Privilégios de administrador no Unity Catalog

Este artigo descreve os privilégios que os administradores account do Databricks, administradores de workspace e administradores de metastore têm para gerenciar Unity Catalog.

Observação

Se o seu workspace foi ativado automaticamente para Unity Catalog , os administradores workspace terão privilégios default no metastore anexado e no catálogo workspace , se um catálogo workspace tiver sido provisionado. Consulte Privilégios de administrador do espaço de trabalho quando os espaços de trabalho são habilitados automaticamente para o Unity Catalog.

Administradores do metastore

O administrador do metastore é um usuário ou grupo altamente privilegiado no Unity Catalog. Os administradores do metastore têm os seguintes privilégios no metastore por default:

Os administradores do metastore também são os proprietários do metastore, o que lhes concede os seguintes privilégios:

  • gerenciar os privilégios ou transferir a propriedade de qualquer objeto dentro do metastore, incluindo credenciais de armazenamento, locais externos, conexões, compartilhamentos, destinatários e provedores.

  • Conceda-se acesso de leitura e gravação a quaisquer dados no metastore.

    Os administradores do metastore têm essa capacidade indiretamente, por meio da capacidade de transferir a propriedade de todos os objetos. Não há acesso direto por default. A concessão de permissões é feitalogs de auditoria.

  • Leia e atualize os metadados de todos os objetos no metastore.

  • Exclua o metastore.

Os administradores do metastore são os únicos usuários que podem conceder privilégios no próprio metastore.

Quem tem privilégios de administrador do metastore?

Se um administrador do account criar o metastore manualmente, esse administrador do account será o proprietário inicial do metastore e o administrador do metastore. Todos os metastores criados antes de 8 de novembro de 2023 foram criados manualmente por um administrador do account.

Se o metastore foi provisionado como parte da ativação automática Unity Catalog , o metastore foi criado sem um administrador do metastore. nesse caso, os administradores workspace recebem automaticamente privilégios que tornam o administrador do metastore opcional. Se necessário, os administradores account podem atribuir a função de administrador do metastore a um utilizador, entidade de serviço ou grupo. Grupos são fortemente recomendados. Consulte Ativação automática do Unity Catalog.

Atribuir um administrador do metastore

O administrador do metastore é uma função altamente privilegiada que você deve distribuir com cuidado. É opcional.

os administradores account podem atribuir a função de administrador do metastore. A Databricks recomenda nomear um grupo como administrador do metastore. Ao fazer isso, qualquer membro do grupo se torna automaticamente um administrador do metastore.

Para atribuir a função de administrador do metastore a um grupo:

  1. Como administrador da conta, faça login no console da conta.

  2. Clique em Ícone de catálogo Catalog.

  3. Clique no nome de um metastore para abrir suas propriedades.

  4. Em Metastore Admin, clique em Editar.

  5. Selecione um grupo no menu suspenso. Você pode inserir texto no campo para pesquisar opções.

  6. Clique em Salvar.

Importante

Pode levar até 30 segundos para que uma alteração na atribuição de administrador do metastore seja refletida em sua account e pode levar mais tempo para entrar em vigor em alguns workspace do que em outros. Esse atraso se deve aos protocolos de cache.

Administradores de conta

administrador account é uma função altamente privilegiada que você deve distribuir com cuidado. os administradores account têm os seguintes privilégios:

  • Pode criar metastores e, por default tornar-se o administrador inicial do metastore.

  • Pode vincular metastores ao workspace.

  • Pode atribuir a função de administrador do metastore.

  • Pode habilitar o compartilhamento Delta para um metastore.

  • Pode configurar credenciais de armazenamento.

  • Pode habilitar tabelas de sistema e delegar acesso a elas.

Administradores do espaço de trabalho

administrador workspace é uma função altamente privilegiada que você deve distribuir com cuidado. Os administradores do workspace têm os seguintes privilégios:

account Os administradores podem restringir os privilégios de administrador do workspace usando a configuração RestrictWorkspaceAdmins. Consulte Restringir administradores do espaço de trabalho.

Privilégios de administrador do espaço de trabalho quando os espaços de trabalho são habilitados automaticamente para o Unity Catalog

Se o seu workspace foi ativado automaticamente para Unity Catalog , o workspace será anexado a um metastore por default. Para obter mais informações, consulte Ativação automática do Catálogo Unity.

Se o seu espaço de trabalho foi habilitado automaticamente para o Catálogo do Unity, os administradores do espaço de trabalho terão os seguintes privilégios no metastore anexado por default:

  • CREATE CATALOG

  • CREATE EXTERNAL LOCATION

  • CREATE STORAGE CREDENTIAL

  • CREATE CONNECTION

  • CREATE SHARE

  • CREATE RECIPIENT

  • CREATE PROVIDER

os administradores workspace são os proprietários default do catálogo workspace , se um catálogo workspace tiver sido provisionado para o seu workspace. A propriedade deste catálogo concede os seguintes privilégios:

  • Gerenciar os privilégios ou transferir a propriedade de qualquer objeto no catálogo do workspace .

    Isso inclui a capacidade de conceder acesso de leitura e gravação a todos os dados do catálogo (sem acesso direto por default; a concessão de permissões é feitalogs de auditoria).

  • Transfira a propriedade do próprio catálogo workspace .

Todos os usuários workspace recebem o privilégio USE CATALOG no catálogo workspace . os usuários workspace também recebem os privilégios USE SCHEMA, CREATE TABLE, CREATE VOLUME, CREATE MODEL, CREATE FUNCTION, CREATE MATERIALIZED VIEW no esquema default no catálogo.

Observação

Os privilégios default concedidos no metastore anexado e no catálogo workspace não são mantidos no workspace (se, por exemplo, o catálogo workspace também estiver vinculado a outro workspace).