Privilégios de administrador no Unity Catalog

Este artigo descreve os privilégios que os administradores do Databricks account , administradores do workspace e administradores do metastore têm para gerenciar o Unity Catalog.

nota

Se o seu workspace foi habilitado para Unity Catalog automaticamente, os administradores do workspace têm privilégios default no metastore anexado e no catálogo workspace, se um catálogo workspace tiver sido provisionado. Veja os privilégios de administrador do espaço de trabalho quando o espaço de trabalho é ativado automaticamente para Unity Catalog.

Administradores do Metastore

O administrador do metastore é um usuário ou grupo opcional, mas altamente privilegiado, no Unity Catalog. Os administradores do metastore têm os seguintes privilégios no metastore pelo site default:

• CREATE CATALOG: permite que um usuário crie catálogos na metastore.

• CREATE CLEAN ROOM: Permite que o usuário crie uma sala limpa para colaborar de forma segura em projetos com outras organizações sem compartilhar dados subjacentes.

• CREATE CONNECTION: Permite que um usuário crie uma conexão com um banco de dados externo em um cenário de Lakehouse Federation.

• CREATE EXTERNAL LOCATION: permite que um usuário crie locais externos.

• CREATE SERVICE CREDENTIAL: Permite que um usuário crie credenciais de serviço.

• CREATE STORAGE CREDENTIAL: permite que um usuário crie credenciais de armazenamento.

• CREATE FOREIGN CATALOG: Permite que um usuário crie catálogos externos usando uma conexão com um banco de dados externo em um cenário de Lakehouse Federation.

• CREATE SHARE: Permite que um usuário do provedor de dados crie um compartilhamento no Delta Sharing.

• CREATE RECIPIENT: Permite que um usuário do provedor de dados crie um destinatário no Delta Sharing.

• CREATE PROVIDER: Permite que um usuário destinatário de dados crie um provedor no Delta Sharing.

• CREATE MATERIALIZED VIEW: Permite que o usuário crie uma visualização materializada.

• MANAGE ALLOWLIST: Permite que um usuário atualize as listas de permissões que gerenciam o acesso do clustering ao script de inicialização e à biblioteca.

Os administradores da Metastore também são proprietários da metastore, o que lhes concede os seguintes privilégios:

• Gerenciar os privilégios ou transferir a propriedade de qualquer objeto no metastore, inclusive credenciais de armazenamento, locais externos, conexões, compartilhamentos, destinatários e provedores.

• Concedam a si mesmos acesso de leitura e gravação a todos os dados no metastore.

  Os administradores do Metastore têm essa habilidade indiretamente, por meio da capacidade de transferir a propriedade de todos os objetos. Não há acesso direto pelo site default. A concessão de permissões é um registro de auditoria.

• Leia e atualize os metadados de todos os objetos no metastore.

• Exclua a metastore.

Os administradores da Metastore são os únicos usuários que podem conceder privilégios na própria metastore.

Como os administradores da metastore são os únicos usuários que têm esses privilégios, você deve designar um administrador da metastore se quiser usar qualquer uma das seguintes funcionalidades:

• Mude a propriedade dos catálogos depois que alguém sair da empresa.
• gerenciar e delegar permissões na lista de permissõesinit script e jar.
• Delegar a capacidade de criar catálogos e outras permissões de nível superior para administradores que não sejam doworkspace.
• Receba dados compartilhados por meio do Delta Sharing.
• Remova as permissões de administrador dedefault workspace.
• Adicionar armazenamento gerenciar ao metastore, se ele não tiver nenhum. Consulte Adicionar armazenamento gerenciar a um metastore existente.

Quem tem privilégios iniciais de administrador da Metastore?

Se um administrador do account criar o metastore manualmente, esse administrador do account será o proprietário inicial do metastore e o administrador do metastore. Todos os metastores criados antes de 8 de novembro de 2023 foram criados manualmente por um administrador do account.

Se o metastore foi provisionado como parte da ativação automática do Unity Catalog, o metastore foi criado sem um administrador de metastore. Nesse caso, os administradores do espaço de trabalho recebem automaticamente privilégios que tornam o administrador do metastore opcional. Se necessário, os administradores do account podem atribuir a função de administrador do metastore a um usuário, entidade de serviço ou grupo. Grupos são altamente recomendados. Consulte Ativação automática do Unity Catalog.

