Privilegi e oggetti a protezione diretta del catalogo Unity
Questo articolo descrive gli oggetti a protezione diretta del catalogo Unity e i privilegi applicabili. Per informazioni su come concedere privilegi nel catalogo Unity, si veda Mostrare, concedere e revocare privilegi.
Nota
Questo articolo fa riferimento ai privilegi del catalogo Unity e al modello di ereditarietà nel modello di privilegio versione 1.0. Se è stato creato il metastore del catalogo Unity durante l'anteprima pubblica (prima del 25 agosto 2022), si potrebbe essere in un modello di privilegio precedente che non supporta il modello di ereditarietà corrente. È possibile eseguire l'aggiornamento al modello di privilegio versione 1.0 per ottenere l'ereditarietà dei privilegi. Si veda Eseguire l'aggiornamento all'ereditarietà dei privilegi.
Oggetti a protezione diretta nel catalogo Unity
Un oggetto a protezione diretta è un oggetto definito nel metastore del Catalogo Unity in cui è possibile concedere privilegi a un'entità di sicurezza (utente, entità servizio o gruppo). Gli oggetti a protezione diretta nel catalogo Unity sono gerarchici.
Gli oggetti a protezione diretta sono:
METASTORE: contenitore di primo livello per i metadati. Ogni metastore del catalogo Unity espone uno spazio dei nomi a tre livelli (
catalog.schema.table) che organizza i dati.Quando si gestiscono i privilegi in un metastore, non si include il nome del metastore in un comando SQL. Il catalogo Unity concede o revoca il privilegio nel metastore collegato all'area di lavoro. Ad esempio, il comando seguente concede a un gruppo denominato engineering la possibilità di creare un catalogo nel metastore collegato all'area di lavoro:
GRANT CREATE CATALOG ON METASTORE TO engineeringCATALOGO: primo livello della gerarchia di oggetti, usato per organizzare gli asset di dati. Un catalogo esterno è un tipo di catalogo speciale che rispecchia un database in un sistema dati esterno in uno scenario di federazione Lakehouse.
SCHEMA: noti anche come database, gli schemi sono il secondo livello della gerarchia di oggetti e contengono tabelle e viste.
TABELLA: il livello più basso nella gerarchia degli oggetti, le tabelle possono essere esterne (archiviate in posizioni esterne nell'archiviazione cloud preferita) o tabelle gestite (archiviate in un contenitore di archiviazione nell'archiviazione cloud create in modo esplicito per Azure Databricks).
VISTA: oggetto di sola lettura creato da una query su una o più tabelle contenute in uno schema.
VISTA MATERIALIZZATA: oggetto di sola lettura creato da una o più tabelle contenute all'interno di uno schema. I risultati riflettono lo stato dei dati durante l'ultimo aggiornamento.
VOLUME: il livello più basso nella gerarchia degli oggetti, i volumi possono essere esterni (archiviati in posizioni esterne nell'archiviazione cloud preferita) o gestiti (archiviati in un contenitore di archiviazione nell'archiviazione cloud creato in modo esplicito per Azure Databricks).
FUNZIONE: una funzione definita dall'utente o un modello registrato da MLflow contenuto in uno schema.
Modello: un modello registrato MLflow è un tipo specifico di funzione. I modelli vengono elencati separatamente da altre funzioni in Esplora cataloghi, ma quando si concede un privilegio a un modello usando SQL, si usa
GRANT ON FUNCTION.POSIZIONE ESTERNA: oggetto che contiene un riferimento a una credenziale di archiviazione e a un percorso di archiviazione cloud contenuto in un metastore del Catalogo Unity.
SERVICE CREDENTIAL: oggetto che incapsula una credenziale cloud a lungo termine che fornisce l'accesso a un servizio esterno. Contenuto in un metastore del catalogo Unity.
CREDENZIALI DI ARCHIVIAZIONE: oggetto che incapsula una credenziale cloud a lungo termine che fornisce l'accesso all'archiviazione cloud contenuta in un metastore del Catalogo Unity.
CONNESSIONE: oggetto che specifica un percorso e le credenziali per l'accesso a un sistema di database esterno in uno scenario di federazione di lakehouse.
CONDIVISIONE: raggruppamento logico per le tabelle che si intende condividere tramite la condivisione Delta. Una condivisione è contenuta all'interno di un metastore del catalogo Unity.
