統一目錄權限和可獲得的對象

本文描述了統一目錄權限模型。了解這個模型不同於蜂巢metastore,明白了統一目錄和遺留蜂巢metastore一起工作

管理權限

權限可以授予通過metastore管理員,一個對象的所有者,或者目錄的所有者或模式包含對象。您可以管理權限metastore對象通過使用SQL命令,統一目錄CLI(遺留),或者在數據瀏覽器。學習如何使用數據瀏覽器來管理權限看到的,管理統一編目數據瀏覽權限

在SQL管理特權,你使用格蘭特撤銷語句在筆記本或磚SQL查詢編輯器,使用的語法:

格蘭特privilege_typesecurable_object主要

地點:

例如,下麵的命令授予一組命名財務團隊訪問模式中創建表命名默認的與父目錄命名主要:

格蘭特創建模式主要默認的金融- - - - - -團隊;

大多數語句授予或撤消特權跟隨前麵的示例中所示的語法,並可獲得的對象類型(模式),其次是可獲得的對象的名字(main.default)。metastore然而,當你給予的特權,你不包括metastore名稱,因為metastore附加到您的工作區是假定:

格蘭特創建目錄METASTORE賬戶用戶;

關於授予特權使用SQL命令的更多信息,見統一目錄中的特權和可獲得的對象

你也可以通過使用管理權限磚起程拓殖提供者和databricks_grants

在統一目錄中可獲得的對象

可獲得的對象是一個對象中定義的統一目錄metastore權限可以授予一個主體。可獲得的對象統一目錄層次。

統一目錄對象層次結構

可獲得的對象是:

  • METASTORE元數據:頂層容器。每個統一目錄metastore公開了一個三級名稱空間(目錄模式),組織您的數據。

  • 目錄:對象層次結構的第一層,用來組織你的數據資產。一個外國目錄是一個特殊的目錄類型反映了數據庫在外部數據係統Lakehouse聯合會的場景。

  • 模式:也稱為數據庫,模式是第二層的對象層次結構,包含表和視圖。

  • :在對象層次結構的最低水平,表外部雲存儲(存儲在外部的位置在你的選擇)管理表(存儲在雲存儲中存儲容器創建明確磚)。

  • 視圖:一個隻讀對象創建從一個或多個表,包含在一個模式。

  • 體積:在對象層次結構的最低水平,卷外部雲存儲(存儲在外部的位置在你的選擇)管理在你的雲存儲(存儲在一個存儲容器創建明確磚)。

  • 注冊模式:一個MLflow注冊模型這是包含在一個模式。

  • 函數:一個用戶定義的函數,它是包含在一個模式。

  • 外部位置:一個對象,該對象包含一個引用存儲憑證和雲存儲路徑,包含在一個統一目錄metastore。

  • 存儲憑證:一個對象,該對象封裝了一個長期的雲憑據提供訪問包含在一個統一的雲存儲目錄metastore。

  • 連接:一個對象,該對象指定一個路徑和憑證訪問外部數據庫係統在Lakehouse聯盟的情況下。

  • 分享:邏輯分組表你打算使用三角洲分享分享。包含在一個聯合目錄metastore。

  • 收件人:對象識別一個組織或一組用戶可以使用三角洲有數據共享與他們分享。這些對象包含在一個聯合目錄metastore。

  • 提供者:一個對象代表了一個組織,使數據共享使用三角洲共享。這些對象包含在一個聯合目錄metastore。

繼承模型

可獲得的對象統一目錄層次和特權是繼承了下行。最高水平的對象權限繼承目錄。這意味著授予特權在目錄或模式自動授予的特權目錄內的所有當前和未來的對象或模式。授予的權限統一目錄metastore不繼承。

例如,以下命令授予選擇在所有表和視圖特權在目錄的任何模式主要到組金融:

格蘭特選擇目錄主要金融;

類似地,您可以執行撥款模式為一個更小範圍的訪問:

格蘭特選擇模式主要默認的金融;

