Oprávnění správce v katalogu Unity

Tento článek popisuje oprávnění, která mají správci účtu Azure Databricks, správci pracovních prostorů a správci metastoru pro správu katalogu Unity.

Správci metastoru

Správce metastoru je volitelný, ale vysoce privilegovaný uživatel nebo skupina v katalogu Unity. Správci metastoru mají ve výchozím nastavení následující oprávnění k metastoru:

• CREATE CATALOG: Umožňuje uživateli vytvářet katalogy v metastoru.

• CREATE CONNECTION: Umožňuje uživateli vytvořit připojení k externí databázi ve scénáři federace Lakehouse.

• CREATE EXTERNAL LOCATION: Umožňuje uživateli vytvářet externí umístění.

• CREATE STORAGE CREDENTIAL: Umožňuje uživateli vytvořit přihlašovací údaje k úložišti.

• CREATE FOREIGN CATALOG: Umožňuje uživateli vytvářet cizí katalogy pomocí připojení k externí databázi ve scénáři Federace Lakehouse.

• CREATE SHARE: Umožňuje uživateli zprostředkovatele dat vytvořit sdílenou složku v rozdílovém sdílení.

• CREATE RECIPIENT: Umožňuje uživateli poskytovatele dat vytvořit příjemce v rozdílovém sdílení.

• CREATE PROVIDER: Umožňuje uživateli příjemce dat vytvořit zprostředkovatele v rozdílovém sdílení.

• MANAGE ALLOWLIST: Umožňuje uživateli aktualizovat seznamy povolených, které spravují přístup clusteru k inicializačním skriptům a knihovnám.

• CREATE MATERIALIZED VIEW: Umožňuje uživateli vytvářet materializovaná zobrazení.

Správci metastoru jsou také vlastníky metastoru, což jim uděluje následující oprávnění:

• Spravujte oprávnění nebo přeneste vlastnictví libovolného objektu v metastoru, včetně přihlašovacích údajů k úložišti, externích umístění, připojení, sdílených složek, příjemců a poskytovatelů.

• Udělte sobě přístup ke čtení a zápisu ke všem datům v metastoru.

  Správci metastoru mají tuto schopnost nepřímo prostřednictvím své schopnosti převést vlastnictví všech objektů. Ve výchozím nastavení neexistuje žádný přímý přístup. Udělení oprávnění je protokolováno auditem.

• Můžou číst a aktualizovat metadata všech objektů v metastoru.

• Můžou odstranit metastore.

Správci metastoru jsou jedinými uživateli, kteří můžou udělit oprávnění k samotnému metastoru.

Protože správci metastoru jsou jedinými uživateli, kteří mají tato oprávnění, musíte přiřadit správce metastoru, pokud chcete použít některou z následujících funkcí:

• Změňte vlastnictví katalogů poté, co někdo opustí společnost.
• Umožňuje spravovat a delegovat oprávnění pro inicializační skript a seznam povolených souborů JAR.
• Delegujte možnost vytvářet katalogy a další oprávnění nejvyšší úrovně správcům mimo pracovní prostor.
• Přijímat sdílená data prostřednictvím rozdílového sdílení
• Odeberte výchozí oprávnění správce pracovního prostoru.
• Pokud nemá žádné úložiště, přidejte spravované úložiště do metastoru. Viz Přidání spravovaného úložiště do existujícího metastoru.

Kdo má oprávnění správce počátečního metastoru?

Pokud správce účtu metastore vytvoří ručně, správcem účtu je počáteční vlastník metastoru a správce metastoru. Všechny metastory vytvořené před 9. listopadem 2023 vytvořil správce účtu ručně.

Pokud bylo metastore zřízeno jako součást automatického povolení katalogu Unity, metastor se vytvořil bez správce metastoru. Správci pracovního prostoru v takovém případě mají automaticky udělená oprávnění, která správce metastoru zpřístupní jako volitelná. V případě potřeby můžou správci účtu přiřadit roli správce metastoru uživateli, instančnímu objektu nebo skupině. Skupiny se důrazně doporučují. Viz Automatická aktivace katalogu Unity.