DESTINATARIO: oggetto che identifica un'organizzazione o un gruppo di utenti che possono avere dati condivisi con loro usando la condivisione differenziale. Questi oggetti sono contenuti all'interno di un metastore del catalogo Unity.
PROVIDER: oggetto che rappresenta un'organizzazione che ha reso disponibili i dati per la condivisione tramite la condivisione delta. Questi oggetti sono contenuti all'interno di un metastore del catalogo Unity.
CLEAN ROOM: oggetto che rappresenta un ambiente protetto e protetto dalla privacy, gestito da Databricks, in cui più parti possono collaborare senza accesso diretto ai dati dell'altro.
Tipi di privilegi per oggetto a protezione diretta nel Catalogo Unity
La tabella seguente elenca i tipi di privilegio applicabili a ogni oggetto a protezione diretta nel Catalogo Unity. Per informazioni su come concedere privilegi nel catalogo Unity, si veda Mostrare, concedere e revocare privilegi.
| Entità a protezione diretta | Privilegi |
|---|---|
| Metastore | CREATE CATALOG, CREATE CLEAN ROOM, , CREATE EXTERNAL LOCATION, CREATE PROVIDER, CREATE RECIPIENTCREATE SHARE, ,CREATE SERVICE CREDENTIAL , SET SHARE PERMISSIONUSE RECIPIENTUSE PROVIDERUSE MARKETPLACE ASSETSCREATE STORAGE CREDENTIALCREATE CONNECTIONUSE SHARE |
| Catalogo | ALL PRIVILEGES, APPLY TAG, BROWSE, CREATE SCHEMAUSE CATALOGPer impostazione predefinita, tutti gli utenti dispongono di USE CATALOG del catalogo main.I seguenti tipi di privilegi si applicano agli oggetti proteggibili di un catalogo. È possibile concedere questi privilegi a livello di catalogo per applicarli agli oggetti correnti e futuri nel catalogo. CREATE FUNCTIONCREATE MATERIALIZED VIEW, CREATE TABLE, CREATE MODEL, CREATE VOLUME, EXTERNAL USE SCHEMA, READ VOLUME, REFRESHWRITE VOLUME, , EXECUTEMODIFY, , SELECTUSE SCHEMA |
| Schema | ALL PRIVILEGES, APPLY TAG, CREATE FUNCTION, CREATE TABLE, CREATE MODELCREATE VOLUME, CREATE MATERIALIZED VIEW, , EXTERNAL USE SCHEMAUSE SCHEMAI seguenti tipi di privilegi si applicano agli oggetti a protezione diretta di uno schema. È possibile concedere questi privilegi a livello di schema per applicarli agli oggetti attuali e futuri dello schema. EXECUTE, MODIFY, READ VOLUME, REFRESH, SELECTWRITE VOLUME |
| Tabella | ALL PRIVILEGES, APPLY TAG, MODIFYSELECT |
| Vista materializzata | ALL PRIVILEGES, APPLY TAG, REFRESHSELECT |
| Visualizza | ALL PRIVILEGES, APPLY TAG, SELECT |
| Volume | ALL PRIVILEGES, READ VOLUME, WRITE VOLUME |
| Posizione esterna | ALL PRIVILEGES, BROWSE, CREATE EXTERNAL TABLE, CREATE EXTERNAL VOLUMEREAD FILES, , WRITE FILESCREATE MANAGED STORAGE |
| Credenziali del servizio | ALL PRIVILEGES, ACCESS, CREATE CONNECTION. |
| Credenziali di archiviazione | ALL PRIVILEGES, CREATE EXTERNAL LOCATION, CREATE EXTERNAL TABLE, READ FILESWRITE FILES |
| Connessione | ALL PRIVILEGES, CREATE FOREIGN CATALOG, USE CONNECTION |
| Funzione | ALL PRIVILEGES, APPLY TAG (solo modelli), EXECUTE |
| Modello | I modelli registrati sono un tipo di funzione. |
| Condivisione | SELECT (Può essere concesso a RECIPIENT) |
| Recipient | Nessuno |
| Provider | None |
| Clean room | ALL PRIVILEGES, BROWSE, EXECUTE CLEAN ROOM TASKMODIFY CLEAN ROOM |
Tipi di privilegi generali del catalogo Unity
Questa sezione fornisce informazioni dettagliate sui tipi di privilegio che si applicano in genere al catalogo Unity. Per informazioni su come concedere privilegi nel catalogo Unity, si veda Mostrare, concedere e revocare privilegi.
