Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Op deze pagina worden de beveiligbare objecten van De Unity Catalog en de bevoegdheden beschreven die hierop van toepassing zijn. Zie Machtigingen weergeven, verlenen en intrekken voor meer informatie over het verlenen van bevoegdheden in Unity Catalog.
Note
Dit artikel verwijst naar de Unity Catalog-bevoegdheden en overnamemodel in Privilege Model versie 1.0. Als u uw Unity Catalog-metastore hebt gemaakt tijdens de openbare preview (vóór 25 augustus 2022), bevindt u zich mogelijk in een eerder privilegemodel dat het huidige overnamemodel niet ondersteunt. U kunt upgraden naar Privilege Model versie 1.0 om overname van bevoegdheden op te halen. Zie Upgraden naar overname van bevoegdheden.
Beveiligbare objecten in Unity Catalog
Een beveiligbaar object is een object dat is gedefinieerd in de Unity Catalog-metastore waarop bevoegdheden kunnen worden verleend aan een principal (gebruiker, service-principal of groep). Beveiligbare objecten in Unity Catalog zijn hiërarchisch.
De beveiligbare objecten zijn:
METASTORE: de container op het hoogste niveau voor metagegevens. Elke Unity Catalog-metastore bevat een naamruimte met drie niveaus (
catalog.schema.table) die uw gegevens ordent.Wanneer u bevoegdheden voor een metastore beheert, neemt u de naam van de metastore niet op in een SQL-opdracht. Unity Catalog verleent of intrekt de bevoegdheid voor de metastore die aan uw werkruimte is gekoppeld. Met de volgende opdracht verleent u bijvoorbeeld een groep met de naam Engineering de mogelijkheid om een catalogus te maken in de metastore die is gekoppeld aan de werkruimte:
GRANT CREATE CATALOG ON METASTORE TO engineeringCATALOG: de eerste laag van de objecthiërarchie, die wordt gebruikt om uw gegevensassets te ordenen. Een buitenlandse catalogus is een speciaal catalogustype dat een database weerspiegelt in een extern gegevenssysteem in een Lakehouse Federation-scenario.
SCHEMA: ook wel databases genoemd, zijn schema's de tweede laag van de objecthiërarchie en bevatten tabellen en weergaven.
TABLE: Op het laagste niveau in de objecthiërarchie bevinden zich beheerde tabellen, externe tabellen, refererende tabellen, streamingtabellen, onlinetabellen en functie-tabellen. Zie Azure Databricks-tabellen.
WEERGAVE: Een alleen-lezen object dat is gemaakt op basis van een query op een of meer tabellen die zich in een schema bevinden.
MATERIALIZED VIEW: een object dat is gemaakt op basis van een query in een of meer tabellen die zich in een schema bevinden. De resultaten weerspiegelen de status van gegevens wanneer deze voor het laatst zijn vernieuwd.
METRISCHE WEERGAVE: Een alleen-lezen object dat een set met metrische definities definieert, inclusief dimensies en metingen, op basis van een of meer gegevensbronnen, die tabellen, weergaven of SQL-query's kunnen zijn. Zie metrische weergaven van Unity Catalog.
VOLUME: Een logisch volume van ongestructureerde gegevens. Kan extern zijn (opgeslagen op externe locaties in uw cloudopslag naar keuze) of beheerd (opgeslagen in een opslagcontainer in uw cloudopslag die u expliciet voor Azure Databricks maakt).
FUNCTIE: Een door de gebruiker gedefinieerde functie of een MLflow-geregistreerd model dat zich in een schema bevindt.
Model: Een geregistreerd MLflow-model is een specifiek type functie. Modellen worden afzonderlijk weergegeven van andere functies in Catalog Explorer, maar wanneer u een bevoegdheid verleent voor een model met behulp van SQL, gebruikt
GRANT ON FUNCTIONu .EXTERNAL LOCATION: Een object dat een verwijzing bevat naar een opslagreferentie en een cloudopslagpad dat zich in een Unity Catalog-metastore bevindt.
EXTERNE METAGEGEVENS: een object dat metagegevens voor een entiteit in een extern systeem bevat, zoals een Tableau-dashboard of Salesforce-object, zodat het kan worden toegevoegd aan aangepaste gegevensherkomstconfiguraties. Zie Bring Your Own Data-afstamming.
SERVICEREFERENTIE: een object dat een langetermijncloudreferentie bevat die toegang biedt tot een externe service. Opgenomen in een Unity Catalog-metastore.
OPSLAGREFERENTIE: een object dat een langetermijncloudreferentie bevat die toegang biedt tot cloudopslag die zich in een Unity Catalog-metastore bevindt.
VERBINDING: Een object dat een pad en referenties opgeeft voor toegang tot een extern databasesysteem in een Lakehouse Federation-scenario.
