Privilégios do Unity Catalog e objetos protegíveis

Este artigo descreve o modelo de privilégio do Unity Catalog. Para saber como esse modelo difere do Hive metastore, consulte Trabalhar com Unity Catalog e o Hive metastore.

Observação

Este artigo refere-se aos privilégios Unity Catalog e ao modelo de herança no Privilege Model versão 1.0. Se você criou seu metastore do Unity Catalog durante a visualização pública (antes de 25 de agosto de 2022), você pode atualizar para o modelo de privilégio versão 1.0 após atualizar para herança de privilégio

Quem pode gerenciar privilégios?

Os privilégios podem ser concedidos por um administrador de metastore, o proprietário de um objeto ou o proprietário do catálogo ou esquema que contém o objeto.

Se o seu workspace tiver sido ativado automaticamente para Unity Catalog , o workspace será anexado a um metastore por default e um catálogo workspace será criado para o seu workspace no metastore. Os administradores do workspace são os proprietários default do catálogo do workspace. Como proprietários, eles podem gerenciar privilégios no catálogo workspace e em todos os objetos filho.

Todos os usuários do workspace recebem o privilégio USE CATALOG no catálogo workspace. workspace Os usuários também recebem os privilégios USE SCHEMA, CREATE TABLE, CREATE VOLUME, CREATE MODEL, CREATE FUNCTION e CREATE MATERIALIZED VIEW no esquema default do catálogo.

Para obter mais informações, consulte Ativação automática do Unity Catalog.

Como gerenciar privilégios

O senhor pode gerenciar os privilégios dos objetos do metastore usando SQL comando, o Databricks CLIou no Catalog Explorer. Para saber como usar o Catalog Explorer para gerenciar privilégios, consulte gerenciar Unity Catalog permissions in Catalog Explorer.

Para gerenciar privilégios no SQL, você usa as instruções GRANT e REVOKE em um Notebook ou no editor query Databricks SQL , usando a sintaxe:

GRANT privilege_type ON securable_object TO principal

Onde:

• privilege_type é um tipo de privilégio do Unity Catalog

• securable_object é um objeto protegível no Unity Catalog.

• principal é um usuário, entidade de serviço (representada por seu valor applicationId) ou grupo. Você deve incluir usuários, entidades de serviço e nomes de grupos com caracteres especiais entre acentos graves ou "backticks" ( ` ` ). Veja Principal.

Por exemplo, o seguinte comando concede a um grupo chamado finance-team acesso para criar tabelas em um esquema chamado default com o catálogo pai chamado main:

GRANT CREATE TABLE ON SCHEMA main.default TO `finance-team`;

A maioria das instruções que concedem ou revogam um privilégio seguem a sintaxe mostrada no exemplo anterior, declarando o tipo de objeto protegível (SCHEMA) seguido pelo nome do objeto protegível (main.default). No entanto, ao conceder privilégios em um metastore, você não inclui o nome do metastore, porque o metastore anexado ao seu workspace é assumido:

GRANT CREATE CATALOG ON METASTORE TO `account users`;

Para obter mais informações sobre como conceder privilégios usando comandos SQL, consulte Privilégios e objetos protegíveis no Unity Catalog.

Você também pode gerenciar privilégios usando o provedor Databricks Terraform e databricks_grants.

modelo de herança

Objetos protegíveis no Unity Catalog são hierárquicos e os privilégios são herdados para baixo. O objeto de nível mais alto do qual os privilégios são herdados é o catálogo. Isso significa que conceder um privilégio em um catálogo ou esquema concede automaticamente o privilégio a todos os objetos atuais e futuros no catálogo ou esquema. Os privilégios concedidos em um metastore Unity Catalog não são herdados.