TUTTI I PRIVILEGI
Tipi di oggetto applicabili:: CATALOG, EXTERNAL LOCATION, STORAGE CREDENTIAL, SCHEMA, FUNCTION (compresi i modelli) TABLE, MATERIALIZED VIEW, VIEW,VOLUME
Usato per concedere o revocare tutti i privilegi applicabili all'oggetto a protezione diretta e ai relativi oggetti figlio senza specificarli in modo esplicito.
Quando si concede ALL PRIVILEGES a un oggetto, non si concedono individualmente all'utente tutti i privilegi applicabili al momento della concessione. Piuttosto, vengono estesi tutti i privilegi disponibili nel momento in cui viene effettuato il controllo dei permessi. Ciò significa che, man mano che Databricks rilascia nuovi privilegi e nuovi oggetti a protezione diretta, una concessione esistente ALL PRIVILEGES include automaticamente tutti i nuovi privilegi applicabili all'oggetto a protezione diretta, ai relativi oggetti figlio esistenti e a tutti i nuovi oggetti figlio.
Quando viene revocato ALL PRIVILEGES, il privilegio ALL PRIVILEGES viene revocato così come anche tutti i privilegi espliciti concessi all'utente nell'oggetto.
Per evitare un’accidentale esfiltrazione di dati, ALL PRIVILEGES non include il privilegio EXTERNAL USE SCHEMA.
Nota
Questo privilegio è potente se applicato a livelli più elevati nella gerarchia. Ad esempio, GRANT ALL PRIVILEGES ON CATALOG principalmente TO analysts concede al team analista tutti i privilegi esistenti e futuri per ogni oggetto a protezione diretta esistente e futuro nel catalogo.
ACCESS
Tipi di oggetti applicabili: SERVICE CREDENTIAL
Consente a un utente di usare le credenziali di un servizio per accedere a un servizio o a servizi esterni.
APPLICARE TAG
Tipi di oggetto applicabili: CATALOG, SCHEMA, TABLE, VOLUME, MATERIALIZED VIEW, VIEW, modelli registrati come FUNCTION
Consente a un utente di aggiungere e modificare tag in un oggetto. La concessione di APPLY TAG a una tabella o a una vista abilita anche l'assegnazione di tag alle colonne. La concessione di APPLY TAG a un modello registrato abilita anche l'assegnazione di tag alla versione del modello.
L'utente deve inoltre disporre del privilegio USE CATALOG per il catalogo padre e il privilegio USE SCHEMA per lo schema padre.
BROWSE
Tipi di oggetti applicabili: CATALOG, EXTERNAL LOCATION, CLEAN ROOM
Importante
Questa funzionalità è disponibile in anteprima pubblica.
Consente a un utente di visualizzare i metadati di un oggetto usando Esplora cataloghi, il browser dello schema, i risultati della ricerca, il grafico di derivazione, information_schema e l'API REST.
L'utente non richiede il privilegio USE CATALOG per il catalogo padre e il privilegio USE SCHEMA per lo schema padre.
A tutti gli utenti viene concesso il privilegio BROWSE per impostazione predefinita nei nuovi cataloghi creati tramite Esplora cataloghi. Se si preferisce, è possibile revocare il privilegio. I cataloghi creati usando istruzioni SQL, l'API REST o l'interfaccia della riga di comando di Databricks non concedono il privilegio BROWSE per impostazione predefinita. È necessario concederlo apertamente.
CREATE CATALOG:
Tipi di oggetto applicabili: metastore del catalogo Unity
Consente a un utente di creare un catalogo in un metastore del Catalogo Unity. Per creare un catalogo esterno, è necessario disporre anche del privilegio CREATE FOREIGN CATALOG per la connessione che contiene il catalogo esterno o nel metastore.
CREATE CLEAN ROOM
Tipi di oggetto applicabili: metastore del catalogo Unity
Consente a un utente di creare una clean room per collaborare in modo sicuro ai progetti con altre organizzazioni senza condividere i dati sottostanti.
