Защищаемые объекты и привилегии Unity Catalog
В этой статье описывается модель привилегий каталога Unity. Сведения о том, как эта модель отличается от хранилища метаданных Hive, см. в статье Работа с каталогом Unity и устаревшим хранилищем метаданных Hive.
Примечание.
Эта статья относится к привилегиям каталога Unity и модели наследования в модели привилегий версии 1.0. Если вы создали хранилище метаданных каталога Unity во время общедоступной предварительной версии (до 25 августа 2022 г.), вы можете перейти на модель привилегий версии 1.0 после обновления до наследования привилегий.
Кто может управлять привилегиями?
Привилегии могут предоставляться администратором хранилища метаданных, владельцем объекта, владельцем каталога или схемы, содержащей объект.
Если ваша рабочая область была включена для каталога Unity автоматически, рабочая область присоединена к хранилищу метаданных по умолчанию и каталог рабочей области создается для рабочей области в хранилище метаданных. Администраторы рабочей области являются владельцами каталога рабочих областей по умолчанию. Как владельцы могут управлять привилегиями в каталоге рабочих областей и всех дочерних объектах.
Все пользователи рабочей области получают привилегии USE CATALOG
в каталоге рабочих областей. Пользователи рабочей области также получают права на схему в каталоге, а также получают USE SCHEMA
привилегии , а CREATE MODEL
CREATE VOLUME
CREATE FUNCTION
CREATE TABLE
CREATE MATERIALIZED VIEW
также привилегии.default
Дополнительные сведения см. в разделе "Автоматическое включение каталога Unity".
Управление привилегиями
Вы можете управлять привилегиями для объектов хранилища метаданных с помощью команд SQL, интерфейса командной строки Databricks или каталога Обозреватель. Сведения об использовании Обозреватель каталога для управления привилегиями см. в разделе "Управление разрешениями каталога Unity" в Обозреватель каталога.
Для управления привилегиями в SQL используются инструкции GRANT и REVOKE в записной книжке или редакторе sql-запросов Databricks с помощью синтаксиса:
GRANT privilege_type ON securable_object TO principal
Где:
privilege_type
— это тип привилегий каталога Unitysecurable_object
— это защищаемый объект в каталоге Unity.principal
— пользователь, субъект-служба (представленный значением applicationId) или группа. Необходимо заключать пользователей, субъектов-служб и имена групп со специальными символами в обратные символы (` `
). См. раздел "Субъект".
Например, следующая команда предоставляет группе с именем finance-team доступ к созданию таблиц в схеме с именем по умолчанию с родительским каталогом с именем main:
GRANT CREATE TABLE ON SCHEMA main.default TO `finance-team`;
Большинство инструкций, которые предоставляют или отменяют привилегию, соответствуют синтаксису, приведенному в предыдущем примере, указывая тип защищаемого объекта (SCHEMA
), за которым следует имя защищаемого объекта (main.default
). Однако при предоставлении привилегий в хранилище метаданных не включайте имя хранилища метаданных, так как предполагается, что хранилище метаданных, присоединенное к рабочей области, предполагается:
GRANT CREATE CATALOG ON METASTORE TO `account users`;
Дополнительные сведения о предоставлении привилегий с помощью команд SQL см. в статье Привилегии и защищаемые объекты в каталоге Unity.
Вы также можете управлять разрешениями с помощью поставщика Databricks Terraform и databricks_grants.
Модель наследования
Защищаемые объекты в каталоге Unity иерархичны, а привилегии наследуются сверху вниз. Объектом самого высокого уровня, от которого наследуются привилегии, является каталог. Это означает, что предоставление привилегии каталогу или схеме автоматически предоставляет привилегию всем текущим и будущим объектам в каталоге или схеме. Привилегии, предоставляемые в хранилище метаданных каталога Unity, не наследуются.
