Privilégios de administrador no Unity Catalog
O Databricks possui várias funções de administrador. Do ponto de vista das permissões Unity Catalog , as três mais importantes são: administradores account , administradores workspace e administradores do metastore. Administradores de conta e administradores workspace são necessários para todas as implantações, e a função de administrador do metastore é opcional. Compreender as responsabilidades de cada função ajuda você a atribuir administradores com o escopo adequado.
- Os administradores de contas operam no nível account Databricks . Eles criam e interligam metastores e espaços de trabalho, e podem atribuir funções de administrador.
- Os administradores do espaço de trabalho operam dentro de um único workspace. Eles gerenciam a associação workspace , o trabalho e os objetos workspace .
- Os administradores do Metastore (opcional) operam dentro de um único Metastore Unity Catalog . Eles regem o acesso aos dados, a propriedade e os objetos protegíveis de nível superior Unity Catalog .
Visão geral das funções administrativas
Função administrativa | Escopo | Obrigatório? | Objetivo principal |
|---|---|---|---|
Administrador da conta | account Databricks completa | Sim | Criar metastores e espaço de trabalho, vincular metastores ao espaço de trabalho, atribuir funções de administrador. |
Administrador do workspace | workspaceindividual | Sim | Gerenciar associação workspace , propriedade de tarefas e objetos workspace ; criar catálogos e outros itens protegíveis de nível superior Unity Catalog |
Administrador do Metastore | Metastore de Unity Catalog único (um por região cloud ) | Não (opcional) | Crie e gerencie os objetos protegíveis de nível superior do Unity Catalog: catálogos, conexões, locais externos e outros objetos do metastore. |
Os administradores de contas e os administradores de metastore são funções separadas. Quando um administrador account cria um metastore, ele se torna, por default o administrador inicial do metastore. Eles podem então atribuir a função de administrador do metastore a um usuário, grupo ou entidade de serviço diferente e renunciá-la eles mesmos.
administradores de contas
A função de administrador de conta possui muitos privilégios e deve ser distribuída com cuidado. Os administradores da conta têm privilégios sobre toda a account Databricks , o que inclui as seguintes funcionalidades key :
Capacidade | Descrição |
|---|---|
Criar metastores | Crie metastores e torne-se o administrador inicial do metastore por default |
Criar espaço de trabalho | Criar e gerenciar espaço de trabalho na account |
Vincular metastores ao espaço de trabalho | Associe metastores a espaços de trabalho específicos. |
Atribua a função de administrador account | Delegue a função de administrador account a qualquer usuário. |
Atribua a função de administrador workspace . | Conceda a função de administradorworkspace a qualquer usuário em qualquer workspace da account |
Atribua a função de administrador do metastore (opcional). | Atribuir a função de administrador do metastore (opcional) a usuários, entidade de serviço ou grupos |
Conceder privilégios em metastores | Gerenciar permissões no nível do metastore |
Ativar o OpenSharing para uma metastore | Ativar a funcionalidade de OpenSharing para um metastore |
Configurar credenciais de armazenamento | Configure as credenciais de armazenamento para acessar o armazenamento cloud |
Habilitar tabelas do sistema | Habilite as tabelas do sistema e controle quem pode acessá-las. |
Para obter mais informações, consulte O que são administradores account ?
administradores do espaço de trabalho
A função de administrador do espaço de trabalho possui muitos privilégios e deve ser distribuída com cuidado. Os administradores de espaço de trabalho têm privilégios administrativos dentro de um único workspace, o que inclui as seguintes funcionalidades key :
Capacidade | Descrição |
|---|---|
Criar catálogos e outros itens protegíveis de nível superior Unity Catalog (aplica-se a espaços de trabalho criados após 8 de novembro de 2023) | Crie catálogos, locais externos, conexões e outros objetos de nível de metastore. Consulte a lista completa de privilégios de administrador do espaço de trabalho quando os espaços de trabalho estiverem ativados automaticamente para Unity Catalog . |
associação workspace | Adicionar usuários, entidade de serviço e grupos a um workspace |
Atribua a função de administrador workspace . | Atribuir a função de administrador workspace a usuários, entidades de serviço ou grupos |
Gerenciar propriedade do trabalho | Controle a responsabilidade pelo trabalho. Consulte Controlar o acesso a um trabalho. |
gerenciando a execução do Job como configuração | Configure a identidade de execução do trabalho. Consulte Configurar a execução como usuário para execução do Job. |
visualizar e gerenciar objetos workspace | Aceda e controle o Notebook, os dashboards, as consultas e outros objetos workspace . Consulte Listas de controle de acesso. |
Para obter mais informações, consulte O que são administradores workspace ?