CREATE CONNECTION
Tipi di oggetto applicabili: metastore del catalogo Unity, SERVICE CREDENTIAL
Consente a un utente di creare una connessione a un database esterno in uno scenario Lakehouse Federation. Per usare le credenziali del servizio per creare una connessione, l'utente deve disporre di questo privilegio sia per il metastore che per le credenziali del servizio.
CREATE EXTERNAL LOCATION
Tipi di oggetto applicabili: metastore del catalogo Unity, STORAGE CREDENTIAL
Per creare un percorso esterno, l'utente deve avere questo privilegio sia per il metastore che per le credenziali di archiviazione a cui viene fatto riferimento nella posizione esterna.
CREATE EXTERNAL TABLE
Tipi di oggetti applicabili: EXTERNAL LOCATION, STORAGE CREDENTIAL
Consente a un utente di creare tabelle esterne direttamente nel tenant cloud usando una posizione esterna o credenziali di archiviazione. Databricks consiglia di concedere questo privilegio in una posizione esterna anziché in una credenziale di archiviazione (poiché ha come ambito un percorso, consente un maggiore controllo sulla posizione in cui gli utenti possono creare tabelle esterne nel tenant cloud).
CREATE EXTERNAL VOLUME
Tipi di oggetti applicabili: EXTERNAL LOCATION
Consente all'utente di creare volumi esterni utilizzando una posizione esterna.
CREATE FOREIGN CATALOG
Tipi di oggetti applicabili: CONNECTION
Consente all'utente di creare cataloghi esterni utilizzando una connessione a un database esterno in uno scenario di federazione Lakehouse.
CREATE FUNCTION
Tipi di oggetti applicabili: SCHEMA
Consente all'utente di creare una funzione nello schema. Poiché i privilegi vengono ereditati, CREATE FUNCTION può anche essere concesso per un catalogo, il che consente all'utente di creare una funzione in qualsiasi schema esistente o futuro del catalogo.
L'utente deve inoltre disporre del privilegio USE CATALOG per il catalogo padre e il privilegio USE SCHEMA per lo schema padre.
CREATE MODEL
Tipi di oggetti applicabili: SCHEMA
Consente a un utente di creare un modello registrato MLflow (che è un tipo di FUNZIONE) nello schema. Poiché i privilegi vengono ereditati, CREATE MODEL può anche essere concesso per un catalogo, il che consente all'utente di creare un modello registrato in qualsiasi schema esistente o futuro nel catalogo.
L'utente deve inoltre disporre del privilegio USE CATALOG per il catalogo padre e il privilegio USE SCHEMA per lo schema padre.
CREATE MANAGED STORAGE
Tipi di oggetti applicabili: EXTERNAL LOCATION
Consente a un utente di specificare un percorso per l'archiviazione di tabelle gestite a livello di catalogo o schema, sostituendo l'archiviazione radice predefinita per il metastore.
CREATE SCHEMA
Tipi di oggetti applicabili: CATALOG
Consente a un utente di creare uno schema. L'utente deve anche avere il USE CATALOG privilegio nel catalogo.
CREATE SERVICE CREDENTIAL
Tipi di oggetto applicabili: metastore del catalogo Unity
Consente a un utente di creare credenziali del servizio in un metastore del catalogo Unity.
CREATE STORAGE CREDENTIAL
Tipi di oggetto applicabili: metastore del catalogo Unity
Consente a un utente di creare credenziali di archiviazione in un metastore del Catalogo Unity.
Non è possibile concedere a un'entità servizio un ID Microsoft Entra o un'entità servizio nativa di Azure Databricks.
CREATE TABLE
Tipi di oggetti applicabili: SCHEMA
Consente a un utente di creare una tabella o una vista nello schema. Poiché i privilegi vengono ereditati, CREATE TABLE possono essere concessi anche in un catalogo, che consente a un utente di creare una tabella o una vista in qualsiasi schema esistente o futuro nel catalogo.
L'utente deve inoltre disporre del privilegio USE CATALOGper il catalogo padre e il privilegio USE SCHEMA per lo schema padre.
CREATE MATERIALIZED VIEW
Tipi di oggetti applicabili: SCHEMA
Consente a un utente di creare una vista materializzata nello schema. Poiché i privilegi vengono ereditati, CREATE MATERIALIZED VIEW possono essere concessi anche in un catalogo, che consente a un utente di creare una tabella o una vista in qualsiasi schema esistente o futuro nel catalogo.
