Hive meta veri deposundaki ayrıcalıklar ve güvenliği sağlanabilir nesneler
Şunun için geçerlidir: Databricks SQL denetimi yes Databricks Runtime
Ayrıcalık, meta veri deposunda güvenliği sağlanabilir bir nesne üzerinde çalışmak için sorumluya verilen haktır.
Ayrıcalık modeli ve güvenliği sağlanabilir nesneler, Unity Kataloğu meta veri deposu mu yoksa eski Hive meta veri deposu mu kullandığınıza bağlı olarak farklılık gösterir. Bu makalede, eski Hive meta veri deposu için ayrıcalık modeli açıklanmaktadır. Unity Kataloğu kullanıyorsanız bkz. Unity Kataloğu'nda Ayrıcalıklar ve güvenliği sağlanabilir nesneler.
Hive meta veri deposunda güvenliği sağlanabilir nesneler
Güvenli hale getirilebilir nesne, meta veri deposunda tanımlanan ve bir sorumluya ayrıcalıkların verilebildiği bir nesnedir.
Herhangi bir nesnedeki ayrıcalıkları yönetmek için nesnenin sahibi veya yöneticisi olmanız gerekir.
Sözdizimi
securable_object
{ ANY FILE |
CATALOG [ catalog_name ] |
{ SCHEMA | DATABASE } schema_name |
FUNCTION function_name |
[ TABLE ] table_name |
VIEW view_name
}
Parametre
ANY FILE
Temel alınan dosya sistemine erişimi denetler.
CATALOG
Catalog_nameVeri kataloğunun tamamına erişimi denetler.
{ SCHEMA | DATABASE }
Schema_nameŞemaya erişimi denetler.
FUNCTION
function_nameAdlandırılmış işleve erişimi denetler.
[ TABLE ]
Table_nameYönetilen veya dış tabloya erişimi denetler.
VIEW
view_nameSQL görünümlerine erişimi denetler.
Devralma modeli
Hive meta veri deposundaki güvenli hale getirilebilir nesneler hiyerarşiktir ve ayrıcalıklar aşağı doğru devralınır. Bu, üzerinde bir ayrıcalık vermenin veya reddetmenin CATALOG
katalogdaki tüm şemalara otomatik olarak ayrıcalık vermesi veya reddetmesi anlamına gelir. Benzer şekilde, bir şema nesnesinde verilen ayrıcalıklar bu şemadaki tüm nesneler tarafından devralınır. Bu düzen güvenli hale getirilebilen tüm nesneler için geçerlidir.
Bir tablodaki kullanıcı ayrıcalıklarını reddederseniz, kullanıcı şemadaki tüm tabloları listelemeyi deneyerek tabloyu göremez. Bir şemada kullanıcı ayrıcalıklarını reddederseniz, kullanıcı katalogdaki tüm şemaları listelemeye çalışarak şemanın var olduğunu göremez.
Ayrıcalık türleri
Aşağıdaki tabloda hangi ayrıcalıkların hangi güvenli hale getirilebilir nesnelerle ilişkilendirildiği gösterilmektedir.
Ayrıcalık türü | ANONIM IŞLEV | HERHANGİ Bİr DOSYA | KATALOG | ŞEMA | IŞLEV | TABLO | GÖRÜNÜM | |
---|---|---|---|---|---|---|---|---|
OLUŞTURMAK | Evet | Evet | ||||||
DEĞİŞTİRMEK | Evet | Evet | Evet | Evet | ||||
READ_METADATA | Evet | Evet | Evet | Evet | ||||
SEÇİN | Evet | Evet | Evet | Evet | Evet | Evet | Evet | |
KULLANIM | Evet | Evet |
ALL PRIVILEGES
Güvenli kılınabilir nesneler ve alt nesneleri için geçerli olan tüm ayrıcalıkları açıkça belirtmeden vermek veya iptal etmek için kullanılır. Bu, izin denetimleri yapıldığında tüm kullanılabilir ayrıcalıklara genişletilir.
CREATE
Katalog veya şema içinde nesneler oluşturun.
MODIFY
TABLOYA KOPYALA, Sİl, EKLE veya BİRLEŞTİr.
securable_object
hive_metastore
içindeki veya şemasıysa, vermeMODIFY
işlemi güvenli kılınabilir nesne içindeki tüm geçerli ve gelecekteki tablolarda ve görünümlerde verirMODIFY
.READ_METADATA
SHOW'da güvenliği sağlanabilir nesneyi bulma ve DESCRIBE'da nesneyi sorgulama
Güvenli kılınabilir nesne
hive_metastore
içindeki katalog veya şemaysa, vermeREAD_METADATA
işlemi güvenli kılınabilir nesne içindeki tüm geçerli ve gelecekteki tablo ve görünümlerde verirREAD_METADATA
.READ FILES
Depolama kimlik bilgilerini veya dış konumu kullanarak dosyaları doğrudan sorgular.
SELECT
Bir tabloyu veya görünümü sorgulama, kullanıcı tanımlı veya anonim işlevi çağırma veya seçeneğini belirleyin
ANY FILE
. Kullanıcının hem tablo, görünüm veya işlevde hem deUSAGE
nesnenin şemasında ve kataloğunda olması gerekirSELECT
.Güvenli kılınabilir nesne içinde veya bir şemaysa
hive_metastore
, vermeSELECT
işlemi güvenli kılınabilir nesne içindeki tüm geçerli ve gelecekteki tablo ve görünümlerde verirSELECT
.USAGE
Gerekli, ancak bir katalog veya şemadaki nesnelere başvurmak için yeterli değildir. Sorumlunun tek tek güvenli hale getirilebilen nesneler üzerinde de ayrıcalıkları olması gerekir.
WRITE FILES
Depolama kimlik bilgileri veya dış konum tarafından yönetilen dosyaları doğrudan COPY INTO.
Örnekler
-- Grant a privilege to the user alf@melmak.et
> GRANT SELECT ON TABLE t TO `alf@melmak.et`;
-- Revoke a privilege from the general public group.
> REVOKE USAGE ON SCHEMA some_schema FROM `alf@melmak.et`;