Referência de privilégiosUnity Catalog
Esta página serve como referência para os privilégios Unity Catalog e os objetos protegíveis aos quais eles se aplicam.
Para obter descrições detalhadas de cada tipo de objeto protegível, consulte a referência de objetos protegíveisUnity Catalog. Para aprender como conceder privilégios no Unity Catalog, consulte Exibir, conceder e revogar privilégios.
Esta página se refere aos privilégios Unity Catalog e ao modelo de herança na versão 1.0 do Modelo de Privilégios. Se você criou seu metastore Unity Catalog durante a prévia pública (antes de 25 de agosto de 2022), você pode estar usando um modelo de privilégios anterior que não é compatível com o modelo de herança atual. Você pode atualizar para a versão 1.0 do Modelo de Privilégios para obter herança de privilégios. Consulte Atualização para herança de privilégios.
Objetos protegíveis no Unity Catalog
Um objeto protegível é um objeto definido no metastore Unity Catalog , no qual privilégios podem ser concedidos a uma entidade principal (usuário, entidade de serviço ou grupo). Os objetos protegíveis no Unity Catalog são hierárquicos, desde o metastore no topo, passando por catálogos e esquemas, até os objetos de dados que eles contêm (tabelas, visualizações, volumes, funções e modelos). Objetos protegíveis adicionais controlam o acesso ao armazenamento externo, ao serviço externo e Delta Sharing.
Para obter descrições detalhadas de cada tipo de objeto protegível, consulte a referência de objetos protegíveisUnity Catalog.
Quais privilégios se aplicam a cada objeto protegível?
A tabela a seguir lista os privilégios que se aplicam a cada objeto protegível no Unity Catalog. Para aprender como conceder privilégios no Unity Catalog, consulte Exibir, conceder e revogar privilégios.
Seguro | Privilégios |
|---|---|
| |
Todos os usuários têm Os seguintes privilégios se aplicam a objetos protegíveis em um catálogo. Você pode conceder esses privilégios no nível do catálogo para aplicá-los a objetos atuais e futuros no catálogo.
| |
Os seguintes privilégios se aplicam a objetos protegíveis dentro de um esquema. Você pode conceder esses privilégios no nível do esquema para aplicá-los a objetos atuais e futuros dentro do esquema.
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
Os modelos registrados são um tipo de função. | |
| |
Nenhuma | |
Nenhuma | |
|
Visão geral dos privilégios no Unity Catalog
A tabela a seguir resume a capacidade que cada privilégio Unity Catalog concede. Para obter descrições completas, consulte a Referência detalhada de privilégios Unity Catalog.
Privilégio | Permite que você |
|---|---|
Utilize uma credencial de serviço para acessar um serviço externo. | |
Execute todas as operações em um objeto e seus filhos. | |
Adicione e edite tags em um objeto. Para tabelas e visualizações, também habilita as tags de coluna. Para modelos registrados, também habilita as tags de versão. | |
Descubra objetos, view seus metadados e solicite acesso a eles sem precisar de | |
Crie um ambiente limpo para colaboração entre várias partes sem compartilhar os dados subjacentes. | |
Criar uma conexão com um banco de dados externo para o Lakehouse Federation. | |
Crie um local externo que associe um caminho de armazenamento cloud a uma credencial de armazenamento. Obrigatório tanto no metastore quanto nas credenciais de armazenamento. | |
Crie objetos de metadados externos para uso em configurações personalizadas de linhagem de dados. | |
Crie tabelas externas em um caminho de armazenamento cloud específico usando um local externo ou uma credencial de armazenamento. | |
Criar volumes externos usando um local externo. | |
Crie catálogos estrangeiros usando uma conexão da Federação Lakehouse. | |
Ao criar um catálogo externo, especifique os caminhos de armazenamento cloud autorizados. | |
Defina um local de armazenamento personalizado para tabelas gerencia no nível do catálogo ou do esquema , substituindo o default do metastore . | |
Criar visão materializada em um esquema. | |
Registrar uma nova versão de um modelo MLflow já registrado. | |
Crie um objeto destinatário Delta Sharing no metastore. | |
Crie uma credencial de serviço no metastore. | |
Crie um compartilhamento Delta Sharing no metastore. | |
Crie uma credencial de armazenamento no metastore. | |
Criar tabelas ou visualizações em um esquema. | |
Invoque uma função ou carregue um modelo registrado para inferência. Também permite view definições de funções e metadados do modelo. | |
