Delen via

Eigendom van Unity Catalog-objecten beheren

Elk beveiligbaar object in Unity Catalog heeft een eigenaar. De eigenaar kan elke principal zijn: een gebruiker, service-principal of accountgroep. De principal die een object creëert, wordt de oorspronkelijke eigenaar. De eigenaar van een object heeft alle bevoegdheden voor het object, zoals SELECT en MODIFY in een tabel, naast de machtiging voor het verlenen van bevoegdheden aan andere principals. De eigenaar van een object heeft de mogelijkheid om het object te laten vallen.

Bevoegdheden van eigenaar

Eigenaren van een object krijgen automatisch alle bevoegdheden voor dat object. Bovendien kunnen objecteigenaren bevoegdheden toekennen aan het object zelf en aan alle onderliggende objecten. Dit betekent dat eigenaren van een schema niet automatisch alle bevoegdheden voor de tabellen in het schema hebben, maar dat ze zichzelf bevoegdheden kunnen verlenen voor de tabellen in het schema.

Notitie

Om onbedoelde gegevensexfiltratie te voorkomen, hebben schema-eigenaren niet standaard de EXTERNAL USE SCHEMA bevoegdheid en hebben externe locatie-eigenaren niet standaard de EXTERNAL USE LOCATION bevoegdheid. Zie Externe gegevenstoegang tot Unity Catalog inschakelen.

Eigendom van metastore en catalogus

Metastore-beheerders zijn de eigenaren van de metastore. De metastore beheerdersrol is optioneel. Metastore-beheerders kunnen het eigendom van de metastore opnieuw toewijzen door de beheerdersrol metastore over te dragen. Zie Een metastore-beheerder toewijzen.

Als uw werkruimte automatisch is ingeschakeld voor Unity Catalog, wordt de werkruimte standaard gekoppeld aan een metastore en wordt er een werkruimtecatalogus gemaakt voor uw werkruimte in de metastore. Werkruimtebeheerders zijn de standaardeigenaren en kunnen het eigendom van de werkruimtecatalogus opnieuw toewijzen. In deze werkruimten is er standaard geen metastore-beheerder toegewezen, maar accountbeheerders kunnen de beheerdersrol metastore zo nodig verlenen. Zie Metastore-beheerders.

Zie Beheerdersbevoegdheden in Unity Catalogvoor meer informatie over beheerdersbevoegdheden in Unity Catalog.

eigendom versus het voorrecht MANAGE

MANAGE (openbare preview) is een bevoegdheid die vergelijkbaar is met het eigendom van een object. Het verleent een gebruiker de mogelijkheid om bevoegdheden voor het object te bewerken, te verwijderen en te beheren. Gebruikers met de MANAGE-bevoegdheid voor een object krijgen echter niet automatisch alle bevoegdheden voor dat object. Net als bij andere bevoegdheden hebben gebruikers USE CATALOG nodig op de bovenliggende catalogus van het object en USE SCHEMA op het bovenliggende schema van het object. Als u bijvoorbeeld machtigingen wilt verlenen voor een tabel, moeten gebruikers over de MANAGE bevoegdheid voor die tabel beschikken en USE CATALOG bevoegdheden voor de bovenliggende catalogus, samen met USE SCHEMA bevoegdheden voor het bovenliggende schema.

De eigenaar van een object kan slechts één principal zijn, met inbegrip van een groep, terwijl MANAGE aan meerdere principals kan worden verleend.

Om escalatie van onbedoelde bevoegdheden te voorkomen, bevat ALL PRIVILEGES niet de MANAGE-bevoegdheid

De eigenaar van een object weergeven

U kunt Catalog Explorer of SQL-instructies gebruiken om de eigenaar van een object weer te geven.

Vereiste machtigingen: elke gebruiker met de BROWSE bevoegdheid voor het object of een bovenliggend object kan de objecteigenaar bekijken.

Catalogusverkenner

  1. Klik in uw Azure Databricks werkruimte op Gegevenspictogram.Catalog.

  2. Selecteer het object, zoals een catalogus, schema, tabel, weergave, volume, externe locatie of opslagreferenties.

    Hoe u naar het object navigeert, is afhankelijk van het object. Catalogi, schema's en de inhoud van schema's (zoals tabellen en volumes) kunnen worden geselecteerd in het linkerdeelvenster Catalogus. U kunt andere objecten, zoals externe locaties of Delta Sharing-shares, vinden door op het tandwielpictogram boven het deelvenster Catalogus te klikken en de objectcategorie in het menu te selecteren.

    Voor de meeste objecten wordt de eigenaar weergegeven op het tabblad Overzicht op de pagina met objectdetails. Voor sommige objecten, zoals externe locaties, wordt deze boven aan de pagina met objectdetails weergegeven.

