Privilégios de administrador no Unity Catalog
O Databricks possui várias funções de administrador. Do ponto de vista das permissões Unity Catalog , as três mais importantes são: administradores account , administradores workspace e administradores do metastore. Administradores de conta e administradores workspace são necessários para todas as implantações, e a função de administrador do metastore é opcional. Compreender as responsabilidades de cada função ajuda você a atribuir administradores com o escopo adequado.
- Os administradores de contas operam no nível account Databricks . Eles criam e interligam metastores e espaços de trabalho, e podem atribuir funções de administrador.
- Os administradores do espaço de trabalho operam dentro de um único workspace. Eles gerenciam a associação workspace , o trabalho e os objetos workspace .
- Os administradores do Metastore (opcional) operam dentro de um único Metastore Unity Catalog . Eles regem o acesso aos dados, a propriedade e os objetos protegíveis de nível superior Unity Catalog .
Visão geral das funções administrativas
Função administrativa | Escopo | Obrigatório? | Objetivo principal |
|---|---|---|---|
Administrador da conta | account Databricks completa | Sim | Criar metastores e espaço de trabalho, vincular metastores ao espaço de trabalho, atribuir funções de administrador. |
Administrador do workspace | workspaceindividual | Sim | Gerenciar associação workspace , propriedade de tarefas e objetos workspace ; criar catálogos e outros itens protegíveis de nível superior Unity Catalog |
Administrador do Metastore | Metastore de Unity Catalog único (um por região cloud ) | Não (opcional) | Crie e gerencie os objetos protegíveis de nível superior do Unity Catalog: catálogos, conexões, locais externos e outros objetos do metastore. |
Os administradores de contas e os administradores de metastore são funções separadas. Quando um administrador account cria um metastore, ele se torna, por default o administrador inicial do metastore. Eles podem então atribuir a função de administrador do metastore a um usuário, grupo ou entidade de serviço diferente e renunciá-la eles mesmos.
administradores de contas
A função de administrador de conta possui muitos privilégios e deve ser distribuída com cuidado. Os administradores da conta têm privilégios sobre toda a account Databricks , o que inclui as seguintes funcionalidades key :
Capacidade | Descrição |
|---|---|
Criar metastores | Crie metastores e torne-se o administrador inicial do metastore por default |
Criar espaço de trabalho | Criar e gerenciar espaço de trabalho na account |
Vincular metastores ao espaço de trabalho | Associe metastores a espaços de trabalho específicos. |
Atribua a função de administrador account | Delegue a função de administrador account a qualquer usuário. |
Atribua a função de administrador workspace . | Conceda a função de administradorworkspace a qualquer usuário em qualquer workspace da account |
Atribua a função de administrador do metastore (opcional). | Atribuir a função de administrador do metastore (opcional) a usuários, entidade de serviço ou grupos |
Conceder privilégios em metastores | Gerenciar permissões no nível do metastore |
Ative Delta Sharing para um metastore. | Ative a funcionalidade Delta Sharing para um metastore. |
Configurar credenciais de armazenamento | Configure as credenciais de armazenamento para acessar o armazenamento cloud |
Habilitar tabelas do sistema | Habilite as tabelas do sistema e controle quem pode acessá-las. |
Para obter mais informações, consulte O que são administradores account ?
administradores do espaço de trabalho
A função de administrador do espaço de trabalho possui muitos privilégios e deve ser distribuída com cuidado. Os administradores de espaço de trabalho têm privilégios administrativos dentro de um único workspace, o que inclui as seguintes funcionalidades key :
Capacidade | Descrição |
|---|---|
Criar catálogos e outros itens protegíveis de nível superior Unity Catalog (aplica-se a espaços de trabalho criados após 6 de março de 2024) | Crie catálogos, locais externos, conexões e outros objetos de nível de metastore. Consulte a lista completa de privilégios de administrador do espaço de trabalho quando os espaços de trabalho estiverem ativados automaticamente para Unity Catalog . |
associação workspace | Adicionar usuários, entidade de serviço e grupos a um workspace |
Atribua a função de administrador workspace . | Atribuir a função de administrador workspace a usuários, entidades de serviço ou grupos |
Gerenciar propriedade do trabalho | Controle a responsabilidade pelo trabalho. Consulte Controlar o acesso a um trabalho. |
gerenciando a execução do Job como configuração | Configure a identidade de execução do trabalho. Consulte Configurar a execução como usuário para execução do Job. |
visualizar e gerenciar objetos workspace | Aceda e controle o Notebook, os dashboards, as consultas e outros objetos workspace . Consulte Listas de controle de acesso. |
Para obter mais informações, consulte O que são administradores workspace ?
