Referência de objetos protegíveisUnity Catalog

Esta página descreve todos os objetos que podem ser protegidos no Unity Catalog. Um objeto protegível é um objeto definido no Unity Catalog sobre o qual privilégios podem ser concedidos a uma entidade (usuário, entidade de serviço ou grupo).

Hierarquia de objetos Unity Catalog

Os objetos protegíveis no Unity Catalog são hierárquicos. Essa estrutura hierárquica fornece a base para o controle de acesso no Unity Catalog.

O metastore é o objeto protegível de nível superior. Dentro deste metastore, seus dados ativos residem em um namespace de três níveis que define seu catálogo, esquema e tipo de ativo, como tabela (catalog.schema.table). O diagrama a seguir destaca esses objetos que podem ser protegidos.

Hierarquia de objetos Unity Catalog , focada em dados ativos

O diagrama anterior mostra o seguinte:

Os catálogos são a camada de nível superior para seus dados ativos. Os catálogos existem diretamente abaixo do metastore. São utilizados para organizar seus dados e atividades AI , normalmente por unidades organizacionais ou escopos do ciclo de vida de desenvolvimento software .
- Existem esquemas dentro de catálogos. Eles organizam dados e atividades AI em categorias mais detalhadas do que catálogos. Um esquema pode representar um único caso de uso, projeto ou sandbox de equipe.
  - Tabelas são coleções de dados estruturados, organizados em linhas e colunas.
  - As visualizações são consultas salvas em relação a outras tabelas ou visualizações.
  - Os volumes representam coleções de dados não estruturados em armazenamento de objetos cloud .
  - Funções são unidades de lógica reutilizáveis que retornam um valor escalar ou um conjunto de linhas.
  - Os modelos são pacotes de modelos AI com MLflow e estão registrados no Unity Catalog como funções.

Existem também muitos outros objetos que podem ser protegidos no Unity Catalog. Todos esses objetos existem diretamente sob o metastore. O diagrama a seguir destaca esses objetos que podem ser protegidos.

Hierarquia de objetos Unity Catalog , com foco em objetos não relacionados a dados.

Esses objetos protegíveis podem ser amplamente categorizados em dois grupos. O primeiro grupo inclui objetos que gerenciam o acesso ao armazenamento cloud e a outras fontes externas de dados e serviços:

As credenciais de armazenamento são objetos que representam as informações de autenticação necessárias para acessar um caminho específico no armazenamento cloud .
Locais externos são objetos que representam um caminho específico no armazenamento cloud . Inclui também uma referência às credenciais de armazenamento necessárias para acessar esse caminho.
Um objeto de metadados externo é usado para definir relações de linhagem de dados personalizadas para sistemas que operam fora do Unity Catalog.
credenciais de serviço são objetos que representam as informações de autenticação necessárias para acessar o serviço cloud externo.
Conexões são objetos que representam uma conexão com um sistema de banco de dados externo.

O segundo grupo inclui objetos que gerenciam o acesso a dados e compartilhamento ativo AI entre metastore ou limites organizacionais:

Os compartilhamentos são objetos que representam um agrupamento lógico de dados ativos que você pretende compartilhar com destinatários externos.
Os provedores são objetos que representam uma organização externa ou um grupo de usuários que compartilhou dados com sua organização.
Os destinatários são objetos que representam uma organização externa ou um grupo de usuários com os quais um provedor compartilha dados.
Salas limpas são estruturas que representam um ambiente seguro para colaboração com outras organizações sem expor os dados subjacentes.

As seções a seguir descrevem cada objeto protegível com mais detalhes.

Metastore

O metastore é o objeto protegível de nível superior no Unity Catalog. Um metastore contém todos os objetos protegíveis registrados no Unity Catalog em uma única região cloud . Esses objetos incluem não apenas os catálogos que organizam seus dados, mas também objetos que controlam como os dados são acessados e compartilhados, como credenciais de serviço, credenciais de armazenamento, locais externos, conexões, compartilhamentos, destinatários, provedores e salas limpas.