Por exemplo, o comando a seguir concede o privilégio SELECT em todas as tabelas e view em qualquer esquema no catálogo principal do grupo finance:

GRANT SELECT ON CATALOG main TO finance;

Da mesma forma, você pode realizar concessões em um esquema para um escopo de acesso menor:

GRANT SELECT ON SCHEMA main.default TO finance;

O modelo de herança fornece uma maneira fácil de configurar regras de acesso default para seus dados. Por exemplo, os comandos a seguir permitem que a equipe machine learning crie tabelas dentro de um esquema e leia as tabelas uns dos outros:

CREATE CATALOG ml;
CREATE SCHEMA ml.team_sandbox;
GRANT USE_CATALOG ON CATALOG ml TO ml_team;
GRANT USE_SCHEMA ON SCHEMA ml.team_sandbox TO ml_team;
GRANT CREATE TABLE ON SCHEMA ml.team_sandbox TO ml_team;
GRANT SELECT ON SCHEMA ml.team_sandbox TO ml_team;

Os proprietários de um objeto recebem automaticamente todos os privilégios desse objeto. Além disso, os proprietários do objeto podem conceder privilégios ao próprio objeto e a todos os seus objetos filhos. Isso significa que os proprietários de um esquema não têm automaticamente todos os privilégios nas tabelas do esquema, mas podem conceder a si mesmos privilégios nas tabelas do esquema.

Objetos protegíveis no Unity Catalog

Um objeto protegível é um objeto definido no metastore do Unity Catalog no qual os privilégios podem ser concedidos a um principal. Objetos protegíveis no Unity Catalog são hierárquicos.

Os objetos protegíveis são:

• METASTORE: O contêiner de nível superior para metadados. Cada metastore do Unity Catalog expõe um namespace de três níveis (catalog.schema.table) que organiza seus dados.

• CATÁLOGO: A primeira camada da hierarquia de objetos, usada para organizar seus ativos de dados. Um catálogo externo é um tipo de catálogo especial que espelha um banco de dados em um sistema de dados externo em um cenário de federação lakehouse .

• Esquema: também conhecidos como bancos de dados, os esquemas são a segunda camada da hierarquia de objetos e contêm tabelas e exibições.

• TABELA: o nível mais baixo na hierarquia de objetos, as tabelas podem ser externas (armazenadas em locais externos em seu armazenamento cloud de sua escolha) ou gerenciadas tabelas (armazenadas em um contêiner de armazenamento em seu armazenamento cloud que você cria expressamente para Databricks).

• view: Um objeto somente leitura criado a partir de uma consulta em uma ou mais tabelas contidas em um esquema.

• MATERIALIZED VIEW: um objeto criado a partir de uma consulta em uma ou mais tabelas contidas em um esquema. Seus resultados refletem o estado dos dados quando foram atualizados pela última vez.

• VOLUME: o nível mais baixo na hierarquia de objetos, os volumes podem ser externos (armazenados em locais externos em seu armazenamento cloud de sua escolha) ou gerenciados (armazenados em um contêiner de armazenamento em seu armazenamento cloud que você cria expressamente para Databricks).

• MODELO REGISTRADO: Um modelo registrado do MLflow que está contido em um esquema.

• FUNCTION: Uma função definida pelo usuário que está contida em um esquema. Consulte Funções definidas pelo usuário (UDFs) no Unity Catalog.

• LOCAL EXTERNO: Um objeto que contém uma referência a uma credencial de armazenamento e um caminho de armazenamento cloud que está contido em um metastore do Unity Catalog.

• CREDENCIAL DE ARMAZENAMENTO: Um objeto que encapsula uma credencial cloud de longo prazo que fornece acesso ao armazenamento cloud contido em um metastore do Unity Catalog.

• CONNECTION: Um objeto que especifica um caminho e credenciais para acessar um sistema de banco de dados externo em um cenário de federação lakehouse .

• SHARE: Um agrupamento lógico para as mesas que você pretende compartilhar usando o Delta compartilhamento. Um compartilhamento está contido em um metastore do Unity Catalog.

• DESTINATÁRIO: Um objeto que identifica uma organização ou grupo de usuários que podem ter dados compartilhados com eles usando o compartilhamento Delta. Esses objetos estão contidos em um metastore do Unity Catalog.

• PROVIDER: Um objeto que representa uma organização que disponibilizou dados para compartilhamento usando Delta Sharing. Esses objetos estão contidos em um metastore do Unity Catalog.