SHARE: Een logische groepering voor de tabellen die u wilt delen met Delta Sharing. Een share bevindt zich in een Unity Catalog-metastore.
ONTVANGER: Een object dat een organisatie of groep gebruikers identificeert die gegevens met hen kunnen delen met behulp van Delta Sharing. Deze objecten bevinden zich in een Unity Catalog-metastore.
PROVIDER: Een object dat een organisatie vertegenwoordigt die gegevens beschikbaar heeft gesteld voor delen met behulp van Delta Sharing. Deze objecten bevinden zich in een Unity Catalog-metastore.
CLEAN ROOM: Een object dat een veilige en privacybeveiligde omgeving vertegenwoordigt, beheerd door Databricks, waar meerdere partijen kunnen samenwerken zonder directe toegang tot elkaars gegevens.
Type toestemmingen per beveiligbaar object in Unity Catalog
De volgende tabel bevat de bevoegdheidstypen die van toepassing zijn op elk beveiligbaar object in Unity Catalog. Zie Machtigingen weergeven, verlenen en intrekken voor meer informatie over het verlenen van bevoegdheden in Unity Catalog.
| Securable | Privileges |
|---|---|
| Metastore |
CREATE CATALOG, CREATE CLEAN ROOM, CREATE CONNECTION, CREATE EXTERNAL LOCATION, CREATE EXTERNAL METADATA, CREATE PROVIDER, CREATE RECIPIENT, CREATE SHARE, CREATE SERVICE CREDENTIAL, CREATE STORAGE CREDENTIAL, SET SHARE PERMISSION, USE MARKETPLACE ASSETS, USE PROVIDER, USE RECIPIENT, USE SHARE |
| Catalog |
ALL PRIVILEGES
APPLY TAG, BROWSE, CREATE SCHEMAUSE CATALOGAlle gebruikers hebben USE CATALOG standaard toegang tot de main catalogus.De volgende typen bevoegdheden zijn van toepassing op beveiligbare objecten in een catalogus. U kunt deze bevoegdheden op catalogusniveau verlenen om ze toe te passen op huidige en toekomstige objecten in de catalogus. CREATE FUNCTION, , CREATE TABLECREATE MATERIALIZED VIEW, CREATE MODEL, , CREATE VOLUME, , EXTERNAL USE SCHEMAREAD VOLUME, REFRESH, WRITE VOLUMEEXECUTEMANAGEMODIFYSELECT,USE SCHEMA |
| Schema |
ALL PRIVILEGES, , APPLY TAG, CREATE FUNCTIONCREATE TABLE, , CREATE MODEL, CREATE VOLUME, , CREATE MATERIALIZED VIEWMANAGEEXTERNAL USE SCHEMAUSE SCHEMADe volgende bevoegdheidstypen zijn van toepassing op beveiligbare objecten binnen een schema. U kunt deze bevoegdheden op schemaniveau verlenen om ze toe te passen op huidige en toekomstige objecten in het schema. EXECUTE, , MODIFYREAD VOLUME, REFRESH, , , SELECTWRITE VOLUME |
| Table |
ALL PRIVILEGES
APPLY TAG, MANAGE, MODIFYSELECT |
| Gerealiseerde weergave |
ALL PRIVILEGES
APPLY TAG, MANAGE, REFRESHSELECT |
| View |
ALL PRIVILEGES,APPLY TAG,MANAGE,SELECT |
| Volume |
ALL PRIVILEGES,MANAGE,READ VOLUME,WRITE VOLUME |
| Externe locatie |
ALL PRIVILEGES, , BROWSE, CREATE EXTERNAL TABLECREATE EXTERNAL VOLUME, , CREATE FOREIGN SECURABLE, CREATE MANAGED STORAGE, , EXTERNAL USE LOCATIONMANAGEREAD FILESWRITE FILES |
| Externe metagegevens |
ALL PRIVILEGES,BROWSE,MANAGE,MODIFY |
| Servicelegitimatie |
ALL PRIVILEGES
ACCESS
CREATE CONNECTION
MANAGE
|
| Opslagmachtiging |
ALL PRIVILEGES, , CREATE EXTERNAL LOCATIONCREATE EXTERNAL TABLE, MANAGE, , , READ FILESWRITE FILES |
| Connection |
ALL PRIVILEGES,CREATE FOREIGN CATALOG,MANAGE,USE CONNECTION |
| Function |
ALL PRIVILEGES, APPLY TAG (alleen modellen), CREATE MODEL VERSION (alleen modellen), EXECUTE, MANAGE |
| Procedure |
ALL PRIVILEGES, , EXECUTEMANAGE |
| Model | Geregistreerde modellen zijn een type functie. |
| Share |
SELECT (Kan worden toegekend aan RECIPIENT) |
| Recipient | None |
| Provider | None |
| Schone kamer |
ALL PRIVILEGES
BROWSE, EXECUTE CLEAN ROOM TASK, MANAGEMODIFY CLEAN ROOM |
Algemene typen Unity Catalog-bevoegdheden
In deze sectie vindt u informatie over de typen bevoegdheden die algemeen van toepassing zijn op Unity Catalog. Zie Machtigingen weergeven, verlenen en intrekken voor meer informatie over het verlenen van bevoegdheden in Unity Catalog.