A tabela a seguir resume detalhes importantes sobre o metastore:

Detalhe	Descrição
Escopo	Um metastore tem escopo limitado a uma única região cloud . Sua organização precisa de um metastore por região em que opera. Um único metastore pode ser anexado a vários espaços de trabalho na mesma região. As permissões concedidas em um metastore aplicam-se a todos os espaços de trabalho associados a esse metastore. Em outras palavras, um privilégio concedido em um workspace é efetivo em todos os outros espaços de trabalho que compartilham esse metastore.
privilégios do Metastore	Os privilégios no metastore permitem operações no nível do metastore. Por exemplo, `CREATE CATALOG` permite que um usuário crie um catálogo dentro do metastore. No entanto, isso não concede ao usuário acesso aos dados dentro do catálogo. Para obter a lista completa dos privilégios aplicáveis, consulte a tabela de tipos de privilégios. É importante ressaltar que os privilégios concedidos no nível do metastore não são herdados pelos objetos filhos na hierarquia. As concessões em nível de metastore são restritas a operações em nível de metastore. Isso difere do comportamento de herança de privilégios para concessões de catálogo e esquema, onde os privilégios herdados se aplicam automaticamente a todos os objetos filhos atuais e futuros. Veja Herança de privilégios.
Administradores do Metastore	O administrador do metastore é uma função opcional no Databricks. É atribuído pelos administradores account . Determinadas funcionalidades estão disponíveis apenas para administradores do metastore, incluindo a exclusão do metastore, o gerenciamento de atribuições workspace e a assunção da propriedade de qualquer objeto no metastore, o que concede acesso indireto a todos os dados nele contidos. Essas capacidades não podem ser concedidas por meio de concessões de privilégios padrão. Consulte a seção de administradores do Metastore. Quando um workspace é habilitado para o Unity Catalog automaticamente, os administradores workspace recebem um conjunto default de privilégios de nível de metastore, incluindo `CREATE CATALOG`, `CREATE STORAGE CREDENTIAL` e `CREATE EXTERNAL LOCATION`. Essas configurações não são transferidas para outros espaços de trabalho conectados ao mesmo metastore. Veja os privilégios de administrador do espaço de trabalho quando os espaços de trabalho estiverem habilitados automaticamente para Unity Catalog.

Detalhe

Descrição

Escopo

Um metastore tem escopo limitado a uma única região cloud . Sua organização precisa de um metastore por região em que opera. Um único metastore pode ser anexado a vários espaços de trabalho na mesma região. As permissões concedidas em um metastore aplicam-se a todos os espaços de trabalho associados a esse metastore. Em outras palavras, um privilégio concedido em um workspace é efetivo em todos os outros espaços de trabalho que compartilham esse metastore.

privilégios do Metastore

Os privilégios no metastore permitem operações no nível do metastore. Por exemplo, CREATE CATALOG permite que um usuário crie um catálogo dentro do metastore. No entanto, isso não concede ao usuário acesso aos dados dentro do catálogo. Para obter a lista completa dos privilégios aplicáveis, consulte a tabela de tipos de privilégios.

É importante ressaltar que os privilégios concedidos no nível do metastore não são herdados pelos objetos filhos na hierarquia. As concessões em nível de metastore são restritas a operações em nível de metastore. Isso difere do comportamento de herança de privilégios para concessões de catálogo e esquema, onde os privilégios herdados se aplicam automaticamente a todos os objetos filhos atuais e futuros. Veja Herança de privilégios.

Administradores do Metastore

O administrador do metastore é uma função opcional no Databricks. É atribuído pelos administradores account . Determinadas funcionalidades estão disponíveis apenas para administradores do metastore, incluindo a exclusão do metastore, o gerenciamento de atribuições workspace e a assunção da propriedade de qualquer objeto no metastore, o que concede acesso indireto a todos os dados nele contidos. Essas capacidades não podem ser concedidas por meio de concessões de privilégios padrão. Consulte a seção de administradores do Metastore.

Quando um workspace é habilitado para o Unity Catalog automaticamente, os administradores workspace recebem um conjunto default de privilégios de nível de metastore, incluindo CREATE CATALOG, CREATE STORAGE CREDENTIAL e CREATE EXTERNAL LOCATION. Essas configurações não são transferidas para outros espaços de trabalho conectados ao mesmo metastore. Veja os privilégios de administrador do espaço de trabalho quando os espaços de trabalho estiverem habilitados automaticamente para Unity Catalog.

Catálogo

Dentro de um metastore, um catálogo é a primeira e mais alta camada para seus dados ativos. Catálogos são objetos contêineres. Um catálogo contém esquemas, que por sua vez contêm tabelas, visualizações, volumes e funções.