SQL

Voer de volgende SQL-opdracht uit in een notebook of SQL-queryeditor. Vervang de waarden van de tijdelijke aanduidingen:

  • <securable-type>: Het type beveiligbaar, zoals CATALOG of TABLE.
  • <catalog>: De bovenliggende catalogus wanneer u een schema of de inhoud van een schema bekijkt.
  • <schema>: het bovenliggende schema als u de inhoud van een schema bekijkt, zoals een tabel of weergave.
  • <securable-name>: De naam van het beveiligbare object.
DESCRIBE <securable-type> EXTENDED <catalog>.<schema>.<securable-name>;

Eigendom overdragen

U kunt Catalog Explorer of SQL-instructies gebruiken om de eigenaar van een object weer te geven.

machtigingen die zijn vereist: u kunt het objecteigendom overdragen als u de huidige eigenaar bent, een metastore-beheerder, de eigenaar van de container (de catalogus voor een schema, het schema voor een tabel) of een gebruiker met de bevoegdheid MANAGE voor het object. Delta Sharing-shareobjecten zijn een uitzondering: alleen een metastore-beheerder kan het eigendom van een share overdragen.

Om escalatie van bevoegdheden te voorkomen, kan alleen een metastore-beheerder het eigendom van een weergave, functie of model overdragen aan een gebruiker, service-principal of groep in het account. Huidige eigenaren en gebruikers met de MANAGE-bevoegdheid zijn beperkt tot het overdragen van eigendom aan hun gebruikersnaam of aan een groep waarvan ze lid zijn.

Aanbeveling

Door het eigendom van een weergave of metrische weergave over te dragen aan een groep, kan er gezamenlijk worden bewerkt. Wanneer een groep eigenaar is van een weergave of metrische weergave, kunnen alle groepsleden de definitie bewerken terwijl de toegang tot gegevens beperkt blijft tot wat de groep gemachtigd heeft om te zien. Zie Samenwerken inschakelen voor gedetailleerde richtlijnen.

Notitie

Gerealiseerde weergaven en streamingtabellen, gemaakt met Databricks SQL, kunnen van eigenaar wisselen. Zie De eigenaar van een gerealiseerde weergave wijzigen en de eigenaar van een streamingtabel wijzigen voor meer informatie.

Gematerialiseerde weergaven en streamingtabellen die zijn gemaakt met declaratieve Lakeflow Spark-pijplijnen, kunnen hun eigendom niet rechtstreeks overdragen. Wijzig in plaats daarvan de run-as-gebruiker van de pijplijn die eigenaar is van de gegevenssets. Bij de volgende vernieuwing wordt de eigenaar bijgewerkt naar de run-as-gebruiker. Zie De run-as-gebruiker instellen.

Catalogusverkenner

  1. Klik in uw Azure Databricks werkruimte op Gegevenspictogram.Catalog.

  2. Selecteer het object, zoals een catalogus, schema, tabel, weergave, externe locatie of opslagreferenties.

    Hoe u naar het object navigeert, is afhankelijk van het object. Catalogi, schema's en de inhoud van schema's (zoals tabellen en volumes) kunnen worden geselecteerd in het linkerdeelvenster Catalogus. U kunt andere objecten, zoals externe locaties of Delta Sharing-shares, vinden door op het tandwielpictogram boven het deelvenster Catalogus te klikken en de objectcategorie in het menu te selecteren.

    Voor de meeste objecten wordt de eigenaar weergegeven op het tabblad Overzicht op de pagina met objectdetails. Voor sommige objecten, zoals externe locaties, wordt deze boven aan de pagina met objectdetails weergegeven.

  3. Klik op het bewerkingspictogram naast de eigenaar.

  4. Zoek en selecteer een groep, gebruiker of service-principal.

  5. Klik op Opslaan.

SQL

Voer de volgende SQL-opdracht uit in een notebook of SQL-queryeditor. Vervang de waarden van de tijdelijke aanduidingen:

  • <securable-type>: Het type beveiligbaar object, zoals CATALOG of TABLE. METASTORE wordt niet ondersteund als een beveiligbaar object in deze opdracht.
  • <securable-name>: De naam van het object dat beveiligd kan worden. Als u een schema of de inhoud van een schema wijzigt, moet u de volledige naamruimte op drie niveaus (catalog.schema.object) gebruiken, tenzij u de bovenliggende catalogus en/of het schema al hebt opgegeven.
  • <principal> is een gebruiker, service-principal (vertegenwoordigd door de waarde applicationId) of groep. U moet gebruikers, service-principals en groepsnamen insluiten die speciale tekens bevatten in backticks (` `). Zie Principal.
ALTER <securable-type> <securable-name> OWNER TO <principal>;

Als u bijvoorbeeld het eigendom van de orders tabel wilt overdragen aan de accounting groep:

ALTER TABLE mycatalog.myschema.orders OWNER TO `accounting`;
  • Last updated on