Privilégios de administrador no Unity Catalog

Este artigo descreve os privilégios que os administradores account do Databricks, administradores de workspace e administradores de metastore têm para gerenciar Unity Catalog.

Observação

Se o seu workspace foi ativado automaticamente para Unity Catalog , os administradores workspace terão privilégios default no metastore anexado e no catálogo workspace , se um catálogo workspace tiver sido provisionado. Consulte Privilégios de administrador do espaço de trabalho quando os espaços de trabalho são habilitados automaticamente para o Unity Catalog.

Administradores do metastore

O administrador do metastore é um usuário ou grupo altamente privilegiado no Unity Catalog. Os administradores do metastore têm os seguintes privilégios no metastore por default:

• CREATE CATALOG: permite que um usuário crie catálogos no metastore.

• CREATE CONNECTION: permite que um usuário crie uma conexão com um banco de dados externo em um cenário de federação lakehouse .

• CREATE EXTERNAL LOCATION: permite que um usuário crie locais externos.

• CREATE STORAGE CREDENTIAL: permite que um usuário crie credenciais de armazenamento.

• CREATE FOREIGN CATALOG: permite que um usuário crie catálogos externos usando uma conexão com um banco de dados externo em um cenário de federação lakehouse .

• CREATE SHARE: permite que um usuário provedor de dados crie um compartilhamento no Delta Sharing.

• CREATE RECIPIENT: Permite que um usuário provedor de dados crie um destinatário no Delta compartilhamento.

• CREATE PROVIDER: Permite que um usuário destinatário de dados crie um provedor no Delta compartilhamento.

• MANAGE ALLOWLIST: permite que um usuário atualize listas de permissões que gerenciam o acesso clusters ao init script e à biblioteca.

• CREATE MATERIALIZED VIEW: Permite que o usuário crie uma visualização materializada.

Os administradores do metastore também são os proprietários do metastore, o que lhes concede os seguintes privilégios:

• gerenciar os privilégios ou transferir a propriedade de qualquer objeto dentro do metastore, incluindo credenciais de armazenamento, locais externos, conexões, compartilhamentos, destinatários e provedores.

• Conceda-se acesso de leitura e gravação a quaisquer dados no metastore.

  Os administradores do metastore têm essa capacidade indiretamente, por meio da capacidade de transferir a propriedade de todos os objetos. Não há acesso direto por default. A concessão de permissões é feitalogs de auditoria.

• Leia e atualize os metadados de todos os objetos no metastore.

• Exclua o metastore.

Os administradores do metastore são os únicos usuários que podem conceder privilégios no próprio metastore.

Quem tem privilégios de administrador do metastore?

Se um administrador do account criar o metastore manualmente, esse administrador do account será o proprietário inicial do metastore e o administrador do metastore. Todos os metastores criados antes de 8 de novembro de 2023 foram criados manualmente por um administrador do account.

Se o metastore foi provisionado como parte da ativação automática Unity Catalog , o metastore foi criado sem um administrador do metastore. nesse caso, os administradores workspace recebem automaticamente privilégios que tornam o administrador do metastore opcional. Se necessário, os administradores account podem atribuir a função de administrador do metastore a um utilizador, entidade de serviço ou grupo. Grupos são fortemente recomendados. Consulte Ativação automática do Unity Catalog.

Atribuir um administrador do metastore

O administrador do metastore é uma função altamente privilegiada que você deve distribuir com cuidado. É opcional.

os administradores account podem atribuir a função de administrador do metastore. A Databricks recomenda nomear um grupo como administrador do metastore. Ao fazer isso, qualquer membro do grupo se torna automaticamente um administrador do metastore.

Para atribuir a função de administrador do metastore a um grupo:

1. Como administrador da conta, faça login no console da conta.

2. Clique em Catalog.

3. Clique no nome de um metastore para abrir suas propriedades.

4. Em Metastore Admin, clique em Editar.

5. Selecione um grupo no menu suspenso. Você pode inserir texto no campo para pesquisar opções.

6. Clique em Salvar.

Importante

Pode levar até 30 segundos para que uma alteração na atribuição de administrador do metastore seja refletida em sua account e pode levar mais tempo para entrar em vigor em alguns workspace do que em outros. Esse atraso se deve aos protocolos de cache.

Administradores de conta

administrador account é uma função altamente privilegiada que você deve distribuir com cuidado. os administradores account têm os seguintes privilégios:

• Pode criar metastores e, por default tornar-se o administrador inicial do metastore.

• Pode vincular metastores ao workspace.

• Pode atribuir a função de administrador do metastore.

• Pode habilitar o compartilhamento Delta para um metastore.

• Pode configurar credenciais de armazenamento.

• Pode habilitar tabelas de sistema e delegar acesso a elas.

Administradores do espaço de trabalho

administrador workspace é uma função altamente privilegiada que você deve distribuir com cuidado. Os administradores do workspace têm os seguintes privilégios:

• Pode adicionar usuários, entidades de serviço e grupos a um workspace.

• Pode delegar outros administradores workspace .

• Pode gerenciar Job propriedade. Consulte Controle de acesso a um site Job.

• Pode gerenciar a execução Job como configuração. Consulte execução de um Job como entidade de serviço.

• Pode view e gerenciar Notebook, dashboards, consultas e outros objetos workspace. Consulte Listas de controle de acesso.

account Os administradores podem restringir os privilégios de administrador do workspace usando a configuração RestrictWorkspaceAdmins. Consulte Restringir administradores do espaço de trabalho.

Privilégios de administrador do espaço de trabalho quando os espaços de trabalho são habilitados automaticamente para o Unity Catalog

Se o seu workspace foi ativado automaticamente para Unity Catalog , o workspace será anexado a um metastore por default. Para obter mais informações, consulte Ativação automática do Catálogo Unity.

Se o seu espaço de trabalho foi habilitado automaticamente para o Catálogo do Unity, os administradores do espaço de trabalho terão os seguintes privilégios no metastore anexado por default:

• CREATE CATALOG

• CREATE EXTERNAL LOCATION

• CREATE STORAGE CREDENTIAL

• CREATE CONNECTION

• CREATE SHARE

• CREATE RECIPIENT

• CREATE PROVIDER

• CREATE MATERIALIZED VIEW

os administradores workspace são os proprietários default do catálogo workspace , se um catálogo workspace tiver sido provisionado para o seu workspace. A propriedade deste catálogo concede os seguintes privilégios:

• Gerenciar os privilégios ou transferir a propriedade de qualquer objeto no catálogo do workspace .

  Isso inclui a capacidade de conceder acesso de leitura e gravação a todos os dados do catálogo (sem acesso direto por default; a concessão de permissões é feitalogs de auditoria).

• Transfira a propriedade do próprio catálogo workspace .

Todos os usuários do workspace recebem o privilégio USE CATALOG no catálogo workspace. workspace Os usuários também recebem os privilégios USE SCHEMA, CREATE TABLE, CREATE VOLUME, CREATE MODEL, CREATE FUNCTION e CREATE MATERIALIZED VIEW no esquema default do catálogo.

Observação

Os privilégios default concedidos no metastore anexado e no catálogo workspace não são mantidos no workspace (se, por exemplo, o catálogo workspace também estiver vinculado a outro workspace).