Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
På den här sidan beskrivs skyddsbara objekt i Unity Catalog och de behörigheter som gäller för dem. Information om hur du beviljar behörigheter i Unity Catalog finns i Visa, bevilja och återkalla privilegier.
Note
Den här artikeln refererar till Unity Catalog-privilegier och arvsmodellen i Privilege Model version 1.0. Om du skapade ditt Unity Catalog-metastore under den offentliga förhandsversionen av Unity Catalog (före den 25 augusti 2022), kanske du använder en tidigare behörighetsmodell som inte stöder den nuvarande arvsmodellen. Du kan uppgradera till Privilege Model version 1.0 för att få privilegiärv. Se Uppgradera till privilegiernas arv.
Skyddsbara objekt i Unity Catalog
Ett skyddsbart objekt är ett objekt som definierats i Unity Catalog-metaarkivet där behörigheter kan beviljas till ett huvudnamn (användare, tjänstens huvudnamn eller grupp). Skyddsbara objekt i Unity Catalog är hierarkiska.
De skyddsbara objekten är:
METASTORE: Containern på den översta nivån för metadata. Varje Unity Catalog-metaarkiv exponerar ett namnområde på tre nivåer (
catalog.schema.table) som organiserar dina data.När du hanterar behörigheter i ett metaarkiv inkluderar du inte metaarkivnamnet i ett SQL-kommando. Unity Catalog beviljar eller återkallar behörigheten för det metaarkiv som är kopplat till din arbetsyta. Följande kommando ger till exempel en grupp med namnet engineering möjlighet att skapa en katalog i metaarkivet som är kopplat till arbetsytan:
GRANT CREATE CATALOG ON METASTORE TO engineeringCATALOG: Det första lagret i objekthierarkin som används för att organisera dina datatillgångar. En sekundär katalog är en särskild katalogtyp som speglar en databas i ett externt datasystem i ett Lakehouse Federation-scenario.
SCHEMA: Även kallat databaser är scheman det andra lagret i objekthierarkin och innehåller tabeller och vyer.
TABLE: På den lägsta nivån i objekthierarkin, hanterade tabeller, externa tabeller, utländska tabeller, strömmande tabeller, onlinetabeller och egenskapstabeller. Se Azure Databricks-tabeller.
VY: Ett skrivskyddat objekt som skapats från en fråga i en eller flera tabeller som finns inuti ett schema.
MATERIALIZED VIEW: Ett objekt som skapats från en fråga i en eller flera tabeller som finns i ett schema. Resultatet återspeglar datatillståndet när de senast uppdaterades.
MÅTTVY: Ett skrivskyddat objekt som definierar en uppsättning måttdefinitioner, inklusive dimensioner och mått, baserat på en eller flera datakällor, som kan vara tabeller, vyer eller SQL-frågor. Se Metriska vyer för Unity Catalog.
VOLYM: En logisk volym med ostrukturerade data. Kan vara extern (lagras på externa platser i valfri molnlagring) eller hanteras (lagras i en lagringscontainer i din molnlagring som du skapar uttryckligen för Azure Databricks).
FUNKTION: En användardefinierad funktion eller en MLflow-registrerad modell som finns i ett schema.
Modell: En MLflow-registrerad modell är en specifik typ av funktion. Modeller visas separat från andra funktioner i Catalog Explorer, men när du beviljar en behörighet för en modell med SQL använder
GRANT ON FUNCTIONdu .EXTERN PLATS: Ett objekt som innehåller en referens till en lagringsautentiseringsuppgift och en molnlagringssökväg som finns i ett Unity Catalog-metaarkiv.
EXTERNA METADATA: Ett objekt som innehåller metadata för en entitet i ett externt system, till exempel en Tableau-instrumentpanel eller Salesforce-objekt, så att det kan läggas till i anpassade konfigurationer för data härkomst. Se Använd din egen datahärkomst (Bring your own data lineage).
TJÄNSTAUTENTISERINGSUPPGIFTER: Ett objekt som kapslar in en långsiktig molnautentiseringsuppgift som ger åtkomst till en extern tjänst. Finns i ett Unity Catalog-metaarkiv.
STORAGE CREDENTIAL: Ett objekt som kapslar in en långsiktig molnautentiseringsuppgift som ger åtkomst till molnlagring som finns i ett Unity Catalog-metaarkiv.