Execução do Notebook e view dos detalhes em uma sala limpa. | |
Obtenha uma credencial temporária para acessar um local externo Unity Catalog a partir de um mecanismo de processamento externo. | |
Obtenha uma credencial temporária para acessar as tabelas do Unity Catalog a partir de um mecanismo de processamento externo por meio de APIs abertas ou APIs REST do Iceberg. | |
Gerenciar privilégios, transferir propriedade, renomear e excluir um objeto. | |
Adicione ou modifique os caminhos permitidos para o script de inicialização, arquivos JAR e coordenadas Maven em clusters com o Unity Catalog habilitado. | |
Inserir, atualizar e excluir dados em uma tabela. | |
Atualize os dados ativos, o Notebook e os comentários de uma sala limpa. | |
Leia arquivos diretamente de um caminho de armazenamento cloud configurado como um local externo. | |
Leia arquivos e diretórios armazenados dentro de um volume. | |
Acionar manualmente uma refresh de uma viewmaterializada. | |
Consultar dados de uma tabela, view, viewmaterializada ou compartilhamento Delta Sharing . | |
Conceda acesso a uma Delta Sharing parte da conta a um destinatário . | |
Necessário para interagir com qualquer objeto dentro de um catálogo. Não concede acesso aos dados por si só. | |
Veja e view os detalhes da conexão . É necessário usar | |
Obtenha ou solicite acesso a produtos de dados compartilhados no Databricks Marketplace. | |
Visualize os provedores Delta Sharing no metastore e monte catálogos compartilhados como um usuário destinatário . | |
Visualize os destinatários Delta Sharing e suas respectivas parcelas como usuário provedor. | |
Necessário para interagir com qualquer objeto dentro de um esquema. Não concede acesso aos dados por si só. | |
Veja as ações Delta Sharing e suas ações ativas como usuário provedor. | |
Escreva arquivos diretamente em um caminho de armazenamento cloud configurado como um local externo. | |
Adicionar, modificar ou excluir arquivos dentro de um volume. |
Referência detalhada dos privilégios Unity Catalog
Esta seção fornece detalhes sobre os privilégios que se aplicam geralmente ao Unity Catalog. Para aprender como conceder privilégios no Unity Catalog, consulte Exibir, conceder e revogar privilégios.
ACESSO
- Tipos de objetos aplicáveis:
SERVICE CREDENTIAL
Permite que um usuário utilize uma credencial de serviço para acessar um serviço externo.
TODOS OS PRIVILÉGIOS
- Tipos de objetos aplicáveis:
CONNECTION,EXTERNAL LOCATION,EXTERNAL METADATA,FUNCTION(incluindo modelos),MATERIALIZED VIEW,SERVICE CREDENTIAL,STORAGE CREDENTIAL,TABLE,VIEW,VOLUME - Objetos de contêiner aplicáveis:
SCHEMA,CATALOG
ALL PRIVILEGES É um privilégio especial que permite ao usuário executar todas as funcionalidades no objeto protegível e em seus objetos filhos. ALL PRIVILEGES implica todos os privilégios aplicáveis para um tipo de objeto específico, e o Databricks não concede explicitamente cada privilégio individual.
A tabela a seguir descreve o que ALL PRIVILEGES implica para objetos de dados na hierarquia Unity Catalog :
Tipo de objeto | privilégios implícitos |
|---|---|
Implica todos os privilégios de nível de catálogo* | |
Implica todos os privilégios de nível de esquema* | |
Implica a capacidade de realizar | |
Implica a capacidade de executar | |
Implica a capacidade de realizar | |
Implica a capacidade de realizar | |
Função (incluindo modelos) | Implica a capacidade de realizar |
A tabela a seguir descreve o que ALL PRIVILEGES implica para objetos que não podem ser protegidos por dados:
Tipo de objeto | privilégios implícitos |
|---|---|
Implica a capacidade de executar | |
Implica a capacidade de executar | |
Implica a capacidade de executar | |
Implica a capacidade de executar | |
Implica a capacidade de realizar |
*Para evitar exfiltração acidental de dados ou escalonamento de privilégios, ALL PRIVILEGES não inclui os privilégios EXTERNAL USE SCHEMA, EXTERNAL USE LOCATION ou MANAGE .
Ao listar permissões usando a API do Databricks ou com um comando SHOW GRANTS para um usuário com ALL PRIVILEGES, apenas ALL PRIVILEGES é retornado, não os privilégios implícitos individuais como SELECT ou MODIFY.
Quando ALL PRIVILEGES é revogado, tanto a concessão ALL PRIVILEGES quanto quaisquer privilégios individuais implícitos por ela são removidos. Os privilégios EXTERNAL USE SCHEMA, EXTERNAL USE LOCATION e MANAGE não são afetados.
