Atualizar para herança de privilégio

Se você criou seu metastore do Unity Catalog durante a visualização pública (antes de 25 de agosto de 2022), você pode atualizar para o modelo de privilégio versão 1.0. para tirar proveito da herança de privilégios. As cargas de trabalho existentes continuarão operando como estão até que você atualize seu modelo de privilégio. Databricks recomenda atualizar para o modelo de privilégio versão 1.0 para obter os benefícios da herança de privilégios e novos recursos.

Diferenças no modelo de privilégio versão 1.0

O modelo de privilégio v1.0 no Unity Catalog tem as seguintes diferenças do modelo de privilégio de visualização pública:

  • Herança de privilégios: No Modelo de Privilégios v1.0, os privilégios são herdados em objetos protegíveis filhos. Isso significa que conceder um privilégio no catálogo concede automaticamente o privilégio a todos os objetos atuais e futuros do catálogo. Da mesma forma, os privilégios concedidos em um esquema são herdados por todos os objetos atuais e futuros desse esquema. No modelo de visualização, os privilégios não são herdados em objetos protegíveis filho. Para obter mais informações sobre herança de privilégios, consulte Modelo de herança.

  • ALL PRIVILEGES é avaliado de forma diferente: no modelo de privilégio de visualização pública, ALL PRIVILEGES concede ao principal todos os privilégios disponíveis no momento da concessão do privilégio. No Privilege Model v1.0, a permissão ALL PRIVILEGES se expande para todos os privilégios disponíveis no momento em que uma verificação de permissão é feita.

    No Privilege Model v1.0, quando ALL PRIVILEGES é revogado, apenas o próprio privilégio ALL PRIVILEGES é revogado. Os usuários mantêm quaisquer outros privilégios concedidos a eles separadamente.

  • CREATE TABLE é atualizado para CREATE EXTERNAL TABLE: a permissão CREATE TABLE não se aplica mais a locais externos ou credenciais de armazenamento, que são necessários para criar tabelas externas. No Privilege Model v1.0, você concede o privilégio CREATE EXTERNAL TABLE em locais externos e credenciais de armazenamento para permitir que um usuário crie tabelas externas usando esse local externo ou credencial de armazenamento.

  • CREATE foi removido: a permissão CREATE foi removida e substituída pelos seguintes privilégios mais específicos: CREATE CATALOG, CREATE EXTERNAL LOCATION, CREATE FUNCTION, CREATE SCHEMA, CREATE TABLE, CREATE MANAGED STORAGE.

  • USAGE foi removido: a permissão USAGE foi removida e substituída pelos seguintes privilégios mais específicos: USE CATALOG e USE SCHEMA.

Atualize para o modelo de privilégio versão 1.0

Aviso

Não é possível desfazer esta ação.

  1. Atualize todas as cargas de trabalho que fazem referência ao Unity Catalog para usar o Databricks Runtime 11.3 LTS ouacima.

    Você deve atualizar todos os clusters para usar o Databricks Runtime 11.3 LTS ouacima e deve reiniciar qualquer SQL warehouse em execução. Se você pular esta passo, as cargas de trabalho em versões mais antigas do Databricks Runtime serão rejeitadas após a conclusão da atualização.

  2. Como administrador da conta, faça login no console da conta.

  3. Clique em Ícone de catálogo Catalog.

  4. Clique no nome do metastore.

  5. Em Modelo de privilégio, clique em Atualizar

  6. Clique em Atualizar

Se você não vir a opção de atualizar, seu metastore do Unity Catalog já está usando o Privilege Model 1.0.

Atualizar comandos SQL (opcional)

O Databricks continuará a oferecer suporte a concessões expressas usando o antigo modelo de privilégio e mapeá-las automaticamente para a concessão equivalente no modelo de privilégio v1.0. No entanto, os privilégios retornados por meio de dados SHOW GRANTS ou information_schema continuarão a fazer referência ao Privilege Model v1.0. Databricks recomenda que você atualize o código existente que executa concessões para referenciar o modelo de privilégio atualizado.

  • Substitua o privilégio CREATE TABLE em locais externos ou credenciais de armazenamento pelo privilégio CREATE EXTERNAL TABLE .

  • Substitua a permissão CREATE pelo privilégio específico CREATE CATALOG, CREATE EXTERNAL LOCATION, CREATE FUNCTION, CREATE SCHEMA ou CREATE TABLE.

  • Substitua a permissão USAGE pelo privilégio específico USE CATALOG ou USE SCHEMA.

Para obter mais informações sobre o modelo de privilégio Unity Catalog , consulte PrivilégiosUnity Catalog e objetos protegíveis