Например, следующая команда предоставляет привилегии SELECT
для всех таблиц и представлений в любой схеме в основном каталоге для финансирования группы:
GRANT SELECT ON CATALOG main TO finance;
Аналогичным образом можно выполнять гранты по схеме для меньшего область доступа:
GRANT SELECT ON SCHEMA main.default TO finance;
Модель наследования предоставляет простой способ настройки правил доступа по умолчанию для данных. Например, следующие команды позволяют команде машинного обучения создавать таблицы в схеме и читать таблицы друг друга:
CREATE CATALOG ml;
CREATE SCHEMA ml.team_sandbox;
GRANT USE_CATALOG ON CATALOG ml TO ml_team;
GRANT USE_SCHEMA ON SCHEMA ml.team_sandbox TO ml_team;
GRANT CREATE TABLE ON SCHEMA ml.team_sandbox TO ml_team;
GRANT SELECT ON SCHEMA ml.team_sandbox TO ml_team;
Владельцы объекта автоматически предоставляют все привилегии для этого объекта. Кроме того, владельцы объектов могут предоставлять права на сам объект и все его дочерние объекты. Это означает, что владельцы схемы не имеют автоматически всех привилегий для таблиц в схеме, но они могут предоставлять себе привилегии для таблиц в схеме.
Защищаемые объекты в каталоге Unity
Защищаемый объект — это объект, определенный в хранилище метаданных каталога Unity, в отношении которого субъекту могут быть предоставлены привилегии. Защищаемые объекты в каталоге Unity являются иерархическими.
Защищаемые объекты:
METASTORE: контейнер верхнего уровня для метаданных. Каждое хранилище метаданных каталога Unity предоставляет трехуровневое пространство имен (
catalog
.schema
),table
которое упорядочивает данные.CATALOG: первый слой иерархии объектов, используемый для упорядочивания ресурсов данных. Внешний каталог — это специальный тип каталога, который зеркало базу данных во внешней системе данных в сценарии Федерации Lakehouse.
SCHEMA: также известные как базы данных, схемы являются вторым слоем иерархии объектов и содержат таблицы и представления.
TABLE: самый низкий уровень в иерархии объектов, таблицы могут быть внешними (хранящимися во внешних расположениях в облачном хранилище) или управляемыми таблицами (хранящимися в контейнере хранилища в облачном хранилище, которое вы создаете специально для Azure Databricks).
VIEW: объект только для чтения, созданный из запроса на одну или несколько таблиц, содержащихся в схеме.
MATERIALIZED VIEW: объект, созданный из запроса на одну или несколько таблиц, содержащихся в схеме. Его результаты отражают состояние данных при последнем обновлении.
ТОМ. Самый низкий уровень в иерархии объектов, тома могут быть внешними (хранящимися во внешних расположениях в облачном хранилище) или управляемыми (хранящимися в контейнере хранилища в облачном хранилище, которое вы создаете специально для Azure Databricks).
ЗАРЕГИСТРИРОВАННАЯ МОДЕЛЬ: зарегистрированная модель MLflow, содержащаяся в схеме.
FUNCTION: определяемая пользователем функция, содержащаяся в схеме. См . определяемые пользователем функции в каталоге Unity.
EXTERNAL LOCATION: объект, содержащий ссылку на учетные данные хранилища и путь к облачному хранилищу, содержащийся в хранилище метаданных каталога Unity.
УЧЕТНЫЕ ДАННЫЕ ХРАНИЛИЩА. Объект, который инкапсулирует долгосрочные облачные учетные данные, предоставляющие доступ к облачному хранилищу хранилища, содержащегося в хранилище метаданных каталога Unity.
CONNECTION: объект, указывающий путь и учетные данные для доступа к внешней системе базы данных в сценарии федерации Lakehouse.
SHARE: логическая группировка для таблиц, которые вы планируете предоставить общий доступ с помощью разностного общего доступа. Общая папка содержится в хранилище метаданных каталога Unity.
ПОЛУЧАТЕЛЬ: объект, определяющий организацию или группу пользователей, с которыми могут предоставляться доступ к данным с помощью Delta Sharing. Эти объекты содержатся в хранилище метаданных каталога Unity.
ПОСТАВЩИК: объект, представляющий организацию, которая предоставила доступ к данным для совместного использования с помощью разностного общего доступа. Эти объекты содержатся в хранилище метаданных каталога Unity.
Типы привилегий по защищаемому объекту в каталоге Unity
В следующей таблице перечислены типы привилегий, которые применяются к каждому защищаемому объекту в каталоге Unity.