Para manter a compatibilidade com versões anteriores, ALL PRIVILEGES é avaliado no momento em que as verificações de permissões são feitas. Isso significa que, à medida que o Databricks lança novos privilégios e objetos protegíveis, uma concessão ALL PRIVILEGES existente inclui automaticamente quaisquer novos privilégios aplicáveis ao objeto protegível e a todos os objetos filhos novos e existentes.
Aplicar etiqueta
- Tipos de objetos aplicáveis:
FUNCTION(somente modelos registrados),MATERIALIZED VIEW,TABLE,VIEW,VOLUME - Objetos de contêiner aplicáveis:
SCHEMA,CATALOG
Permite ao usuário adicionar e editar tags em um objeto protegido. Além disso:
- Para uma tabela ou view, ter
APPLY TAGtambém permite tags de nível de coluna. - Para um modelo registrado,
APPLY TAGtambém permite tags de nível de versão.
O usuário também deve ter USE CATALOG no catálogo pai e USE SCHEMA no esquema pai.
Para aplicar uma tag governada, você também deve ter o privilégio ASSIGN na tag governada. Consulte a seção sobre gerenciamento de permissões em tagscontroladas.
NAVEGAR
- Tipos de objetos aplicáveis:
CLEAN ROOM,EXTERNAL LOCATION,EXTERNAL METADATA - Objetos de contêiner aplicáveis:
CATALOG
O privilégio BROWSE é um privilégio especial que permite aos usuários descobrir e view metadados sobre objetos sem conceder acesso aos dados subjacentes. Usuários com BROWSE podem:
- Verifique se existe um objeto
- Veja o nome, a descrição e tags
- Solicitar acesso a ele
Para objetos de dados (tabelas, visualizações, volumes e funções), BROWSE só pode ser concedido no nível do catálogo. Isso permite descobrir e view todos os objetos dentro desse catálogo, mas não aparecerá explicitamente como um privilégio herdado ao visualizar as permissões em esquemas e objetos filhos no Explorador de Catálogo.
Para locais externos, metadados externos e salas limpas, você pode conceder BROWSE diretamente no próprio objeto.
Usuários com BROWSE não precisam de privilégios de uso como USE CATALOG ou USE SCHEMA para descobrir e view metadados.
A Databricks recomenda conceder BROWSE nos catálogos ao grupo All account users para tornar os dados detectáveis em toda a sua organização. Isso permite que os usuários encontrem dados e solicitem acesso sem exigir que os administradores concedam permissões antecipadamente.
CREATE CATALOG
- Objetos de contêiner aplicáveis: Metastore Unity Catalog
Permite que um usuário crie um catálogo em um metastore Unity Catalog . Para criar um catálogo estrangeiro, você também precisa ter o privilégio CREATE FOREIGN CATALOG na conexão que contém o catálogo estrangeiro ou no metastore.
CRIAR UM QUARTO LIMPO
- Objetos de contêiner aplicáveis: Metastore Unity Catalog
Permite ao usuário criar um ambiente seguro para colaboração em projetos com outras organizações, sem compartilhar os dados subjacentes.
CREATE CONNECTION
- Tipos de objetos aplicáveis:
SERVICE CREDENTIAL - Objetos de contêiner aplicáveis: Metastore Unity Catalog
Permite que um usuário crie uma conexão com um banco de dados externo em um cenário de federação Lakehouse. Para usar uma credencial de serviço para criar uma conexão, o usuário deve ter esse privilégio tanto no metastore quanto na credencial de serviço.
CRIAR LOCALIZAÇÃO EXTERNA
- Tipos de objetos aplicáveis:
STORAGE CREDENTIAL - Objetos de contêiner aplicáveis: Metastore Unity Catalog
Para criar um local externo, o usuário deve ter esse privilégio tanto no metastore quanto na credencial de armazenamento que está sendo referenciada no local externo.
CRIAR METADADOS EXTERNOS
- Objetos de contêiner aplicáveis: Metastore Unity Catalog
Permite ao usuário criar um objeto de metadados externo para uso em linhagem personalizada. Para adicionar relações de linhagem ao objeto de metadados externo, o usuário deve ter o privilégio MODIFY no objeto de metadados externo, juntamente com privilégios no objeto Unity Catalog com o qual ele está especificando o relacionamento.
