Privilégios de administrador no Unity Catalog
Este artigo descreve os privilégios que os administradores do Databricks account , administradores do workspace e administradores do metastore têm para gerenciar o Unity Catalog.
Se o seu workspace foi habilitado para Unity Catalog automaticamente, os administradores do workspace têm privilégios default no metastore anexado e no catálogo workspace, se um catálogo workspace tiver sido provisionado. Veja os privilégios de administrador do espaço de trabalho quando o espaço de trabalho é ativado automaticamente para Unity Catalog.
administradores de contas
A função de administrador de conta possui muitos privilégios e deve ser distribuída com cuidado. Os administradores da conta têm privilégios sobre toda a account Databricks , o que inclui as seguintes funcionalidades key :
Capacidade | Descrição |
|---|---|
Criar metastores | Crie metastores e torne-se o administrador inicial do metastore por default |
Vincular metastores ao espaço de trabalho | Associe metastores a espaços de trabalho específicos. |
Atribua a função de administrador do metastore | Atribua a função de administrador do metastore a usuários, entidades de serviço ou grupos. Consulte a seção Administradores do Metastore para obter uma lista das funcionalidades administrativas do metastore. |
Conceder privilégios em metastores | Gerenciar permissões no nível do metastore |
Ative Delta Sharing para um metastore. | Ative a funcionalidade Delta Sharing para um metastore. |
Configurar credenciais de armazenamento | Configure as credenciais de armazenamento para acessar o armazenamento cloud |
Habilitar tabelas do sistema | Habilite as tabelas do sistema e controle quem pode acessá-las. |
Para obter mais informações, consulte O que são administradores account ?
administradores do espaço de trabalho
A função de administrador do espaço de trabalho possui muitos privilégios e deve ser distribuída com cuidado. Os administradores de espaço de trabalho têm privilégios administrativos dentro de um único workspace, o que inclui as seguintes funcionalidades key :
Capacidade | Descrição |
|---|---|
associação workspace | Adicionar usuários, entidade de serviço e grupos a um workspace |
Atribua a função de administrador workspace . | Atribuir a função de administrador workspace a usuários, entidades de serviço ou grupos |
Gerenciar propriedade do trabalho | Controle a responsabilidade pelo trabalho. Consulte Controlar o acesso a um trabalho. |
gerenciando a execução do Job como configuração | Configure a identidade de execução do trabalho. Consulte Configurar a execução como usuário para execução do Job. |
visualizar e gerenciar objetos workspace | Aceda e controle o Notebook, os dashboards, as consultas e outros objetos workspace . Consulte Listas de controle de acesso. |
Para obter mais informações, consulte O que são administradores workspace ?
Os administradores de contas podem restringir os privilégios de administrador workspace usando a configuração RestrictWorkspaceAdmins . Consulte Restringir administradores workspace.
privilégios de administrador do espaço de trabalho quando o espaço de trabalho é ativado automaticamente para Unity Catalog
Se o seu workspace foi ativado para Unity Catalog automaticamente, o workspace é anexado a um metastore por default. Para obter mais informações, consulte Habilitação automática do Unity Catalog site.
Se o seu workspace foi ativado para Unity Catalog automaticamente, os administradores do workspace têm os seguintes privilégios no metastore anexado pelo default:
-
CREATE CATALOG -
CREATE CLEAN ROOM -
CREATE EXTERNAL LOCATION -
CREATE SERVICE CREDENTIAL -
CREATE STORAGE CREDENTIAL -
CREATE CONNECTION -
CREATE SHARE -
CREATE RECIPIENT -
CREATE PROVIDER -
CREATE MATERIALIZED VIEW
Os administradores do espaço de trabalho são os default proprietários do catálogo workspace, se um catálogo workspace tiver sido provisionado para o seu workspace. A propriedade desse catálogo concede os seguintes privilégios:
-
gerenciar os privilégios ou transferir a propriedade de qualquer objeto no catálogo workspace.
Isso inclui a capacidade de conceder a si mesmo acesso de leitura e gravação a todos os dados do catálogo (sem acesso direto pelo site default; a concessão de permissões é feita por meio de registros de auditoria).
-
Transferir a propriedade do próprio catálogo workspace.
Todos os usuários do workspace recebem o privilégio USE CATALOG no catálogo workspace. Os usuários do espaço de trabalho também recebem os privilégios USE SCHEMA, CREATE TABLE, CREATE VOLUME, CREATE MODEL, CREATE FUNCTION e CREATE MATERIALIZED VIEW no esquema default do catálogo.
Os privilégios do default concedidos no metastore anexado e no catálogo workspace não são mantidos no espaço de trabalho (se, por exemplo, o catálogo workspace também estiver vinculado a outro workspace).