ANSLUTNING: Ett objekt som anger en sökväg och autentiseringsuppgifter för åtkomst till ett externt databassystem i ett Lakehouse Federation-scenario.
SHARE: En logisk gruppering för tabellerna som du tänker dela med "Delta Sharing". En resurs finns i ett Unity Catalog-metaarkiv.
MOTTAGARE: Ett objekt som identifierar en organisation eller grupp av användare som kan få data delad med sig med hjälp av Delta Sharing. Dessa objekt finns i ett Unity Catalog-metaarkiv.
PROVIDER: Ett objekt som representerar en organisation som har gjort data tillgängliga för delning med Delta Sharing. Dessa objekt finns i ett Unity Catalog-metaarkiv.
CLEAN ROOM: Ett objekt som representerar en säker och sekretessskyddande miljö som hanteras av Databricks, där flera parter kan samarbeta utan direkt åtkomst till varandras data.
Behörighetstyper efter skyddsbart objekt i Unity Catalog
I följande tabell visas de behörighetstyper som gäller för varje skyddsbart objekt i Unity Catalog. Information om hur du beviljar behörigheter i Unity Catalog finns i Visa, bevilja och återkalla privilegier.
| Securable | Privileges |
|---|---|
| Metastore |
CREATE CATALOG, CREATE CLEAN ROOM, CREATE CONNECTION, CREATE EXTERNAL LOCATION, CREATE EXTERNAL METADATA, CREATE PROVIDER, CREATE RECIPIENT, CREATE SHARE, CREATE SERVICE CREDENTIAL, CREATE STORAGE CREDENTIAL, SET SHARE PERMISSION, USE MARKETPLACE ASSETS, USE PROVIDER, USE RECIPIENTUSE SHARE |
| Catalog |
ALL PRIVILEGES, APPLY TAG, BROWSE, , , CREATE SCHEMAUSE CATALOGAlla användare har USE CATALOG i main katalogen som standard.Följande behörighetstyper gäller för skyddsbara objekt i en katalog. Du kan ge dessa behörigheter på katalognivå för att tillämpa dem på aktuella och framtida objekt i katalogen. CREATE FUNCTION, CREATE TABLE, CREATE MATERIALIZED VIEW, CREATE MODEL, CREATE VOLUME, EXTERNAL USE SCHEMA, READ VOLUME, REFRESH, WRITE VOLUME, EXECUTE, MANAGE, MODIFY, SELECTUSE SCHEMA |
| Schema |
ALL PRIVILEGES, APPLY TAG, CREATE FUNCTION, CREATE TABLE, CREATE MODEL, CREATE VOLUME, , CREATE MATERIALIZED VIEW, MANAGE, , EXTERNAL USE SCHEMAUSE SCHEMAFöljande behörighetstyper gäller för skyddsbara objekt i ett schema. Du kan ge dessa behörigheter på schemanivå för att tillämpa dem på aktuella och framtida objekt i schemat. EXECUTE, MODIFY, READ VOLUME, REFRESH, SELECTWRITE VOLUME |
| Table |
ALL PRIVILEGES, APPLY TAG, MANAGE, , , MODIFYSELECT |
| Materialiserad vy |
ALL PRIVILEGES, APPLY TAG, MANAGE, , , REFRESHSELECT |
| View |
ALL PRIVILEGES, APPLY TAG, , MANAGESELECT |
| Volume |
ALL PRIVILEGES, MANAGE, , READ VOLUMEWRITE VOLUME |
| Extern plats |
ALL PRIVILEGES, BROWSE, CREATE EXTERNAL TABLE, CREATE EXTERNAL VOLUME, CREATE FOREIGN SECURABLE, CREATE MANAGED STORAGE, , EXTERNAL USE LOCATION, MANAGE, , READ FILESWRITE FILES |
| Externa metadata |
ALL PRIVILEGES, BROWSE, , MANAGEMODIFY |
| Tjänstautentiseringsuppgifter |
ALL PRIVILEGES, ACCESS, CREATE CONNECTION, . MANAGE |
| Autentiseringsuppgift för lagring |
ALL PRIVILEGES, CREATE EXTERNAL LOCATION, CREATE EXTERNAL TABLE, MANAGE, READ FILESWRITE FILES |
| Connection |
ALL PRIVILEGES, CREATE FOREIGN CATALOG, , MANAGEUSE CONNECTION |
| Function |
ALL PRIVILEGES, APPLY TAG (endast modeller), CREATE MODEL VERSION (endast modeller), EXECUTE, MANAGE |
| Procedure |
ALL PRIVILEGES
EXECUTE
MANAGE
|
| Model | Registrerade modeller är en typ av funktion. |
| Share |
SELECT (Kan beviljas till RECIPIENT) |
| Recipient | None |
| Provider | None |
| Renrum |
ALL PRIVILEGES, BROWSE, EXECUTE CLEAN ROOM TASK, , , MANAGEMODIFY CLEAN ROOM |
Allmänna behörighetstyper för Unity-katalogen
Det här avsnittet innehåller information om de behörighetstyper som vanligtvis gäller för Unity Catalog. Information om hur du beviljar behörigheter i Unity Catalog finns i Visa, bevilja och återkalla privilegier.