CRIAR TABELA EXTERNA
- Tipos de objetos aplicáveis:
EXTERNAL LOCATION,STORAGE CREDENTIAL
Permite que um usuário crie tabelas externas diretamente em seu tenant cloud usando uma localização externa ou credencial de armazenamento. Databricks recomenda conceder esse privilégio em um local externo em vez de uma credencial de armazenamento, pois ele é limitado a um caminho, o que permite maior controle sobre onde os usuários podem criar tabelas externas em seu tenant cloud .
CRIAR VOLUME EXTERNO
- Tipos de objetos aplicáveis:
EXTERNAL LOCATION
Permite ao usuário criar volumes externos usando um local externo.
CRIAR CATÁLOGO ESTRANGEIRO
- Tipos de objetos aplicáveis:
CONNECTION
Permite ao usuário criar catálogos estrangeiros utilizando uma conexão com um banco de dados externo em um cenário de Federação Lakehouse.
CRIAR SEGURANÇA ESTRANGEIRA
- Tipos de objetos aplicáveis:
EXTERNAL LOCATION
Permite que um usuário que esteja criando um catálogo externo especifique caminhos autorizados que sejam abrangidos pela localização externa.
O usuário também deve ter CREATE CATALOG no metastore e CREATE FOREIGN CATALOG na conexão.
CREATE FUNCTION
- Objetos de contêiner aplicáveis:
SCHEMA,CATALOG
Permite que um usuário crie uma função. Seguindo o princípio do menor privilégio, o Databricks recomenda conceder CREATE FUNCTION no nível do esquema, o que permite aos usuários criar funções nesse esquema. Você também pode conceder CREATE FUNCTION em um catálogo para permitir que um usuário crie funções em qualquer esquema existente ou futuro no catálogo.
O usuário deve ter também o privilégio USE CATALOG no catálogo pai e USE SCHEMA no esquema pai.
CRIAR ARMAZENAMENTO
- Tipos de objetos aplicáveis:
EXTERNAL LOCATION
Permite ao usuário configurar um local de armazenamento personalizado em um local externo ao criar um catálogo ou esquema. Quando utilizado durante a criação do catálogo, o local especificado torna-se o armazenamento default do gerencia para todos os esquemas nesse catálogo (substituindo o default do metastore ). Quando usado durante a criação do esquema, o local especificado aplica-se apenas a esse esquema (substituindo qualquer default de nível de catálogo).
CREATE MATERIALIZED VIEW
- Objetos de contêiner aplicáveis:
SCHEMA,CATALOG
Permite que um usuário crie uma viewmaterializada em um esquema no qual CREATE MATERIALIZED VIEW é concedido. Seguindo o princípio do menor privilégio, o Databricks recomenda conceder CREATE MATERIALIZED VIEW no nível do esquema. Você também pode conceder CREATE MATERIALIZED VIEW em um catálogo para permitir que um usuário crie uma visão materializada em qualquer esquema existente ou futuro no catálogo.
O usuário deve ter também o privilégio USE CATALOG no catálogo pai e USE SCHEMA no esquema pai.
CRIAR MODELO
- Objetos de contêiner aplicáveis:
SCHEMA,CATALOG
Permite que um usuário crie um modelo registrado do MLflow (que é um tipo de função) em um esquema no qual CREATE MODEL é concedido. Seguindo o princípio do menor privilégio, o Databricks recomenda conceder CREATE MODEL no nível do esquema. Você também pode conceder CREATE MODEL em um catálogo para permitir que um usuário crie modelos registrados em qualquer esquema existente ou futuro no catálogo.
O usuário deve ter também o privilégio USE CATALOG no catálogo pai e USE SCHEMA no esquema pai.
CRIAR VERSÃO DO MODELO
- Tipos de objetos aplicáveis:
MODEL
Permite que um usuário registre uma nova versão de um modelo registrado MLflow (que é um tipo de função). Não concede permissão para executar, modificar ou adicionar tags a uma versão do modelo.
O usuário deve ter também o privilégio USE CATALOG no catálogo pai e USE SCHEMA no esquema pai.
CREATE SCHEMA
- Objetos de contêiner aplicáveis:
CATALOG
Permite que um usuário crie um esquema em um catálogo no qual CREATE SCHEMA é concedido. O usuário também deve ter o privilégio USE CATALOG no catálogo.
CRIAR CREDENCIAL DE SERVIÇO
- Objetos de contêiner aplicáveis: Metastore Unity Catalog
Permite que um usuário crie uma credencial de serviço em um metastore Unity Catalog .
CRIAR CREDENCIAL DE ARMAZENAMENTO
- Objetos de contêiner aplicáveis: Metastore Unity Catalog
Permite que um usuário crie uma credencial de armazenamento em um metastore Unity Catalog .