ALLE BEVOEGDHEDEN
Toepasselijke objecttypen: CATALOG, EXTERNAL LOCATION, EXTERNAL METADATA, SERVICE CREDENTIAL, STORAGE CREDENTIAL, SCHEMA, ( FUNCTION inclusief modellen), PROCEDURE, TABLEMATERIALIZED VIEWVIEW,VOLUME
Wordt gebruikt om alle bevoegdheden toe te kennen of in te trekken die van toepassing zijn op het beveiligbare object en de onderliggende objecten zonder deze expliciet op te geven.
Wanneer ALL PRIVILEGES aan een object wordt verleend, verleent het de gebruiker niet afzonderlijk elke toepasselijke bevoegdheid op het moment van de toekenning. In plaats daarvan worden alle beschikbare bevoegdheden uitgebreid op het moment dat machtigingen worden gecontroleerd. Dit betekent dat wanneer Databricks nieuwe bevoegdheden en nieuwe beveiligbare objecten vrijgeeft, een bestaande ALL PRIVILEGES toekenning automatisch nieuwe bevoegdheden bevat die van toepassing zijn op het beveiligbare object, de bestaande onderliggende objecten en eventuele nieuwe onderliggende objecten.
Als u onbedoelde gegevensexfiltratie of escalatie van bevoegdheden wilt voorkomen, ALL PRIVILEGES neemt u de EXTERNAL USE SCHEMA, EXTERNAL USE LOCATIONof MANAGE bevoegdheden niet op.
Wanneer ALL PRIVILEGES de machtiging wordt ingetrokken, worden zowel de ALL PRIVILEGES toekenning als eventuele afzonderlijke bevoegdheden die er door worden geïmpliceerd, verwijderd. Bevoegdheden die geen deel uitmaken van ALL PRIVILEGES, zoals MANAGE, EXTERNAL USE LOCATIONen EXTERNAL USE SCHEMA, worden niet beïnvloed.
Note
Deze bevoegdheid is krachtig wanneer deze wordt toegepast op hogere niveaus in de hiërarchie. Bijvoorbeeld, GRANT ALLE BEVOEGDHEDEN OP CATALOG in de hoofdcatalogus TO analysts verleent het analistenteam alle bestaande en toekomstige bevoegdheden voor elk bestaand en toekomstig beveiligbaar object in de catalogus.
ACCESS
Toepasselijke objecttypen: SERVICE CREDENTIAL
Hiermee kan een gebruiker een servicereferentie gebruiken voor toegang tot een externe service of services.
TAG TOEPASSEN
Toepasselijke objecttypen: CATALOG, SCHEMA, TABLE, VOLUME, , MATERIALIZED VIEWmodellen VIEWdie zijn geregistreerd als een FUNCTION
Hiermee kan een gebruiker tags aan een object toevoegen en bewerken. Door APPLY TAG aan een tabel of weergave toe te kennen, wordt ook kolomtagging ingeschakeld. Het verlenen APPLY TAG aan een geregistreerd model maakt ook taggen van modelversies mogelijk.
De gebruiker moet ook de USE CATALOG privilege hebben op de bovenliggende catalogus en USE SCHEMA op het bovenliggende schema.
Als u een beheerde tag wilt toepassen op beveiligbare objecten van Unity Catalog, moet u ook de machtiging TOEWIJZEN hebben voor de beheerde tag. Zie Machtigingen beheren voor beheerde tags.
BROWSE
Toepasselijke objecttypen: CATALOG, CLEAN ROOM, EXTERNAL METADATAEXTERNAL LOCATION
Hiermee kan een gebruiker de metagegevens van een object weergeven met behulp van Catalog Explorer, de schemabrowser, zoekresultaten, de herkomstgrafiek information_schema, en de REST API. Met deze zichtbaarheid kunnen gebruikers objecten detecteren en toegang tot hen aanvragen.
De gebruiker heeft niet de USE CATALOG bevoegdheid voor de bovenliggende catalogus of USE SCHEMA voor het bovenliggende schema nodig.
Alle gebruikers krijgen standaard de BROWSE bevoegdheid voor nieuwe catalogi die zijn gemaakt met Catalog Explorer. U kunt de bevoegdheid desgewenst intrekken. Catalogi die zijn gemaakt met behulp van SQL-instructies, de REST API of de Databricks CLI verlenen de BROWSE bevoegdheid niet standaard. Je moet het openlijk verlenen.