Frequentemente nos referimos ao "espaço de nomes de três níveis" (catalog.schema.table) para dados no Unity Catalog. Aqui, o catálogo é a primeira camada do espaço de nomes de três níveis.

A tabela a seguir resume detalhes importantes sobre catálogos:

Detalhe	Descrição
Herança	Os privilégios concedidos em um catálogo aplicam-se automaticamente a todos os esquemas, tabelas, visualizações, volumes e funções atuais e futuros contidos nele. Por exemplo, conceder `SELECT` em um catálogo permite que um usuário leia qualquer tabela nesse catálogo (com os privilégios de uso apropriados `USE CATALOG` e `USE SCHEMA` ). Veja Herança de privilégios. Devido à herança, os privilégios em nível de catálogo são amplos. Tenha cuidado ao concedê-los aos usuários.
Privilégio de uso (`USE CATALOG`)	O privilégio de uso `USE CATALOG` é necessário antes que um usuário possa interagir com qualquer objeto em um catálogo. Isso independe dos privilégios que eles possuam sobre os objetos filhos.
O privilégio `BROWSE`	Conceder o privilégio `BROWSE` a um usuário em um catálogo permite que ele descubra e view metadados para todos os objetos no catálogo, incluindo esquemas filhos, tabelas, visualizações, volumes e funções, sem conceder acesso aos dados. `BROWSE` pode ser concedido apenas no nível do catálogo. A Databricks recomenda conceder `BROWSE` ao grupo `All account users` para que os usuários possam descobrir dados e solicitar acesso conforme necessário.
vinculação de espaço de trabalho	Por default, um catálogo é acessível a partir de todos os espaços de trabalho conectados ao mesmo metastore. Você pode restringir isso vinculando o catálogo a um espaço de trabalho específico, opcionalmente como somente leitura. A vinculação do espaço de trabalho substitui as concessões de privilégios individuais. Mesmo um usuário com uma concessão explícita `SELECT` não pode acessar um objeto em um catálogo que não esteja vinculado ao seu workspace. Consulte Limitar o acesso ao catálogo a um espaço de trabalho específico.

Para obter mais informações sobre catálogos, consulte O que são catálogos no Databricks?

Esquema

Dentro de um catálogo, um esquema (também chamado de banco de dados) é a segunda camada da hierarquia de objetos para seus dados ativos. Os esquemas são objetos contêineres. Um esquema contém tabelas, visualizações, volumes e funções.

Frequentemente nos referimos ao namespace de três níveis (isto é, catalog.schema.table) para dados no Unity Catalog. Aqui, o esquema é a segunda camada do espaço de nomes de três níveis.

A tabela a seguir resume detalhes importantes sobre os esquemas:

Detalhe	Descrição
Herança	Os privilégios concedidos em um esquema aplicam-se automaticamente a todas as tabelas, visualizações, volumes e funções atuais e futuras dentro dele. Por exemplo, conceder `SELECT` em um esquema permite que um usuário leia qualquer tabela nesse esquema (com os privilégios de uso apropriados `USE CATALOG` e `USE SCHEMA` ). Veja Herança de privilégios. Devido à herança, os privilégios em nível de esquema podem ser amplos. Analise os objetos contidos no esquema antes de conceder privilégios aos usuários.
Privilégio de uso (`USE SCHEMA`)	O privilégio de uso `USE SCHEMA` é necessário antes que um usuário possa interagir com qualquer objeto em um esquema. Isso é adicional a `USE CATALOG` no catálogo pai do esquema. Uma concessão `USE SCHEMA` não fornece por si só acesso aos dados no esquema.

Detalhe

Descrição

Herança

Os privilégios concedidos em um esquema aplicam-se automaticamente a todas as tabelas, visualizações, volumes e funções atuais e futuras dentro dele. Por exemplo, conceder SELECT em um esquema permite que um usuário leia qualquer tabela nesse esquema (com os privilégios de uso apropriados USE CATALOG e USE SCHEMA ). Veja Herança de privilégios.

Devido à herança, os privilégios em nível de esquema podem ser amplos. Analise os objetos contidos no esquema antes de conceder privilégios aos usuários.

Privilégio de uso (USE SCHEMA)

O privilégio de uso USE SCHEMA é necessário antes que um usuário possa interagir com qualquer objeto em um esquema. Isso é adicional a USE CATALOG no catálogo pai do esquema. Uma concessão USE SCHEMA não fornece por si só acesso aos dados no esquema.