Защищаемый объект | Привилегии |
---|---|
Хранилище мета-данных | CREATE CATALOG , CREATE CONNECTION , CREATE EXTERNAL LOCATION CREATE PROVIDER CREATE RECIPIENT CREATE SHARE CREATE STORAGE CREDENTIAL SET SHARE PERMISSION USE MARKETPLACE ASSETS USE PROVIDER USE RECIPIENT USE SHARE |
Каталог | ALL PRIVILEGES , , APPLY TAG BROWSE , CREATE SCHEMA USE CATALOG Все пользователи имеют USE CATALOG каталог main по умолчанию.Следующие типы привилегий применяются к защищаемым объектам в каталоге. Эти привилегии можно предоставить на уровне каталога, чтобы применить их к соответствующим текущим и будущим объектам в каталоге. CREATE FUNCTION , CREATE TABLE , CREATE MODEL CREATE VOLUME CREATE FOREIGN CATALOG READ VOLUME REFRESH WRITE VOLUME EXECUTE MODIFY SELECT USE SCHEMA |
Схема | ALL PRIVILEGES , APPLY TAG , CREATE FUNCTION CREATE TABLE CREATE MODEL CREATE VOLUME CREATE MATERIALIZED VIEW USE SCHEMA Следующие типы привилегий применяются к защищаемым объектам в схеме. Эти привилегии можно предоставить на уровне схемы, чтобы применить их к соответствующим текущим и будущим объектам в схеме. EXECUTE , , MODIFY READ VOLUME SELECT REFRESH ,WRITE VOLUME |
Таблица | ALL PRIVILEGES , , APPLY TAG MODIFY SELECT |
Материализованное представление | ALL PRIVILEGES , , APPLY TAG REFRESH SELECT |
Представления | ALL PRIVILEGES , , APPLY TAG SELECT |
Громкость | ALL PRIVILEGES , , READ VOLUME WRITE VOLUME |
Внешнее расположение | ALL PRIVILEGES , BROWSE , CREATE EXTERNAL TABLE CREATE EXTERNAL VOLUME READ FILES WRITE FILES CREATE MANAGED STORAGE |
Учетные данные хранилища | ALL PRIVILEGES , , CREATE EXTERNAL LOCATION CREATE EXTERNAL TABLE , READ FILES WRITE FILES |
Connection | ALL PRIVILEGES , , CREATE FOREIGN CATALOG USE CONNECTION |
Функция | ALL PRIVILEGES , EXECUTE |
Зарегистрированная модель | ALL PRIVILEGES , , APPLY TAG EXECUTE |
Поделиться | SELECT (может быть предоставлено RECIPIENT ) |
Recipient | Нет |
Поставщик | нет |
При управлении привилегиями в хранилище метаданных не включайте имя хранилища метаданных в команду SQL. Каталог Unity предоставляет или отменяет привилегии в хранилище метаданных, подключенном к рабочей области. Например, следующая команда предоставляет группе с именем инженерию возможность создания каталога в хранилище метаданных, подключенного к рабочей области:
GRANT CREATE CATALOG ON METASTORE TO engineering
Общие типы привилегий каталога Unity
В этом разделе содержатся сведения о типах привилегий, которые обычно применяются к каталогу Unity.
ALL PRIVILEGES
Применимые типы объектов: CATALOG
, EXTERNAL LOCATION
, STORAGE CREDENTIAL
, TABLE
MATERIALIZED VIEW
SCHEMA
FUNCTION
REGISTERED MODEL
VIEW,
VOLUME
Используется для предоставления или отзыва всех разрешений, применимых к защищаемому объекту и его дочерним объектам, не указывая их явным образом.
Когда ALL PRIVILEGES
он предоставляется объекту, он не предоставляет пользователю все применимые привилегии во время предоставления. Вместо этого он расширяется до всех доступных привилегий во время создания разрешений проверка.
При ALL PRIVILEGES
отмене привилегии отменяются, а все явные привилегии, ALL PRIVILEGES
предоставленные пользователю в объекте, также отзываются.
Примечание.
Эта привилегия эффективна при применении на более высоких уровнях в иерархии. Например, GRANT ALL PRIVILEGES ON CATALOG main TO analysts
даст группе аналитиков все привилегии для каждого объекта (схемы, таблицы, представления, функции) в каталоге.
ПРИМЕНЕНИЕ ТЕГА
Применимые типы объектов: CATALOG
, SCHEMA
, REGISTERED MODEL
, TABLE
MATERIALIZED VIEW
VIEW
Позволяет пользователю добавлять и изменять теги в объекте. Предоставление APPLY TAG
таблице или представлению также включает теги столбцов.
