога по умолчанию, если такой каталог подготовлен для рабочего пространства. Владение этим каталогом предоставляет следующие привилегии:

Управление привилегиями для любого объекта в каталоге рабочего пространства или его передача.

Это включает возможность предоставлять себе доступ на чтение и запись ко всем данным в каталоге (прямой доступ по умолчанию отсутствует; предоставление разрешений регистрируется в журнале).
Передача права владения самим каталогом рабочего пространства.

Все пользователи рабочей области получают привилегии USE CATALOG в каталоге рабочих областей. Пользователи рабочей области также получают права на схему в каталоге, а также получают USE SCHEMAпривилегии , а CREATE MODELCREATE VOLUMECREATE FUNCTIONCREATE TABLECREATE MATERIALIZED VIEW также привилегии.default