CREATE TABLE
- Objetos de contêiner aplicáveis:
SCHEMA,CATALOG
Permite que um usuário crie uma tabela ou view em um esquema no qual CREATE TABLE é concedido. Seguindo o princípio do menor privilégio, o Databricks recomenda conceder CREATE TABLE no nível do esquema. Você também pode conceder CREATE TABLE em um catálogo para permitir que um usuário crie tabelas ou visualizações em qualquer esquema existente ou futuro no catálogo.
O usuário também deve ter o privilégio USE CATALOG no catálogo pai e o privilégio USE SCHEMA no esquema pai.
CREATE VOLUME
- Objetos de contêiner aplicáveis:
SCHEMA,CATALOG
Permite que um usuário crie um volume em um esquema no qual CREATE VOLUME é concedido. Seguindo o princípio do menor privilégio, o Databricks recomenda conceder CREATE VOLUME no nível do esquema. Você também pode conceder CREATE VOLUME em um catálogo para permitir que um usuário crie volumes em qualquer esquema existente ou futuro no catálogo.
O usuário também deve ter o privilégio USE CATALOG no catálogo pai e o privilégio USE SCHEMA no esquema pai.
EXECUTAR
- Tipos de objetos aplicáveis:
FUNCTION - Objetos de contêiner aplicáveis:
SCHEMA,CATALOG
Permite ao usuário invocar uma função ou carregar um modelo registrado para inferência. Para funções, EXECUTE também concede a capacidade de view a definição da função e os metadados. Para modelos registrados, EXECUTE também concede a capacidade de view metadados para todas as versões do modelo e download arquivos do modelo.
Seguindo o princípio do menor privilégio, a Databricks recomenda conceder EXECUTE em funções individuais. Você também pode conceder EXECUTE em um esquema ou catálogo para permitir que um usuário execute todas as funções atuais e futuras dentro desse esquema ou catálogo.
O usuário também deve ter USE CATALOG no catálogo pai e USE SCHEMA no esquema pai.
EXECUTANDO SALA LIMPA tarefa
- Tipos de objetos aplicáveis:
CLEAN ROOM
Permite ao usuário executar a tarefa (Notebook) em uma sala limpa. Também permite ao usuário view detalhes da sala limpa.
LOCAL DE USO EXTERNO
- Tipos de objetos aplicáveis:
EXTERNAL LOCATION
Permite que um usuário obtenha uma credencial temporária para acessar um local externo a partir de um mecanismo de processamento externo usando as APIs abertas do Unity Catalog ou o Apache Spark.
Para evitar exfiltração acidental de dados, ALL PRIVILEGES não inclui o privilégio EXTERNAL USE LOCATION e os proprietários de locais externos não têm esse privilégio por default. Isso significa que apenas usuários com o privilégio MANAGE no local externo podem conceder esse privilégio.
Consulte Ativar o acesso a dados externos no Unity Catalog.
USE SCHEMAEXTERNO
Visualização
Este recurso está em Pré-visualização Pública.
- Objetos de contêiner aplicáveis:
SCHEMA
Permite que um usuário receba uma credencial temporária para acessar as tabelas do Unity Catalog a partir de um mecanismo de processamento externo, usando as APIs abertas do Unity Catalog ou as APIs REST do Iceberg.
Para evitar exfiltração acidental de dados, ALL PRIVILEGES não inclui o privilégio EXTERNAL USE SCHEMA e os proprietários do esquema não têm esse privilégio por default. Somente o proprietário do catálogo pode conceder esse privilégio.
Consulte Ativar o acesso a dados externos no Unity Catalog.
gerenciar
- Tipos de objetos aplicáveis:
CLEAN ROOM,CONNECTION,EXTERNAL LOCATION,EXTERNAL METADATA,FUNCTION(incluindo modelos),MATERIALIZED VIEW,SERVICE CREDENTIAL,STORAGE CREDENTIAL,TABLE,VIEW,VOLUME - Objetos de contêiner aplicáveis:
SCHEMA,CATALOG
Permite que um usuário gerencie privilégios, transfira a propriedade e exclua um objeto sem ser o proprietário. MANAGE é semelhante à propriedade de objetos, mas existem algumas diferenças importantes. Veja Propriedade versus o privilégio MANAGE.
Usuários com MANAGE não recebem automaticamente todos os privilégios no objeto. Eles devem receber cada privilégio específico separadamente, mas os usuários com MANAGE podem conceder a si mesmos esses privilégios explicitamente.