ALLA PRIVILEGIER
Tillämpliga objekttyper: CATALOG, EXTERNAL LOCATION, EXTERNAL METADATA, SERVICE CREDENTIAL, STORAGE CREDENTIAL, , SCHEMAFUNCTION(inklusive modeller), PROCEDURE, , TABLE, , MATERIALIZED VIEWVIEW,VOLUME
Används för att bevilja eller återkalla alla privilegier som gäller för det skyddbara objektet och dess underordnade objekt utan att uttryckligen ange dem.
När ALL PRIVILEGES beviljas för ett objekt, beviljar det inte individuellt användaren varje tillämplig behörighet vid tidpunkten för beviljandet. I stället utökas den till alla tillgängliga behörigheter när behörighetskontroller görs. Det innebär att när Databricks släpper nya privilegier och nya skyddsbara objekt, innehåller ett befintligt ALL PRIVILEGES beviljande automatiskt alla nya behörigheter som gäller för det skyddsbara objektet, dess befintliga underordnade objekt och eventuella nya underordnade objekt.
För att undvika oavsiktlig dataexfiltrering eller behörighetseskalering ALL PRIVILEGES inkluderar inte behörigheterna EXTERNAL USE SCHEMA, EXTERNAL USE LOCATIONeller MANAGE .
När ALL PRIVILEGES återkallas tas både ALL PRIVILEGES beviljandet och eventuella enskilda privilegier som det innebär bort. Privilegier som inte ingår ALL PRIVILEGESi , till exempel MANAGE, EXTERNAL USE LOCATIONoch EXTERNAL USE SCHEMA, påverkas inte.
Note
Den här behörigheten är kraftfull när den tillämpas på högre nivåer i hierarkin. Till exempel ger GRANT ALL PRIVILEGES ON CATALOG main TO analysts analytikerteamet alla befintliga och framtida privilegier för alla befintliga och framtida skyddsbara objekt i katalogen.
ACCESS
Tillämpliga objekttyper: SERVICE CREDENTIAL
Tillåter att en användare använder en tjänstautentiseringsuppgift för att få åtkomst till en extern tjänst eller tjänster.
TILLÄMPA TAGG
Tillämpliga objekttyper: CATALOG, SCHEMA, TABLE, VOLUME, MATERIALIZED VIEW, , VIEW, modeller som är registrerade som en FUNCTION
Ger en användare möjlighet att lägga till och redigera taggar på ett objekt. Om du beviljar APPLY TAG till en tabell eller vy kan du även tagga kolumner. Om du beviljar APPLY TAG till en registrerad modell kan du även tagga modellversioner.
Användaren måste också ha behörigheten USE CATALOG för den överordnade katalogen och USE SCHEMA det överordnade schemat.
Om du vill tillämpa en styrd tagg på skyddsbara objekt i Unity Catalog måste du också ha behörigheten TILLDELA för den reglerade taggen. Se Hantera behörigheter för reglerade taggar.
BROWSE
Tillämpliga objekttyper: CATALOG, CLEAN ROOM, EXTERNAL METADATA, EXTERNAL LOCATION
Gör att en användare kan visa ett objekts metadata med hjälp av Katalogutforskaren, schemaläsaren, sökresultaten, ursprungsdiagrammet information_schemaoch REST-API:et. Med den här synligheten kan användarna identifiera objekt och begära åtkomst till dem.
Användaren behöver inte behörigheten USE CATALOG för den överordnade katalogen eller USE SCHEMA det överordnade schemat.