L'utente deve inoltre disporre del privilegio USE CATALOGper il catalogo padre e il privilegio USE SCHEMA per lo schema padre.
CREATE VOLUME
Tipi di oggetti applicabili: SCHEMA
Consente a un utente di creare un volume nello schema. Poiché i privilegi vengono ereditati, CREATE VOLUME può anche essere concesso per un catalogo, il che consente a nu utente di creare un volume in qualsiasi schema esistente o futuro nel catalogo.
L'utente deve inoltre disporre del privilegio USE CATALOG per il catalogo padre del volume e il privilegio USE SCHEMA per lo schema padre.
EXECUTE
Tipi di oggetti applicabili: FUNCTION, Modelli
Consente a un utente di richiamare una funzione definita dall'utente o di caricare un modello per l'inferenza, se l'utente ha USE CATALOG anche nel catalogo padre e USE SCHEMA nel relativo schema padre. Per le funzioni, EXECUTE concede la possibilità di visualizzare la definizione e i metadati della funzione. Per i modelli registrati, EXECUTE concede la possibilità di visualizzare i metadati per tutte le versioni del modello registrato e di scaricare i file del modello.
Poiché i privilegi vengono ereditati, è possibile concedere a un utente il privilegio EXECUTE per un catalogo o uno schema, che concede automaticamente all'utente il privilegio EXECUTE per tutte le funzioni correnti e future nel catalogo o nello schema.
EXECUTE CLEAN ROOM TASK
Tipi di oggetti applicabili: CLEAN ROOM
Consente a un utente di eseguire attività (notebook) in una clean room. Consente inoltre all'utente di visualizzare i dettagli della clean room.
EXTERNAL USE SCHEMA
Tipi di oggetti applicabili: SCHEMA
Consente a un utente di concedere credenziali temporanee per accedere alle tabelle del catalogo Unity da un motore di elaborazione esterno usando le API aperte del catalogo Unity o le API REST Iceberg.
Solo il proprietario del catalogo può concedere questo privilegio.
Per evitare un’accidentale esfiltrazione di dati, ALL PRIVILEGES non include il privilegio EXTERNAL USE SCHEMA e i proprietari dello schema non dispongono di questo privilegio per impostazione predefinita.
Si veda Controllare l'accesso esterno ai dati nel catalogo Unity.
MANAGE ALLOWLIST
Tipi di oggetto applicabili: metastore del catalogo Unity
Consente a un utente di aggiungere o modificare percorsi per script init, JAR e coordinate Maven nell'elenco di elementi consentiti che regola i cluster abilitati per il catalogo Unity con la modalità di accesso condiviso. Si veda Librerie Allowlist e script di init su calcolo condiviso.
MODIFY
Tipi di oggetti applicabili: TABLE
Consente a un utente di aggiungere, aggiornare ed eliminare dati da o verso la tabella se l'utente ha SELECT anche nella tabella, nonché USE CATALOG nel catalogo padre e USE SCHEMA nel relativo schema padre.
Poiché i privilegi vengono ereditati, è possibile concedere a un utente il privilegio MODIFY per un catalogo o uno schema, che concede automaticamente all'utente il privilegio MODIFY per tutte le tabelle correnti e future nel catalogo o nello schema.
MODIFY CLEAN ROOM
Tipi di oggetti applicabili: CLEAN ROOM
Consente a un utente di aggiornare una clean room, inclusa l'aggiunta e la rimozione di asset di dati, l'aggiunta e la rimozione di notebook e l'aggiornamento dei commenti. Consente inoltre all'utente di visualizzare i dettagli della clean room.
READ FILES
Tipi di oggetti applicabili: VOLUME, EXTERNAL LOCATION
Consente a un utente di leggere i file direttamente dall'archiviazione oggetti cloud. Databricks consiglia di concedere questo privilegio ai volumi e di concedere in posizioni esterne per casi d'uso limitati. Per altre indicazioni, si veda Gestire percorsi esterni, tabelle esterne e volumi esterni.
READ VOLUME
Tipi di oggetti applicabili: VOLUME
Consente a un utente di leggere file e directory archiviati all'interno di un volume se l'utente dispone anche di USE CATALOG del catalogo padre e di USE SCHEMA del relativo schema padre.
