Привилегии и защищаемые объекты в каталоге Unity
Область применения: только каталог Unity среды выполненияDatabricks SQL Databricks
Привилегия — это право, предоставленное субъекту для работы с защищаемым объектом в хранилище метаданных. Модель привилегий и защищаемые объекты различаются в зависимости от того, используется ли хранилище метаданных каталога Unity или устаревшее хранилище метаданных Hive. В этой статье описывается модель привилегий для каталога Unity. Если вы используете хранилище метаданных Hive, см. статью "Привилегии" и защищаемые объекты в хранилище метаданных Hive
Примечание.
Эта статья относится к привилегиям каталога Unity и модели наследования в модели привилегий версии 1.0. Если вы создали хранилище метаданных каталога Unity во время общедоступной предварительной версии (до 25 августа 2022 г.), обновите его до версии 1.0, выполнив обновление до наследования привилегий.
Защищаемые объекты
Защищаемый объект — это объект, определенный в хранилище метаданных каталога Unity, в отношении которого субъекту могут быть предоставлены привилегии. Для управления привилегиями для любого объекта необходимо быть его владельцем.
Синтаксис
securable_object
{ CATALOG [ catalog_name ] |
CONNECTION connection_name |
EXTERNAL LOCATION location_name |
FUNCTION function_name |
METASTORE |
SCHEMA schema_name |
SHARE share_name |
STORAGE CREDENTIAL credential_name |
[ TABLE ] table_name |
MATERIALIZED VIEW view_name |
VIEW view_name |
VOLUME volume_name
}
Вы также можете указать SERVER
вместо CONNECTION
него и DATABASE
вместо SCHEMA
него.
Параметры
CATALOG
catalog_nameУправляет доступом ко всему каталогу данных.
CONNECTION
connection_nameУправляет доступом к подключению.
EXTERNAL LOCATION
location_nameFUNCTION
function_nameУправляет доступом к определяемой пользователем функции.
MATERIALIZED VIEW
view_nameВнимание
Эта функция предоставляется в режиме общедоступной предварительной версии. Чтобы зарегистрироваться для доступа, заполните эту форму.
Управляет доступом к материализованному представлению.
METASTORE
Управляет доступом к хранилищу метаданных каталога Unity, присоединенному к рабочей области. При управлении привилегиями в хранилище метаданных не включайте имя хранилища метаданных в команду SQL. Каталог Unity предоставит или отменит привилегию в хранилище метаданных, подключенном к рабочей области.
REGISTERED MODEL
Управляет доступом к зарегистрированной модели MLflow.
SCHEMA
schema_nameУправляет доступом к схеме.
STORAGE CREDENTIAL
credential_nameУправляет доступом к учетным данным хранилища.
SHARE
share_nameУправляет доступом к общей папке получателю.
TABLE
table_nameУправляет доступом к управляемой или внешней таблице. Если не удается найти таблицу Azure Databricks, возникает ошибка TABLE_OR_VIEW_NOT_FOUND .
VIEW
view_nameУправляет доступом к представлению. Если представление не удается найти Azure Databricks, возникает ошибка TABLE_OR_VIEW_NOT_FOUND .
VOLUME
volume_nameУправляет доступом к тому. Если том не удается найти Azure Databricks, возникает ошибка.
Модель наследования
Защищаемые объекты в каталоге Unity являются иерархическими, а привилегии наследуются вниз. Это означает, что предоставление привилегий в каталоге автоматически предоставляет права всем текущим и будущим схемам в каталоге. Аналогичным образом привилегии, предоставленные схеме, наследуются всеми текущими и будущими таблицами и представлениями в этой схеме.
Например, если предоставить SELECT
пользователю привилегию схемы, пользователь автоматически получает SELECT
привилегию для всех текущих и будущих таблиц, представлений и материализованных представлений в схеме.
Типы привилегий
В следующей таблице показано, какие привилегии каталога Unity связаны с защищаемыми объектами каталога Unity.