Databricks raadt aan om catalogi toe te kennen BROWSE aan de All account users groep om objecten detecteerbaar te maken en alle gebruikers toegang tot objecten te laten aanvragen.
Note
Gebruikers met alleen de BROWSE bevoegdheid voor een object hebben beperkte mogelijkheid om metagegevens te verkennen met behulp van SQL.
CREATE CATALOG
Toepasselijke objecttypen: Unity Catalog-metastore
Hiermee kan een gebruiker een catalogus maken in een Unity Catalog-metastore. Als u een buitenlandse catalogus wilt maken, moet u ook de bevoegdheid CREATE FOREIGN CATALOG hebben voor de verbinding die de buitenlandse catalogus bevat of voor de metastore.
CLEANROOM CREËREN
Toepasselijke objecttypen: Unity Catalog-metastore
Hiermee kan een gebruiker een schone ruimte maken om veilig samen te werken aan projecten met andere organisaties zonder onderliggende gegevens te delen.
CREATE CONNECTION
Toepasselijke objecttypen: Unity Catalog-metastore, SERVICE CREDENTIAL
Hiermee kan een gebruiker verbinding maken met een externe database in een Lakehouse Federation-scenario. Als u een servicereferentie wilt gebruiken om een verbinding te maken, moet de gebruiker deze bevoegdheid hebben voor zowel de metastore als de servicereferentie.
CREATE EXTERNAL LOCATION
Toepasselijke objecttypen: Unity Catalog-metastore, STORAGE CREDENTIAL
Als u een externe locatie wilt maken, moet de gebruiker deze bevoegdheid hebben voor zowel de metastore als de opslagreferentie waarnaar wordt verwezen op de externe locatie.
EXTERNE METAGEGEVENS CREËREN
Toepasselijke objecttypen: Unity Catalog-metastore
Hiermee kan een gebruiker externe metadata beveiligbaar maken voor gebruik in aangepaste gegevensherkomst. Als u herkomstrelaties wilt toevoegen aan het externe metagegevensobject, moet de gebruiker de MODIFY bevoegdheid hebben voor het externe metagegevensobject, samen met bevoegdheden voor het Unity Catalog-object waarmee ze de relatie opgeven.
MAAK EXTERNE TABLE
Toepasselijke objecttypen: EXTERNAL LOCATION, STORAGE CREDENTIAL
Hiermee kan een gebruiker rechtstreeks externe tabellen in uw cloudtenant maken met behulp van een externe locatie of opslagreferentie. Databricks raadt aan deze bevoegdheid toe te kennen op een externe locatie in plaats van opslagreferenties (omdat deze is afgestemd op een pad, biedt het meer controle over waar gebruikers externe tabellen in uw cloudtenant kunnen maken).
EXTERN VOLUME AANMAKEN
Toepasselijke objecttypen: EXTERNAL LOCATION
Hiermee kan een gebruiker externe volumes maken met behulp van een externe locatie.
MAAK VREEMD CATALOG
Toepasselijke objecttypen: CONNECTION
Hiermee kan een gebruiker buitenlandse catalogi maken door verbinding te maken met een externe database in een Lakehouse Federation scenario.
EXTERNE BEVEILIGBARE MAKEN
Toepasselijke objecttypen: EXTERNAL LOCATION
Hiermee kan een gebruiker die een buitenlandse catalogus maakt, geautoriseerde paden opgeven die gedekt worden door de externe locatie.
De gebruiker moet ook CREATE CATALOG hebben in de Unity Catalog-metastore en CREATE FOREIGN CATALOG op de verbinding.
CREATE FUNCTION
Toepasselijke objecttypen: SCHEMA
Hiermee kan een gebruiker een functie of procedure maken in het schema. Omdat bevoegdheden worden overgenomen, CREATE FUNCTION kunnen ook worden verleend aan een catalogus, waardoor een gebruiker een functie of procedure kan maken in een bestaand of toekomstig schema in de catalogus.
De gebruiker moet ook de USE CATALOG privilege hebben op de bovenliggende catalogus en USE SCHEMA op het bovenliggende schema.
MODEL MAKEN
Toepasselijke objecttypen: SCHEMA
Hiermee kan een gebruiker een geregistreerd MLflow-model (een type FUNCTIE) maken in het schema. Omdat privileges worden overgenomen, kunnen ze ook aan een catalogus worden verleend, zodat een gebruiker een geregistreerd model kan maken in ieder bestaand of toekomstig schema binnen de catalogus.
De gebruiker moet ook de USE CATALOG privilege hebben op de bovenliggende catalogus en USE SCHEMA op het bovenliggende schema.
MODELVERSIE MAKEN
Toepasselijke objecttypen: MODEL
Hiermee kan een gebruiker een nieuwe versie van een geregistreerde MLflow-model registreren (dit is een type FUNCTIE). Geeft de gebruiker geen toestemming om tags uit te voeren, te wijzigen of toe te voegen aan een modelversie.