繼承模型提供了一種簡單的方法來設置默認為您的數據訪問規則。例如以下命令啟用機器學習團隊創建表內模式和閱讀彼此的表:

創建目錄毫升;創建模式毫升team_sandbox;格蘭特USE_CATALOG目錄毫升ml_team;格蘭特USE_SCHEMA模式毫升team_sandboxml_team;格蘭特創建模式毫升team_sandboxml_team;格蘭特選擇模式毫升team_sandboxml_team;

對象的所有者都自動授予該對象和所有子對象上的特權。這意味著所有者模式完全權限模式中的所有表和卷。

中可獲得的特權類型的對象統一目錄

下表列出了適用於每一個可獲得的特權類型對象統一目錄:

可獲得的

特權

Metastore

創建目錄,創建外部位置,創建連接,創建收件人,創建分享,創建提供者,使用市場資產,使用提供者,使用分享,使用收件人,分享許可

目錄

所有特權,創建模式,使用目錄

所有的用戶都擁有使用目錄主要默認目錄。

以下特權類型適用於可獲得的對象在一個目錄中。你可以在目錄級別授予這些權限將它們應用到相關的目錄內的當前和未來的對象。

創建函數,創建,創建模型,創建體積,創建外國目錄,體積,體積,執行,修改,選擇,使用模式

模式

所有特權,創建函數,創建,創建模型,創建體積,使用模式

以下特權類型適用於在一個模式中可獲得的對象。你可以在模式級別授予這些權限將它們應用到相關的當前和未來的對象內的模式。

執行,修改,選擇,體積,體積

所有特權,選擇,修改

視圖

所有特權,選擇

體積

所有特權,體積,體積

外部位置

所有特權,創建外部,創建外部體積,文件,文件,創建管理存儲

存儲憑證

所有特權,創建外部位置,創建外部,文件,文件

連接

所有特權,創建外國目錄,使用連接

函數

所有特權,執行

注冊模式

所有特權,執行

分享

選擇(可以授予收件人)

收件人

沒有一個

提供者

沒有一個

當你metastore管理特權,不包括在SQL命令metastore名稱。統一目錄上的特權授予或撤銷metastore附加到您的工作區。例如,下麵的命令授予一組命名工程的能力在metastore附著在工作區中創建一個目錄:

格蘭特創建目錄METASTORE工程

一般統一目錄權限類型

本節提供細節的特權類型通常適用於統一目錄。

所有權限

適用對象類型:目錄,外部位置,存儲憑證,模式,函數,注冊模型,,視圖

授予或撤銷所有權限適用於使用可獲得的對象和它的子對象沒有顯式地指定它們。當時這個擴大到所有可用的特權權限檢查。它不單獨授予用戶每個適用的特權的授予。

所有特權隻被吊銷所有特權特權本身是撤銷。用戶保留任何其他特權授予是分開的。

請注意

這種特權時強大的應用在更高水平的層次結構。例如,目錄上的所有特權授予主要分析師會給分析師團隊所有特權在每個對象(模式、表、視圖、函數)的目錄。

創建目錄

適用對象類型:統一目錄metastore

允許用戶創建一個目錄,統一編目metastore。創建一個外國目錄,你必須也有創建外國目錄連接包含外交特權目錄或metastore。

創建連接

適用對象類型:統一目錄metastore

允許用戶創建一個連接到一個外部數據庫在Lakehouse聯盟的情況下。

創建外部位置

適用對象類型:統一目錄metastore,存儲憑證

當應用於存儲憑證,允許用戶創建一個外部位置使用存儲憑證。這種特權也可以授予一個用戶在metastore允許他們創建一個外部的位置。

創建外部表

適用對象類型:外部位置,存儲憑證

允許用戶創建外部表直接在雲租戶使用外部位置或存儲憑證。磚建議授予這種特權在外部位置而不是存儲憑證(因為這是局限於一個路徑,它允許更多的控製,用戶可以創建外部表在你的雲租戶)。

