Hive meta veri deposundaki ayrıcalıklar ve güvenliği sağlanabilir nesneler

  • Makale

Şunun için geçerlidir:evet olarak işaretlendi Databricks SQL denetimi yes Databricks Runtime olarak işaretlendi

Ayrıcalık, meta veri deposunda güvenliği sağlanabilir bir nesne üzerinde çalışmak için sorumluya verilen haktır.

Ayrıcalık modeli ve güvenliği sağlanabilir nesneler, Unity Kataloğu meta veri deposu mu yoksa eski Hive meta veri deposu mu kullandığınıza bağlı olarak farklılık gösterir. Bu makalede, eski Hive meta veri deposu için ayrıcalık modeli açıklanmaktadır. Unity Kataloğu kullanıyorsanız bkz. Unity Kataloğu'nda Ayrıcalıklar ve güvenliği sağlanabilir nesneler.

Hive meta veri deposunda güvenliği sağlanabilir nesneler

Güvenli hale getirilebilir nesne, meta veri deposunda tanımlanan ve bir sorumluya ayrıcalıkların verilebildiği bir nesnedir.

Herhangi bir nesnedeki ayrıcalıkları yönetmek için nesnenin sahibi veya yöneticisi olmanız gerekir.

Sözdizimi

  securable_object
    { ANY FILE |
      CATALOG [ catalog_name ] |
      { SCHEMA | DATABASE } schema_name |
      FUNCTION function_name |
      [ TABLE ] table_name |
      VIEW view_name
      }

Parametre

  • ANY FILE

    Temel alınan dosya sistemine erişimi denetler.

  • CATALOGCatalog_name

    Veri kataloğunun tamamına erişimi denetler.

  • { SCHEMA | DATABASE }Schema_name

    Şemaya erişimi denetler.

  • FUNCTIONfunction_name

    Adlandırılmış işleve erişimi denetler.

  • [ TABLE ]Table_name

    Yönetilen veya dış tabloya erişimi denetler.

  • VIEWview_name

    SQL görünümlerine erişimi denetler.

Devralma modeli

Hive meta veri deposundaki güvenli hale getirilebilir nesneler hiyerarşiktir ve ayrıcalıklar aşağı doğru devralınır. Bu, üzerinde bir ayrıcalık vermenin veya reddetmenin CATALOG katalogdaki tüm şemalara otomatik olarak ayrıcalık vermesi veya reddetmesi anlamına gelir. Benzer şekilde, bir şema nesnesinde verilen ayrıcalıklar bu şemadaki tüm nesneler tarafından devralınır. Bu düzen güvenli hale getirilebilen tüm nesneler için geçerlidir.

Bir tablodaki kullanıcı ayrıcalıklarını reddederseniz, kullanıcı şemadaki tüm tabloları listelemeyi deneyerek tabloyu göremez. Bir şemada kullanıcı ayrıcalıklarını reddederseniz, kullanıcı katalogdaki tüm şemaları listelemeye çalışarak şemanın var olduğunu göremez.

Ayrıcalık türleri

Aşağıdaki tabloda hangi ayrıcalıkların hangi güvenli hale getirilebilir nesnelerle ilişkilendirildiği gösterilmektedir.

Ayrıcalık türü ANONIM IŞLEV HERHANGİ Bİr DOSYA KATALOG ŞEMA IŞLEV TABLO GÖRÜNÜM
OLUŞTURMAK Evet Evet
DEĞİŞTİRMEK Evet Evet Evet Evet
READ_METADATA Evet Evet Evet Evet
SEÇİN Evet Evet Evet Evet Evet Evet Evet
KULLANIM Evet Evet

  • ALL PRIVILEGES

    Güvenli kılınabilir nesneler ve alt nesneleri için geçerli olan tüm ayrıcalıkları açıkça belirtmeden vermek veya iptal etmek için kullanılır. Bu, izin denetimleri yapıldığında tüm kullanılabilir ayrıcalıklara genişletilir.

  • CREATE

    Katalog veya şema içinde nesneler oluşturun.

  • MODIFY

    TABLOYA KOPYALA, Sİl, EKLE veya BİRLEŞTİr.

    securable_object hive_metastore içindeki veya şemasıysa, verme MODIFY işlemi güvenli kılınabilir nesne içindeki tüm geçerli ve gelecekteki tablolarda ve görünümlerde verir MODIFY .

  • READ_METADATA

    SHOW'da güvenliği sağlanabilir nesneyi bulma ve DESCRIBE'da nesneyi sorgulama

    Güvenli kılınabilir nesne hive_metastore içindeki katalog veya şemaysa, verme READ_METADATA işlemi güvenli kılınabilir nesne içindeki tüm geçerli ve gelecekteki tablo ve görünümlerde verir READ_METADATA .

  • READ FILES

    Depolama kimlik bilgilerini veya dış konumu kullanarak dosyaları doğrudan sorgular.

  • SELECT

    Bir tabloyu veya görünümü sorgulama, kullanıcı tanımlı veya anonim işlevi çağırma veya seçeneğini belirleyin ANY FILE. Kullanıcının hem tablo, görünüm veya işlevde hem de USAGE nesnenin şemasında ve kataloğunda olması gerekirSELECT.

    Güvenli kılınabilir nesne içinde veya bir şemaysa hive_metastore , verme SELECT işlemi güvenli kılınabilir nesne içindeki tüm geçerli ve gelecekteki tablo ve görünümlerde verir SELECT .

  • USAGE

    Gerekli, ancak bir katalog veya şemadaki nesnelere başvurmak için yeterli değildir. Sorumlunun tek tek güvenli hale getirilebilen nesneler üzerinde de ayrıcalıkları olması gerekir.

  • WRITE FILES

    Depolama kimlik bilgileri veya dış konum tarafından yönetilen dosyaları doğrudan COPY INTO.

Örnekler

-- Grant a privilege to the user alf@melmak.et
> GRANT SELECT ON TABLE t TO `alf@melmak.et`;

-- Revoke a privilege from the general public group.
> REVOKE USAGE ON SCHEMA some_schema FROM `alf@melmak.et`;