Tipos de privilégio por objeto protegível no Unity Catalog

A tabela a seguir lista os tipos de privilégio que se aplicam a cada objeto protegível no Unity Catalog:

Protegível	Privilégios
metastore	CREATE CATALOG, CREATE CONNECTION, CREATE EXTERNAL LOCATION, CREATE PROVIDER, CREATE RECIPIENT, CREATE SHARE, CREATE STORAGE CREDENTIAL, SET SHARE PERMISSION, USE MARKETPLACE ASSETS, USE PROVIDER, USE RECIPIENT, USE SHARE
Catálogo	ALL PRIVILEGES, APPLY TAG, BROWSE, CREATE SCHEMA, USE CATALOG Todos os usuários têm USE CATALOG no catálogo main por default. Os seguintes tipos de privilégio se aplicam a objetos protegíveis em um catálogo. Você pode conceder esses privilégios no nível do catálogo para aplicá-los aos objetos atuais e futuros pertinentes no catálogo. CREATE FUNCTION, CREATE TABLE, CREATE MODEL, CREATE VOLUME, CREATE FOREIGN CATALOG, READ VOLUME, REFRESH, WRITE VOLUME, EXECUTE, MODIFY, SELECT, USE SCHEMA
Esquema	ALL PRIVILEGES, APPLY TAG, CREATE FUNCTION, CREATE TABLE, CREATE MODEL, CREATE VOLUME, CREATE MATERIALIZED VIEW, USE SCHEMA Os seguintes tipos de privilégio se aplicam a objetos protegíveis dentro de um esquema. Você pode conceder esses privilégios no nível do esquema para aplicá-los aos objetos pertinentes atuais e futuros dentro do esquema. EXECUTE, MODIFY, SELECT, READ VOLUME, REFRESH, WRITE VOLUME
Mesa	ALL PRIVILEGES, APPLY TAG, MODIFY, SELECT
View materializada	ALL PRIVILEGES, APPLY TAG, REFRESH, SELECT
view	ALL PRIVILEGES, APPLY TAG, SELECT
Volume	ALL PRIVILEGES, READ VOLUME, WRITE VOLUME
Localização externa	ALL PRIVILEGES, BROWSE, CREATE EXTERNAL TABLE, CREATE EXTERNAL VOLUME, READ FILES, WRITE FILES, CREATE MANAGED STORAGE
Credencial de armazenamento	ALL PRIVILEGES, CREATE EXTERNAL LOCATION, CREATE EXTERNAL TABLE, READ FILES, WRITE FILES
Conexão	ALL PRIVILEGES, CREATE FOREIGN CATALOG, USE CONNECTION
Função	ALL PRIVILEGES, EXECUTE
Modelo Registrado	ALL PRIVILEGES, APPLY TAG, EXECUTE
compartilhar	SELECT (Pode ser concedido a RECIPIENT)
Destinatário	Nenhum
fornecedor	Nenhum

Ao gerenciar privilégios em um metastore, você não inclui o nome do metastore em um comando SQL. O Unity Catalog concede ou revoga o privilégio no metastore anexado ao seu workspace. Por exemplo, o comando a seguir concede a um grupo denominado engenharia a capacidade de criar um catálogo no metastore anexado ao workspace:

GRANT CREATE CATALOG ON METASTORE TO engineering

Tipos de privilégio Unity Catalog

Esta seção fornece detalhes sobre os tipos de privilégio que se aplicam geralmente ao Unity Catalog.

TODOS OS PRIVILÉGIOS

Tipos de objetos aplicáveis: CATALOG, EXTERNAL LOCATION, STORAGE CREDENTIAL, SCHEMA, FUNCTION, REGISTERED MODEL, TABLE, MATERIALIZED VIEW, VIEW, VOLUME

Usado para conceder ou revogar todos os privilégios aplicáveis ao objeto protegível e seus objetos filho sem especificá-los explicitamente.

Quando ALL PRIVILEGES é concedido em um objeto, ele não concede individualmente ao usuário cada privilégio aplicável no momento da concessão. Em vez disso, ele se expande para todos os privilégios disponíveis no momento em que as verificações de permissões são feitas.

Quando ALL PRIVILEGES é revogado, o privilégio ALL PRIVILEGES é revogado e quaisquer privilégios explícitos concedidos ao usuário no objeto também são revogados.