Alla användare beviljas som standard behörigheten BROWSE på nya kataloger som skapas med hjälp av katalogutforskaren. Du kan återkalla behörigheten om du vill. Kataloger som skapats med SQL-uttryck, REST API eller Databricks CLI beviljar inte behörigheten BROWSE som standard. Du måste bevilja det öppet.
Databricks rekommenderar att du beviljar BROWSE kataloger till All account users gruppen för att göra objekten identifierbara och tillåta alla användare att begära åtkomst till objekt.
Note
Användare som bara har behörighet för BROWSE ett objekt har begränsad möjlighet att utforska metadata med hjälp av SQL.
CREATE CATALOG
Tillämpliga objekttyper: Unity Catalog-metaarkiv
Gör att en användare kan skapa en katalog i ett Unity Catalog-metaarkiv. Om du vill skapa en sekundär katalog måste du också ha CREATE FOREIGN CATALOG behörighet för anslutningen som innehåller den externa katalogen eller i metaarkivet.
SKAPA RENRUM
Tillämpliga objekttyper: Unity Catalog-metaarkiv
Gör att en användare kan skapa ett rent rum för att på ett säkert sätt samarbeta i projekt med andra organisationer utan att dela underliggande data.
CREATE CONNECTION
Tillämpliga objekttyper: Unity Catalog-metaarkiv, SERVICE CREDENTIAL
Ger en användare möjlighet att skapa en anslutning till en extern databas i ett Lakehouse Federation-scenario. Om du vill använda en tjänstautentiseringsuppgift för att skapa en anslutning måste användaren ha den här behörigheten för både metaarkivet och tjänstens autentiseringsuppgifter.
CREATE EXTERNAL LOCATION
Tillämpliga objekttyper: Unity Catalog-metaarkiv, STORAGE CREDENTIAL
Om du vill skapa en extern plats måste användaren ha den här behörigheten för både metaarkivet och lagringsautentiseringsuppgifterna som refereras till på den externa platsen.
SKAPA EXTERNA METADATA
Tillämpliga objekttyper: Unity Catalog-metaarkiv
Tillåter att en användare skapar en extern metadata som kan skyddas för användning i anpassad härkomst. Om du vill lägga till ursprungsrelationer till det externa metadataobjektet måste användaren ha behörigheten MODIFY för det externa metadataobjektet, tillsammans med behörigheter för Unity Catalog-objektet som de anger relationen med.
SKAPA EXTERNA TABLE
Tillämpliga objekttyper: EXTERNAL LOCATION, STORAGE CREDENTIAL
Tillåter en användare att direkt skapa externa tabeller i din molnplattform genom att använda en extern plats eller lagringsbehörighet. Databricks rekommenderar att du beviljar den här behörigheten på en extern plats i stället för lagringsautentiseringsuppgifter (eftersom den är begränsad till en sökväg ger den mer kontroll över var användare kan skapa externa tabeller i molnklientorganisationen).
SKAPA EXTERNT LAGRINGSUTRYMME
Tillämpliga objekttyper: EXTERNAL LOCATION
Tillåter att en användare skapar externa volymer med hjälp av en extern plats.
SKAPA FRÄMMLING CATALOG
Tillämpliga objekttyper: CONNECTION
Tillåter att en användare skapar utländska kataloger med hjälp av en anslutning till en extern databas i ett Lakehouse Federation-scenario.
SKAPA UTLÄNDSKT SÄKERHETSMÅL
Tillämpliga objekttyper: EXTERNAL LOCATION
Tillåter att en användare som skapar en extern katalog anger auktoriserade sökvägar som omfattas av den externa platsen.
Användaren måste också ha CREATE CATALOG i Unity Catalog-metaarkivet och CREATE FOREIGN CATALOG på anslutningen.
CREATE FUNCTION
Tillämpliga objekttyper: SCHEMA
Tillåter att en användare skapar en funktion eller procedur i schemat. Eftersom behörigheter ärvs CREATE FUNCTION kan även beviljas i en katalog, vilket gör att en användare kan skapa en funktion eller procedur i ett befintligt eller framtida schema i katalogen.
Användaren måste också ha behörigheten USE CATALOG för den överordnade katalogen och USE SCHEMA det överordnade schemat.
