gerencia a propriedade do objeto Unity Catalog
Cada objeto securizável no Unity Catalog tem um proprietário. O proprietário pode ser qualquer entidade principal: um usuário, uma entidade de serviço ou um grupo account. O principal que cria um objeto torna-se seu proprietário inicial. O proprietário de um objeto tem todos os privilégios sobre o objeto, como SELECT
e MODIFY
em uma tabela, além da permissão para conceder privilégios a outros diretores. O proprietário de um objeto tem a capacidade de soltar o objeto.
Privilégios do proprietário
Os proprietários de um objeto recebem automaticamente todos os privilégios desse objeto. Além disso, os proprietários do objeto podem conceder privilégios ao próprio objeto e a todos os seus objetos filhos. Isso significa que os proprietários de um esquema não têm automaticamente todos os privilégios nas tabelas do esquema, mas podem conceder a si mesmos privilégios nas tabelas do esquema.
Observação
Há uma exceção à regra de que os proprietários têm todos os privilégios em um objeto: para evitar a exfiltração acidental de dados, os proprietários de esquemas não têm o privilégio EXTERNAL USE SCHEMA
em default. Consulte Controlar o acesso externo aos dados no Unity Catalog.
Propriedade de metastore e catálogo
Os administradores do metastore são os proprietários do metastore. A função de administrador do metastore é opcional. Os administradores do metastore podem reatribuir a propriedade do metastore transferindo a função de administrador do metastore, consulte Atribuir um administrador do metastore.
Se o seu workspace foi ativado para Unity Catalog automaticamente, o workspace é anexado a um metastore por default e um catálogo workspace é criado para o seu workspace no metastore. workspace Os administradores são os proprietários do default e podem reatribuir a propriedade do catálogo workspace. Nesses espaços de trabalho, não há nenhum administrador de metastore atribuído por default, mas os administradores de account podem conceder a função de administrador de metastore, se necessário. Consulte Administradores do Metastore.
Para obter mais informações sobre privilégios de administrador em Unity Catalog, consulte Privilégios de administrador em Unity Catalog.
Ver o proprietário de um objeto
O senhor pode usar o Catalog Explorer ou as instruções SQL para view o proprietário de um objeto.
Permissões necessárias: Qualquer usuário com o privilégio BROWSE
no objeto ou um pai do objeto pode view o proprietário do objeto.
Em seu site Databricks workspace, clique em Catalog.
Selecione o objeto, como um catálogo, esquema, tabela, view, volume, local externo ou credencial de armazenamento.
A forma de navegar até o objeto depende do objeto. Os catálogos, os esquemas e o conteúdo dos esquemas (como tabelas e volumes) podem ser selecionados no painel esquerdo do Catálogo. O senhor pode encontrar outros objetos, como locais externos ou compartilhamentos do Delta Sharing, clicando no ícone de engrenagem acima do painel Catalog e selecionando a categoria do objeto no menu.
Para a maioria dos objetos, o proprietário é exibido na Visão geral tab na página de detalhes do objeto. Para alguns objetos, como locais externos, ele é exibido na parte superior da página de detalhes do objeto.
Execute o seguinte comando SQL em um editor de consultas Notebook ou SQL. Substitua os valores do espaço reservado:
<securable-type>
: o tipo de protegível, comoCATALOG
ouTABLE
.<catalog>
: O catálogo pai se o senhor estiver visualizando um esquema ou o conteúdo de um esquema.<schema>
: O esquema pai se o senhor estiver visualizando o conteúdo de um esquema, como uma tabela ou view.<securable-name>
: O nome do objeto securizável.
DESCRIBE <securable-type> EXTENDED <catalog>.<schema>.<securable-name>;
Transferir propriedade
O senhor pode usar o Catalog Explorer ou as instruções SQL para view o proprietário de um objeto.
Permissões necessárias: O senhor pode transferir a propriedade do objeto se for o proprietário atual, um administrador do metastore ou o proprietário do contêiner (o catálogo de um esquema, o esquema de uma tabela). Os objetos de compartilhamento Delta Sharing são uma exceção: os diretores com privilégios USE SHARE
e SET SHARE PERMISSION
também podem transferir a propriedade de ações.
Observação
Para evitar o aumento de privilégios, somente um administrador de metastore pode transferir a propriedade de um view, função ou modelo para qualquer usuário, entidade de serviço ou grupo no account. Os proprietários atuais estão restritos a transferir a propriedade para seu nome de usuário ou para um grupo do qual sejam membros.
Em seu site Databricks workspace, clique em Catalog.
Selecione o objeto, como um catálogo, esquema, tabela, view, local externo ou credencial de armazenamento.
A forma de navegar até o objeto depende do objeto. Os catálogos, os esquemas e o conteúdo dos esquemas (como tabelas e volumes) podem ser selecionados no painel esquerdo do Catálogo. O senhor pode encontrar outros objetos, como locais externos ou compartilhamentos do Delta Sharing, clicando no ícone de engrenagem acima do painel Catalog e selecionando a categoria do objeto no menu.
Para a maioria dos objetos, o proprietário é exibido na Visão geral tab na página de detalhes do objeto. Para alguns objetos, como locais externos, ele é exibido na parte superior da página de detalhes do objeto.
Clique no ícone de edição ao lado do Owner.
Pesquise e selecione um grupo, usuário ou entidade de serviço.
Clique em Salvar.
Execute o seguinte comando SQL em um editor de consultas Notebook ou SQL. Substitua os valores do espaço reservado:
<securable-type>
: O tipo de objeto protegível, comoCATALOG
ouTABLE
.METASTORE
não é suportado como um objeto protegível neste comando.<securable-name>
: O nome do securizável. Se estiver modificando um esquema ou o conteúdo de um esquema, o usuário deverá usar o namespace completo de três níveis (catalog.schema.object
), a menos que já tenha especificado o catálogo e/ou esquema pai.<principal>
é um usuário, uma entidade de serviço (representada por seu valor applicationId) ou um grupo. Os nomes de usuários, entidades de serviço e grupos que incluam caracteres especiais devem ser colocados entre chaves (` `
). Ver Principal.
ALTER <securable-type> <securable-name> OWNER TO <principal>;
Por exemplo, para transferir a propriedade da tabela orders
para o grupo accounting
:
ALTER TABLE mycatalog.myschema.orders OWNER TO `accounting`;