Para exercer MANAGE, o usuário também deve ter os privilégios de uso apropriados no objeto e em todos os seus objetos pai. Por exemplo, para exercer MANAGE em um esquema, o usuário também precisa de USE SCHEMA no esquema e USE CATALOG no catálogo pai.
Se MANAGE for concedido em um objeto contêiner, o usuário também receberá MANAGE em todos os objetos filhos. Por exemplo, conceder MANAGE em um catálogo também concede explicitamente MANAGE em todos os esquemas e tabelas filhos.
ALL PRIVILEGES não inclui o privilégio MANAGE .
LISTA DE PERMISSÕES
- Objetos de contêiner aplicáveis: Metastore Unity Catalog
Permite que um usuário adicione, modifique e remova entradas na lista de permissões que controla quais scripts de inicialização, arquivos JAR e coordenadas Maven podem ser executados em clusters com o Unity Catalog habilitado e configurados com o modo de acesso padrão. Por default, a lista de permissões está vazia.
Como os usuários com MANAGE ALLOWLIST podem controlar qual execução de código no modo de acesso padrão compute, Databricks recomenda conceder esse privilégio apenas a administradores de metastore e administradores de plataforma confiáveis.
MODIFICAR
- Tipos de objetos aplicáveis:
EXTERNAL METADATA,TABLE - Objetos de contêiner aplicáveis:
SCHEMA,CATALOG
Quando aplicado a uma tabela, permite ao usuário inserir, atualizar e excluir dados na tabela. O usuário também deve ter SELECT na tabela, USE SCHEMA no esquema pai e USE CATALOG no catálogo pai.
Devido à herança de privilégios, você pode conceder MODIFY em um esquema para conceder automaticamente MODIFY em todas as tabelas atuais e futuras no esquema. Da mesma forma, você pode conceder MODIFY em um catálogo para conceder automaticamente MODIFY em todas as tabelas atuais e futuras no catálogo.
Quando aplicado a um objeto de metadados externo , permite que um usuário adicione relações de linhagem a esse objeto.
MODIFY Não é possível conceder permissão em uma tabela estrangeira porque as tabelas estrangeiras são somente leitura.
MODIFICAR SALA LIMPA
- Tipos de objetos aplicáveis:
CLEAN ROOM
Permite que um usuário atualize uma sala limpa, o que inclui adicionar e remover dados ativos, adicionar e remover Notebooks e atualizar comentários. Também permite ao usuário view detalhes da sala limpa.
LER ARQUIVOS
- Tipos de objetos aplicáveis:
EXTERNAL LOCATION
Permite que um usuário leia arquivos diretamente do armazenamento de objetos cloud configurado como um local externo. Databricks recomenda não ler arquivos diretamente do armazenamento de objetos cloud . Em vez disso, gerencie o acesso de leitura aos dados no armazenamento de objetos cloud usando volumes e o privilégio READ VOLUME . Consulte Locais externos.
READ FILES Também é necessário para operações de gravação em locais externos. Qualquer principal que tenha o privilégio WRITE FILES apenas em um local externo recebe um erro PERMISSION_DENIED ao tentar gravar arquivos. Consulte GRAVAR ARQUIVOS.
LER VOLUME
- Tipos de objetos aplicáveis:
VOLUME - Objetos de contêiner aplicáveis:
SCHEMA,CATALOG
Permite ao usuário ler arquivos e diretórios armazenados dentro de um volume. O usuário também deve ter USE SCHEMA no esquema pai e USE CATALOG no catálogo pai.
Devido à herança de privilégios, você pode conceder READ VOLUME em um esquema para conceder automaticamente READ VOLUME em todos os volumes atuais e futuros no esquema. Da mesma forma, você pode conceder READ VOLUME em um catálogo para conceder automaticamente READ VOLUME em todos os volumes atuais e futuros no catálogo.
REFRESH
- Tipos de objetos aplicáveis:
MATERIALIZED VIEW - Objetos de contêiner aplicáveis:
SCHEMA,CATALOG
Permite que um usuário refresh uma view materializada. O usuário também deve ter USE SCHEMA no esquema pai e USE CATALOG no catálogo pai.
Devido à herança de privilégios, você pode conceder REFRESH em um esquema para conceder automaticamente REFRESH em todas as visões materializadas atuais e futuras no esquema. Da mesma forma, você pode conceder REFRESH em um catálogo para conceder automaticamente REFRESH em todas as visualizações materializadas atuais e futuras no catálogo.