SKAPA MODELL
Tillämpliga objekttyper: SCHEMA
Tillåter att en användare skapar en MLflow-registrerad modell (som är en typ av FUNKTION) i schemat. Eftersom behörigheter ärvs CREATE MODEL kan även beviljas i en katalog, vilket gör att en användare kan skapa en registrerad modell i ett befintligt eller framtida schema i katalogen.
Användaren måste också ha behörigheten USE CATALOG för den överordnade katalogen och USE SCHEMA det överordnade schemat.
SKAPA MODELLVERSION
Tillämpliga objekttyper: MODEL
Tillåter att en användare registrerar en ny version av en MLflow-registrerad modell (som är en typ av FUNKTION). Ger inte användaren behörighet att köra, ändra eller lägga till taggar i en modellversion.
Användaren måste också ha behörigheten USE CATALOG för den överordnade katalogen och USE SCHEMA det överordnade schemat.
SKAPA HANTERAD LAGRING
Tillämpliga objekttyper: EXTERNAL LOCATION
Tillåter att en användare anger en plats för lagring av hanterade tabeller på katalog- eller schemanivå, vilket överskrider standardrotlagringen för metaarkivet.
CREATE SCHEMA
Tillämpliga objekttyper: CATALOG
Tillåter att en användare skapar ett schema. Användaren måste också ha privilegiet USE CATALOG i katalogen.
SKAPA SERVICELEGITIMATION
Tillämpliga objekttyper: Unity Catalog-metaarkiv
Gör att en användare kan skapa en tjänstautentiseringsuppgift i ett Unity Catalog-metaarkiv.
SKAPA LAGRINGSREFERENSER
Tillämpliga objekttyper: Unity Catalog-metaarkiv
Tillåter att en användare skapar en lagringsautentiseringsuppgift i ett Unity Catalog-metaarkiv.
CREATE TABLE
Tillämpliga objekttyper: SCHEMA
Tillåter att en användare skapar en tabell eller vy i schemat. Eftersom privilegier ärvs CREATE TABLE kan även beviljas i en katalog, vilket gör att en användare kan skapa en tabell eller vy i ett befintligt eller framtida schema i katalogen.
Användaren måste också ha behörighet till USE CATALOG den överordnade katalogen och behörighet till USE SCHEMA det överordnade schemat.
CREATE MATERIALIZED VIEW
Tillämpliga objekttyper: SCHEMA
Tillåter att en användare skapar en materialiserad vy i schemat. Eftersom privilegier ärvs CREATE MATERIALIZED VIEW kan även beviljas i en katalog, vilket gör att en användare kan skapa en tabell eller vy i ett befintligt eller framtida schema i katalogen.
Användaren måste också ha behörighet till USE CATALOG den överordnade katalogen och behörighet till USE SCHEMA det överordnade schemat.
CREATE VOLUME
Tillämpliga objekttyper: SCHEMA
Ger en användare möjlighet att skapa en volym i schemat. Eftersom behörigheter ärvs CREATE VOLUME kan även beviljas i en katalog, vilket gör att en användare kan skapa en volym i ett befintligt eller framtida schema i katalogen.
Användaren måste också ha behörigheten USE CATALOG för volymens överordnade katalog och behörigheten för USE SCHEMA dess överordnade schema.
EXECUTE
Tillämpliga objekttyper: FUNCTION, Modell
Tillåter att en användare anropar en användardefinierad funktion eller läser in en modell för slutsatsdragning, om användaren också har USE CATALOG på sin överordnade katalog och USE SCHEMA i sitt överordnade schema. För funktioner EXECUTE kan du visa funktionsdefinitionen och metadata. För registrerade modeller EXECUTE kan du visa metadata för alla versioner av den registrerade modellen och ladda ned modellfiler.
Eftersom behörigheter ärvs kan du ge en användare behörighet för EXECUTE en katalog eller ett schema, vilket automatiskt ger användaren behörighet för EXECUTE alla aktuella och framtida funktioner i katalogen eller schemat.
UTFÖR RENRUMSUPPGIFT
Tillämpliga objekttyper: CLEAN ROOM
Tillåter att en användare kör uppgifter (notebook-filer) i ett rent rum. Gör också att användaren kan visa information om rent rum.
EXTERN ANVÄNDNINGSPLATS
Tillämpliga objekttyper: EXTERNAL LOCATION
Tillåter att en användare beviljas en tillfällig autentiseringsuppgift för åtkomst till externa platser i Unity Catalog från en extern bearbetningsmotor med hjälp av öppna API:er för Unity Catalog eller Apache Spark.