Защищаемый объект | Привилегии |
---|---|
Хранилище мета-данных | CREATE CATALOG , CREATE CONNECTION , CREATE EXTERNAL LOCATION CREATE PROVIDER CREATE RECIPIENT CREATE SHARE CREATE STORAGE CREDENTIAL SET SHARE PERMISSION USE MARKETPLACE ASSETS USE PROVIDER USE RECIPIENT USE SHARE |
Каталог | ALL PRIVILEGES , , APPLY TAG BROWSE , CREATE SCHEMA USE CATALOG Все пользователи имеют USE CATALOG каталог main по умолчанию.Следующие типы привилегий применяются к защищаемым объектам в каталоге. Эти привилегии можно предоставить на уровне каталога, чтобы применить их к соответствующим текущим и будущим объектам в каталоге. CREATE FUNCTION , CREATE TABLE , CREATE MODEL CREATE VOLUME CREATE FOREIGN CATALOG READ VOLUME REFRESH WRITE VOLUME EXECUTE MODIFY SELECT USE SCHEMA |
Схема | ALL PRIVILEGES , APPLY TAG , CREATE FUNCTION CREATE TABLE CREATE MODEL CREATE VOLUME CREATE MATERIALIZED VIEW USE SCHEMA Следующие типы привилегий применяются к защищаемым объектам в схеме. Эти привилегии можно предоставить на уровне схемы, чтобы применить их к соответствующим текущим и будущим объектам в схеме. EXECUTE , , MODIFY READ VOLUME SELECT REFRESH ,WRITE VOLUME |
Таблица | ALL PRIVILEGES , , APPLY TAG MODIFY SELECT |
Материализованное представление | ALL PRIVILEGES , , APPLY TAG REFRESH SELECT |
Представления | ALL PRIVILEGES , , APPLY TAG SELECT |
Громкость | ALL PRIVILEGES , , READ VOLUME WRITE VOLUME |
Внешнее расположение | ALL PRIVILEGES , BROWSE , CREATE EXTERNAL TABLE CREATE EXTERNAL VOLUME READ FILES WRITE FILES CREATE MANAGED STORAGE |
Учетные данные хранилища | ALL PRIVILEGES , , CREATE EXTERNAL LOCATION CREATE EXTERNAL TABLE , READ FILES WRITE FILES |
Connection | ALL PRIVILEGES , , CREATE FOREIGN CATALOG USE CONNECTION |
Функция | ALL PRIVILEGES , EXECUTE |
Зарегистрированная модель | ALL PRIVILEGES , , APPLY TAG EXECUTE |
Поделиться | SELECT (может быть предоставлено RECIPIENT ) |
Recipient | Нет |
Поставщик | нет |
APPLY TAG
Применение и изменение тегов в объекте.
ALL PRIVILEGES
Используется для предоставления или отзыва всех разрешений, применимых к защищаемому объекту и его дочерним объектам, не указывая их явным образом. Это распространяется на все доступные привилегии во время проверки разрешений. Он не предоставляет пользователю по отдельности все применимые привилегии на момент предоставления.
Когда
ALL PRIVILEGES
отменяется толькоALL PRIVILEGES
сама привилегия, отменяется. Пользователи сохраняют другие привилегии, предоставленные им отдельно.BROWSE
Внимание
Эта функция предоставляется в режиме общедоступной предварительной версии.
Просмотр метаданных объекта с помощью Обозреватель каталога, браузера схемы, результатов поиска, графа
information_schema
происхождения и REST API. Пользователю не требуется привилегияUSE CATALOG
в родительском каталоге илиUSE SCHEMA
родительской схеме.CREATE CATALOG
Создайте каталоги в хранилище метаданных каталога Unity.
CREATE CONNECTION
Создайте внешние подключения в хранилище метаданных каталога Unity.