I privilegi vengono ereditati. Quando si concede a un utente il privilegio READ VOLUME per un catalogo o uno schema, a quell’utente viene automaticamente concesso il privilegio READ VOLUME per tutti i volumi correnti e futuri nel catalogo o nello schema.
REFRESH
Tipi di oggetti applicabili: MATERIALIZED VIEW
Consente a un utente di aggiornare una vista materializzata se l'utente dispone anche di USE CATALOG del catalogo padre e di USE SCHEMA del relativo schema padre.
I privilegi vengono ereditati. Quando si concede il privilegio REFRESH su un catalogo o uno schema a un utente, gli si concede automaticamente il privilegio REFRESH su tutte le viste materializzate attuali e future del catalogo o dello schema.
SELECT
Tipi di oggetti applicabili: TABLE, VIEW, MATERIALIZED VIEW, SHARE
Se applicato a una tabella o a una vista, consente all'utente di selezionare dalla tabella o dalla vista, se l'utente ha anche USE CATALOG nel catalogo padre e USE SCHEMA nello schema padre. Se applicato a una condivisione, consente a un destinatario di selezionare dalla condivisione.
Poiché i privilegi vengono ereditati, è possibile concedere a un utente il privilegio SELECT per un catalogo o uno schema, che concede automaticamente all'utente il privilegio SELECT per tutte le tabelle e le viste correnti e future nel catalogo o nello schema.
USE CATALOG
Tipi di oggetti applicabili: CATALOG
Questo privilegio non garantisce l'accesso al catalogo stesso, ma è necessario per consentire a un utente di interagire con qualsiasi oggetto all'interno del catalogo. Ad esempio, per selezionare i dati da una tabella, gli utenti devono avere il privilegio SELECTsu quella tabella e i privilegi USE CATALOGsul suo catalogo padre, nonché i privilegi USE SCHEMA per lo schema padre.
Ciò è utile per consentire ai proprietari del catalogo di essere in grado di limitare la distanza tra singoli schemi e proprietari di tabelle in grado di condividere i dati prodotti. Ad esempio, il proprietario di una tabella che concede SELECT a un altro utente non gli consente di accedere in lettura alla tabella a meno che non gli siano stati concessi anche i privilegi USE CATALOG sul catalogo padre e i privilegi USE SCHEMA sullo schema padre.
Il privilegio USE CATALOG per il catalogo padre non è necessario per leggere i metadati di un oggetto se l'utente dispone del privilegio BROWSE per quel catalogo.
USE CONNECTION
Tipi di oggetti applicabili: CONNECTION
Consente all'utente di elencare e visualizzare i dettagli delle connessioni a un database esterno in uno scenario di federazione Lakehouse. Per creare cataloghi stranieri per una connessione, è necessario disporre CREATE FOREIGN CATALOG della connessione o della proprietà della connessione.
USE SCHEMA
Tipi di oggetti applicabili: SCHEMA
Questo privilegio non garantisce l'accesso allo schema stesso, ma è necessario per consentire a un utente di interagire con qualsiasi oggetto all'interno dello schema. Ad esempio, per selezionare i dati da una tabella, gli utenti devono avere il privilegio SELECT su quella tabella e USE SCHEMA così come anche USE CATALOG sullo schema padre e sul catalogo padre.
Poiché i privilegi sono ereditati, è possibile concedere a un utente il privilegio USE SCHEMA su un catalogo, che automaticamente concede all'utente il privilegio USE SCHEMA su tutti gli schemi attuali e futuri del catalogo.
Il privilegio USE SCHEMA per lo schema padre non è necessario per leggere i metadati di un oggetto se l'utente dispone del privilegio BROWSE per quello schema o per il catalogo padre.
WRITE FILES
Tipi di oggetti applicabili: VOLUME,EXTERNAL LOCATION
Consente all'utente di scrivere file direttamente nell'archivio oggetti del cloud Databricks consiglia di concedere questo privilegio ai volumi. Concedete questo privilegio con cautela alle postazioni esterne. Per altre indicazioni, si veda Gestire percorsi esterni, tabelle esterne e volumi esterni.
WRITE VOLUME
Tipi di oggetti applicabili: VOLUME
Consente a un utente di aggiungere, eliminare o modificare file e directory archiviati all'interno di un volume se l'utente dispone anche di USE CATALOG del catalogo padre e di USE SCHEMA del relativo schema padre.
