Privilèges d’administrateur dans Unity Catalog
Cet article décrit les privilèges dont disposent les administrateurs de compte Azure Databricks, les administrateurs d’espace de travail et les administrateurs de metastore pour la gestion d’Unity Catalog.
Remarque
Si votre espace de travail a été activé automatiquement pour Unity Catalog, les administrateurs d’espaces de travail disposent de privilèges par défaut sur le metastore attaché et le catalogue d’espaces de travail, si un catalogue d’espaces de travail a été approvisionné. Consultez Privilèges d’administrateur de l’espace de travail lorsque les espaces de travail sont activés automatiquement pour Unity Catalog.
Administrateurs de metastore
L’administrateur de metastore est un utilisateur ou un groupe facultatif mais qui a des privilèges élevés dans Unity Catalog. Les administrateurs de metastore disposent des privilèges suivants sur le metastore par défaut :
CREATE CATALOG
: permet à un utilisateur de créer des catalogues dans le metastore.CREATE CLEAN ROOM
: permet à un utilisateur de créer une salle propre pour collaborer en toute sécurité sur des projets avec d’autres organisations sans partager de données sous-jacentes.CREATE CONNECTION
: permet à l’utilisateur de créer une connexion à une base de données externe dans un scénario Lakehouse Federation.CREATE EXTERNAL LOCATION
: permet à un utilisateur de créer des emplacements externes.CREATE SERVICE CREDENTIAL
: permet à un utilisateur de créer des informations d’identification de service.CREATE STORAGE CREDENTIAL
: permet à un utilisateur de créer des informations d’identification de stockage.CREATE FOREIGN CATALOG
: permet à l’utilisateur de créer des catalogues étrangers à l’aide d’une connexion à une base de données externe dans un scénario Lakehouse Federation.CREATE SHARE
: permet à un utilisateur du fournisseur de données de créer un partage dans Delta Sharing.CREATE RECIPIENT
: permet à un utilisateur du fournisseur de données de créer un destinataire dans Delta Sharing.CREATE PROVIDER
: permet à un utilisateur du destinataire des données de créer un destinataire dans Delta Sharing.CREATE MATERIALIZED VIEW
: Permet à un utilisateur de créer des vues matérialisées.MANAGE ALLOWLIST
: permet à un utilisateur de mettre à jour des listes d’autorisation qui gèrent l’accès du cluster aux scripts et bibliothèques init.
Les administrateurs de metastore sont également les propriétaires du metastore, ce qui leur accorde les privilèges suivants :
Gérez les privilèges ou transférez la propriété de n’importe quel objet dans le metastore, y compris les informations d’identification de stockage, les emplacements externes, les connexions, les partages, les destinataires et les fournisseurs.
Accorder à eux-mêmes un accès en lecture et en écriture à toutes les données du metastore.
Les administrateurs de metastore ont cette capacité indirectement, grâce à leur capacité à transférer la propriété de tous les objets. Il n’existe aucun accès direct par défaut. L’octroi d’autorisations est journalisé par audit.
Lire et mettre à jour les métadonnées de tous les objets du metastore.
Supprimer le metastore.
Les administrateurs de metastore sont les seuls utilisateurs qui peuvent accorder des privilèges sur le metastore lui-même.
Comme les administrateurs de metastore sont les seuls utilisateurs disposant de ces privilèges, vous devez affecter un administrateur de metastore si vous voulez utiliser les fonctionnalités suivantes :
- Modifier la propriété des catalogues une fois qu’une personne quitte l’entreprise.
- Gérer et déléguer des autorisations sur le script d’initialisation et la liste d’autorisation jar.
- Déléguer la possibilité de créer des catalogues et d’autres autorisations de niveau supérieur aux administrateurs non-espace de travail.
- Recevoir des données partagées via Delta Sharing.
- Supprimez les autorisations d’administrateur de l’espace de travail par défaut.
- Ajoutez un stockage managé au metastore, s’il n’en dispose pas. Consultez Ajouter un stockage managé à un metastore existant.
Qui dispose des privilèges Administrateur initiaux de metastore ?
Si un Administrateur de compte crée manuellement le metastore, cet Administrateur de compte est le propriétaire initial du metastore et l’Administrateur du metastore. Tous les metastores créés avant le 9 novembre 2023 ont été créés manuellement par un administrateur de compte.
Si le metastore a été approvisionné dans le cadre de l’activation automatique d’Unity Catalog, le metastore a été créé sans administrateur de metastore. Dans ce cas, les administrateurs d’espace de travail reçoivent automatiquement des privilèges qui rendent l’administrateur de metastore facultatif. Si nécessaire, les administrateurs de compte peuvent attribuer le rôle d’administrateur de metastore à un utilisateur, un principal de service ou un groupe. Les groupes sont fortement recommandés. Consultez Activation automatique d’Unity Catalog.