Os administradores de contas podem restringir os privilégios de administrador workspace usando a configuração RestrictWorkspaceAdmins . Consulte Restringir administradores workspace.
privilégios de administrador do espaço de trabalho quando o espaço de trabalho é ativado automaticamente para Unity Catalog
Se o seu workspace foi habilitado para Unity Catalog automaticamente (aplica-se a todos os workspaces criados após 8 de novembro de 2023), o workspace é anexado a um metastore por default. Para obter mais informações, consulte Introdução ao Unity Catalog. Além disso, os administradores de workspace têm os seguintes privilégios no metastore anexado por default:
-
CREATE CATALOG -
CREATE CLEAN ROOM -
CREATE EXTERNAL LOCATION -
CREATE SERVICE CREDENTIAL -
CREATE STORAGE CREDENTIAL -
CREATE CONNECTION -
CREATE SHARE -
CREATE RECIPIENT -
CREATE PROVIDER -
CREATE MATERIALIZED VIEW
Essas concessões de privilégios são visíveis na tab Permissões do metastore no console account . O Databricks os representa com um grupo de sistema gerado automaticamente chamado _workspace_admins_databricks_<account_id>_workspace_<workspace_id>.
Os administradores do espaço de trabalho são os default proprietários do catálogo workspace, se um catálogo workspace tiver sido provisionado para o seu workspace. A propriedade desse catálogo concede os seguintes privilégios:
-
gerenciar os privilégios ou transferir a propriedade de qualquer objeto no catálogo workspace.
Isso inclui a capacidade de conceder a si mesmo acesso de leitura e gravação a todos os dados do catálogo (sem acesso direto pelo site default; a concessão de permissões é feita por meio de registros de auditoria).
-
Transferir a propriedade do próprio catálogo workspace.
Todos os usuários do workspace recebem o privilégio USE CATALOG no catálogo workspace. Os usuários do espaço de trabalho também recebem os privilégios USE SCHEMA, CREATE TABLE, CREATE VOLUME, CREATE MODEL, CREATE FUNCTION e CREATE MATERIALIZED VIEW no esquema default do catálogo.
Os privilégios do default concedidos no metastore anexado e no catálogo workspace não são mantidos no espaço de trabalho (se, por exemplo, o catálogo workspace também estiver vinculado a outro workspace).
Administradores do Metastore
O administrador do metastore é um usuário ou grupo opcional, mas com privilégios elevados, no Unity Catalog. Os administradores do metastore possuem privilégios de duas fontes: privilégios default concedidos pela função e privilégios de propriedade, pois são os proprietários do metastore.
Quando atribuir um administrador ao metastore
Para espaços de trabalho criados após 8 de novembro de 2023, a função de administrador do metastore é opcional. Isso ocorre porque os administradores workspace recebem privilégios suficientes no nível do metastore por default (consulte Privilégios de administrador do espaço de trabalho quando o espaço de trabalho está habilitado para Unity Catalog automaticamente). No entanto, você deve atribuir um administrador do metastore se precisar executar as seguintes ações:
- Alterar a propriedade de objetos ou conceder privilégios sobre objetos que não lhe pertencem. Por exemplo, isso é necessário ao assumir o controle de um catálogo após a remoção da account proprietária original. Os administradores do espaço de trabalho podem criar objetos, mas não podem conceder permissões ou alterar a propriedade de objetos existentes que não lhes pertencem.
- Remova as permissões de administrador dedefault workspace.
