Pular para o conteúdo principal

gerenciar privilégios em Unity Catalog

Este artigo explica como controlar o acesso a dados e outros objetos em Unity Catalog. Para saber como esse modelo difere do controle de acesso no Hive metastore, consulte Work with Unity Catalog and the legacy Hive metastore.

Quem pode gerenciar os privilégios?

Inicialmente, os usuários não têm acesso aos dados em uma metastore. Databricks account Administradores, administradores do workspace e administradores do metastore têm privilégios do default para gerenciar o Unity Catalog. Consulte Privilégios de administrador no Unity Catalog.

Todos os objetos protegíveis no Unity Catalog têm um proprietário. Os proprietários de objetos têm todos os privilégios sobre esse objeto, incluindo a capacidade de conceder privilégios a outros diretores. Os proprietários podem conceder a outros usuários o privilégio MANAGE no objeto, o que permite que os usuários gerenciem privilégios no objeto. Consulte gerenciar Unity Catalog propriedade do objeto.

Os privilégios podem ser concedidos por qualquer um dos seguintes:

  • Um administrador da metastore.
  • Um usuário com o privilégio MANAGE no objeto.
  • O proprietário do objeto.
  • O proprietário do catálogo ou esquema que contém o objeto.

Os administradores de conta também podem conceder privilégios diretamente em um metastore.

privilégios do catálogo do espaço de trabalho

Se o seu workspace foi habilitado para Unity Catalog automaticamente, o workspace será anexado a um metastore por padrão e será criado um catálogo de workspaces criado para o seu workspace no metastore. Os administradores do workspace são os proprietários padrão do catálogo do workspace. Como proprietários, eles podem gerenciar privilégios no catálogo do workspace e todos os objetos secundários.

Todos os usuários do workspace recebem o privilégio USE CATALOG no catálogo workspace. Os usuários do espaço de trabalho também recebem os privilégios USE SCHEMA, CREATE TABLE, CREATE VOLUME, CREATE MODEL, CREATE FUNCTION e CREATE MATERIALIZED VIEW no esquema default do catálogo.

Para obter mais informações, consulte Habilitação automática do Unity Catalog site.

Modelo de herança

Os objetos protegíveis no Unity Catalog são hierárquicos e os privilégios são herdados de baixo para cima. O objeto de nível mais alto do qual os privilégios são herdados é o catálogo. Isso significa que conceder um privilégio em um catálogo ou esquema concede automaticamente o privilégio a todos os objetos atuais e futuros dentro do catálogo ou esquema. Por exemplo, se o senhor conceder a um usuário o privilégio SELECT em um catálogo, esse usuário poderá selecionar (ler) todas as tabelas e exibições desse catálogo. Os privilégios concedidos em um metastore do Unity Catalog não são herdados.

Hierarquia de objetos do Unity Catalog

Os proprietários de um objeto recebem automaticamente todos os privilégios sobre esse objeto. Além disso, os proprietários de objetos podem conceder privilégios sobre o próprio objeto e sobre todos os seus objetos secundários. Isso significa que os proprietários de um esquema não têm automaticamente todos os privilégios sobre as tabelas no esquema, mas podem conceder a si mesmos privilégios sobre essas tabelas.

nota

Se o senhor criou seu metastore do Unity Catalog durante a visualização pública (antes de 25 de agosto de 2022), pode estar em um modelo de privilégio anterior que não oferece suporte ao modelo de herança atual. Você pode atualizar para o Privilege Model versão 1.0 para obter herança de privilégios. Consulte Atualizar para herança de privilégios.

Mostrar, conceder e revogar privilégios

O senhor pode gerenciar privilégios para objetos de metastore usando SQL comando,Databricks CLI o, o Databricks Terraform provedor ou o Catalog Explorer.