Os administradores de contas podem restringir os privilégios de administrador workspace usando a configuração RestrictWorkspaceAdmins . Consulte Restringir administradores workspace.
privilégios de administrador do espaço de trabalho quando o espaço de trabalho é ativado automaticamente para Unity Catalog
Se o seu workspace foi habilitado automaticamente para o Unity Catalog (aplica-se a todos os espaços de trabalho criados após 6 de março de 2024), workspace é vinculado a um metastore por default. Para obter mais informações, consulte Ativação automática do Unity Catalog. Além disso, os administradores workspace têm os seguintes privilégios no metastore anexado por default:
-
CREATE CATALOG -
CREATE EXTERNAL LOCATION -
CREATE SERVICE CREDENTIAL -
CREATE STORAGE CREDENTIAL -
CREATE CONNECTION -
CREATE SHARE -
CREATE RECIPIENT -
CREATE PROVIDER -
CREATE MATERIALIZED VIEW
Essas concessões de privilégios são visíveis na tab Permissões do metastore no console account . O Databricks os representa com um grupo de sistema gerado automaticamente chamado _workspace_admins_databricks_<account_id>_workspace_<workspace_id>.
Os administradores do espaço de trabalho são os default proprietários do catálogo workspace, se um catálogo workspace tiver sido provisionado para o seu workspace. A propriedade desse catálogo concede os seguintes privilégios:
-
gerenciar os privilégios ou transferir a propriedade de qualquer objeto no catálogo workspace.
Isso inclui a capacidade de conceder a si mesmo acesso de leitura e gravação a todos os dados do catálogo (sem acesso direto pelo site default; a concessão de permissões é feita por meio de registros de auditoria).
-
Transferir a propriedade do próprio catálogo workspace.
Todos os usuários do workspace recebem o privilégio USE CATALOG no catálogo workspace. Os usuários do espaço de trabalho também recebem os privilégios USE SCHEMA, CREATE TABLE, CREATE VOLUME, CREATE MODEL, CREATE FUNCTION e CREATE MATERIALIZED VIEW no esquema default do catálogo.
Os privilégios do default concedidos no metastore anexado e no catálogo workspace não são mantidos no espaço de trabalho (se, por exemplo, o catálogo workspace também estiver vinculado a outro workspace).
Administradores do Metastore
O administrador do metastore é um usuário ou grupo opcional, mas com privilégios elevados, no Unity Catalog. Os administradores do metastore possuem privilégios de duas fontes: privilégios default concedidos pela função e privilégios de propriedade, pois são os proprietários do metastore.
Quando atribuir um administrador ao metastore
Para espaços de trabalho criados após 6 de março de 2024, a função de administrador do metastore é opcional. Isso ocorre porque os administradores workspace recebem privilégios suficientes no nível do metastore por default (consulte Privilégios de administrador do espaço de trabalho quando o espaço de trabalho está habilitado para Unity Catalog automaticamente). No entanto, você deve atribuir um administrador do metastore se precisar executar as seguintes ações:
- Alterar a propriedade de objetos ou conceder privilégios sobre objetos que não lhe pertencem. Por exemplo, isso é necessário ao assumir o controle de um catálogo após a remoção da account proprietária original. Os administradores do espaço de trabalho podem criar objetos, mas não podem conceder permissões ou alterar a propriedade de objetos existentes que não lhes pertencem.
- Remova as permissões de administrador dedefault workspace.