CREATE EXTERNAL LOCATION
Создайте внешнее расположение с помощью учетных данных хранилища. При применении к учетным данным хранилища позволяет пользователю создать внешнее расположение с использованием учетных данных хранилища. Эта привилегия также должна быть предоставлена пользователю в хранилище метаданных, чтобы разрешить им создать внешнее расположение в этом хранилище метаданных.
CREATE EXTERNAL TABLE
Создание внешних таблиц с помощью учетных данных хранилища или внешнего расположения.
CREATE EXTERNAL VOLUME
Создайте внешние тома с помощью внешнего расположения.
CREATE FOREIGN CATALOG
Создайте каталоги во внешнем подключении. Затем каждый внешний каталог предоставляет схемы, доступные в федеративной целевой системе.
CREATE FUNCTION
Создайте функцию в схеме. Пользователю также требуется
USE CATALOG
привилегия каталога иUSE SCHEMA
привилегии схемы.CREATE MANAGED STORAGE
Позволяет пользователю указать расположение для хранения управляемых таблиц на уровне каталога или схемы, переопределяя корневое хранилище по умолчанию для хранилища метаданных каталога Unity.
CREATE MATERIALIZED VIEW
Позволяет пользователю создать материализованное представление в схеме. Так как привилегии наследуются,
CREATE MATERIALIZED VIEW
также может быть предоставлена в каталоге, что позволяет пользователю создавать таблицу или представление в любой существующей или будущей схеме в каталоге.Пользователь также должен иметь привилегии
USE CATALOG
в родительском каталоге иUSE SCHEMA
родительской схеме.CREATE MODEL
Позволяет пользователю создать зарегистрированную модель MLflow в схеме. Так как привилегии наследуются,
CREATE MODEL
можно также предоставить в каталоге, что позволяет пользователю создавать зарегистрированную модель в любой существующей или будущей схеме в каталоге.Пользователь также должен иметь привилегии
USE CATALOG
в родительском каталоге иUSE SCHEMA
родительской схеме.CREATE PROVIDER
(Для получателей данных разностного общего доступа) Создайте поставщика в хранилище метаданных каталога Unity.
CREATE RECIPIENT
(Для поставщиков данных Delta Sharing) Создайте получателя в хранилище метаданных каталога Unity.
CREATE SCHEMA
Создайте схему в каталоге. Пользователю также требуется привилегия
USE CATALOG
в каталоге.CREATE SHARE
(Для поставщиков данных Delta Sharing) Создайте общую папку в хранилище метаданных каталога Unity.
CREATE STORAGE CREDENTIAL
Создайте учетные данные хранения в хранилище метаданных каталога Unity.
CREATE TABLE
Создайте таблицу или представление в схеме. Пользователю также требуется
USE CATALOG
привилегия каталога иUSE SCHEMA
привилегии схемы. Чтобы создать внешнюю таблицу, пользователю также требуетсяCREATE EXTERNAL TABLE
привилегия во внешнем расположении или учетных данных хранения.CREATE VOLUME
Создайте том в схеме. Пользователю также требуется
USE CATALOG
привилегия каталога иUSE SCHEMA
привилегии схемы. Чтобы создать внешний том, пользователю также требуетсяCREATE EXTERNAL VOLUME
привилегия во внешнем расположении.EXECUTE
Вызов определяемой пользователем функции. Пользователю также требуется
USE CATALOG
привилегия каталога иUSE SCHEMA
привилегии схемы.MODIFY
COPY INTO, UPDATEDELETE, INSERT или MERGE INTO для таблицы.
READ FILES
Выполните запрос файлов напрямую с использованием учетных данных хранилища или внешнего расположения.