Observação

Esse privilégio é poderoso quando aplicado em níveis mais altos na hierarquia. Por exemplo, GRANT ALL PRIVILEGES ON CATALOG main TO analysts daria à equipe de analistas todos os privilégios em cada objeto (esquemas, tabelas, view, funções) no catálogo.

APLICAR tags

Tipos de objetos aplicáveis: CATALOG, SCHEMA, REGISTERED MODEL, TABLE, MATERIALIZED VIEW, VIEW

Permite que um usuário adicione e edite tags em um objeto. Conceder APPLY TAG a uma tabela ou view também ativa tags de coluna .

O usuário também deve ter o privilégio USE CATALOG no catálogo pai e USE SCHEMA no esquema pai.

PROCURAR

Tipos de objetos aplicáveis: CATALOG, EXTERNAL LOCATION

Visualização

Este recurso está em visualização pública.

Permite que um usuário view os metadados de um objeto usando o Catalog Explorer, o schema browser, os resultados de pesquisa, o gráfico de linhagem, information_schema e a API REST.

O usuário não precisa do privilégio USE CATALOG no catálogo pai ou USE SCHEMA no esquema pai.

CREATE CATALOG

Tipos de objetos aplicáveis: metastore do Unity Catalog

Permite que um usuário crie um catálogo em um metastore do Unity Catalog. Para criar um catálogo externo, você também deve ter o privilégio CREATE FOREIGN CATALOG na conexão que contém o catálogo externo ou no metastore.

CRIAR CONEXÃO

Tipos de objetos aplicáveis: metastore do Unity Catalog

Permite que um usuário crie uma conexão com um banco de dados externo em um cenário lakehouse Federation.

CRIAR LOCAL EXTERNO

Tipos de objetos aplicáveis: metastore do Unity Catalog, STORAGE CREDENTIAL

Para criar um local externo, o usuário deve ter esse privilégio no metastore e na credencial de armazenamento que está sendo referenciada no local externo.

CRIAR TABELA EXTERNA

Tipos de objetos aplicáveis: EXTERNAL LOCATION, STORAGE CREDENTIAL

Permite que um usuário crie tabelas externas diretamente em seu tenant cloud usando um local externo ou credencial de armazenamento. Databricks recomenda conceder esse privilégio em um local externo em vez de credencial de armazenamento (uma vez que tem como escopo um caminho, permite mais controle sobre onde os usuários podem criar tabelas externas em seu tenant cloud).

CRIAR VOLUME EXTERNO

Tipos de objetos aplicáveis: EXTERNAL LOCATION

Permite que um usuário crie volumes externos usando um local externo.

CRIAR CATÁLOGO ESTRANGEIRO

Tipos de objetos aplicáveis: CONNECTION

Permite que um usuário crie catálogos estrangeiros usando uma conexão com um banco de dados externo em um cenário de federação lakehouse .

CREATE FUNCTION

Tipos de objetos aplicáveis: SCHEMA

Permite que um usuário crie uma função no esquema. Como os privilégios são herdados, CREATE FUNCTION também pode ser concedido em um catálogo, o que permite que um usuário crie uma função em qualquer esquema existente ou futuro no catálogo.

O usuário também deve ter o privilégio USE CATALOG no catálogo pai e USE SCHEMA no esquema pai.

CRIAR MODELO

Tipos de objetos aplicáveis: SCHEMA

Permite que um usuário crie um modelo registrado do MLflow no esquema. Como os privilégios são herdados, CREATE MODEL também pode ser concedido em um catálogo, o que permite que um usuário crie um modelo registrado em qualquer esquema existente ou futuro no catálogo.

O usuário também deve ter o privilégio USE CATALOG no catálogo pai e USE SCHEMA no esquema pai.

CRIAR GERENCIAR ARMAZENAMENTO

Tipos de objetos aplicáveis: EXTERNAL LOCATION

Permite que um usuário especifique um local para armazenar tabelas gerenciadas no nível de catálogo ou esquema, substituindo o armazenamento raiz default para o metastore.

CREATE SCHEMA

Tipos de objetos aplicáveis: CATALOG

Permite que um usuário crie um esquema. O usuário também deve ter o privilégio USE CATALOG no catálogo.

CRIAR CREDENCIAL DE ARMAZENAMENTO

Tipos de objetos aplicáveis: metastore do Unity Catalog

Permite que um usuário crie uma credencial de armazenamento em um metastore Unity Catalog .