Пользователь также должен иметь привилегии USE CATALOG
в родительском каталоге и USE SCHEMA
родительской схеме.
ОБЗОР
Применимые типы объектов: CATALOG
, EXTERNAL LOCATION
Внимание
Эта функция предоставляется в режиме общедоступной предварительной версии.
Позволяет пользователю просматривать метаданные объекта с помощью Обозреватель каталога, браузера схемы, результатов поиска, графа information_schema
происхождения и REST API.
Пользователю не требуется привилегия USE CATALOG
в родительском каталоге или USE SCHEMA
родительской схеме.
CREATE CATALOG
Применимые типы объектов: хранилище метаданных Unity Catalog
Разрешает пользователю создавать каталог в хранилище метаданных Unity Catalog. Чтобы создать внешний каталог, необходимо также иметь привилегию CREATE FOREIGN CATALOG для подключения, содержащего внешний каталог или хранилище метаданных.
СОЗДАНИЕ ПОДКЛЮЧЕНИЯ
Применимые типы объектов: хранилище метаданных Unity Catalog
Позволяет пользователю создать подключение к внешней базе данных в сценарии федерации Lakehouse.
CREATE EXTERNAL LOCATION
Применимые типы объектов: хранилище метаданных Unity Catalog, STORAGE CREDENTIAL
Чтобы создать внешнее расположение, пользователь должен иметь эту привилегию как в хранилище метаданных, так и на учетные данные хранения, на которые ссылаются внешние расположения.
CREATE EXTERNAL TABLE
Применимые типы объектов: EXTERNAL LOCATION
, STORAGE CREDENTIAL
Разрешает пользователю создавать внешние таблицы непосредственно в облачном клиенте с использованием внешнего расположения или учетных данных хранилища. Databricks рекомендует предоставлять это разрешение для внешнего расположения, а не учетные данные хранения (поскольку оно предоставляется только для определенного пути, это позволяет лучше контролировать, где пользователи могут создавать внешние таблицы в облачном клиенте).
СОЗДАНИЕ ВНЕШНЕГО ТОМА
Применимые типы объектов: EXTERNAL LOCATION
Позволяет пользователю создавать внешние тома с помощью внешнего расположения.
СОЗДАНИЕ ВНЕШНЕГО КАТАЛОГА
Применимые типы объектов: CONNECTION
Позволяет пользователю создавать внешние каталоги с помощью подключения к внешней базе данных в сценарии федерации Lakehouse.
CREATE FUNCTION
Применимые типы объектов: SCHEMA
Позволяет пользователю создавать функцию в схеме. Так как привилегии наследуются, CREATE FUNCTION
также можно предоставить в каталоге, что позволяет пользователю создавать функцию в любой существующей или будущей схеме в каталоге.
Пользователь также должен иметь привилегии USE CATALOG
в родительском каталоге и USE SCHEMA
родительской схеме.
CREATE MODEL
Применимые типы объектов: SCHEMA
Позволяет пользователю создать зарегистрированную модель MLflow в схеме. Так как привилегии наследуются, CREATE MODEL
можно также предоставить в каталоге, что позволяет пользователю создавать зарегистрированную модель в любой существующей или будущей схеме в каталоге.
Пользователь также должен иметь привилегии USE CATALOG
в родительском каталоге и USE SCHEMA
родительской схеме.
СОЗДАНИЕ УПРАВЛЯЕМОГО ХРАНИЛИЩА
Применимые типы объектов: EXTERNAL LOCATION
Позволяет пользователю указать расположение для хранения управляемых таблиц на уровне каталога или схемы, переопределяя корневое хранилище по умолчанию для хранилища метаданных.
CREATE SCHEMA
Применимые типы объектов: CATALOG
Позволяет пользователю создавать схему. Пользователь также должен иметь привилегию USE CATALOG
к каталогу.
СОЗДАНИЕ УЧЕТНЫХ ДАННЫХ ХРАНИЛИЩА
Применимые типы объектов: хранилище метаданных Unity Catalog
Позволяет пользователю создавать учетные данные хранения в хранилище метаданных каталога Unity.
Невозможно предоставить субъекту-службе идентификатор Microsoft Entra (ранее Azure Active Directory) или субъекту-службе Azure Databricks.