De gebruiker moet ook de USE CATALOG privilege hebben op de bovenliggende catalogus en USE SCHEMA op het bovenliggende schema.
MAAK BEHEERDE OPSLAG
Toepasselijke objecttypen: EXTERNAL LOCATION
Hiermee kan een gebruiker een locatie opgeven voor het opslaan van beheerde tabellen op catalogus- of schemaniveau, waarbij de standaardhoofdopslag voor de metastore wordt overschreven.
CREATE SCHEMA
Toepasselijke objecttypen: CATALOG
Hiermee kan een gebruiker een schema maken. De gebruiker moet ook beschikken over de USE CATALOG bevoegdheid voor de catalogus.
SERVICEREFERENTIE MAKEN
Toepasselijke objecttypen: Unity Catalog-metastore
Hiermee kan een gebruiker een servicereferentie maken in een Unity Catalog-metastore.
OPSLAGCREDENTIAAL MAKEN
Toepasselijke objecttypen: Unity Catalog-metastore
Hiermee kan een gebruiker een opslagreferentie maken in een Unity Catalog-metastore.
CREATE TABLE
Toepasselijke objecttypen: SCHEMA
Hiermee kan een gebruiker een tabel of weergave in het schema maken. Aangezien bevoegdheden worden overgenomen, kunnen CREATE TABLE ook worden verleend aan een catalogus, zodat een gebruiker een tabel of weergave kan maken in een bestaand of toekomstig schema in de catalogus.
De gebruiker moet ook het USE CATALOG recht hebben op de bovenliggende catalogus en het USE SCHEMA recht op het bovenliggende schema.
CREATE MATERIALIZED VIEW
Toepasselijke objecttypen: SCHEMA
Hiermee kan een gebruiker een gerealiseerde weergave maken in het schema. Aangezien bevoegdheden worden overgenomen, kunnen CREATE MATERIALIZED VIEW ook worden verleend aan een catalogus, zodat een gebruiker een tabel of weergave kan maken in een bestaand of toekomstig schema in de catalogus.
De gebruiker moet ook het USE CATALOG recht hebben op de bovenliggende catalogus en het USE SCHEMA recht op het bovenliggende schema.
CREATE VOLUME
Toepasselijke objecttypen: SCHEMA
Hiermee kan een gebruiker een volume in het schema maken. Omdat bevoegdheden worden overgenomen, kunnen CREATE VOLUME ook aan een catalogus worden verleend, waardoor een gebruiker een volume kan maken in elk bestaand of toekomstig schema binnen de catalogus.
De gebruiker moet ook de USE CATALOG bevoegdheid hebben op de bovenliggende catalogus van het volume en de USE SCHEMA bevoegdheid op het bovenliggende schema.
EXECUTE
Toepasselijke objecttypen: FUNCTION, Model
Hiermee kan een gebruiker een door de gebruiker gedefinieerde functie aanroepen of een model laden voor invoering, als de gebruiker ook USE CATALOG op de bovenliggende catalogus en USE SCHEMA op het bovenliggende schema heeftUSE SCHEMA. Voor functies EXECUTE verleent u de mogelijkheid om de functiedefinitie en metagegevens weer te geven. Voor geregistreerde modellen EXECUTE verleent u de mogelijkheid om metagegevens voor alle versies van het geregistreerde model weer te geven en modelbestanden te downloaden.
Aangezien bevoegdheden worden overgenomen, kunt u een gebruiker de EXECUTE bevoegdheid verlenen voor een catalogus of schema, waarmee de gebruiker automatisch de EXECUTE bevoegdheid verleent voor alle huidige en toekomstige functies in de catalogus of het schema.
SCHOONRUIMTETAAK UITVOEREN
Toepasselijke objecttypen: CLEAN ROOM
Hiermee kan een gebruiker taken (notebooks) uitvoeren in een schone ruimte. Hiermee kan de gebruiker ook de details van de clean room bekijken.
LOCATIE VOOR EXTERN GEBRUIK
Toepasselijke objecttypen: EXTERNAL LOCATION
Hiermee kan een gebruiker een tijdelijke referentie krijgen voor toegang tot externe locaties van Unity Catalog vanuit een externe verwerkingsengine met behulp van de open API's van Unity Catalog of Apache Spark.
Alleen gebruikers met de MANAGE bevoegdheid op de externe locatie kunnen deze bevoegdheid verlenen.
Als u onbedoelde gegevensexfiltratie wilt voorkomen, ALL PRIVILEGES neemt u de EXTERNAL USE LOCATION bevoegdheid niet op en hebben eigenaren van externe locaties deze bevoegdheid niet standaard.
Zie Externe gegevenstoegang tot Unity Catalog inschakelen.