CREATE TABLE

Tipos de objetos aplicáveis: SCHEMA

Permite que um usuário crie uma tabela ou view no esquema. Como os privilégios são herdados, CREATE TABLE também pode ser concedido em um catálogo, o que permite que um usuário crie uma tabela ou view em qualquer esquema existente ou futuro no catálogo.

O usuário também deve ter o privilégio USE CATALOG em seu catálogo pai e o privilégio USE SCHEMA em seu esquema pai.

CREATE MATERIALIZED VIEW

Visualização

Esse recurso está em Public Preview. Para se inscrever para ter acesso, preencha este formulário.

Tipos de objetos aplicáveis: SCHEMA

Permite que um usuário crie um view materializado no esquema. Como os privilégios são herdados, CREATE MATERIALIZED VIEW também pode ser concedido em um catálogo, o que permite que um usuário crie uma tabela ou view em qualquer esquema existente ou futuro no catálogo.

O usuário também deve ter o privilégio USE CATALOG em seu catálogo pai e o privilégio USE SCHEMA em seu esquema pai.

CRIAR VOLUME

Tipos de objetos aplicáveis: SCHEMA

Permite que um usuário crie um volume no esquema. Como os privilégios são herdados, CREATE VOLUME também pode ser concedido em um catálogo, o que permite que um usuário crie um volume em qualquer esquema existente ou futuro no catálogo.

O usuário também deve ter o privilégio USE CATALOG no catálogo pai do volume e o privilégio USE SCHEMA em seu esquema pai.

EXECUTAR

Tipos de objetos aplicáveis: FUNCTION, REGISTERED MODEL

Permite que um usuário invoque uma função definida pelo usuário ou carregue um modelo para inferência, se o usuário também tiver USE CATALOG em seu catálogo pai e USE SCHEMA em seu esquema pai. Para funções, EXECUTE concede a capacidade de view a definição e os metadados da função. Para modelos registrados, EXECUTE concede a capacidade de view metadados para todas as versões do modelo registrado e de downloads de arquivos de modelo.

Como os privilégios são herdados, você pode conceder a um usuário o privilégio EXECUTE em um catálogo ou esquema, o que concede automaticamente ao usuário o privilégio EXECUTE em todas as funções atuais e futuras no catálogo ou esquema.

gerenciamento de ALLOWLIST

Tipos de objetos aplicáveis: metastore do Unity Catalog

Permite que um usuário adicione ou modifique caminhos para init script, JARs e coordenadas Maven na lista de permissões que rege clusters habilitados para Catálogo do Unity com modo de acesso compartilhado. Consulte Lista de permissões de bibliotecas e init script em computecompartilhada.

MODIFICAR

Tipos de objetos aplicáveis: TABLE

Permite que um usuário adicione, atualize e exclua dados de ou para a tabela se o usuário também tiver SELECT na tabela, bem como USE CATALOG em seu catálogo pai e USE SCHEMA em seu esquema pai.

Como os privilégios são herdados, você pode conceder a um usuário o privilégio MODIFY em um catálogo ou esquema, o que concede automaticamente ao usuário o privilégio MODIFY em todas as tabelas atuais e futuras no catálogo ou esquema.

LER ARQUIVOS

Tipos de objetos aplicáveis: VOLUME, EXTERNAL LOCATION

Permite que um usuário leia arquivos diretamente de seu armazenamento de objetos cloud . Databricks recomenda conceder esse privilégio em volumes e conceder em locais externos para casos de uso limitados. Para obter mais orientações, consulte gerenciar locais externos, tabelas externas e volumes externos.

LEIA O VOLUME

Tipos de objetos aplicáveis: VOLUME

Permite que um usuário leia arquivos e diretórios armazenados dentro de um volume se o usuário também tiver USE CATALOG em seu catálogo pai e USE SCHEMA em seu esquema pai.

Privilégios são herdados. Quando você pode conceder a um usuário o privilégio READ VOLUME em um catálogo ou esquema, você concede automaticamente ao usuário o privilégio READ VOLUME em todos os volumes atuais e futuros no catálogo ou esquema.