創建外部卷

適用對象類型:外部位置

允許用戶創建外部卷使用外部位置。

創建外國目錄

適用對象類型:連接

允許用戶創建外國目錄中使用連接到外部數據庫Lakehouse聯合會的場景。

創建函數

適用對象類型:模式,目錄

允許用戶創建一個函數的模式。由於權限繼承,創建函數也可以被授予一個目錄,它允許用戶創建一個函數在任何現有或未來模式目錄中。

用戶也必須有使用目錄在它的父目錄使用模式在母公司模式。

創建模型

適用對象類型:模式,目錄

允許用戶創建一個MLflow注冊模型在模式中。由於權限繼承,創建模型也可以被授予一個目錄,它允許用戶創建一個注冊模型目錄中任何現有或未來的模式。

用戶也必須有使用目錄在父目錄和特權使用模式在家長模式。

創建管理的存儲

適用對象類型:外部位置

允許用戶指定一個位置來存儲管理表在目錄或模式層麵,覆蓋默認的根metastore存儲。

創建模式

適用對象類型:目錄

允許用戶創建一個模式。用戶也必須有使用目錄目錄上的權限。

創建表

適用對象類型:模式,目錄

允許用戶創建一個表或視圖的模式。由於權限繼承,創建也可以授予一個目錄,允許用戶創建一個表或視圖目錄中任何現有或未來的模式。

用戶也必須有使用目錄在它的父目錄和特權使用模式特權在母公司模式。

創建卷

適用對象類型:模式,目錄

允許用戶創建卷在模式中。由於權限繼承,創建體積也可以被授予一個目錄,它允許用戶創建卷目錄中任何現有或未來的模式。

用戶也必須有使用目錄體積的父目錄和特權使用模式特權在母公司模式。

執行

適用對象類型:函數,注冊模型

允許用戶調用一個用戶定義的函數或加載模型推理,如果用戶也有使用目錄在它的父目錄使用模式在母公司模式。執行授予查看元數據的能力對一個函數或注冊模型及其模型版本。

由於繼承特權,您可以授予一個用戶執行權限目錄或模式,自動授予用戶執行特權的所有當前和未來的功能目錄或模式。

修改

適用對象類型:

允許用戶添加、更新和刪除數據或從表中如果用戶也有選擇在桌子上一樣使用目錄在它的父目錄使用模式在母公司模式。

由於繼承特權,您可以授予一個用戶修改權限目錄或模式,自動授予用戶修改特權的所有當前和未來的表目錄或模式。

讀文件

適用對象類型:體積,外部位置

允許用戶直接從您的雲對象存儲讀取文件。磚建議授予這個特權卷和給予外部位置有限的用例。更多的指導,請參閱管理外部位置,外部表,和外部卷

閱讀量

適用對象類型:體積,模式,目錄

允許用戶讀取文件和目錄存儲在一個卷如果用戶也有使用目錄在它的父目錄使用模式在母公司模式。

繼承的特權。當你可以授予一個用戶體積在目錄或模式特權,你自動給用戶體積特權的所有當前和未來的卷目錄或模式。

選擇

適用對象類型:,視圖,分享

如果應用到一個表或視圖,允許用戶選擇表或視圖,如果用戶也有使用目錄在它的父目錄使用模式在母公司模式。如果應用到一個共享,允許收件人選擇的份額。

由於繼承特權,您可以授予一個用戶選擇特權在目錄或模式,自動授予用戶選擇特權在所有當前和未來的表和視圖的目錄或模式。

使用目錄

適用對象類型:目錄

這種特權不授權訪問目錄本身,但需要用戶與目錄中的任何對象。例如,選擇一個表的數據,用戶需要選擇在那張桌子和特權使用目錄它的父目錄以及上的特權使用模式母公司模式上的特權。

這是用於允許目錄所有者能夠限製多少個人模式和表所有者可以共享數據。例如,一個表所有者授予選擇到另一個用戶不允許用戶讀取訪問表,除非他們也理所當然使用目錄它的父目錄以及上的特權使用模式母公司模式上的特權。