Endast användare med behörighet på MANAGE den externa platsen kan bevilja den här behörigheten.
För att undvika oavsiktlig dataexfiltrering ALL PRIVILEGES inkluderar inte behörigheten EXTERNAL USE LOCATION och externa platsägare har inte den här behörigheten som standard.
Se Aktivera extern dataåtkomst till Unity Catalog.
EXTERN USE SCHEMA
Important
Den här funktionen finns som allmänt tillgänglig förhandsversion.
Tillämpliga objekttyper: SCHEMA
Tillåter att en användare beviljas en tillfällig autentiseringsuppgift för att få åtkomst till Unity Catalog-tabeller från en extern bearbetningsmotor med öppna API:er eller Isbergs REST-API:er.
Endast katalogägaren kan bevilja den här behörigheten.
För att undvika oavsiktlig dataexfiltrering ALL PRIVILEGES inkluderar inte behörigheten EXTERNAL USE SCHEMA och schemaägare har inte den här behörigheten som standard.
Se Aktivera extern dataåtkomst till Unity Catalog.
MANAGE
Tillämpliga objekttyper: CATALOG, EXTERNAL LOCATION, EXTERNAL METADATA, SERVICE CREDENTIAL, STORAGE CREDENTIAL, , SCHEMAFUNCTION(inklusive modeller), CONNECTION, , TABLEMATERIALIZED VIEW, , VIEW,VOLUMECLEAN ROOM
Important
Den här funktionen finns som allmänt tillgänglig förhandsversion.
Tillåter att en användare visar och hanterar privilegier, överför ägarskap, släpper och byter namn på ett objekt.
MANAGE liknar objektägarskapet, men användare med MANAGE behörighet beviljas inte automatiskt alla privilegier för objektet (men de kan bevilja sig själva behörigheter).
Användaren måste också ha behörigheten USE CATALOG för objektets överordnade katalog och behörigheten för USE SCHEMA det överordnade schemat.
ALL PRIVILEGES innehåller inte MANAGE behörighet
HANTERA TILLÅTELSELISTA
Tillämpliga objekttyper: Unity Catalog-metaarkiv
Tillåter att en användare lägger till eller ändrar sökvägar för init-skript, JAR:er och Maven-koordinater i listan över tillåtna kluster som styr Unity Catalog-aktiverade kluster med standardåtkomstläge. Se Allowlist-bibliotek och init-skript för beräkning med standardåtkomstläge (tidigare delat åtkomstläge).
MODIFY
Tillämpliga objekttyper: EXTERNAL METADATA, TABLE
Tillåter att en användare lägger till, uppdaterar och tar bort data till eller från tabellen om användaren också har SELECT på tabellen, USE CATALOG i den överordnade katalogen och USE SCHEMA i det överordnade schemat.
Eftersom behörigheter ärvs kan du ge en användare behörighet för MODIFY en katalog eller ett schema, vilket automatiskt ger användaren behörighet för MODIFY alla aktuella och framtida tabeller i katalogen eller schemat.
Note
MODIFY kan inte beviljas på en utländsk tabell eftersom utländska tabeller är skrivskyddade.
ÄNDRA RENT RUM
Tillämpliga objekttyper: CLEAN ROOM
Gör att en användare kan uppdatera ett rent rum, inklusive att lägga till och ta bort datatillgångar, lägga till och ta bort anteckningsböcker och uppdatera kommentarer. Gör också att användaren kan visa information om rent rum.
LÄS FILER
Tillämpliga objekttyper: EXTERNAL LOCATION
READ FILES tillåter en användare att läsa filer direkt från molnobjektlagring som konfigurerats som en extern plats. Databricks rekommenderar att du inte använder den här metoden. I stället bör du hantera läsåtkomst till data i molnobjektlagring med hjälp av volymer och READ VOLUME behörighet. Mer information finns i Externa platser.
LÄSVOLYM
Tillämpliga objekttyper: VOLUME
Tillåter att en användare läser filer och kataloger som lagras i en volym om användaren också har USE CATALOG på sin överordnade katalog och USE SCHEMA i sitt överordnade schema.