I privilegi vengono ereditati. Quando si concede a un utente il privilegio WRITE VOLUME per un catalogo o uno schema, a quell’utente viene automaticamente concesso il privilegio WRITE VOLUME per tutti i volumi correnti e futuri nel catalogo o nello schema.
Tipi di privilegi che si applicano solo alla condivisione differenziale o a Databricks Marketplace
Questa sezione fornisce informazioni dettagliate sui tipi di privilegi applicabili solo alla condivisione Delta.
CREATE PROVIDER
Tipi di oggetto applicabili: metastore del catalogo Unity
Consente a un utente di creare un oggetto provider di condivisione delta nel metastore. Un provider identifica un'organizzazione o un gruppo di utenti che dispongono di dati condivisi tramite la condivisione differenziale. La creazione del provider viene eseguita da un utente nell'account Databricks del destinatario. Si veda Che cos'è Delta Sharing?.
CREATE RECIPIENT
Tipi di oggetto applicabili: metastore del catalogo Unity
Consente a un utente di creare un oggetto destinatario di condivisione delta nel metastore. Il destinatario identifica un'organizzazione o un gruppo di utenti che possono avere dati condivisi con loro usando la condivisione differenziale. La creazione del destinatario viene eseguita da un utente nell'account Databricks del provider. Si veda Che cos'è Delta Sharing?.
CREATE SHARE
Tipi di oggetto applicabili: metastore del catalogo Unity
Consente a un utente di creare una condivisione nel metastore. Una condivisione è raggruppamento logico per le tabelle che si intende condividere tramite la condivisione Delta.
SET SHARE PERMISSION
Tipi di oggetto applicabili: metastore del catalogo Unity
In Delta Sharing, questo privilegio, combinato con USE SHARE e USE RECIPIENT (o proprietà del destinatario), offre a un utente del provider la possibilità di concedere a un destinatario l'accesso a una condivisione. In combinazione con USE SHARE, consente di trasferire la proprietà di una condivisione a un altro utente, gruppo o entità servizio.
USE MARKETPLACE ASSETS
Tipi di oggetto applicabili: metastore del catalogo Unity
Abilitato per impostazione predefinita per tutti i metastore del catalogo Unity. In Databricks Marketplace, questo privilegio offre a un utente la possibilità di ottenere l'accesso immediato o richiedere l'accesso per i prodotti dati condivisi in una presentazione del Marketplace. Consente, inoltre, a un utente di accedere al catalogo di sola lettura creato quando un provider condivide un prodotto dati. Senza questo privilegio, l'utente richiederà i privilegi CREATE CATALOG e USE PROVIDER o il ruolo di amministratore del metastore. In questo modo è possibile limitare il numero di utenti con tali autorizzazioni avanzate.
USE PROVIDER
Tipi di oggetto applicabili: metastore del catalogo Unity
In Delta Sharing consente a un utente destinatario di accedere in sola lettura a tutti i provider in un metastore destinatario e alle relative condivisioni. In combinazione con il privilegio CREATE CATALOG, questo privilegio consente a un utente destinatario che non è un amministratore del metastore di montare una condivisione come catalogo. In questo modo è possibile limitare il numero di utenti con il potente ruolo di amministratore del metastore.
USE RECIPIENT
Tipi di oggetto applicabili: metastore del catalogo Unity
In Delta Sharing, consente a un utente del provider di accedere in sola lettura a tutti i destinatari di un metastore del provider e alle loro condivisioni. Ciò consente a un utente del provider che non è un amministratore del metastore di visualizzare i dettagli del destinatario, lo stato di autenticazione del destinatario e l'elenco delle condivisioni del provider con il destinatario.
In Databricks Marketplace, questo offre agli utenti del provider la possibilità di visualizzare presentazioni e richieste consumer nella console provider.
USE SHARE
Tipi di oggetto applicabili: metastore del catalogo Unity
In Delta Sharing, consente a un utente del provider di accedere in sola lettura a tutte le condivisioni definite in un metastore del provider. Ciò consente a un utente del provider che non è un amministratore del metastore di elencare le condivisioni e di elencare le risorse (tabelle e notebook) in una condivisione, insieme ai destinatari della condivisione.
In Databricks Marketplace, questo permette agli utenti del provider di visualizzare i dettagli dei dati condivisi in un elenco.