使用連接

適用對象類型:連接

允許用戶列表和視圖連接到外部數據庫的詳細信息在Lakehouse聯合會的場景。要創建外國目錄連接,您必須擁有的創建外國目錄在連接或連接的所有權。

使用模式

適用對象類型:模式,目錄

這種特權不授權訪問模式本身,但需要用戶與任何對象在交互模式。例如,選擇一個表的數據,用戶需要選擇在那張桌子和特權使用模式在母公司模式以及使用目錄在它的父目錄。

由於繼承特權,您可以授予一個用戶使用模式目錄權限,自動授予用戶使用模式權限目錄中的所有當前和未來的模式。

寫文件

適用對象類型:體積,外部位置

允許用戶直接寫文件到您的雲存儲對象。磚建議授予特權在卷。格蘭特這個特權少外部位置。更多的指導,請參閱管理外部位置,外部表,和外部卷

寫數量

適用對象類型:體積,模式,目錄

允許用戶添加、刪除或修改文件和目錄存儲在一個卷如果用戶也有使用目錄在它的父目錄使用模式在母公司模式。

繼承的特權。當你可以授予一個用戶體積在目錄或模式特權,你自動給用戶體積特權的所有當前和未來的卷目錄或模式。

特權類型僅適用於三角洲共享或磚市場

本節提供的詳細信息僅適用於三角洲分享特權類型。

創建供應商

適用對象類型:統一目錄metastore

允許用戶創建一個三角洲metastore提供者共享對象。提供者標識一個組織或一組用戶共享數據使用三角洲共享。提供者創建執行由用戶在接收方的磚帳戶。看到共享數據安全地使用三角洲共享

創建收件人

適用對象類型:統一目錄metastore

允許用戶創建一個三角洲metastore中的接收方對象共享。一個接收方識別一個組織或一組用戶可以使用三角洲有數據共享與他們分享。收件人創建執行由用戶在提供者的磚帳戶。看到共享數據安全地使用三角洲共享

創建共享

適用對象類型:統一目錄metastore

允許用戶創建一個分享metastore。分享是一種邏輯分組的表你打算使用三角洲分享分享

設置共享權限

適用對象類型:統一目錄metastore

在三角洲共享,這種特權,加上使用分享使用收件人(或者收件人所有權),給出了供應商用戶授予接收者訪問共享的能力。結合使用分享,它給股票的所有權轉移到另一個用戶,組,或服務主體。

使用市場資產

適用對象類型:統一目錄metastore

統一目錄metastores默認啟用。在磚市場上,這種特權讓用戶能夠獲得即時訪問或請求訪問共享數據產品在市場上市。它還允許用戶訪問隻讀目錄提供者股票時創建一個數據產品。如果沒有這個特權,用戶需要創建目錄使用提供者特權或metastore admin角色。這使您能夠限製用戶的數量與強大的權限。

使用提供者

適用對象類型:統一目錄metastore

在三角洲地區共享,給接收方用戶隻讀訪問所有供應商在收件人metastore和他們的股份。結合創建目錄特權,這種特權允許接收方用戶不是metastore admin目錄掛載共享。這使您能夠限製用戶的數量與強大metastore admin角色。

使用收件人

適用對象類型:統一目錄metastore

在三角洲地區共享,給供應商用戶隻讀訪問所有提供者metastore接受者,他們的股份。這允許一個提供者的用戶不是metastore管理員查看收件人詳細信息,接收方身份驗證狀態和提供者的股票列表已經與收件人共享。

磚的市場,這給供應商用戶能夠查看清單和消費者請求提供者控製台。

使用共享

適用對象類型:統一目錄metastore

在三角洲地區共享,提供用戶隻讀訪問提供者metastore中定義所有股票。這允許一個提供者的用戶不是metastore管理員列表股票和資產(表和筆記本),以及分享的接受者。

磚的市場,這給供應商用戶能夠查看詳細信息的數據共享清單。