Udostępnij za pośrednictwem

Zarządzanie własnością obiektów w Unity Catalog

Każdy obiekt zabezpieczalny w katalogu Unity ma właściciela. Właściciel może być dowolnym podmiotem: użytkownikiem, podmiotem usługi lub grupą kont. Podmiot, który tworzy obiekt, staje się jego początkowym właścicielem. Właściciel obiektu ma wszystkie uprawnienia do obiektu, takie jak SELECT i MODIFY w tabeli, oprócz uprawnień do udzielania uprawnień innym użytkownikom. Właściciel obiektu ma możliwość porzucania obiektu.

Uprawnienia właściciela

Właściciele obiektu mają automatycznie przyznane wszystkie uprawnienia do tego obiektu. Ponadto właściciele obiektów mogą udzielać uprawnień do samego obiektu i wszystkich jego obiektów podrzędnych. Oznacza to, że właściciele schematu nie mają automatycznie wszystkich uprawnień w tabelach w schemacie, ale mogą przyznać sobie uprawnienia do tabel w schemacie.

Uwaga

Aby uniknąć przypadkowej eksfiltracji danych, właściciele schematu nie mają EXTERNAL USE SCHEMA uprawnień domyślnie, a właściciele lokalizacji zewnętrznych nie mają EXTERNAL USE LOCATION domyślnie uprawnień. Zobacz Włączanie dostępu danych zewnętrznych do katalogu aparatu Unity.

Własność magazynu metadanych i katalogu

Administratorzy magazynu metadanych są właścicielami magazynu metadanych. Rola administratora magazynu metadanych jest opcjonalna. Administratorzy magazynu metadanych mogą ponownie przypisywać własność magazynu metadanych, przenosząc rolę administratora magazynu metadanych, zobacz Przypisywanie administratora magazynu metadanych.

Jeśli obszar roboczy został włączony automatycznie dla Unity Catalogu, jest on domyślnie dołączony do magazynu metadanych, a dla tego obszaru roboczego tworzony jest jego katalog w magazynie metadanych. Administratorzy obszaru roboczego są domyślnymi właścicielami i mogą ponownie przypisać własność katalogu obszaru roboczego. W tych obszarach roboczych domyślnie nie ma przypisanego administratora magazynu metadanych, ale administratorzy kont mogą w razie potrzeby udzielić roli administratora magazynu metadanych. Zobacz Administratorzy magazynu metadanych.

Aby uzyskać więcej informacji na temat uprawnień administratora w Unity Catalog, zobacz Uprawnienia administratora w Unity Catalog.

Własność a przywilej MANAGE

MANAGE (Publiczna wersja zapoznawcza) to uprawnienie podobne do własności obiektu. Daje użytkownikowi możliwość edytowania, upuszczania i zarządzania uprawnieniami w obiekcie. Jednak użytkownicy z uprawnieniami MANAGE obiektu nie otrzymują automatycznie wszystkich uprawnień do tego obiektu. Podobnie jak w przypadku innych uprawnień, użytkownicy wymagają uprawnień USE CATALOG na katalogu nadrzędnym obiektu i USE SCHEMA na schemacie nadrzędnym obiektu. Aby na przykład przyznać uprawnienia do tabeli, użytkownicy muszą mieć uprawnienia MANAGE w tej tabeli i uprawnienia USE CATALOG w katalogu nadrzędnym, a także uprawnienia USE SCHEMA w schemacie nadrzędnym.

Właściciel obiektu może być tylko jedną jednostką, w tym grupą, podczas gdy MANAGE można przyznać wielu jednostkom.

Aby uniknąć przypadkowej eskalacji uprawnień, ALL PRIVILEGES nie obejmuje uprawnień MANAGE

Wyświetlanie właściciela obiektu

Aby wyświetlić właściciela obiektu, możesz użyć Eksploratora wykazu lub instrukcji SQL.

Wymagane uprawnienia: Każdy użytkownik, który posiada BROWSE uprawnienia do obiektu lub jego nadrzędnego obiektu, może wyświetlić właściciela obiektu.

Eksplorator wykazu

  1. W obszarze roboczym Azure Databricks kliknij pozycję Ikona danych.Catalog.

  2. Wybierz obiekt, taki jak wykaz, schemat, tabela, widok, wolumin, lokalizacja zewnętrzna lub poświadczenie przechowywania.

    Sposób przechodzenia do obiektu zależy od obiektu. Katalogi, schematy i zawartość schematów (takich jak tabele i woluminy) można wybrać w okienku Katalog po lewej stronie. Inne obiekty, takie jak lokalizacje zewnętrzne lub udziały Delta Sharing, można znaleźć, klikając ikonę koła zębatego powyżej okienka Wykaz i wybierając kategorię obiektów z menu.

    W przypadku większości obiektów właściciel jest wyświetlany na karcie Przegląd na stronie szczegółów obiektu. W przypadku niektórych obiektów, takich jak lokalizacje zewnętrzne, jest on wyświetlany w górnej części strony szczegółów obiektu.