Para obter mais informações sobre esquemas, consulte Esquemas.

Mesa

Dentro de um esquema, uma tabela é o principal objeto protegível para dados estruturados no Unity Catalog. A seguir, os tipos de tabelas no Databricks:

* As tabelas são tabelas cujo caminho de localização de armazenamento é determinado pelo Unity Catalog. É importante ressaltar que os dados em si ainda permanecem em sua account cloud . Databricks recomenda o uso de tabelas gerenciadas para aproveitar ao máximo o recurso de tabela mais recente. Consulte Unity Catalog para gerenciar tabelas no Databricks para Delta Lake e Apache Iceberg.
Tabelas externas são tabelas onde você especifica o caminho do local de armazenamento. Unity Catalog continua a gerenciar os metadados da tabela, mas não gerencia o ciclo de vida dos dados, a otimização, o local de armazenamento ou a disposição. Consulte Trabalhar com tabelas externas.
Tabelas estrangeiras são tabelas de um catálogo estrangeiro que estão registradas no Unity Catalog. Consulte Trabalhar com tabelas estrangeiras.

A tabela a seguir resume detalhes importantes sobre tabelas:

Detalhe	Descrição
Privilégios de utilização	Para acessar uma tabela, um usuário deve ter `USE CATALOG` no catálogo pai e `USE SCHEMA` no esquema pai (privilégios de uso), além do privilégio relevante no nível da tabela, como `SELECT` ou `MODIFY`.
Herança	Os privilégios de tabela podem ser herdados do esquema ou catálogo pai. Por exemplo, conceder `SELECT` em um esquema concede automaticamente `SELECT` em todas as tabelas atuais e futuras nesse esquema. Veja Herança de privilégios.
Acesso de leitura e gravação	Use `SELECT` para conceder acesso de leitura e `MODIFY` para conceder acesso de escrita (inserir, atualizar, excluir). As tabelas estrangeiras acessadas através da Federação Lakehouse são somente leitura e não suportam o privilégio `MODIFY` .

Para obter mais informações sobre tabelas, consulte tabelasDatabricks.

view

Dentro de um esquema, uma view é um objeto somente leitura definido por uma consulta SQL armazenada em uma ou mais tabelas ou outras visões. A visualização recalcula os resultados a cada consulta.

A tabela a seguir resume detalhes importantes sobre a visualização:

Detalhe	Descrição
Privilégios de utilização	Para acessar uma view, um usuário deve ter `USE CATALOG` no catálogo pai e `USE SCHEMA` no esquema pai (privilégios de uso), além de `SELECT` na view. O usuário não precisa de privilégios nas tabelas subjacentes que a view consulta. Os privilégios do proprietário view são usados para resolver as tabelas subjacentes no momento da consulta. Para os proprietários das tabelas, isso torna a visualização útil para restringir o acesso a linhas ou colunas específicas sem expor diretamente as tabelas subjacentes.
Herança	`SELECT` A concessão feita no nível do esquema ou catálogo aplica-se a todas as visualizações atuais e futuras nesse esquema ou catálogo. Veja Herança de privilégios.

Detalhe

Descrição

Privilégios de utilização

Para acessar uma view, um usuário deve ter USE CATALOG no catálogo pai e USE SCHEMA no esquema pai (privilégios de uso), além de SELECT na view.

O usuário não precisa de privilégios nas tabelas subjacentes que a view consulta. Os privilégios do proprietário view são usados para resolver as tabelas subjacentes no momento da consulta. Para os proprietários das tabelas, isso torna a visualização útil para restringir o acesso a linhas ou colunas específicas sem expor diretamente as tabelas subjacentes.

Herança

SELECT A concessão feita no nível do esquema ou catálogo aplica-se a todas as visualizações atuais e futuras nesse esquema ou catálogo. Veja Herança de privilégios.

Para obter mais informações sobre vistas, consulte O que é uma view?

viewmaterializada

Uma viewmaterializada é uma view que pré-computa e armazena os resultados de suas consultas. Os resultados refletem o estado dos dados no momento em que a view materializada foi atualizada pela última vez.

