在Unity目錄中管理權限
這篇文章解釋了如何控製訪問Unity Catalog中的數據和其他對象。
可以使用設置訪問控製數據瀏覽, SQL語句在筆記本或Databricks SQL查詢,使用Unity Catalog REST API,或使用起程拓殖.
最初,用戶無法訪問metastore中的數據。訪問權限可以由metastore管理員(對象的所有者)或包含該對象的編目或模式的所有者授予。
分配一個metastore管理員
metastore admin是Unity Catalog中的高度特權用戶或組。Metastore管理員具有以下權限:
創建目錄、外部位置、共享和收件人。
管理metastore內任何對象的特權或轉移所有權,包括存儲憑證、外部位置、共享、收件人和提供者。
讀取並更新metastore中所有對象的元數據。
刪除亞metastore。
授予自己對metastore中所有數據的讀寫訪問權限(默認情況下沒有直接訪問權限;授予權限是審計記錄的)。
創建metastore的帳戶admin是它的初始所有者和metastore admin。Databricks建議帳戶admin通過指定一個組作為metastore admin來委托這一責任。通過這樣做,組中的任何成員都自動成為metastore管理員。
使用實例將metastore管理員角色轉移到組。
登錄賬戶控製台.
點擊
數據.點擊一個metastore的名稱打開它的屬性。
下Metastore管理,點擊編輯.
在下拉菜單中選擇分組。您可以在字段中輸入文本以搜索選項。
點擊保存.
數據.對象所有權
Unity Catalog中的所有可安全對象都有一個所有者。對象所有者擁有對象的所有特權。看到管理Unity Catalog對象的所有權.
Unity目錄權限
訪問權限可以由metastore管理員(對象的所有者)或包含該對象的編目或模式的所有者授予。看到Unity Catalog特權和安全對象.
特權的繼承
Unity Catalog中的安全對象是分層的,權限向下繼承。這意味著在目錄上授予特權將自動將特權授予目錄中的所有當前和未來對象。類似地,在模式上授予的特權將由該模式中的所有當前和未來對象繼承。看到繼承模型.
請注意
如果您在公開預覽期間(2022年8月25日之前)創建了Unity Catalog亞存儲,您可以通過特權繼承升級到特權模型1.0版本。看到升級到特權繼承.
基本對象特權
Unity Catalog支持SQL關鍵字顯示,格蘭特,撤銷用於管理目錄、模式、表、視圖和函數上的特權。
對象的所有者或metastore管理員可以列出該對象上的所有授權。如果對象包含在編目或模式(例如,表或視圖)中,編目或模式的所有者還可以列出該對象上的所有授權。
關於這種語法的例子,請參閱SQL參考文檔:
Data Explorer提供了一個UI來完成這些操作;看到在數據資源管理器中管理Unity目錄權限.
所有權轉移
要轉移metastore內對象的所有權,可以使用SQL或Data Explorer。看到管理Unity Catalog對象的所有權或在數據資源管理器中管理統一目錄對象的所有權.
管理外部位置和存儲憑證
你可以配置外部位置而且存儲憑證Unity目錄使用數據資源管理器。有關更多信息,請參見管理外部位置和存儲憑證.
動態視圖
動態視圖允許您通過過濾或屏蔽它們的值來管理哪些用戶可以訪問視圖的行、列,甚至特定的記錄。看到創建動態視圖.