Přiřazení správce metastoru

Správce metastoru je vysoce privilegovaná role, kterou byste měli pečlivě distribuovat. Zadání je volitelné.

Správci účtu můžou přiřadit roli správce metastoru. Databricks doporučuje jmenovat skupinu jako správce metastoru. Tímto způsobem je každý člen skupiny automaticky správcem metastoru.

Přiřazení role správce metastoru ke skupině:

1. Jako správce účtu se přihlaste ke konzole účtu.
2. Klikněte na Katalog.
3. Kliknutím na název metastoru otevřete jeho vlastnosti.
4. V části Správce metastoru klikněte na Upravit.
5. V rozevíracím seznamu vyberte skupinu. Do pole můžete zadat text, který hledá možnosti.
6. Klikněte na Uložit.

Správci účtů

Správce účtu je vysoce privilegovaná role, kterou byste měli pečlivě distribuovat. Správci účtu mají následující oprávnění:

• Můžou vytvářet metastory a ve výchozím nastavení se stát počátečními správci metastoru.
• Může propojit metastory s pracovními prostory.
• Může přiřadit roli správce metastoru.
• Může u metastorů udělit oprávnění.
• Můžou pro metastore povolit sdílení Delta.
• Můžou nakonfigurovat přihlašovací údaje úložiště.
• Může povolit systémové tabulky a delegovat přístup k nim.

Pokud chcete vytvořit svého prvního správce účtu Azure Databricks, přečtěte si téma Vytvoření prvního správce účtu.

Správci pracovního prostoru

Správce pracovního prostoru je vysoce privilegovaná role, kterou byste měli pečlivě distribuovat. Správci pracovního prostoru mají následující oprávnění:

• Můžou do pracovního prostoru přidávat uživatele, instanční objekty a skupiny.
• Můžou delegovat jiné správce pracovního prostoru.
• Můžou spravovat vlastnictví úloh. Viz Řízení přístupu k úloze.
• Může spravovat nastavení Spustit jako úlohu. Viz Konfigurace identity pro spuštění úloh.
• Můžou zobrazit a spravovat poznámkové bloky, řídicí panely, dotazy a další objekty pracovního prostoru. Viz seznamy řízení přístupu.

Správci účtu můžou pomocí nastavení RestrictWorkspaceAdmins omezit oprávnění správce pracovního prostoru. Viz Omezení správců pracovního prostoru.

Oprávnění správce pracovního prostoru při automatickém povolení pracovních prostorů pro katalog Unity

Pokud byl váš pracovní prostor pro Katalog Unity povolen automaticky, pracovní prostor se ve výchozím nastavení připojí k metastoru. Další informace naleznete v tématu Automatické povolení katalogu Unity.

Pokud byl váš pracovní prostor pro katalog Unity povolen automaticky, správci pracovních prostorů mají ve výchozím nastavení následující oprávnění k připojenému metastoru:

• CREATE CATALOG

• CREATE EXTERNAL LOCATION

• CREATE STORAGE CREDENTIAL

• CREATE CONNECTION

• CREATE SHARE

• CREATE RECIPIENT

• CREATE PROVIDER

• CREATE MATERIALIZED VIEW

Správci pracovního prostoru jsou výchozími vlastníky katalogu pracovních prostorů, pokud byl pro váš pracovní prostor zřízen katalog pracovních prostorů. Vlastnictví tohoto katalogu uděluje následující oprávnění:

• Umožňuje spravovat oprávnění pro vlastnictví libovolného objektu v katalogu pracovních prostorů nebo je převést.

  To zahrnuje možnost udělit sobě přístup ke čtení a zápisu ke všem datům v katalogu (ve výchozím nastavení není přímý přístup; udělení oprávnění je protokolováno auditem).

• Přeneste vlastnictví samotného katalogu pracovních prostorů.

Všichni uživatelé pracovního prostoru obdrží USE CATALOG oprávnění v katalogu pracovních prostorů. Uživatelé pracovního prostoru také obdrží USE SCHEMAoprávnění , , CREATE TABLE, CREATE FUNCTIONCREATE VOLUMECREATE MODELa CREATE MATERIALIZED VIEW oprávnění ke schématu default v katalogu.