Behörigheter ärvs. När du kan ge en användare behörighet för READ VOLUME en katalog eller ett schema ger du automatiskt användaren behörighet för READ VOLUME alla aktuella och framtida volymer i katalogen eller schemat.
REFRESH
Tillämpliga objekttyper: MATERIALIZED VIEW
Gör att en användare kan uppdatera en materialiserad vy om användaren också har USE CATALOG på sin överordnade katalog och USE SCHEMA i sitt överordnade schema.
Behörigheter ärvs. När du beviljar behörigheten REFRESH för en katalog eller ett schema till en användare ger du automatiskt användaren behörighet för REFRESH alla aktuella och framtida materialiserade vyer i katalogen eller schemat.
SELECT
Tillämpliga objekttyper: TABLE, VIEW, MATERIALIZED VIEW, SHARE
Om det tillämpas på en tabell eller vy kan en användare välja från tabellen eller vyn, om användaren också har USE CATALOG i sin överordnade katalog och USE SCHEMA i sitt överordnade schema. Om det tillämpas på en andel, kan en mottagare välja från andelen.
Eftersom behörigheter ärvs kan du ge en användare behörighet för SELECT en katalog eller ett schema, vilket automatiskt ger användaren SELECT behörighet för alla aktuella och framtida tabeller och vyer i katalogen eller schemat.
USE CATALOG
Tillämpliga objekttyper: CATALOG
Detta privilegium beviljar inte åtkomst till själva katalogen, men krävs för att en användare ska kunna interagera med objekt i katalogen. Om du till exempel vill välja data från en tabell måste användare ha behörigheten SELECT på den tabellen och behörigheterna USE CATALOG på den överordnade katalogen samt behörigheterna USE SCHEMA på det överordnade schemat.
Detta är användbart för att katalogägare ska kunna begränsa hur långt enskilda schema- och tabellägare kan dela data som de producerar. En tabellägare som beviljar SELECT till en annan användare tillåter till exempel inte att användaren läser åtkomst till tabellen om de inte också har beviljats USE CATALOG behörigheter i den överordnade katalogen samt USE SCHEMA behörigheter för det överordnade schemat.
Behörigheten USE CATALOG för den överordnade katalogen krävs inte för att läsa ett objekts metadata om användaren har behörighet för BROWSE katalogen.
ANVÄNDA ANSLUTNING
Tillämpliga objekttyper: CONNECTION
Tillåter en användare att lista och visa detaljer om anslutningar till en extern databas i Lakehouse Federation-scenariot. Om du vill skapa externa kataloger för en anslutning måste du ha CREATE FOREIGN CATALOG på anslutningen eller ägaransvar för anslutningen.
USE SCHEMA
Tillämpliga objekttyper: SCHEMA
Det här privilegiet beviljar inte åtkomst till själva schemat, men krävs för att en användare ska kunna interagera med objekt i schemat. Om du till exempel vill välja data från en tabell måste användarna ha behörigheten för tabellen SELECT och USE SCHEMA dess överordnade schema samt USE CATALOG i den överordnade katalogen.
Eftersom behörigheter ärvs kan du ge en användare behörighet i USE SCHEMA en katalog, vilket automatiskt ger användaren behörighet för USE SCHEMA alla aktuella och framtida scheman i katalogen.
Detta är användbart för att tillåta schemaägare att begränsa hur långt enskilda tabellägare kan dela data som de producerar. En tabellägare som beviljar SELECT till en annan användare tillåter till exempel inte att användaren läser åtkomst till tabellen om de inte också har beviljats USE SCHEMA behörigheter för dess överordnade schema och USE CATALOG behörigheter i den överordnade katalogen.
Behörigheten USE SCHEMA för det överordnade schemat krävs inte för att läsa ett objekts metadata om användaren har behörighet för BROWSE schemats överordnade katalog.
SKRIVFILER
Tillämpliga objekttyper: EXTERNAL LOCATION
Databricks rekommenderar att du hanterar skrivåtkomst till data i molnobjektlagring med hjälp av volymer och WRITE VOLUME behörighet.
WRITE FILES gör att en användare kan skriva filer direkt till molnobjektlagringen som konfigurerats som en extern plats. Mer vägledning finns i Hanterade och externa volymer.
SKRIVVOLYM
Tillämpliga objekttyper: VOLUME
Gör att en användare kan lägga till, ta bort eller ändra filer och kataloger som lagras i en volym om användaren också har USE CATALOG på sin överordnade katalog och USE SCHEMA i sitt överordnade schema.