EXTERN USE SCHEMA
Important
Deze functie is beschikbaar als openbare preview.
Toepasselijke objecttypen: SCHEMA
Hiermee kan een gebruiker een tijdelijke referentie krijgen om toegang te krijgen tot Unity Catalog-tabellen vanuit een externe verwerkingsengine met behulp van de open API's van Unity Catalog of Iceberg REST API's.
Alleen de cataloguseigenaar kan deze bevoegdheid verlenen.
Om onbedoelde gegevensexfiltratie te voorkomen, wordt de ALL PRIVILEGES bevoegdheid niet toegekend aan EXTERNAL USE SCHEMA, en hebben schema-eigenaren deze bevoegdheid standaard niet.
Zie Externe gegevenstoegang tot Unity Catalog inschakelen.
MANAGE
Toepasselijke objecttypen: CATALOG, EXTERNAL LOCATION, EXTERNAL METADATA, SERVICE CREDENTIAL, , STORAGE CREDENTIAL, SCHEMA( FUNCTION inclusief modellen), CONNECTION, TABLE, MATERIALIZED VIEWVIEW,VOLUMECLEAN ROOM
Important
Deze functie is beschikbaar als openbare preview.
Hiermee kan een gebruiker bevoegdheden weergeven en beheren, eigendom overdragen, verwijderen en de naam van een object wijzigen.
MANAGE is vergelijkbaar met het eigendom van objecten, maar gebruikers met de MANAGE bevoegdheid krijgen niet automatisch alle bevoegdheden voor dat object (maar ze kunnen zichzelf bevoegdheden verlenen).
De gebruiker moet ook de USE CATALOG bevoegdheid hebben voor de bovenliggende catalogus van het object en de USE SCHEMA bevoegdheid voor het bovenliggende schema.
ALL PRIVILEGES bevat niet de bevoegdheid voor MANAGE
ALLOWLIST BEHEREN
Toepasselijke objecttypen: Unity Catalog-metastore
Hiermee kan een gebruiker paden voor init-scripts, JAR's en Maven-coördinaten toevoegen of wijzigen in de acceptatielijst die clusters met Unity Catalog beheert met standaardtoegangsmodus. Zie Allowlist-bibliotheken en init-scripts voor berekening met de standaardtoegangsmodus (voorheen gedeelde toegangsmodus).
MODIFY
Toepasselijke objecttypen: EXTERNAL METADATA, TABLE
Hiermee kan een gebruiker gegevens aan of uit de tabel toevoegen, bijwerken en verwijderen als de gebruiker ook over de tabel beschikt SELECT , evenals USE CATALOG in de bovenliggende catalogus en USE SCHEMA in het bovenliggende schema.
Omdat bevoegdheden worden overgenomen, kunt u een gebruiker de MODIFY bevoegdheid verlenen voor een catalogus of schema, waarmee de gebruiker automatisch de MODIFY bevoegdheid verleent voor alle huidige en toekomstige tabellen in de catalogus of het schema.
Note
MODIFY kan niet worden toegekend aan een vreemde tabel omdat vreemde tabellen alleenlezen zijn.
WIJZIG SCHONE RUIMTE
Toepasselijke objecttypen: CLEAN ROOM
Hiermee kan een gebruiker een schone ruimte bijwerken, waaronder het toevoegen en verwijderen van gegevensassets, het toevoegen en verwijderen van notitieblokken en het bijwerken van opmerkingen. Hiermee kan de gebruiker ook de details van de clean room bekijken.
BESTANDEN LEZEN
Toepasselijke objecttypen: EXTERNAL LOCATION
READ FILES hiermee kan een gebruiker bestanden rechtstreeks lezen vanuit de opslag van cloudobjecten die zijn geconfigureerd als een externe locatie. Databricks raadt deze procedure af. In plaats daarvan moet u leestoegang tot gegevens in de cloudobjectopslag beheren met behulp van volumes en de READ VOLUME bevoegdheid. Zie Externe locaties voor meer informatie.
VOLUME LEZEN
Toepasselijke objecttypen: VOLUME
Hiermee kan een gebruiker bestanden en mappen lezen die zijn opgeslagen in een volume, als de gebruiker ook USE CATALOG op de bovenliggende catalogus en USE SCHEMA op het bovenliggende schema heeft.
Bevoegdheden worden overgenomen. Wanneer u een gebruiker de READ VOLUME bevoegdheid voor een catalogus of schema kunt verlenen, verleent u de gebruiker automatisch de READ VOLUME bevoegdheid voor alle huidige en toekomstige volumes in de catalogus of het schema.
REFRESH
Toepasselijke objecttypen: MATERIALIZED VIEW
Hiermee kan een gebruiker een gerealiseerde weergave vernieuwen als de gebruiker ook USE CATALOG heeft op de bovenliggende catalogus en USE SCHEMA op het bovenliggende schema.