SELECIONAR
- Tipos de objetos aplicáveis:
MATERIALIZED VIEW,SHARE,TABLE,VIEW - Objetos de contêiner aplicáveis:
SCHEMA,CATALOG
Quando aplicado a uma tabela, view ou view materializada, permite que o usuário selecione um item do objeto. O usuário também deve ter USE CATALOG no catálogo pai e USE SCHEMA no esquema pai. Quando aplicado a uma ação, permite que o destinatário selecione um item da ação.
Devido à herança de privilégios, você pode conceder SELECT em um esquema para conceder automaticamente SELECT em todas as tabelas e visualizações atuais e futuras no esquema. Da mesma forma, você pode conceder SELECT em um catálogo para conceder automaticamente SELECT em todas as tabelas e visualizações atuais e futuras no catálogo.
USE CATALOG
- Objetos de contêiner aplicáveis:
CATALOG
USE CATALOG é um privilégio de uso. Geralmente, os usuários precisam desse privilégio para interagir com qualquer objeto dentro do catálogo. USE CATALOG não concede acesso ao próprio catálogo ou a quaisquer objetos específicos dentro dele.
Por exemplo, para ler de uma tabela, um usuário precisa de SELECT na tabela, USE CATALOG no catálogo pai e USE SCHEMA no esquema pai.
USE CATALOG Também fornece um importante limite de controle de acesso para proprietários de catálogos. Mesmo que o proprietário de uma tabela conceda SELECT em uma tabela para outro usuário, esse usuário não poderá acessar a tabela a menos que também tenha USE CATALOG no catálogo pai. Como apenas os proprietários do catálogo ou usuários com MANAGE no catálogo podem conceder USE CATALOG, os proprietários do catálogo mantêm o controle sobre quais usuários podem acessar seus objetos, independentemente do que os proprietários individuais de tabelas ou esquemas concedam.
USE CATALOG Não é necessário descobrir ou ler metadados de objetos se o usuário tiver o privilégio BROWSE nesse catálogo.
USAR CONEXÃO
- Tipos de objetos aplicáveis:
CONNECTION
Permite ao usuário listar e view detalhes sobre conexões com bancos de dados externos em um cenário de federação Lakehouse . USE CONNECTION também é necessário para usar a funçãoremote_query para executar consultas SQL diretamente em bancos de dados externos.
USE SCHEMA
- Objetos de contêiner aplicáveis:
SCHEMA,CATALOG
USE SCHEMA é um privilégio de uso. Geralmente, os usuários precisam desse privilégio para interagir com qualquer objeto dentro do esquema. USE SCHEMA não concede acesso ao próprio esquema ou a quaisquer objetos específicos dentro dele.
Por exemplo, para ler de uma tabela, um usuário precisa de SELECT na tabela, USE SCHEMA no esquema pai e USE CATALOG no catálogo pai.
USE SCHEMA Também fornece um importante limite de controle de acesso para os proprietários do esquema. Mesmo que o proprietário de uma tabela conceda SELECT em uma tabela para outro usuário, esse usuário não poderá acessar a tabela a menos que também tenha USE SCHEMA no esquema pai. Como apenas os proprietários do esquema ou usuários com MANAGE no esquema podem conceder USE SCHEMA, os proprietários do esquema mantêm o controle sobre quais usuários podem acessar seus objetos, independentemente do que os proprietários de tabelas individuais concedam.
Devido à herança de privilégios, você pode conceder USE SCHEMA em um catálogo para conceder automaticamente USE SCHEMA em todos os esquemas atuais e futuros no catálogo.
USE SCHEMA Não é necessário descobrir ou ler metadados de objetos se o usuário tiver o privilégio BROWSE no catálogo pai.
ESCREVA ARQUIVOS
- Tipos de objetos aplicáveis:
EXTERNAL LOCATION
Permite que um usuário grave arquivos diretamente no armazenamento de objetos cloud configurado como um local externo. Databricks recomenda não gravar arquivos diretamente no armazenamento de objetos cloud . Em vez disso, gerencie o acesso de gravação aos dados no armazenamento de objetos cloud usando volumes e o privilégio WRITE VOLUME . Para obter mais orientações, consulte gerenciar e volumes externos.
WRITE FILES requer que READ FILES também seja concedido no mesmo local externo. As operações de gravação em armazenamento de objetos cloud envolvem verificações de metadados e validação de caminho que exigem acesso de leitura.
ESCREVA O VOLUME
- Tipos de objetos aplicáveis:
VOLUME - Objetos de contêiner aplicáveis:
SCHEMA,CATALOG
Permite ao usuário adicionar, remover ou modificar arquivos e diretórios armazenados dentro de um volume. O usuário também deve ter USE CATALOG no catálogo pai e USE SCHEMA no esquema pai.