Behörigheter ärvs. När du kan ge en användare behörighet för WRITE VOLUME en katalog eller ett schema ger du automatiskt användaren behörighet för WRITE VOLUME alla aktuella och framtida volymer i katalogen eller schemat.
Behörighetstyper som endast gäller Delta Sharing eller Databricks Marketplace
Det här avsnittet innehåller information om de behörighetstyper som endast gäller för Delta Sharing.
SKAPA LEVERANTÖR
Tillämpliga objekttyper: Unity Catalog-metaarkiv
Tillåter att en användare skapar ett deltadelningsproviderobjekt i metaarkivet. En leverantör identifierar en organisation eller en grupp av användare som har delat data med Delta Sharing. Skapande av provider utförs av en användare i mottagarens Databricks-konto. Se Vad är deltadelning?.
CREATE RECIPIENT
Tillämpliga objekttyper: Unity Catalog-metaarkiv
Tillåter att en användare skapar ett deltadelningsmottagarobjekt i metaarkivet. En mottagare identifierar en organisation eller grupp med användare som kan dela data med dem med hjälp av Deltadelning. Skapande av mottagare utförs av en användare i leverantörens Databricks-konto. Se Vad är deltadelning?.
CREATE SHARE
Tillämpliga objekttyper: Unity Catalog-metaarkiv
Tillåter att en användare skapar en resurs i metaarkivet. En andel är en logisk gruppering för de tabeller du avser att dela med Delta Sharing.
SET DELNINGSBEHÖRIGHET
Tillämpliga objekttyper: Unity Catalog-metaarkiv
I Deltadelning ger den här behörigheten, kombinerat med USE SHARE och USE RECIPIENT (eller mottagarägarskap), en provideranvändare möjlighet att bevilja en mottagare åtkomst till en resurs. I kombination med USE SHAREger det möjlighet att överföra ägarskapet för en resurs till en annan användare, grupp eller tjänstens huvudnamn.
ANVÄNDA MARKETPLACE-TILLGÅNGAR
Tillämpliga objekttyper: Unity Catalog-metaarkiv
Aktiverad som standard för alla Unity Catalog-metaarkiv. På Databricks Marketplace ger det här privilegiet en användare möjlighet att få omedelbar åtkomst eller begära åtkomst för dataprodukter som delas i en Marketplace-lista. Det gör också att en användare kan komma åt den skrivskyddade katalogen som skapas när en provider delar en dataprodukt. Utan den här behörigheten skulle användaren kräva antingen CREATE CATALOG och USE PROVIDER behörigheterna eller metaarkivets administratörsroll. På så sätt kan du begränsa antalet användare med dessa kraftfulla behörigheter.
ANVÄND LEVERANTÖR
Tillämpliga objekttyper: Unity Catalog-metaarkiv
I Deltadelning får en mottagare skrivskyddad åtkomst till alla leverantörer i ett mottagarmetaarkiv och deras delningar. I kombination med CREATE CATALOG privilegiet tillåter det här privilegiet en mottagaranvändare som inte är metaarkivadministratör att montera en resurs som en katalog. På så sätt kan du begränsa antalet användare med den kraftfulla administratörsrollen för metaarkivet.
ANVÄNDA MOTTAGARE
Tillämpliga objekttyper: Unity Catalog-metaarkiv
I Deltadelning ger en provideranvändare skrivskyddad åtkomst till alla mottagare i ett providermetaarkiv och deras resurser. På så sätt kan en provideranvändare som inte är metaarkivadministratör visa mottagarinformation, status för mottagarautentisering och listan över resurser som leverantören har delat med mottagaren.
På Databricks Marketplace ger detta provideranvändare möjlighet att visa listor och konsumentförfrågningar i providerkonsolen.
ANVÄND ANDEL
Tillämpliga objekttyper: Unity Catalog-metaarkiv
I Deltadelning får en leverantörsanvändare skrivskyddad åtkomst till alla delningar som definieras i ett leverantörsmetastore. Detta gör det möjligt för en provideranvändare som inte är metaarkivadministratör att lista resurser och lista tillgångarna (tabeller och notebook-filer) i en resurs, tillsammans med resursens mottagare.
På Databricks Marketplace ger detta provideranvändare möjlighet att visa information om data som delas i en lista.