gerenciar privilégios no Unity Catalog

Este artigo explica como controlar o acesso a dados e outros objetos no Unity Catalog.

Você pode definir controles de acesso usando o Catalog Explorer, instruções SQL no Notebook ou Databricks SQL query, usando a Unity Catalog API REST ou usando o Terraform.

Inicialmente, os usuários não têm acesso aos dados em um metastore. O acesso pode ser concedido por um administrador metastore, o proprietário de um objeto ou o proprietário do catálogo ou esquema que contém o objeto.

Privilégios de administrador

Administradores account do Databricks, administradores de workspace e administradores de metastore têm privilégios default para gerenciar Unity Catalog. Consulte Privilégios de administrador no Unity Catalog.

Propriedade do objeto

Todos os objetos protegíveis no Unity Catalog têm um proprietário. Os proprietários do objeto têm todos os privilégios nesse objeto, incluindo a capacidade de conceder privilégios a outros principais. Consulte gerenciar a propriedade do objeto Unity Catalog .

Privilégios Unity Catalog

Os privilégios de acesso podem ser concedidos por um administrador metastore, o proprietário de um objeto ou o proprietário do catálogo ou esquema que contém o objeto. Consulte Privilégios do Unity Catalog e objetos protegíveis.

Herança privilegiada

Objetos protegíveis no Unity Catalog são hierárquicos e os privilégios são herdados para baixo. Isso significa que conceder um privilégio no catálogo concede automaticamente o privilégio a todos os objetos atuais e futuros do catálogo. Da mesma forma, os privilégios concedidos em um esquema são herdados por todos os objetos atuais e futuros desse esquema. Consulte Modelo de herança.

Observação

Se você criou seu metastore do Unity Catalog durante a visualização pública (antes de 25 de agosto de 2022), você pode atualizar para o modelo de privilégio versão 1.0 com herança de privilégio. Consulte Atualizar para herança de privilégios.

Privilégios básicos de objeto

O Unity Catalog suporta as palavras-chave SQL SHOW, GRANT e REVOKE para gerenciar privilégios em catálogos, esquemas, tabelas, view e funções.

O proprietário de um objeto ou um administrador de metastore pode listar todas as concessões no objeto. Se o objeto estiver contido em um catálogo ou esquema (por exemplo, uma tabela ou view), o proprietário do catálogo ou esquema também poderá listar todas as concessões no objeto.

Consulte a documentação de referência do SQL para obter exemplos dessa sintaxe:

• MOSTRAR CATÁLOGOS

• MOSTRAR ESQUEMAS

• MOSTRAR TABELAS

• MOSTRAR view

• CONCEDER

• REVOGAR

O Catalog Explorer fornece uma UI para concluir essas ações; consulte gerenciar permissões Unity Catalog no Catalog Explorer.

Transferir propriedade

Para transferir a propriedade de um objeto dentro de um metastore, você pode usar SQL ou Catalog Explorer. Consulte gerenciar a propriedade de objetos Unity Catalog ou gerenciar a propriedade de objetos Unity Catalog no Catalog Explorer.

gerenciar locais externos e credenciais de armazenamento

Você pode configurar locais externos e credenciais de armazenamento para o Unity Catalog usando o Catalog Explorer. Para obter mais informações, consulte gerenciar credenciais de armazenamento e gerenciar locais externos.

Visualizações dinâmicas

view dinâmica permite gerenciar quais usuários têm acesso às linhas, colunas ou mesmo registros específicos de view , filtrando ou mascarando seus valores. Consulte Criar uma visualização dinâmica.