- Adicione o armazenamento gerencial ao metastore, caso ele não possua nenhum. Isso requer que um administrador account adicione o local de armazenamento à definição do metastore. Consulte Adicionar armazenamento gerencia a um metastore existente.
- Habilitar destinos default de solicitação de acesso para objetos que não têm destinos definidos explicitamente. Consulte Habilitar solicitações de acesso em todo o metastore.
privilégios de administrador do metastore padrão
Os administradores do metastore têm os seguintes privilégios no metastore por default:
Privilégio | Descrição |
|---|---|
| Criar catálogos no metastore |
| Crie um ambiente seguro para colaboração em projetos com outras organizações, sem compartilhar os dados subjacentes. |
| Criar uma conexão com um banco de dados externo em um cenário de Federação Lakehouse. |
| Criar locais externos |
| Criar credenciais de serviço |
| |
| Criar catálogos estrangeiros usando uma conexão com um banco de dados externo em um cenário de Federação Lakehouse. |
| Crie um compartilhamento no OpenSharing como um provedor de dados |
| Crie um destinatário no OpenSharing como um provedor de dados |
| Crie um provedor no OpenSharing como destinatário de dados. |
| Criar visão materializada |
| Atualize as listas de permissões que gerenciam o acesso cluster ao script de inicialização e à biblioteca. |
privilégios de propriedade
Como proprietários do metastore, os administradores do metastore têm os seguintes privilégios:
Privilégio | Descrição |
|---|---|
Gerenciar privilégios e transferir a propriedade. | Gerenciar privilégios ou transferir a propriedade de qualquer objeto dentro do metastore, incluindo credenciais de armazenamento, locais externos, conexões, compartilhamentos, destinatários e provedores. |
Conceder acesso aos dados | Conceda a qualquer pessoa acesso de leitura e gravação a quaisquer dados no metastore. Essa capacidade é indireta porque os administradores do metastore podem transferir a propriedade de qualquer objeto para si mesmos. Não existe acesso direto por default. As concessões de permissão são registradas em forma de auditoria. |
ger metadados do objeto | Leia e atualize os metadados de todos os objetos no metastore. |
tags | Defina tags em todos os objetos no metastore. |
Configurar destinos de solicitação de acesso | Ativar destinos de solicitação de acesso default no metastore |
Excluir metastore | Exclua o metastore |
Quem tem privilégios iniciais de administrador da Metastore?
Se um administrador do account criar o metastore manualmente, esse administrador do account será o proprietário inicial do metastore e o administrador do metastore. Todos os metastores criados antes de 8 de novembro de 2023 foram criados manualmente por um administrador do account.
Se o metastore foi provisionado como parte da habilitação automática do Unity Catalog, o metastore foi criado sem um administrador de metastore. Administradores de workspace, nesse caso, recebem automaticamente privilégios que tornam o administrador do metastore opcional. Se necessário, os administradores de conta podem atribuir a função de administrador do metastore a um usuário, a uma entidade de serviço ou a um grupo. Grupos são fortemente recomendados. Consulte Introdução ao uso do Unity Catalog.
Atribuir um administrador da metastore
O administrador do Metastore é uma função altamente privilegiada que você deve distribuir com cuidado. É opcional.
os administradores de conta podem atribuir a função de administrador do metastore. A Databricks recomenda nomear um grupo como administrador do metastore. Ao fazer isso, qualquer membro do grupo é automaticamente um administrador da metastore.
Para atribuir a função de administrador do metastore a um grupo:
- Como administrador da conta, faça login no console da conta.
- Clique em
Catálogo . - Clique no nome de uma metastore para abrir suas propriedades.
- Em Metastore Admin, clique em Editar.
- Selecione um grupo no menu suspenso. Você pode inserir texto no campo para pesquisar opções.
- Clique em Salvar .
Pode levar até 30 segundos para que uma alteração na atribuição do administrador do metastore seja refletida em seu account, e pode levar mais tempo para entrar em vigor em alguns espaços de trabalho do que em outros. Esse atraso se deve aos protocolos de armazenamento em cache.