SELECIONE

Tipos de objetos aplicáveis: TABLE, VIEW, MATERIALIZED VIEW, SHARE

Se aplicado a uma tabela ou view, permite que um usuário selecione na tabela ou view, se o usuário também tiver USE CATALOG em seu catálogo pai e USE SCHEMA em seu esquema pai. Se aplicado a um compartilhamento, permite que um destinatário selecione no compartilhamento.

Como os privilégios são herdados, você pode conceder a um usuário o privilégio SELECT em um catálogo ou esquema, que concede automaticamente ao usuário o privilégio SELECT em todas as tabelas atuais e futuras e view no catálogo ou esquema.

CATÁLOGO DE USO

Tipos de objetos aplicáveis: CATALOG

Esse privilégio não concede acesso ao catálogo em si, mas é necessário para que um usuário interaja com qualquer objeto dentro do catálogo. Por exemplo, para selecionar dados de uma tabela, os usuários precisam ter o privilégio SELECT nessa tabela e os privilégios USE CATALOG em seu catálogo pai, bem como os privilégios USE SCHEMA em seu esquema pai.

Isso é útil para permitir que os proprietários de catálogos possam limitar até que ponto os proprietários de tabelas e esquemas individuais podem compartilhar os dados que produzem. Por exemplo, um proprietário de tabela que concede SELECT a outro usuário não permite que o usuário tenha acesso de leitura à tabela, a menos que também tenha recebido privilégios USE CATALOG em seu catálogo pai, bem como privilégios USE SCHEMA em seu esquema pai.

O privilégio USE CATALOG no catálogo pai não é necessário para ler os metadados de um objeto se o usuário tiver o privilégio BROWSE nesse catálogo.

USAR CONEXÃO

Tipos de objetos aplicáveis: CONNECTION

Permite que um usuário liste e view detalhes sobre conexões com um banco de dados externo em um cenário de federação lakehouse . Para criar catálogos estrangeiros para uma conexão, você deve ter CREATE FOREIGN CATALOG na conexão ou propriedade da conexão.

USAR ESQUEMA

Tipos de objetos aplicáveis: SCHEMA

Esse privilégio não concede acesso ao esquema em si, mas é necessário para que um usuário interaja com qualquer objeto dentro do esquema. Por exemplo, para selecionar dados de uma tabela, os usuários precisam ter o privilégio SELECT nessa tabela e USE SCHEMA em seu esquema pai, bem como USE CATALOG em seu catálogo pai.

Como os privilégios são herdados, você pode conceder a um usuário o privilégio USE SCHEMA em um catálogo, que concede automaticamente ao usuário o privilégio USE SCHEMA em todos os esquemas atuais e futuros no catálogo.

O privilégio USE SCHEMA no esquema pai não é necessário para ler os metadados de um objeto se o usuário tiver o privilégio BROWSE nesse esquema ou em seu catálogo pai.

ESCREVER ARQUIVOS

Tipos de objetos aplicáveis: VOLUME,EXTERNAL LOCATION

Permite que um usuário grave arquivos diretamente em seu armazenamento de objetos cloud . Databricks recomenda conceder esse privilégio em volumes. Conceda esse privilégio com moderação em locais externos. Para obter mais orientações, consulte gerenciar locais externos, tabelas externas e volumes externos.

ESCREVER VOLUME

Tipos de objetos aplicáveis: VOLUME

Permite que um usuário adicione, remova ou modifique arquivos e diretórios armazenados dentro de um volume se o usuário também tiver USE CATALOG em seu catálogo pai e USE SCHEMA em seu esquema pai.

Privilégios são herdados. Quando você pode conceder a um usuário o privilégio WRITE VOLUME em um catálogo ou esquema, você concede automaticamente ao usuário o privilégio WRITE VOLUME em todos os volumes atuais e futuros no catálogo ou esquema.

REFRESH

Tipos de objetos aplicáveis: MATERIALIZED VIEW

Permite que um usuário refresh um view materializado se o usuário também tiver USE CATALOG em seu catálogo pai e USE SCHEMA em seu esquema pai.

Os privilégios são herdados. Ao conceder o privilégio REFRESH em um catálogo ou esquema a um usuário, o usuário recebe automaticamente o privilégio REFRESH em todas as visualizações materializadas atuais e futuras no catálogo ou esquema.