СОЗДАТЬ ТАБЛИЦУ
Применимые типы объектов: SCHEMA
Пользователь может создать таблицу или представление в схеме. Так как привилегии наследуются, CREATE TABLE
также может быть предоставлена в каталоге, что позволяет пользователю создавать таблицу или представление в любой существующей или будущей схеме в каталоге.
Пользователь также должен иметь привилегии USE CATALOG
в родительском каталоге и привилегии USE SCHEMA
родительской схемы.
CREATE MATERIALIZED VIEW
Внимание
Эта функция предоставляется в режиме общедоступной предварительной версии. Чтобы зарегистрироваться для доступа, заполните эту форму.
Применимые типы объектов: SCHEMA
Позволяет пользователю создать материализованное представление в схеме. Так как привилегии наследуются, CREATE MATERIALIZED VIEW
также может быть предоставлена в каталоге, что позволяет пользователю создавать таблицу или представление в любой существующей или будущей схеме в каталоге.
Пользователь также должен иметь привилегии USE CATALOG
в родительском каталоге и привилегии USE SCHEMA
родительской схемы.
СОЗДАНИЕ ТОМА
Применимые типы объектов: SCHEMA
Позволяет пользователю создавать том в схеме. Так как привилегии наследуются, CREATE VOLUME
также можно предоставить в каталоге, что позволяет пользователю создавать том в любой существующей или будущей схеме в каталоге.
Пользователь также должен иметь USE CATALOG
привилегии в родительском каталоге тома и USE SCHEMA
привилегии в родительской схеме.
Выполнение
Применимые типы объектов: FUNCTION
, REGISTERED MODEL
Позволяет пользователю вызывать определяемую пользователем функцию или загружать модель для вывода, если пользователь также имеет USE CATALOG
свой родительский каталог и USE SCHEMA
ее родительскую схему. Для функций EXECUTE
предоставляет возможность просматривать определение и метаданные функции. Для зарегистрированных моделей EXECUTE
предоставляет возможность просматривать метаданные для всех версий зарегистрированной модели и загружать файлы моделей.
Так как привилегии наследуются, вы можете предоставить пользователю EXECUTE
привилегию в каталоге или схеме, которая автоматически предоставляет пользователю EXECUTE
привилегию на все текущие и будущие функции в каталоге или схеме.
УПРАВЛЕНИЕ ALLOWLIST
Применимые типы объектов: хранилище метаданных Unity Catalog
Позволяет пользователю добавлять или изменять пути для скриптов инициализации, JAR и Maven в списке разрешений, который управляет кластерами с поддержкой каталога Unity с общим доступом. См . библиотеки allowlist и скрипты инициализации в общих вычислительных ресурсах.
MODIFY
Применимые типы объектов: TABLE
Позволяет пользователю добавлять, обновлять и удалять данные в таблицу или из нее, если пользователь также содержит SELECT
таблицу, а также USE CATALOG
родительский каталог и USE SCHEMA
ее родительскую схему.
Так как привилегии наследуются, вы можете предоставить пользователю MODIFY
привилегию в каталоге или схеме, которая автоматически предоставляет пользователю MODIFY
привилегию для всех текущих и будущих таблиц в каталоге или схеме.
READ FILES
Применимые типы объектов: VOLUME
, EXTERNAL LOCATION
Позволяет пользователю считывать файлы непосредственно из облачного хранилища объектов. Databricks рекомендует предоставить эту привилегию томам и предоставлять внешние расположения для ограниченных вариантов использования. Дополнительные сведения см. в разделе "Управление внешними расположениями", "Внешние таблицы" и "Внешние тома".
ЧТЕНИЕ ТОМА
Применимые типы объектов: VOLUME
Позволяет пользователю считывать файлы и каталоги, хранящиеся в томе, если пользователь также имеет USE CATALOG
свой родительский каталог и USE SCHEMA
ее родительскую схему.
Привилегии наследуются. Если вы можете предоставить пользователю привилегию в каталоге или схеме, вы автоматически предоставьте пользователю READ VOLUME
READ VOLUME
привилегию на все текущие и будущие тома в каталоге или схеме.