O modelo de permissões para visões materializadas é o mesmo que o de visões padrão. Além de SELECT e MANAGE, a visão materializada suporta o privilégio REFRESH , que permite a um usuário acionar uma refresh dos resultados da view materializada. Usuários com apenas SELECT e os privilégios de uso apropriados podem consultar os resultados armazenados, mas não podem acionar uma refresh.

Para obter mais informações sobre visão materializada, consulte Visão materializada.

viewdo orelhão

Uma viewde métricas é um objeto somente leitura que define um conjunto de definições de métricas reutilizáveis com base em uma ou mais tabelas, visões ou consultas SQL . Os usuários consultam uma view de métricas da mesma forma que consultariam uma view padrão.

O modelo de permissões para visões materializadas é o mesmo que o de visões padrão. Os usuários precisam de SELECT e dos privilégios de uso apropriados para consultar a view de métricas. Os privilégios do proprietário view de métricas são usados para resolver a fonte de dados subjacente no momento da consulta.

Para mais informações sobre a visualização de métricas, consulte Visão de métricasUnity Catalog.

Volume

Dentro de um esquema, um volume é um objeto protegível para dados não estruturados em armazenamento cloud . Os volumes podem ser gerenciados (local de armazenamento determinado pelo Unity Catalog) ou externos (você especifica o caminho de armazenamento). Diferentemente de tabelas e visualizações, os volumes não suportam operações de consulta SQL — eles fornecem acesso de leitura e gravação em nível de arquivo aos dados no armazenamento cloud . A seguir, os tipos de volumes no Databricks:

Os volumes gerenciados são volumes cujo caminho de localização de armazenamento é determinado pelo Unity Catalog. É importante ressaltar que os dados em si ainda permanecem em sua account cloud . Databricks recomenda o uso de volumes gerenciados para que Unity Catalog controle automaticamente todo o acesso aos dados.
Volumes externos são volumes nos quais você especifica o caminho do local de armazenamento. Você pode usar volumes externos se precisar acessar sistemas externos fora do Databricks, mas esteja ciente de que sistemas externos podem ignorar as regras de governança do Unity Catalog.

A tabela a seguir resume detalhes importantes sobre os volumes:

Detalhe	Descrição
Privilégios de utilização	Para acessar arquivos em um volume, um usuário deve ter `USE CATALOG` no catálogo pai e `USE SCHEMA` no esquema pai (privilégios de uso), além de `READ VOLUME` ou `WRITE VOLUME` no volume.
Acesso de leitura e gravação	Use `READ VOLUME` para conceder a capacidade de ler arquivos e diretórios armazenados em um volume e `WRITE VOLUME` para conceder a capacidade de adicionar, modificar ou excluir arquivos.
Herança	`READ VOLUME` e `WRITE VOLUME` concedido no nível de esquema ou catálogo se aplica a todos os volumes atuais e futuros nesse esquema ou catálogo. Veja Herança de privilégios.

Para obter mais informações sobre volumes, consulte O que são volumes Unity Catalog ?.

Função

Dentro de um esquema, uma função é um objeto protegível no Unity Catalog que representa lógica reutilizável e executável. As funções incluem funções definidas pelo usuário (UDFs), procedimentos armazenados e modelos registrados (modelos MLflow registrados no Unity Catalog).

Funções definidas pelo usuário (UDFs) são funções personalizadas escritas em SQL ou Python que podem ser chamadas em consultas SQL e no Notebook. Veja O que são funções definidas pelo usuário (UDFs)?
Os procedimentos armazenados são rotinas definidas pelo usuário que executam uma sequência de instruções SQL e podem incluir efeitos colaterais, como inserir ou atualizar dados.
Os modelos registrados são modelos machine learning do MLflow registrados no Unity Catalog. No Unity Catalog, os modelos registrados são implementados como um tipo de função. Veja Gerenciar o ciclo de vida do modelo no Unity Catalog.

A tabela a seguir resume detalhes importantes sobre as funções:

Detalhe	Descrição
Privilégios de utilização	Para executar uma função ou carregar um modelo registrado, um usuário deve ter `USE CATALOG` no catálogo pai e `USE SCHEMA` no esquema pai (privilégios de uso), além de `EXECUTE` na função.
O privilégio `EXECUTE`	Conceder `EXECUTE` a um usuário em uma função permite que ele chame a função e view sua definição e metadados. Para modelos registrados, `EXECUTE` também permite ao usuário view metadados para todas as versões do modelo registrado e download arquivos do modelo.
Herança	`EXECUTE` A concessão feita no nível do esquema ou catálogo aplica-se a todas as funções atuais e futuras nesse esquema ou catálogo. Veja Herança de privilégios.