Devido à herança de privilégios, você pode conceder WRITE VOLUME em um esquema para conceder automaticamente WRITE VOLUME em todos os volumes atuais e futuros no esquema. Da mesma forma, você pode conceder WRITE VOLUME em um catálogo para conceder automaticamente WRITE VOLUME em todos os volumes atuais e futuros no catálogo.
Privilégios que se aplicam somente ao Delta Sharing ou Databricks Marketplace
Esta seção fornece detalhes sobre os privilégios que se aplicam somente ao Delta Sharing.
CRIAR FORNECEDOR
- Objetos de contêiner aplicáveis: Metastore Unity Catalog
Permite que um usuário crie um objeto provedor Delta Sharing no metastore. Um provedor identifica uma organização ou grupo de usuários que compartilham o uso de dados Delta Sharing. Os objetos do provedor são criados por um usuário na account Databricks do destinatário. Veja O que é Delta Sharing?
CREATE RECIPIENT
- Objetos de contêiner aplicáveis: Metastore Unity Catalog
Permite que um usuário crie um objeto destinatário Delta Sharing no metastore. Um destinatário identifica uma organização ou grupo de usuários que recebe o uso compartilhado de dados Delta Sharing. Os objetos destinatários são criados por um usuário na account Databricks do provedor. Veja O que é Delta Sharing?
CREATE SHARE
- Objetos de contêiner aplicáveis: Metastore Unity Catalog
Permite que um usuário crie um compartilhamento no metastore. Um compartilhamento é um agrupamento lógico de tabelas e outros ativos que um provedor pretende compartilhar usando Delta Sharing.
SET PERMISSÃO DE COMPARTILHAMENTO
- Objetos de contêiner aplicáveis: Metastore Unity Catalog
No Delta Sharing, SET SHARE PERMISSION permite que um usuário provedor defina permissões em um compartilhamento, incluindo conceder acesso ao destinatário e transferir a propriedade. Para conceder acesso a um destinatário a uma partilha, o utilizador também deve ter USE SHARE e USE RECIPIENT ou a propriedade do objeto destinatário . Para transferir a propriedade de uma ação, o usuário também deve ter USE SHARE.
USE marketplace ativo
- Objetos de contêiner aplicáveis: Metastore Unity Catalog
Ativado por default para todos os metastores Unity Catalog . No Databricks Marketplace, USE MARKETPLACE ASSETS permite que um usuário obtenha ou solicite acesso a dados de produtos em anúncios do marketplace. Também permite que um usuário acesse o catálogo somente leitura que é criado quando um provedor compartilha um produto de dados.
Sem esse privilégio, os usuários devem ter os privilégios CREATE CATALOG e USE PROVIDER , ou a função de administrador do metastore. Conceder USE MARKETPLACE ASSETS em vez disso permite que os administradores limitem o número de usuários com esses privilégios mais poderosos.
UTILIZAR FORNECEDOR
- Objetos de contêiner aplicáveis: Metastore Unity Catalog
No Delta Sharing, USE PROVIDER permite que um usuário destinatário view todos os provedores no metastore e seus compartilhamentos associados (somente leitura). Combinado com CREATE CATALOG, USE PROVIDER também permite que um usuário destinatário que não seja um administrador do metastore monte um compartilhamento como um catálogo. Isso permite que os administradores limitem o número de usuários com a função de administrador do metastore.
USAR RECIPIENTE
- Objetos de contêiner aplicáveis: Metastore Unity Catalog
No Delta Sharing, USE RECIPIENT permite que um usuário provedor view todos os destinatários no metastore (somente leitura), incluindo detalhes do destinatário, status de autenticação e os compartilhamentos que o provedor compartilhou com cada destinatário. Um usuário provedor não precisa ser um administrador do metastore para usar esse privilégio.
No Databricks Marketplace, USE RECIPIENT permite que os usuários provedores view anúncios e solicitações de consumidores no console do provedor.
USAR COMPARTILHAR
- Objetos de contêiner aplicáveis: Metastore Unity Catalog
No Delta Sharing, USE SHARE permite que um usuário provedor view todos os compartilhamentos no metastore (somente leitura), incluindo os ativos (tabelas e Notebook) em cada compartilhamento e os destinatários do compartilhamento. Um usuário provedor não precisa ser um administrador do metastore para usar esse privilégio.
No Databricks Marketplace, USE SHARE permite que os usuários provedores view detalhes sobre os dados compartilhados em uma listagem.