SELECT
Применимые типы объектов: TABLE
, VIEW
, MATERIALIZED VIEW
SHARE
Если применяется к таблице или представлению, пользователь может выбрать из таблицы или представления, если пользователь также имеет USE CATALOG
свой родительский каталог и USE SCHEMA
ее родительскую схему. При применении к общей папке получатель может выбрать из общей папки.
Так как привилегии наследуются, вы можете предоставить пользователю SELECT
привилегию в каталоге или схеме, которая автоматически предоставляет пользователю SELECT
привилегии для всех текущих и будущих таблиц, а также представления в каталоге или схеме.
USE CATALOG
Применимые типы объектов: CATALOG
Эта привилегия не предоставляет доступ к каталогу, но она необходима пользователю для взаимодействия с любым объектом в каталоге. Например, чтобы выбрать данные из таблицы, пользователям необходимо иметь SELECT
привилегии для этой таблицы и USE CATALOG
привилегий в родительском каталоге, а также USE SCHEMA
привилегии в родительской схеме.
Это полезно для того, чтобы владельцы каталога могли ограничить, насколько далеко отдельные схемы и владельцы таблиц могут предоставлять общий доступ к данным, которые они производят. Например, владелец таблицы, предоставляющий SELECT
другому пользователю, не разрешает доступ пользователя на чтение к таблице, если они также не были предоставлены USE CATALOG
привилегии в родительском каталоге, а также USE SCHEMA
привилегии для родительской схемы.
Привилегия USE CATALOG
родительского каталога не требуется для чтения метаданных объекта, если у пользователя есть BROWSE
привилегии в этом каталоге.
ИСПОЛЬЗОВАНИЕ ПОДКЛЮЧЕНИЯ
Применимые типы объектов: CONNECTION
Позволяет пользователю перечислять и просматривать сведения о подключениях к внешней базе данных в сценарии федерации Lakehouse. Чтобы создать внешние каталоги для подключения, необходимо иметь CREATE FOREIGN CATALOG
подключение или владение подключением.
USE SCHEMA
Применимые типы объектов: SCHEMA
Эта привилегия не предоставляет доступ к схеме, но она необходима пользователю для взаимодействия с любым объектом в схеме. Например, чтобы выбрать данные из таблицы, пользователям необходимо иметь SELECT
привилегии для этой таблицы и USE SCHEMA
родительской схемы, а также USE CATALOG
в родительском каталоге.
Так как привилегии наследуются, вы можете предоставить пользователю USE SCHEMA
привилегию в каталоге, которая автоматически предоставляет пользователю USE SCHEMA
привилегию на все текущие и будущие схемы в каталоге.
USE SCHEMA
Привилегия родительской схемы не требуется для чтения метаданных объекта, если у пользователя есть BROWSE
права на эту схему или родительский каталог.
WRITE FILES
Применимые типы объектов: VOLUME
EXTERNAL LOCATION
Позволяет пользователю записывать файлы непосредственно в облачное хранилище объектов. Databricks рекомендует предоставить эту привилегию для томов. Предоставьте этим привилегиям временно в внешних расположениях. Дополнительные сведения см. в разделе "Управление внешними расположениями", "Внешние таблицы" и "Внешние тома".
ЗАПИСЬ ТОМА
Применимые типы объектов: VOLUME
Позволяет пользователю добавлять, удалять или изменять файлы и каталоги, хранящиеся в томе, если пользователь также содержит USE CATALOG
родительский каталог и USE SCHEMA
ее родительскую схему.
Привилегии наследуются. Если вы можете предоставить пользователю привилегию в каталоге или схеме, вы автоматически предоставьте пользователю WRITE VOLUME
WRITE VOLUME
привилегию на все текущие и будущие тома в каталоге или схеме.
ОБНОВЛЕНИЕ
Применимые типы объектов: MATERIALIZED VIEW
Позволяет пользователю обновить материализованное представление, если пользователь также имеет USE CATALOG
свой родительский каталог и USE SCHEMA
ее родительскую схему.
Привилегии наследуются. При предоставлении REFRESH
пользователю прав доступа к каталогу или схеме пользователь автоматически предоставляет пользователю REFRESH
привилегию для всех текущих и будущих материализованных представлений в каталоге или схеме.
Типы привилегий, которые применяются только к Delta Sharing или Databricks Marketplace
В этом разделе содержатся сведения о типах привилегий, которые применяются только к delta Sharing.