Bevoegdheden worden overgenomen. Wanneer u de REFRESH bevoegdheid voor een catalogus of schema aan een gebruiker verleent, verleent u de gebruiker automatisch de REFRESH bevoegdheid voor alle huidige en toekomstige gerealiseerde weergaven in de catalogus of het schema.
SELECT
Toepasselijke objecttypen: TABLE, VIEW, MATERIALIZED VIEWSHARE
Wanneer toegepast op een tabel of weergave, kan een gebruiker selecteren uit de tabel of weergave, als de gebruiker ook USE CATALOG op de bovenliggende catalogus en USE SCHEMA op het bovenliggende schema heeft. Als deze wordt toegepast op een share, kan een ontvanger een keuze maken uit de share.
Aangezien bevoegdheden worden overgenomen, kunt u een gebruiker de SELECT bevoegdheid verlenen voor een catalogus of schema, waarmee automatisch de gebruikersbevoegdheden SELECT worden verleend voor alle huidige en toekomstige tabellen en weergaven in de catalogus of het schema.
USE CATALOG
Toepasselijke objecttypen: CATALOG
Deze bevoegdheid verleent geen toegang tot de catalogus zelf, maar is nodig voor een gebruiker om met een object in de catalogus te communiceren. Als u bijvoorbeeld gegevens uit een tabel wilt selecteren, moeten gebruikers beschikken over de SELECT bevoegdheid voor die tabel en bevoegdheden voor de bovenliggende catalogus, USE CATALOG evenals USE SCHEMA bevoegdheden voor het bovenliggende schema.
Dit is handig voor het toestaan van cataloguseigenaren om te beperken hoe ver afzonderlijke schema- en tabeleigenaren gegevens kunnen delen die ze produceren. Een eigenaar van een tabel die SELECT aan een andere gebruiker verleent, staat bijvoorbeeld niet toe dat de gebruiker leestoegang tot de tabel krijgt, tenzij deze ook de USE CATALOG bevoegdheden voor de bovenliggende catalogus en de USE SCHEMA bevoegdheden voor het bovenliggende schema heeft gekregen.
De USE CATALOG bevoegdheid voor de bovenliggende catalogus is niet vereist om de metagegevens van een object te lezen als de gebruiker de BROWSE bevoegdheid voor die catalogus heeft.
VERBINDING GEBRUIKEN
Toepasselijke objecttypen: CONNECTION
Hiermee kan een gebruiker details opsommen en weergeven over de verbindingen met een externe database in een scenario van een Lakehouse Federation. Om buitenlandse catalogi voor een verbinding te maken, moet u CREATE FOREIGN CATALOG hebben op de verbinding of eigenaar zijn van de verbinding.
USE SCHEMA
Toepasselijke objecttypen: SCHEMA
Deze bevoegdheid verleent geen toegang tot het schema zelf, maar is nodig voor een gebruiker om met een object in het schema te communiceren. Als u bijvoorbeeld gegevens uit een tabel wilt selecteren, moeten gebruikers beschikken over de SELECT bevoegdheid voor die tabel en USE SCHEMA in het bovenliggende schema en USE CATALOG in de bovenliggende catalogus.
Omdat bevoegdheden worden overgenomen, kunt u een gebruiker de USE SCHEMA bevoegdheid verlenen voor een catalogus, waarmee de gebruiker automatisch de USE SCHEMA bevoegdheid verleent voor alle huidige en toekomstige schema's in de catalogus.
Dit is handig voor het beperken van de mate waarin eigenaren van afzonderlijke tabellen gegevens kunnen delen die ze produceren. Een eigenaar van een tabel die SELECT aan een andere gebruiker verleent, staat bijvoorbeeld niet toe dat de gebruiker leestoegang tot de tabel krijgt, tenzij deze ook bevoegdheden heeft gekregen USE SCHEMA voor het bovenliggende schema en USE CATALOG voor de bovenliggende catalogus.
De USE SCHEMA bevoegdheid voor het bovenliggende schema is niet vereist om de metagegevens van een object te lezen als de gebruiker de bevoegdheid heeft voor de BROWSE bovenliggende catalogus van dat schema.
BESTANDEN SCHRIJVEN
Toepasselijke objecttypen: EXTERNAL LOCATION
Databricks raadt aan schrijftoegang tot gegevens in de cloudobjectopslag te beheren met behulp van volumes en de WRITE VOLUME bevoegdheid.
WRITE FILES kan een gebruiker bestanden rechtstreeks naar uw cloudobjectopslag schrijven die is geconfigureerd als een externe locatie. Zie Beheerde en externe volumes voor meer informatie.