Atribuir um administrador da metastore

O administrador do Metastore é uma função altamente privilegiada que você deve distribuir com cuidado. É opcional.

os administradores de conta podem atribuir a função de administrador do metastore. A Databricks recomenda nomear um grupo como administrador do metastore. Ao fazer isso, qualquer membro do grupo é automaticamente um administrador da metastore.

Para atribuir a função de administrador do metastore a um grupo:

1. Como administrador da conta, faça login no console da conta.
2. Clique em Catálogo .
3. Clique no nome de uma metastore para abrir suas propriedades.
4. Em Metastore Admin, clique em Editar.
5. Selecione um grupo no menu suspenso. Você pode inserir texto no campo para pesquisar opções.
6. Clique em Salvar .

important

Pode levar até 30 segundos para que uma alteração na atribuição do administrador do metastore seja refletida em seu account, e pode levar mais tempo para entrar em vigor em alguns espaços de trabalho do que em outros. Esse atraso se deve aos protocolos de armazenamento em cache.

administradores de contas

O administrador da conta é uma função altamente privilegiada que o senhor deve distribuir com cuidado. Os administradores de conta têm os seguintes privilégios:

• Pode criar metastores e, pelo site default, tornar-se o administrador inicial do metastore.
• Pode vincular metastores ao espaço de trabalho.
• Pode atribuir a função de administrador da metastore.
• Pode conceder privilégios em metástores.
• Pode ativar o Delta Sharing para um metastore.
• Pode configurar credenciais de armazenamento.
• Pode habilitar tabelas do sistema e delegar acesso a elas.

administradores do espaço de trabalho

O administrador do workspace é uma função altamente privilegiada que o senhor deve distribuir com cuidado. Os administradores do espaço de trabalho têm os seguintes privilégios:

• Pode adicionar usuários, entidades de serviço e grupos a um workspace.
• Pode delegar outros administradores do workspace.
• Pode gerenciar a propriedade do trabalho. Consulte Controle de acesso a um trabalho.
• O senhor pode gerenciar a execução do trabalho conforme a configuração. Consulte Configurar a identidade para a execução do trabalho.
• Pode view e gerenciar Notebook, dashboards, consultas e outros objetos workspace. Consulte Listas de controle de acesso.

Os administradores de conta podem restringir os privilégios de administrador do workspace usando a configuração RestrictWorkspaceAdmins. Consulte Restringir administradores do workspace.

privilégios de administrador do espaço de trabalho quando o espaço de trabalho é ativado automaticamente para Unity Catalog

Se o seu workspace foi ativado para Unity Catalog automaticamente, o workspace é anexado a um metastore por default. Para obter mais informações, consulte Habilitação automática do Unity Catalog site.

Se o seu workspace foi ativado para Unity Catalog automaticamente, os administradores do workspace têm os seguintes privilégios no metastore anexado pelo default:

• CREATE CATALOG

• CREATE CLEAN ROOM

• CREATE EXTERNAL LOCATION

• CREATE SERVICE CREDENTIAL

• CREATE STORAGE CREDENTIAL

• CREATE CONNECTION

• CREATE SHARE

• CREATE RECIPIENT

• CREATE PROVIDER

• CREATE MATERIALIZED VIEW

Os administradores do espaço de trabalho são os default proprietários do catálogo workspace, se um catálogo workspace tiver sido provisionado para o seu workspace. A propriedade desse catálogo concede os seguintes privilégios:

• gerenciar os privilégios ou transferir a propriedade de qualquer objeto no catálogo workspace.

  Isso inclui a capacidade de conceder a si mesmo acesso de leitura e gravação a todos os dados do catálogo (sem acesso direto pelo site default; a concessão de permissões é feita por meio de registros de auditoria).

• Transferir a propriedade do próprio catálogo workspace.

Todos os usuários do workspace recebem o privilégio USE CATALOG no catálogo workspace. Os usuários do espaço de trabalho também recebem os privilégios USE SCHEMA, CREATE TABLE, CREATE VOLUME, CREATE MODEL, CREATE FUNCTION e CREATE MATERIALIZED VIEW no esquema default do catálogo.

nota

Os privilégios do default concedidos no metastore anexado e no catálogo workspace não são mantidos no espaço de trabalho (se, por exemplo, o catálogo workspace também estiver vinculado a outro workspace).