Administradores do Metastore
O administrador do metastore é um usuário ou grupo opcional, mas com privilégios elevados, no Unity Catalog. Os administradores do metastore possuem privilégios de duas fontes: privilégios default concedidos pela função e privilégios de propriedade, pois são os proprietários do metastore.
privilégios de administrador do metastore padrão
Os administradores do metastore têm os seguintes privilégios no metastore por default:
Privilégio | Descrição |
|---|---|
| Criar catálogos no metastore |
| Crie um ambiente seguro para colaboração em projetos com outras organizações, sem compartilhar os dados subjacentes. |
| Criar uma conexão com um banco de dados externo em um cenário de Federação Lakehouse. |
| Criar locais externos |
| Criar credenciais de serviço |
| |
| Criar catálogos estrangeiros usando uma conexão com um banco de dados externo em um cenário de Federação Lakehouse. |
| Crie uma participação no Delta Sharing como provedor de dados. |
| Crie um destinatário no Delta Sharing como provedor de dados. |
| Crie um provedor no Delta Sharing como destinatário de dados. |
| Criar visão materializada |
| Atualize as listas de permissões que gerenciam o acesso cluster ao script de inicialização e à biblioteca. |
privilégios de propriedade
Como proprietários do metastore, os administradores do metastore têm os seguintes privilégios:
Privilégio | Descrição |
|---|---|
Gerenciar privilégios e transferir a propriedade. | Gerenciar privilégios ou transferir a propriedade de qualquer objeto dentro do metastore, incluindo credenciais de armazenamento, locais externos, conexões, compartilhamentos, destinatários e provedores. |
Conceder acesso aos dados | Conceda a qualquer pessoa acesso de leitura e gravação a quaisquer dados no metastore. Essa capacidade é indireta porque os administradores do metastore podem transferir a propriedade de qualquer objeto para si mesmos. Não existe acesso direto por default. As concessões de permissão são registradas em forma de auditoria. |
ger metadados do objeto | Leia e atualize os metadados de todos os objetos no metastore. |
tags | Defina tags em todos os objetos no metastore. |
Configurar destinos de solicitação de acesso | Ativar destinos de solicitação de acesso default no metastore |
Excluir metastore | Exclua o metastore |
O que somente os administradores do metastore podem fazer
As funcionalidades a seguir são exclusivas para administradores do metastore. Nenhuma outra função, incluindo administradores account ou administradores workspace , pode executar essas ações:
Capacidade | Descrição |
|---|---|
Conceder privilégios no metastore | Os administradores do metastore são os únicos usuários que podem conceder privilégios no próprio metastore. |
Transferir a propriedade de qualquer objeto | Transferir a propriedade de credenciais de armazenamento, locais externos, conexões, compartilhamentos, destinatários, provedores, catálogos e outros objetos do metastore. |
gerenciar listas de permissões | Atualize o init script e as listas de permissões de arquivos JAR que controlam o acesso cluster à biblioteca e aos scripts. |
Exclua o metastore | Remova completamente o metastore. |
Ativar destinos de solicitação de acesso default | Configure destinos de solicitação de acesso default para objetos sem destinos explícitos. |
Como os administradores da metastore são os únicos usuários que têm esses privilégios, você deve designar um administrador da metastore se quiser usar qualquer uma das seguintes funcionalidades:
- Mude a propriedade dos catálogos depois que alguém sair da empresa.
- gerenciar e delegar permissões na lista de permissõesinit script e jar.
- Delegar a capacidade de criar catálogos e outras permissões de nível superior para administradores que não sejam doworkspace.
- Receba dados compartilhados por meio do Delta Sharing.
- Remova as permissões de administrador dedefault workspace.
- Adicionar armazenamento gerenciar ao metastore, se ele não tiver nenhum. Consulte Adicionar armazenamento gerenciar a um metastore existente.
- Habilite destinos de solicitação de acesso " default " para objetos que não possuem destinos explicitamente definidos. Consulte Ativar destinos default email.
Quem tem privilégios iniciais de administrador da Metastore?
Se um administrador do account criar o metastore manualmente, esse administrador do account será o proprietário inicial do metastore e o administrador do metastore. Todos os metastores criados antes de 8 de novembro de 2023 foram criados manualmente por um administrador do account.
Se o metastore foi provisionado como parte da ativação automática do Unity Catalog, o metastore foi criado sem um administrador de metastore. Nesse caso, os administradores do espaço de trabalho recebem automaticamente privilégios que tornam o administrador do metastore opcional. Se necessário, os administradores do account podem atribuir a função de administrador do metastore a um usuário, entidade de serviço ou grupo. Grupos são altamente recomendados. Consulte Ativação automática do Unity Catalog.
Atribuir um administrador da metastore
O administrador do Metastore é uma função altamente privilegiada que você deve distribuir com cuidado. É opcional.
os administradores de conta podem atribuir a função de administrador do metastore. A Databricks recomenda nomear um grupo como administrador do metastore. Ao fazer isso, qualquer membro do grupo é automaticamente um administrador da metastore.
Para atribuir a função de administrador do metastore a um grupo:
- Como administrador da conta, faça login no console da conta.
- Clique em
Catálogo . - Clique no nome de uma metastore para abrir suas propriedades.
- Em Metastore Admin, clique em Editar.
- Selecione um grupo no menu suspenso. Você pode inserir texto no campo para pesquisar opções.
- Clique em Salvar .
Pode levar até 30 segundos para que uma alteração na atribuição do administrador do metastore seja refletida em seu account, e pode levar mais tempo para entrar em vigor em alguns espaços de trabalho do que em outros. Esse atraso se deve aos protocolos de armazenamento em cache.