- Adicione o armazenamento gerencial ao metastore, caso ele não possua nenhum. Isso requer que um administrador account adicione o local de armazenamento à definição do metastore. Consulte Adicionar armazenamento gerencia a um metastore existente.
- Habilite destinos de solicitação de acesso " default " para objetos que não possuem destinos explicitamente definidos. Consulte Ativar destinos default email.
privilégios de administrador do metastore padrão
Os administradores do metastore têm os seguintes privilégios no metastore por default:
Privilégio | Descrição |
|---|---|
| Criar catálogos no metastore |
| Crie um ambiente seguro para colaboração em projetos com outras organizações, sem compartilhar os dados subjacentes. |
| Criar uma conexão com um banco de dados externo em um cenário de Federação Lakehouse. |
| Criar locais externos |
| Criar credenciais de serviço |
| |
| Criar catálogos estrangeiros usando uma conexão com um banco de dados externo em um cenário de Federação Lakehouse. |
| Crie uma participação no Delta Sharing como provedor de dados. |
| Crie um destinatário no Delta Sharing como provedor de dados. |
| Crie um provedor no Delta Sharing como destinatário de dados. |
| Criar visão materializada |
| Atualize as listas de permissões que gerenciam o acesso cluster ao script de inicialização e à biblioteca. |
privilégios de propriedade
Como proprietários do metastore, os administradores do metastore têm os seguintes privilégios:
Privilégio | Descrição |
|---|---|
Gerenciar privilégios e transferir a propriedade. | Gerenciar privilégios ou transferir a propriedade de qualquer objeto dentro do metastore, incluindo credenciais de armazenamento, locais externos, conexões, compartilhamentos, destinatários e provedores. |
Conceder acesso aos dados | Conceda a qualquer pessoa acesso de leitura e gravação a quaisquer dados no metastore. Essa capacidade é indireta porque os administradores do metastore podem transferir a propriedade de qualquer objeto para si mesmos. Não existe acesso direto por default. As concessões de permissão são registradas em forma de auditoria. |
ger metadados do objeto | Leia e atualize os metadados de todos os objetos no metastore. |
tags | Defina tags em todos os objetos no metastore. |
Configurar destinos de solicitação de acesso | Ativar destinos de solicitação de acesso default no metastore |
Excluir metastore | Exclua o metastore |
Quem tem privilégios iniciais de administrador da Metastore?
Se um administrador do account criar o metastore manualmente, esse administrador do account será o proprietário inicial do metastore e o administrador do metastore. Todos os metastores criados antes de 6 de março de 2024 foram criados manualmente por um administrador do account.
Se o metastore foi provisionado como parte da ativação automática do Unity Catalog, o metastore foi criado sem um administrador de metastore. Nesse caso, os administradores do espaço de trabalho recebem automaticamente privilégios que tornam o administrador do metastore opcional. Se necessário, os administradores do account podem atribuir a função de administrador do metastore a um usuário, entidade de serviço ou grupo. Grupos são altamente recomendados. Consulte Ativação automática do Unity Catalog.
Atribuir um administrador da metastore
O administrador do Metastore é uma função altamente privilegiada que você deve distribuir com cuidado. É opcional.
os administradores de conta podem atribuir a função de administrador do metastore. A Databricks recomenda nomear um grupo como administrador do metastore. Ao fazer isso, qualquer membro do grupo é automaticamente um administrador da metastore.
Para atribuir a função de administrador do metastore a um grupo:
- Como administrador da conta, faça login no console da conta.
- Clique em
Catálogo . - Clique no nome de uma metastore para abrir suas propriedades.
- Em Metastore Admin, clique em Editar.
- Selecione um grupo no menu suspenso. Você pode inserir texto no campo para pesquisar opções.
- Clique em Salvar .
Pode levar até 30 segundos para que uma alteração na atribuição do administrador do metastore seja refletida em seu account, e pode levar mais tempo para entrar em vigor em alguns espaços de trabalho do que em outros. Esse atraso se deve aos protocolos de armazenamento em cache.