Attribuer un administrateur de metastore
Le rôle d’administrateur de metastore est un rôle hautement privilégié que vous devez distribuer avec attention. Ce nom est facultatif.
Les administrateurs de compte peuvent attribuer le rôle d’administrateur de metastore. Databricks recommande de nommer un groupe en tant qu’administrateur de metastore. En procédant ainsi, tout membre du groupe est automatiquement un administrateur de metastore.
Pour transférer le rôle d’administrateur de metastore à un groupe :
- En tant qu’administrateur de compte, connectez-vous à la console de compte.
- Cliquez sur Catalogue.
- Cliquez sur le nom d’un metastore pour ouvrir ses propriétés.
- Sous Administrateur de metastore, cliquez sur Modifier.
- Sélectionnez un groupe dans la liste déroulante. Vous pouvez entrer du texte dans le champ pour rechercher des options.
- Cliquez sur Enregistrer.
Important
Une modification d’attribution d’administrateur de metastore peut prendre jusqu’à 30 secondes pour être répercutée dans votre compte et prendre plus de temps dans certains espaces de travail que d’autres. Ce délai est dû à la mise en cache des protocoles.
Administrateurs de comptes
Le rôle d’administrateur de compte est un rôle hautement privilégié que vous devez distribuer avec attention. Les administrateurs de compte disposent des privilèges suivants :
- Peut créer des metastores et, par défaut, devenir l’administrateur initial du metastore.
- Lier des metastores à des espaces de travail.
- Attribuer le rôle d’administrateur de metastore.
- Peut accorder des privilèges sur les metastores.
- Peut activer Delta Sharing pour un metastore.
- Peut configurer vos informations d’identification de stockage.
- Activer les tables système et déléguer l’accès à ces tables.
Pour établir votre premier administrateur de compte Azure Databricks, consultez Établir votre premier administrateur de compte.
Administrateurs d'espace de travail
Le rôle d’administrateur d’espace de travail est un rôle hautement privilégié que vous devez distribuer avec attention. Les administrateurs d’espace de travail disposent des privilèges suivants :
- Peut ajouter des utilisateurs, des principaux de service et des groupes à un espace de travail.
- Peut déléguer d’autres administrateurs d’espace de travail.
- Peut gérer la propriété du travail. Voir Contrôler l’accès à un travail.
- Peut gérer le paramètre Exécuter en tant que du travail. Consultez Configurer l’identité pour les exécutions de projet.
- Peut afficher et gérer des notebooks, des tableaux de bord, des requêtes et d’autres objets d’espace de travail. Consultez Listes de contrôle d’accès.
Les administrateurs de compte peuvent restreindre les privilèges d’administration de l’espace de travail en utilisant le paramètre RestrictWorkspaceAdmins
. Consultez Restreindre les administrateurs de l’espace de travail.
Privilèges d’administrateur d’espace de travail lorsque les espaces de travail sont activés automatiquement pour Unity Catalog
Si votre espace de travail a été activé automatiquement pour Unity Catalog, l’espace de travail est attaché à un metastore par défaut. Pour plus d’informations, consultez Activation automatique d’Unity Catalog.
Si votre espace de travail a été activé automatiquement pour Unity Catalog, les administrateurs de l’espace de travail disposent des privilèges suivants sur le metastore par défaut attaché :
CREATE CATALOG
CREATE CLEAN ROOM
CREATE EXTERNAL LOCATION
CREATE SERVICE CREDENTIAL
CREATE STORAGE CREDENTIAL
CREATE CONNECTION
CREATE SHARE
CREATE RECIPIENT
CREATE PROVIDER
CREATE MATERIALIZED VIEW
Les administrateurs d’espace de travail sont les propriétaires par défaut du catalogue d’espaces de travail, si un catalogue d’espaces de travail a été approvisionné pour votre espace de travail. La propriété de ce catalogue accorde les privilèges suivants :
Gérer les privilèges ou transférer la propriété d’un objet dans le catalogue d’espaces de travail.
Cela comprend la possibilité de s’accorder à eux-mêmes l’accès en lecture et en écriture à toutes les données du catalogue (aucun accès direct par défaut ; l’octroi d’autorisations est journalisé par audit).
Transférer la propriété du catalogue d’espaces de travail lui-même.
Tous les utilisateurs de l’espace de travail reçoivent le privilège USE CATALOG
sur le catalogue d’espaces de travail. Les utilisateurs de l’espace de travail reçoivent également les privilèges USE SCHEMA
, CREATE TABLE
, CREATE VOLUME
, CREATE MODEL
, CREATE FUNCTION
et CREATE MATERIALIZED VIEW
sur le schéma default
dans le catalogue.
Remarque
Les privilèges par défaut accordés sur le metastore et le catalogue d’espaces de travail attachés ne sont pas conservés entre les espaces de travail (si, par exemple, le catalogue d’espaces de travail est également lié à un autre espace de travail).