Privilégios de administrador no Unity Catalog
Este artigo descreve os privilégios que os administradores account do Databricks, administradores de workspace e administradores de metastore têm para gerenciar Unity Catalog.
Observação
Se o seu workspace foi ativado automaticamente para Unity Catalog , os administradores workspace terão privilégios default no metastore anexado e no catálogo workspace , se um catálogo workspace tiver sido provisionado. Consulte Privilégios de administrador do espaço de trabalho quando os espaços de trabalho são habilitados automaticamente para o Unity Catalog.
Administradores do metastore
O administrador do metastore é um usuário ou grupo opcional, mas altamente privilegiado, no Unity Catalog. Os administradores do metastore têm os seguintes privilégios no metastore pelo site default:
CREATE CATALOG
: Permite que um usuário crie catálogos no metastore.CREATE CONNECTION
: permite que um usuário crie uma conexão com um banco de dados externo em um cenário de federação lakehouse .CREATE EXTERNAL LOCATION
: permite que um usuário crie locais externos.CREATE STORAGE CREDENTIAL
: permite que um usuário crie credenciais de armazenamento.CREATE FOREIGN CATALOG
: permite que um usuário crie catálogos externos usando uma conexão com um banco de dados externo em um cenário de federação lakehouse .CREATE SHARE
: Permite que um usuário do provedor de dados crie um compartilhamento no Delta Sharing.CREATE RECIPIENT
: Permite que um usuário do provedor de dados crie um destinatário no Delta Sharing.CREATE PROVIDER
: Permite que um usuário destinatário de dados crie um provedor no Delta Sharing.MANAGE ALLOWLIST
: permite que um usuário atualize listas de permissões que gerenciam o acesso clusters ao init script e à biblioteca.
CREATE MATERIALIZED VIEW
: Permite que o usuário crie uma visualização materializada.
Os administradores do metastore também são os proprietários do metastore, o que lhes concede os seguintes privilégios:
gerenciar os privilégios ou transferir a propriedade de qualquer objeto dentro do metastore, incluindo credenciais de armazenamento, locais externos, conexões, compartilhamentos, destinatários e provedores.
Conceda-se acesso de leitura e gravação a quaisquer dados no metastore.
Os administradores do metastore têm essa capacidade indiretamente, por meio da capacidade de transferir a propriedade de todos os objetos. Não há acesso direto por default. A concessão de permissões é feitalogs de auditoria.
Leia e atualize os metadados de todos os objetos no metastore.
Exclua o metastore.
Os administradores do metastore são os únicos usuários que podem conceder privilégios no próprio metastore.
Como os administradores do metastore são os únicos usuários que têm esses privilégios, o senhor deve atribuir um administrador do metastore se quiser usar qualquer uma das seguintes funcionalidades:
Alterar a propriedade dos catálogos depois que alguém deixa a empresa.
gerenciar e delegar permissões na lista de permissõesinit script e jar.
Delegar a capacidade de criar catálogos e outras permissões de nível superior para administradores que não sejam doworkspace.
Receba dados compartilhados por meio do Delta Sharing.
Adicionar armazenamento gerenciar ao metastore, se ele não tiver nenhum. Consulte Adicionar armazenamento gerenciar a um metastore existente.
Quem tem privilégios iniciais de administrador da Metastore?
Se um administrador do account criar o metastore manualmente, esse administrador do account será o proprietário inicial do metastore e o administrador do metastore. Todos os metastores criados antes de 8 de novembro de 2023 foram criados manualmente por um administrador do account.
Se o metastore foi provisionado como parte da ativação automática Unity Catalog , o metastore foi criado sem um administrador do metastore. nesse caso, os administradores workspace recebem automaticamente privilégios que tornam o administrador do metastore opcional. Se necessário, os administradores account podem atribuir a função de administrador do metastore a um utilizador, entidade de serviço ou grupo. Grupos são fortemente recomendados. Consulte Ativação automática do Unity Catalog.