READ VOLUME
REFRESH
Позволяет пользователю обновить материализованное представление, если пользователь также имеет
USE CATALOG
свой родительский каталог иUSE SCHEMA
ее родительскую схему. Пользователю также требуетсяUSE CATALOG
привилегия каталога иUSE SCHEMA
привилегии схемы.SELECT
Выполните запрос к таблице или представлению, вызовите определенную пользователем или анонимную функцию или выберите
ANY FILE
. Пользователю требуетсяSELECT
таблица, представление или функция, а такжеUSE CATALOG
каталог объекта иUSE SCHEMA
схема объекта.SET SHARE PERMISSION
В Delta Share это разрешение в сочетании с
USE SHARE
иUSE RECIPIENT
(или владельцем получателя) дает пользователю-поставщику возможность предоставлять получателю доступ к общей папке. В сочетании сUSE SHARE
этим предоставляется возможность передавать владение общей папкой другому пользователю, группе или субъекту-службе.USE CATALOG
Обязательный, но недостаточно для ссылки на объекты в каталоге. Субъект также должен иметь привилегии для отдельных защищаемых объектов. Не требуется, чтобы пользователь использовал метаданные объекта с помощью привилегии
BROWSE
.USE CONNECTION
Требуется для чтения метаданных во внешнем подключении или всех внешних подключениях при использовании в хранилище метаданных.
USE MARKETPLACE ASSETS
Включен по умолчанию для всех хранилищ метаданных каталога Unity. В Databricks Marketplace эта привилегия дает пользователю возможность получать мгновенный доступ или запрашивать доступ к продуктам данных, общим в списке Marketplace. Он также позволяет пользователю получить доступ к каталогу только для чтения, который создается при совместном использовании поставщиком продукта данных. Без этой привилегии пользователю потребуется
CREATE CATALOG
роль администратора хранилища метаданных иUSE PROVIDER
разрешения. Это позволяет ограничить количество пользователей этими мощными разрешениями.USE PROVIDER
В Delta Sharing предоставляет пользователю-получателю доступ только для чтения ко всем поставщикам в хранилище метаданных получателя и их общих ресурсах. В сочетании с
CREATE CATALOG
привилегиями эта привилегия позволяет пользователю-получателю, который не является администратором хранилища метаданных, подключать общую папку в качестве каталога. Это позволяет ограничить количество пользователей с помощью мощной роли администратора хранилища метаданных.USE RECIPIENT
В Delta Sharing предоставляет поставщику доступ только для чтения ко всем получателям в хранилище метаданных поставщика и их общих ресурсах. Это позволяет пользователю поставщика, который не является администратором хранилища метаданных, просматривать сведения о получателе, состояние проверки подлинности получателя и список общих папок, которым поставщик предоставил общий доступ получателю.
В Databricks Marketplace это дает пользователям возможность просматривать списки и запросы потребителей в консоли поставщика.
USE SCHEMA
Обязательный, но недостаточно для ссылки на объекты в схеме. Субъект также должен иметь привилегии для отдельных защищаемых объектов. Не требуется, чтобы пользователь использовал метаданные объекта с помощью привилегии
BROWSE
.USE SHARE
В Delta Sharing предоставляет поставщику доступ только для чтения ко всем общим папкам, определенным в хранилище метаданных поставщика. Это позволяет пользователю поставщика, который не является администратором хранилища метаданных, перечислять общие папки и перечислять ресурсы (таблицы и записные книжки) в общей папке вместе с получателями общего ресурса.
В Databricks Marketplace это дает пользователям возможность просматривать сведения об общих данных в списке.
WRITE FILES
Непосредственное выполнение команды COPY INTO для файлов, управляемых учетными данными хранилища или внешним расположением.
WRITE VOLUME
Непосредственно СКОПИРУЙТЕ ФАЙЛЫ Втом.
Примеры
-- Grant a privilege to the user alf@melmak.et
> GRANT SELECT ON TABLE t TO `alf@melmak.et`;
-- Revoke a privilege from the general public group.
> REVOKE USE SCHEMA ON SCHEMA some_schema FROM `alf@melmak.et`;
Связанные
Обратная связь
https://aka.ms/ContentUserFeedback.
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделеОтправить и просмотреть отзыв по