Поделиться через

Переход на наследование привилегий

Если вы создали хранилище метаданных каталога Unity во время общедоступной предварительной версии (до 25 августа 2022 г.), вы можете перейти на модель привилегий версии 1.0, чтобы воспользоваться преимуществами наследования привилегий. Существующие рабочие нагрузки будут продолжать работать как есть, пока вы не обновите модель привилегий. Databricks рекомендует выполнить обновление до версии 1.0 для получения преимуществ наследования привилегий и новых функций.

Различия в модели привилегий версии 1.0

Модель привилегий версии 1.0 в каталоге Unity имеет следующие отличия от модели привилегий общедоступной предварительной версии:

  • Наследование привилегий. Привилегии модели привилегий версии 1.0 наследуются на дочерних защищаемых объектах. Это означает, что предоставление привилегий в каталоге автоматически предоставляет права всем текущим и будущим объектам в каталоге. Аналогичным образом привилегии, предоставленные схеме, наследуются всеми текущими и будущими объектами в этой схеме. В модели предварительной версии привилегии не наследуются на дочерних защищаемых объектах. Дополнительные сведения о наследовании привилегий см. в модели наследования.

  • ALL PRIVILEGES оценивается по-разному: в модели ALL PRIVILEGES привилегий общедоступной предварительной версии предоставляет субъекту все доступные привилегии во время предоставления привилегий. В Privilege Model v1.0 разрешение ALL PRIVILEGES расширяется до всех доступных привилегий в момент проверки разрешения.

    В модели привилегий версии 1.0, когда ALL PRIVILEGES отменяется, и ALL PRIVILEGES разрешения, а также любые отдельные привилегии, подразумеваемые им, отменяются. Привилегии, которые не являются частьюALL PRIVILEGES, например MANAGEEXTERNAL USE LOCATION, и EXTERNAL USE SCHEMA, не затрагиваются.

  • CREATE TABLE обновлено до CREATE EXTERNAL TABLE: Разрешение CREATE TABLE больше не применяется к внешним расположениям или учетным данным хранилища, необходимых для создания внешних таблиц. В модели привилегий версии 1.0 вместо этого вы предоставляете привилегии CREATE EXTERNAL TABLE для внешних расположений и учетных данных хранилища, чтобы разрешить пользователю создавать внешние таблицы с помощью этого внешнего расположения или учетных данных хранения.

  • CREATE удаляется: разрешение удаляется и заменяется следующими более конкретными привилегиями: CREATE, CREATE CATALOG, CREATE EXTERNAL LOCATION, CREATE FUNCTION, CREATE SCHEMA, CREATE TABLE, CREATE MANAGED STORAGE.

  • USAGE удаляется:USAGE разрешение удаляется и заменяется следующими более конкретными привилегиями: USE CATALOG и USE SCHEMA.

Обновление до модели привилегий версии 1.0

Предупреждение

Это действие нельзя отменить.

  1. Обновите все рабочие нагрузки, ссылающиеся на каталог Unity, чтобы использовать Databricks Runtime 11.3 LTS или более поздней версии.

    Необходимо обновить все кластеры, чтобы использовать Databricks Runtime 11.3 LTS или более поздней версии, и необходимо перезапустить все запущенные хранилища SQL. Если пропустить этот шаг, рабочие нагрузки в более ранних версиях Databricks Runtime будут отклонены после завершения обновления.

  2. Войдите в консоль учетной записи с правами администратора учетных записей.

  3. Щелкните значок данных.Каталог.

  4. Щелкните имя хранилища метаданных.

  5. В разделе " Модель привилегий " нажмите кнопку " Обновить"

  6. Нажмите кнопку " Обновить"

Если вы не видите возможность обновления, хранилище метаданных каталога Unity уже использует модель привилегий 1.0.

Обновление команд SQL (необязательно)

Databricks будет продолжать поддерживать гранты, выраженные с помощью старой модели привилегий, и автоматически сопоставлять их с эквивалентным грантом в модели привилегий версии 1.0. Однако привилегии, возвращаемые через SHOW GRANTS или information_schema данные, будут продолжать ссылаться на модель привилегий версии 1.0. Databricks рекомендует обновить существующий код, который выполняет предоставление привилегий, чтобы ссылаться на обновленную модель привилегий.

  • Замените привилегию CREATE TABLE для внешних расположений или учетных данных хранилища на привилегию CREATE EXTERNAL TABLE.
  • Замените CREATE разрешение определенными привилегиямиCREATE CATALOG, , CREATE EXTERNAL LOCATIONили CREATE FUNCTIONCREATE SCHEMACREATE TABLE.
  • Замените USAGE разрешение определенными привилегиями USE CATALOG или USE SCHEMA.

Дополнительные сведения о модели привилегий каталога Unity см. в справочнике по привилегиям каталога Unity

  • Last updated on