CREATE PROVIDER
Применимые типы объектов: хранилище метаданных Unity Catalog
Позволяет пользователю создать объект поставщика Delta Sharing в хранилище метаданных. Поставщик определяет организацию или группу пользователей с общими данными с помощью разностного общего доступа. Создание поставщика выполняется пользователем в учетной записи databricks получателя. Сведения о безопасном использовании разностного общего доступа см. в разделе "Общий доступ к данным и ресурсам ИИ".
CREATE RECIPIENT
Применимые типы объектов: хранилище метаданных Unity Catalog
Позволяет пользователю создавать объект получателя Delta Sharing в хранилище метаданных. Получатель определяет организацию или группу пользователей, с которыми могут предоставляться доступ к данным с ними с помощью разностного общего доступа. Создание получателя выполняется пользователем в учетной записи Databricks поставщика. Сведения о безопасном использовании разностного общего доступа см. в разделе "Общий доступ к данным и ресурсам ИИ".
CREATE SHARE
Применимые типы объектов: хранилище метаданных Unity Catalog
Позволяет пользователю создать общую папку в хранилище метаданных. Общая папка — это логическая группировка для таблиц, которыми вы планируете совместно использовать разностный общий доступ.
НАСТРОЙКА РАЗРЕШЕНИЯ ОБЩЕГО РЕСУРСА
Применимые типы объектов: хранилище метаданных Unity Catalog
В Delta Sharing эта привилегия в сочетании с USE SHARE
(или USE RECIPIENT
владельцем получателя) предоставляет пользователю-поставщику возможность предоставлять получателю доступ к общей папке. В сочетании с USE SHARE
этим предоставляется возможность передавать владение общей папкой другому пользователю, группе или субъекту-службе.
ИСПОЛЬЗОВАНИЕ РЕСУРСОВ MARKETPLACE
Применимые типы объектов: хранилище метаданных Unity Catalog
Включен по умолчанию для всех хранилищ метаданных каталога Unity. В Databricks Marketplace эта привилегия дает пользователю возможность получать мгновенный доступ или запрашивать доступ к продуктам данных, общим в списке Marketplace. Он также позволяет пользователю получить доступ к каталогу только для чтения, который создается при совместном использовании поставщиком продукта данных. Без этой привилегии пользователю потребуется CREATE CATALOG
роль администратора хранилища метаданных и USE PROVIDER
разрешения. Это позволяет ограничить количество пользователей этими мощными разрешениями.
ИСПОЛЬЗОВАНИЕ ПОСТАВЩИКА
Применимые типы объектов: хранилище метаданных Unity Catalog
В Delta Sharing предоставляет пользователю-получателю доступ только для чтения ко всем поставщикам в хранилище метаданных получателя и их общих ресурсах. В сочетании с CREATE CATALOG
привилегиями эта привилегия позволяет пользователю-получателю, который не является администратором хранилища метаданных, подключать общую папку в качестве каталога. Это позволяет ограничить количество пользователей с помощью мощной роли администратора хранилища метаданных.
ИСПОЛЬЗОВАНИЕ ПОЛУЧАТЕЛЯ
Применимые типы объектов: хранилище метаданных Unity Catalog
В Delta Sharing предоставляет поставщику доступ только для чтения ко всем получателям в хранилище метаданных поставщика и их общих ресурсах. Это позволяет пользователю поставщика, который не является администратором хранилища метаданных, просматривать сведения о получателе, состояние проверки подлинности получателя и список общих папок, которым поставщик предоставил общий доступ получателю.
В Databricks Marketplace это дает пользователям возможность просматривать списки и запросы потребителей в консоли поставщика.
ИСПОЛЬЗОВАНИЕ ОБЩЕГО РЕСУРСА
Применимые типы объектов: хранилище метаданных Unity Catalog
В Delta Sharing предоставляет поставщику доступ только для чтения ко всем общим папкам, определенным в хранилище метаданных поставщика. Это позволяет пользователю поставщика, который не является администратором хранилища метаданных, перечислять общие папки и перечислять ресурсы (таблицы и записные книжки) в общей папке вместе с получателями общего ресурса.
В Databricks Marketplace это дает пользователям возможность просматривать сведения об общих данных в списке.
Обратная связь
https://aka.ms/ContentUserFeedback.
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделеОтправить и просмотреть отзыв по