Modelo

Um modelo é um modelo MLflow versionado de machine learning armazenado no Unity Catalog como um objeto de função . O próprio modelo é o contêiner. Os artefatos e metadados de cada execução de treinamento são armazenados como versões do modelo dentro dela.

O modelo de permissões para modelos registrados é o mesmo que o de funções. Os seguintes privilégios adicionais aplicam-se especificamente aos modelos:

APPLY TAGPermite adicionar e editar tags em um modelo e suas versões. O usuário também deve ter USE CATALOG no catálogo pai e USE SCHEMA no esquema pai.
CREATE MODEL VERSIONPermite que um usuário registre novas versões de um modelo sem conceder a capacidade de executar, modificar ou adicionar tags ao modelo. O usuário também deve ter USE CATALOG no catálogo pai e USE SCHEMA no esquema pai.

A criação de um modelo requer o privilégio CREATE MODEL no esquema, não CREATE FUNCTION. CREATE MODEL também pode ser concedido em um catálogo para permitir a criação de modelos em qualquer esquema nesse catálogo.

Para obter mais informações sobre modelos, consulte Gerenciar o ciclo de vida do modelo no Unity Catalog.

Credencial de armazenamento

Dentro de um metastore, uma credencial de armazenamento é um objeto protegível que armazena as informações de autenticação necessárias para acessar um caminho específico no armazenamento cloud . O método de autenticação armazenado depende do provedor cloud : uma IAM role na AWS, uma entidade de serviço no Azure ou uma account de serviço no GCP.

As credenciais de armazenamento são mais comumente usadas como um elemento básico para locais externos, que associam uma credencial de armazenamento a um caminho específico de armazenamento cloud . Uma credencial de armazenamento também pode ser usada diretamente para criar tabelas externas.

Para criar uma credencial de armazenamento, um usuário precisa do privilégio CREATE STORAGE CREDENTIAL no metastore Unity Catalog .

Para obter mais informações sobre credenciais de armazenamento, consulte Visão geral das credenciais de armazenamento.

Localização externa

Dentro de um metastore, um local externo é um objeto protegível que associa uma credencial de armazenamento a um caminho de armazenamento cloud . Ele controla o acesso a um caminho específico no armazenamento cloud .

Para criar um local externo, um usuário precisa do privilégio CREATE EXTERNAL LOCATION no metastore Unity Catalog .

Após criar um local externo, os usuários precisam do privilégio READ FILES para ler arquivos diretamente do caminho de armazenamento e do privilégio WRITE FILES para gravar arquivos. No entanto, Databricks recomenda gerenciar o acesso ao armazenamento cloud por meio de volumes e dos privilégios READ VOLUME e WRITE VOLUME em vez de conceder READ FILES e WRITE FILES diretamente em locais externos.

Para obter mais informações sobre locais externos, consulte Visão geral dos locais externos.

Metadados externos

Dentro de um metastore, um objeto de metadados externo é um objeto protegível usado para definir relacionamentos de linhagem de dados personalizados para sistemas que operam fora do acompanhamento de linhagem nativo do Unity Catalog.

Para criar um objeto de metadados externo, um usuário precisa do privilégio CREATE EXTERNAL METADATA no metastore Unity Catalog . Para adicionar ou modificar relações de linhagem no objeto, o usuário precisa de MODIFY no objeto de metadados externo, além dos privilégios apropriados em quaisquer objetos do Unity Catalog referenciados no relacionamento.

Para obter mais informações sobre metadados externos, consulte visualizar linhagem de dados usando Unity Catalog.

Credencial de serviço

Dentro de um metastore, uma credencial de serviço é um objeto seguro que armazena informações de autenticação para acesso a serviços externos cloud . Isso é diferente das credenciais de armazenamento, que controlam o acesso ao armazenamento cloud .

Para criar uma credencial de serviço, um usuário precisa do privilégio CREATE SERVICE CREDENTIAL no metastore Unity Catalog .

O privilégio ACCESS permite que um usuário use a credencial de serviço para acessar um serviço externo. CREATE CONNECTION em uma credencial de serviço (combinado com CREATE CONNECTION no metastore) permite que um usuário crie uma conexão com um banco de dados externo usando essa credencial.