SQL

Uruchom następujące polecenie SQL w notesie lub edytorze zapytań SQL. Zastąp wartości symboli zastępczych:

  • <securable-type>: typ obiektu zabezpieczanego, taki jak CATALOG lub TABLE.
  • <catalog>: katalog nadrzędny, jeśli wyświetlasz schemat lub zawartość schematu.
  • <schema>: schemat nadrzędny, jeśli wyświetlasz zawartość schematu, takiego jak tabela lub widok.
  • <securable-name>: nazwa zabezpieczanego obiektu.
DESCRIBE <securable-type> EXTENDED <catalog>.<schema>.<securable-name>;

Przenieś prawo własności

Aby wyświetlić właściciela obiektu, możesz użyć Eksploratora wykazu lub instrukcji SQL.

Uprawnienia wymagane: Możesz przenieść własność obiektu, jeśli jesteś bieżącym właścicielem, administratorem metasklepu, właścicielem kontenera (katalogu dla schematu, schematu dla tabeli) lub użytkownikiem z uprawnieniami MANAGE do wykonywania operacji na obiekcie. Obiekty udostępniania Delta Sharing stanowią wyjątek: tylko administrator magazynu metadanych może przenieść ich własność.

Aby zapobiec eskalacji uprawnień, tylko administrator magazynu metadanych może przenieść własność widoku, funkcji lub modelu do dowolnego użytkownika, jednostki usługi lub grupy na koncie. Obecni właściciele i użytkownicy z uprawnieniami MANAGE są ograniczeni do przenoszenia własności na nazwę użytkownika lub do grupy, do której należą.

Wskazówka

Przeniesienie własności widoku lub widoku metryki do grupy umożliwia wspólne edytowanie. Gdy grupa jest właścicielem widoku lub widoku metryki, wszyscy członkowie grupy mogą edytować swoją definicję, podczas gdy dostęp do danych pozostaje ograniczony do tego, co grupa ma uprawnienia do wyświetlania. Aby uzyskać szczegółowe wskazówki, zobacz Włączanie wspólnego edytowania.

Uwaga

Zmaterializowane widoki i tabele strumieniowe utworzone za pomocą usługi Databricks SQL mogą mieć przeniesioną własność. Aby uzyskać szczegółowe informacje, zobacz Zmienianie właściciela zmaterializowanego widoku i Zmienianie właściciela tabeli przesyłania strumieniowego.

Widoki materializowane i tabele przesyłania strumieniowego utworzone za pomocą deklaratywnych potoków Lakeflow Spark nie mogą mieć bezpośrednio przeniesionej własności. Zamiast tego zmień użytkownika działającego jako potoku, do którego należą zestawy danych. Po następnym odświeżeniu właściciel zostanie zaktualizowany na użytkownika działającego jako. Zobacz Ustawianie użytkownika Uruchom jako.

Eksplorator wykazu

  1. W obszarze roboczym Azure Databricks kliknij pozycję Ikona danych.Catalog.

  2. Wybierz obiekt, taki jak wykaz, schemat, tabela, widok, lokalizacja zewnętrzna lub poświadczenia magazynu.

    Sposób przechodzenia do obiektu zależy od obiektu. Katalogi, schematy i zawartość schematów (takich jak tabele i woluminy) można wybrać w okienku Katalog po lewej stronie. Inne obiekty, takie jak lokalizacje zewnętrzne lub udziały Delta Sharing, można znaleźć, klikając ikonę koła zębatego powyżej okienka Wykaz i wybierając kategorię obiektów z menu.

    W przypadku większości obiektów właściciel jest wyświetlany na karcie Przegląd na stronie szczegółów obiektu. W przypadku niektórych obiektów, takich jak lokalizacje zewnętrzne, jest on wyświetlany w górnej części strony szczegółów obiektu.

  3. Kliknij ikonę edycji Ikona Edytuj obok pola Właściciel.

  4. Wyszukaj i wybierz grupę, użytkownika lub jednostkę usługi.

  5. Kliknij przycisk Zapisz.

SQL

Uruchom następujące polecenie SQL w notesie lub edytorze zapytań SQL. Zastąp wartości symboli zastępczych:

  • <securable-type>: typ zabezpieczanego obiektu, na przykład CATALOG lub TABLE. METASTORE Nie jest obsługiwany jako zabezpieczany obiekt w tym poleceniu.
  • <securable-name>: nazwa elementu zabezpieczalnego. W przypadku modyfikowania schematu lub zawartości schematu należy użyć pełnej przestrzeni nazw na poziomie trzech poziomów (catalog.schema.object), chyba że określono już katalog nadrzędny i/lub schemat.
  • <principal> jest użytkownikiem, jednostką usługi (reprezentowaną przez jego wartość applicationId) lub grupą. Należy ująć użytkowników, jednostki usługi i nazwy grup, które zawierają znaki specjalne w `znaki apostrofu` (` `). Zobacz Principal.
ALTER <securable-type> <securable-name> OWNER TO <principal>;

Aby na przykład przenieść własność tabeli orders do grupy accounting:

ALTER TABLE mycatalog.myschema.orders OWNER TO `accounting`;
  • Last updated on