Tipos de privilégio que se aplicam apenas ao Delta compartilhamento ou Databricks Marketplace

Esta seção fornece detalhes sobre os tipos de privilégio que se aplicam apenas ao compartilhamento Delta.

CRIAR PROVEDOR

Tipos de objetos aplicáveis: metastore do Unity Catalog

Permite que um usuário crie um objeto do provedor Delta Sharing no metastore. Um provedor identifica uma organização ou um grupo de usuários que compartilharam o uso de dados Delta Sharing. A criação do provedor é realizada por um usuário no Databricks do destinatário account. Veja Compartilhar dados e IA ativo com segurança usando o Delta Sharing.

CREATE RECIPIENT

Tipos de objetos aplicáveis: metastore do Unity Catalog

Permite que um usuário crie um objeto de destinatário do Delta Sharing no metastore. Um destinatário identifica uma organização ou grupo de usuários que podem ter dados compartilhados com eles usando o Delta Sharing. A criação do destinatário é realizada por um usuário no Databricks do provedor account. Veja Compartilhar dados e IA ativo com segurança usando o Delta Sharing.

CREATE SHARE

Tipos de objetos aplicáveis: metastore do Unity Catalog

Permite que um usuário crie um compartilhamento no metastore. Um compartilhamento é um agrupamento lógico para as tabelas que você pretende compartilhar usando Delta Sharing

DEFINIR PERMISSÃO DE COMPARTILHAMENTO

Tipos de objetos aplicáveis: metastore do Unity Catalog

Em Delta Sharing, esse privilégio, combinado com USE SHARE e USE RECIPIENT (ou propriedade do destinatário), dá a um usuário provedor a capacidade de conceder a um destinatário acesso a um compartilhamento. Combinado com USE SHARE, oferece a capacidade de transferir a propriedade de um compartilhamento para outro usuário, grupo ou entidade de serviço.

USE MARKETPLACE ativo

Tipos de objetos aplicáveis: metastore do Unity Catalog

Ativado por default para todos os metastore do Unity Catalog. No marketplace do Databricks, esse privilégio dá ao usuário a capacidade de obter acesso instantâneo ou solicitar acesso a produtos de dados compartilhados em uma listagem marketplace . Ele também permite que um usuário acesse o catálogo somente leitura que é criado quando um provedor compartilha um produto de dados. Sem esse privilégio, o usuário exigiria os privilégios CREATE CATALOG e USE PROVIDER ou a função de administrador do metastore. Isso permite que você limite o número de usuários com essas permissões poderosas.

USAR FORNECEDOR

Tipos de objetos aplicáveis: metastore do Unity Catalog

Em Delta Sharing, fornece ao usuário destinatário acesso somente leitura a todos os provedores em um metastore de destinatário e seus compartilhamentos. Combinado com o privilégio CREATE CATALOG , esse privilégio permite que um usuário destinatário que não seja um administrador metastore monte um compartilhamento como um catálogo. Isso permite que você limite o número de usuários com a poderosa função de administrador do metastore.

USAR DESTINATÁRIO

Tipos de objetos aplicáveis: metastore do Unity Catalog

Em Delta Sharing, fornece a um usuário do provedor acesso somente leitura a todos os destinatários em um metastore do provedor e seus compartilhamentos. Isso permite que um usuário do provedor que não seja um administrador do metastore view os detalhes do destinatário, o status de autenticação do destinatário e a lista de compartilhamentos que o provedor compartilhou com o destinatário.

No Databricks Marketplace, isso dá aos usuários do provedor a capacidade de view listagens e solicitações do consumidor no console do provedor.

USE COMPARTILHAR

Tipos de objetos aplicáveis: metastore do Unity Catalog

Em Delta Sharing, fornece a um usuário do provedor acesso somente leitura a todos os compartilhamentos definidos em um metastore do provedor. Isso permite que um usuário do provedor que não seja um administrador do metastore liste os compartilhamentos e os ativos (tabelas e Notebook) em um compartilhamento, juntamente com os destinatários do compartilhamento.

No Databricks Marketplace, isso dá aos usuários do provedor a capacidade de view detalhes sobre os dados compartilhados em uma listagem.