Para mais informações sobre credenciais de serviço, consulte Criar credenciais de serviço.

Conexão

Dentro de um metastore, uma conexão é um objeto protegível que define uma conexão com um sistema de banco de dados externo em um cenário de federação Lakehouse .

Para criar uma conexão, um usuário precisa do privilégio CREATE CONNECTION no metastore Unity Catalog . Se a conexão usar uma credencial de serviço, o usuário também precisará de CREATE CONNECTION nessa credencial de serviço.

O privilégio USE CONNECTION permite que um usuário liste e view detalhes de conexão e use a funçãoremote_query para executar consultas SQL diretamente no banco de dados externo. CREATE FOREIGN CATALOG em uma conexão permite que um usuário crie um catálogo estrangeiro apoiado por essa conexão.

Para obter mais informações sobre conexões, consulte Gerenciar conexões para Lakehouse Federation.

Dentro de um metastore, um compartilhamento é um objeto protegível no Delta Sharing que representa um agrupamento lógico de dados ativos (tabelas, visualizações e volumes). O provedor pode então disponibilizar a parte compartilhada a destinatários externos.

O privilégio SELECT em um compartilhamento é concedido a um destinatário (não a usuários individuais) para permitir que esse destinatário leia o ativo no compartilhamento. Para criar um compartilhamento, um usuário precisa do privilégio CREATE SHARE no metastore Unity Catalog .

Para mais informações sobre compartilhamentos, veja Criar e gerenciar compartilhamentos para Delta Sharing.

Fornecedor

Dentro de um metastore, um provedor é um objeto protegível no Delta Sharing que representa uma organização externa que compartilhou dados com sua organização. Os objetos do provedor são criados no metastore Unity Catalog do destinatário. O privilégio USE PROVIDER permite que um usuário view todos os provedores e seus compartilhamentos e, combinado com CREATE CATALOG, monte um catálogo compartilhado sem exigir a função de administrador do metastore.

Para criar um provedor, um usuário precisa do privilégio CREATE PROVIDER no metastore Unity Catalog .

Para obter mais informações sobre provedores, consulte O que é Delta Sharing?

Destinatário

Dentro de um metastore, um destinatário é um objeto protegível no Delta Sharing que representa uma organização externa ou um grupo de usuários com os quais um provedor compartilha dados. Os objetos destinatários são criados no metastore Unity Catalog do provedor. Não é possível conceder privilégios ao próprio objeto destinatário. O acesso aos dados compartilhados é controlado concedendo SELECT em um compartilhamento ao destinatário.

Para criar um destinatário, um usuário precisa do privilégio CREATE RECIPIENT no metastore Unity Catalog .

Para obter mais informações sobre destinatários, consulte Criar e gerenciar destinatários de dados para Delta Sharing (compartilhamento Databricks-to-Databricks ).

Quarto limpo

Dentro de um metastore, uma sala limpa é um objeto protegível que fornece um ambiente seguro para colaboração com outras organizações em dados compartilhados, sem que nenhuma das partes exponha seus dados subjacentes à outra.

Para criar uma sala limpa, um usuário precisa do privilégio CREATE CLEAN ROOM no metastore Unity Catalog .

O privilégio EXECUTE CLEAN ROOM TASK permite que um usuário execute um Notebook dentro da sala limpa e view os detalhes da sala limpa. O privilégio MODIFY CLEAN ROOM permite que um usuário atualize a sala limpa, incluindo adicionar ou remover dados ativos, Notebook e comentários.

Para obter mais informações sobre salas limpas, consulte O que são as Salas Limpas Databricks ?.

Hierarquia de objetos Unity Catalog​

Metastore​

Catálogo​

Esquema​

Mesa​

view​

viewmaterializada​

viewdo orelhão​

Volume​

Função​

Modelo​

Credencial de armazenamento​

Localização externa​

Metadados externos​

Credencial de serviço​

Conexão​

Compartilhar​

Fornecedor​

Destinatário​

Quarto limpo​

Hierarquia de objetos Unity Catalog

Metastore

Catálogo

Esquema

Mesa

view

viewmaterializada

viewdo orelhão

Volume

Função

Modelo

Credencial de armazenamento

Localização externa

Metadados externos

Credencial de serviço

Conexão

Compartilhar

Fornecedor

Destinatário

Quarto limpo