VOLUME BESCHRIJVEN
Toepasselijke objecttypen: VOLUME
Hiermee kan een gebruiker bestanden en mappen die zijn opgeslagen in een volume toevoegen, verwijderen of wijzigen als de gebruiker ook USE CATALOG op de bovenliggende catalogus en USE SCHEMA op het bovenliggende schema heeft.
Bevoegdheden worden overgenomen. Wanneer u een gebruiker de WRITE VOLUME bevoegdheid voor een catalogus of schema kunt verlenen, verleent u de gebruiker automatisch de WRITE VOLUME bevoegdheid voor alle huidige en toekomstige volumes in de catalogus of het schema.
Bevoegdheidstypen die alleen van toepassing zijn op Delta Sharing of Databricks Marketplace
In deze sectie vindt u informatie over de bevoegdheidstypen die alleen van toepassing zijn op Delta Sharing.
Maak provider aan
Toepasselijke objecttypen: Unity Catalog-metastore
Hiermee kan een gebruiker een Delta Sharing-providerobject maken in de metastore. Een provider identificeert een organisatie of groep gebruikers die gedeelde gegevens hebben met behulp van Delta Sharing. Het maken van een provider wordt uitgevoerd door een gebruiker in het Databricks-account van de ontvanger. Zie Wat is Delta Sharing?
CREATE RECIPIENT
Toepasselijke objecttypen: Unity Catalog-metastore
Hiermee kan een gebruiker een ontvangerobject voor Delta Sharing maken in de metastore. Een ontvanger identificeert een organisatie of groep gebruikers die gegevens met hen kunnen delen met behulp van Delta Sharing. Het aanmaken van ontvangers wordt uitgevoerd door een gebruiker in het Databricks-account van de provider. Zie Wat is Delta Sharing?
CREATE SHARE
Toepasselijke objecttypen: Unity Catalog-metastore
Hiermee kan een gebruiker een share maken in de metastore. Een share is een logische groepering voor de tabellen die u wilt delen met Delta Sharing
SET DEELTOESTEMMING
Toepasselijke objecttypen: Unity Catalog-metastore
In Delta Sharing biedt deze bevoegdheid, gecombineerd met USE SHARE en USE RECIPIENT (of eigendom van de ontvanger), een provider-gebruiker de mogelijkheid om een ontvanger toegang te verlenen tot een share. In combinatie met USE SHARE, biedt het de mogelijkheid om het eigendom van een share over te dragen aan een andere gebruiker, groep of service-principal.
Marktplaatsmiddelen gebruiken
Toepasselijke objecttypen: Unity Catalog-metastore
Standaard ingeschakeld voor alle Unity Catalog-metastores. In Databricks Marketplace biedt deze bevoegdheid een gebruiker de mogelijkheid om direct toegang te krijgen of toegang te vragen tot gegevensproducten die worden gedeeld in een Marketplace-vermelding. Hiermee heeft een gebruiker ook toegang tot de catalogus met het kenmerk Alleen-lezen die wordt gemaakt wanneer een provider een gegevensproduct deelt. Zonder deze bevoegdheid heeft de gebruiker de CREATE CATALOG en USE PROVIDER bevoegdheden of de beheerdersrol van de metastore nodig. Hiermee kunt u het aantal gebruikers met deze krachtige machtigingen beperken.
GEBRUIK PROVIDER
Toepasselijke objecttypen: Unity Catalog-metastore
In Delta Sharing heeft een ontvanger alleen-lezentoegang tot alle providers in de metastore van een ontvanger en hun shares. In combinatie met de CREATE CATALOG bevoegdheid kan een ontvangende gebruiker die geen metastore-beheerder is een share als een catalogus toewijzen. Hiermee kunt u het aantal gebruikers met de krachtige metastore-beheerdersrol beperken.
GEADRESSEERDE GEBRUIKEN
Toepasselijke objecttypen: Unity Catalog-metastore
In Delta Sharing heeft een provider-gebruiker alleen-lezentoegang tot alle ontvangers in een metastore en hun shares. Hiermee kan een providergebruiker die geen metastore-beheerder is, de details van de geadresseerde, de verificatiestatus van geadresseerden en de lijst met shares bekijken die de provider heeft gedeeld met de ontvanger.
In Databricks Marketplace biedt dit providergebruikers de mogelijkheid om vermeldingen en consumentenaanvragen weer te geven in de Provider-console.
GEBRUIK DELEN
Toepasselijke objecttypen: Unity Catalog-metastore
In Delta Sharing krijgt een provider-gebruiker alleen-lezentoegang tot alle shares die in een providermetastore zijn gedefinieerd. Hiermee kan een providergebruiker die geen metastore-beheerder is, shares vermelden en de assets (tabellen en notitieblokken) in een share vermelden, samen met de ontvangers van de share.
In Databricks Marketplace biedt dit providergebruikers de mogelijkheid om details te bekijken over de gegevens die in een vermelding worden gedeeld.