No comando SQL a seguir, substitua esses valores de espaço reservado:

  • <privilege-type> é um tipo de privilégio do Unity Catalog. Consulte Tipos de privilégios.
  • <securable-type>: o tipo de objeto protegível, como CATALOG ou TABLE. Consulte Objetos protegíveis
  • <securable-name>: O nome do protegível. Se o tipo protegível for METASTORE, não forneça o nome protegível. Presume-se que seja o metastore anexado ao site workspace.
  • <principal> é um usuário, uma entidade de serviço (representada por seu valor applicationId) ou um grupo. Os nomes de usuários, entidades de serviço e grupos que incluírem caracteres especiais devem ser colocados entre chaves ( ). Veja o diretor.

Mostrar concessões em objetos em um metastore do Unity Catalog

nota

Atualmente, os usuários com o privilégio MANAGE em um objeto não podem view todas as concessões para esse objeto no INFORMATION_SCHEMA. Em vez disso, o INFORMATION_SCHEMA mostra apenas as doações de suas próprias doações no objeto. Esse comportamento será corrigido no futuro.

Os usuários com privilégio MANAGE podem view todas as concessões em um objeto usando o comando SQL ou o Catalog Explorer. Consulte gerenciar privilégios em Unity Catalog.

Permissões necessárias:

  • Os administradores do Metastore, os usuários com o privilégio MANAGE no objeto, o proprietário do objeto ou o proprietário do catálogo ou esquema que contém o objeto podem ver todas as concessões do objeto.
  • Se o senhor não tiver as permissões acima, poderá view apenas suas próprias concessões no objeto.
  1. In your Databricks workspace, click Catalog icon Catalog.
  2. Select the object, such as a catalog, schema, table, or view.
  3. Go to the Permissions tab.

Mostrar minhas concessões em objetos em um metastore do Unity Catalog

Permissões necessárias: O senhor sempre pode view suas próprias concessões em um objeto.

  1. In your Databricks workspace, click Catalog icon Catalog.
  2. Select the object, such as a catalog, schema, table, or view.
  3. Go to the Permissions tab. If you are not an object owner or metastore admin, you can view only your own grants on the object.

Conceder permissões em objetos em um metastore do Unity Catalog

Permissões necessárias: administrador do Metastore, o privilégio MANAGE no objeto, o proprietário do objeto ou o proprietário do catálogo ou esquema que contém o objeto.

  1. In your Databricks workspace, click Catalog icon Catalog.
  2. Select the object, such as a catalog, schema, table, or view.
  3. Go to the Permissions tab.
  4. Click Grant.
  5. Enter the email address for a user or the name of a group.
  6. Select the permissions to grant.
  7. Click OK.

Revogação de permissões em objetos em um metastore do Unity Catalog

Permissões necessárias: administrador do Metastore, o privilégio MANAGE no objeto, o proprietário do objeto ou o proprietário do catálogo ou esquema que contém o objeto.

  1. In your Databricks workspace, click Catalog icon Catalog.
  2. Select the object, such as a catalog, schema, table, or view.
  3. Go to the Permissions tab.
  4. Select a privilege that has been granted to a user, service principal, or group.
  5. Click Revoke.
  6. To confirm, click Revoke.

Mostrar subsídios em uma metastore

Permissões necessárias: Administrador do Metastore ou account admin. O senhor também pode view suas próprias concessões em um metastore.

  1. In your Databricks workspace, click Catalog icon Catalog.
  2. Next to the Catalog Explorer page label, click the icon next to the metastore name.
  3. Go to the Permissions tab.

Conceder permissões em uma metastore

Permissões necessárias: Administrador do Metastore ou account admin.

  1. In your Databricks workspace, click Catalog icon Catalog.
  2. Next to the Catalog Explorer page label, click the icon next to the metastore name.
  3. On the Permissions tab, click Grant.
  4. Enter the email address for a user or the name of a group.
  5. Select the permissions to grant.
  6. Click OK.

Revogar permissões em uma metastore

Permissões necessárias: Administrador do Metastore ou account admin..

  1. In your Databricks workspace, click Catalog icon Catalog.
  2. Next to the Catalog Explorer page label, click the icon next to the metastore name.
  3. On the Permissions tab, select a user or group and click Revoke.
  4. To confirm, click Revoke.
Última atualização em