Atribuir um administrador do metastore
O administrador do metastore é uma função altamente privilegiada que você deve distribuir com cuidado. É opcional.
os administradores account podem atribuir a função de administrador do metastore. A Databricks recomenda nomear um grupo como administrador do metastore. Ao fazer isso, qualquer membro do grupo se torna automaticamente um administrador do metastore.
Para atribuir a função de administrador do metastore a um grupo:
Como administrador da conta, faça login no console da conta.
Clique em Catalog.
Clique no nome de um metastore para abrir suas propriedades.
Em Metastore Admin, clique em Editar.
Selecione um grupo no menu suspenso. Você pode inserir texto no campo para pesquisar opções.
Clique em Salvar.
Importante
Pode levar até 30 segundos para que uma alteração na atribuição de administrador do metastore seja refletida em sua account e pode levar mais tempo para entrar em vigor em alguns workspace do que em outros. Esse atraso se deve aos protocolos de cache.
Administradores de conta
administrador account é uma função altamente privilegiada que você deve distribuir com cuidado. os administradores account têm os seguintes privilégios:
Pode criar metastores e, por default tornar-se o administrador inicial do metastore.
Pode vincular metastores ao workspace.
Pode atribuir a função de administrador do metastore.
Pode conceder privilégios em metastores.
Pode habilitar o compartilhamento Delta para um metastore.
Pode configurar credenciais de armazenamento.
Pode habilitar tabelas de sistema e delegar acesso a elas.
Administradores do espaço de trabalho
administrador workspace é uma função altamente privilegiada que você deve distribuir com cuidado. Os administradores do workspace têm os seguintes privilégios:
Pode adicionar usuários, entidades de serviço e grupos a um workspace.
Pode delegar outros administradores workspace .
Pode gerenciar a propriedade do trabalho. Consulte Controle de acesso a um trabalho.
O senhor pode gerenciar a execução do trabalho conforme a configuração. Consulte Configurar a identidade para a execução do trabalho.
Pode view e gerenciar Notebook, dashboards, consultas e outros objetos workspace. Consulte Listas de controle de acesso.
account Os administradores podem restringir os privilégios de administrador do workspace usando a configuração RestrictWorkspaceAdmins
. Consulte Restringir administradores do espaço de trabalho.
Privilégios de administrador do espaço de trabalho quando os espaços de trabalho são habilitados automaticamente para o Unity Catalog
Se o seu workspace foi ativado automaticamente para Unity Catalog , o workspace será anexado a um metastore por default. Para obter mais informações, consulte Ativação automática do Catálogo Unity.
Se o seu espaço de trabalho foi habilitado automaticamente para o Catálogo do Unity, os administradores do espaço de trabalho terão os seguintes privilégios no metastore anexado por default:
CREATE CATALOG
CREATE EXTERNAL LOCATION
CREATE STORAGE CREDENTIAL
CREATE CONNECTION
CREATE SHARE
CREATE RECIPIENT
CREATE PROVIDER
CREATE MATERIALIZED VIEW
os administradores workspace são os proprietários default do catálogo workspace , se um catálogo workspace tiver sido provisionado para o seu workspace. A propriedade deste catálogo concede os seguintes privilégios:
Gerenciar os privilégios ou transferir a propriedade de qualquer objeto no catálogo do workspace .
Isso inclui a capacidade de conceder acesso de leitura e gravação a todos os dados do catálogo (sem acesso direto por default; a concessão de permissões é feitalogs de auditoria).
Transfira a propriedade do próprio catálogo workspace .
Todos os usuários do workspace recebem o privilégio USE CATALOG
no catálogo workspace. workspace Os usuários também recebem os privilégios USE SCHEMA
, CREATE TABLE
, CREATE VOLUME
, CREATE MODEL
, CREATE FUNCTION
e CREATE MATERIALIZED VIEW
no esquema default
do catálogo.
Observação
Os privilégios default concedidos no metastore anexado e no catálogo workspace não são mantidos no workspace (se, por exemplo, o catálogo workspace também estiver vinculado a outro workspace).