Unity Catalog の権限とセキュリティ保護可能なオブジェクト

  • [アーティクル]

適用対象: 「はい」のチェック マーク Databricks SQL Databricks Runtime 「はい」のチェック マーク Unity Catalog のみ

権限は、メタストア内のセキュリティ保護可能なオブジェクトを操作するためにプリンシパルに付与される権限です。 権限モデルとセキュリティ保護可能なオブジェクトは、Unity Catalog メタストアとレガシの Hive メタストアのどちらを使用しているかによって異なります。 この記事では、Unity Catalog の権限モデルについて説明します。 Hive メタストアを使用している場合は、「Hive メタストアの権限とセキュリティ保護可能なオブジェクト」を参照してください

注意

この記事では、特権モデル バージョン 1.0 の Unity Catalog の特権と継承モデルについて説明します。 パブリック プレビュー中 (2022 年 8 月 25 日より前) に Unity Catalog メタストアを作成した場合は、現在の継承モデルをサポートしていない以前の特権モデルを使用している可能性があります。 特権モデル バージョン 1.0 にアップグレードして、特権の継承を取得できます。 「特権継承へのアップグレード」を参照してください。

セキュリティ保護可能なオブジェクト

セキュリティ保護可能なオブジェクトは、プリンシパルに権限を付与できる Unity Catalog メタストアで定義されているオブジェクトです。 オブジェクトに対する権限を管理するには、その所有者である必要があります。

構文

securable_object
  { CATALOG [ catalog_name ] |
    CONNECTION connection_name |
    CLEAN ROOM clean_room_name |
    EXTERNAL LOCATION location_name |
    FUNCTION function_name |
    METASTORE |
    SCHEMA schema_name |
    SHARE share_name |
    STORAGE CREDENTIAL credential_name |
    [ TABLE ] table_name |
    MATERIALIZED VIEW view_name |
    VIEW view_name |
    VOLUME volume_name
  }

CONNECTION の代わりに SERVERSCHEMA の代わりに DATABASE を指定することもできます。

パラメーター

  • CATALOGcatalog_name

    データ カタログ全体へのアクセスを制御します。

  • CLEAN ROOM clean_room_name

    クリーン ルームへのアクセスを制御します。

  • CONNECTION 接続名

    接続へのアクセスを制御します。

  • EXTERNAL LOCATIONlocation_name

    外部の場所へのアクセスを制御します。

  • FUNCTIONfunction_name

    ユーザー定義関数へのアクセスを制御します。

  • MATERIALIZED VIEWview_name

    具体化されたビューへのアクセスを制御します。

  • METASTORE

    ワークスペースにアタッチされている Unity Catalog メタストアへのアクセスを制御します。 メタストアの権限を管理する場合、SQL コマンドにメタストア名を含めないでください。 Unity Catalog は、ワークスペースにアタッチされているメタストアに対する権限を付与または取り消します。

  • REGISTERED MODEL

    MLflow 登録済みモデルへのアクセスを制御します。

  • SCHEMAschema_name

    スキーマへのアクセスを制御します。

  • STORAGE CREDENTIALcredential_name

    ストレージ資格情報へのアクセスを制御します。

  • SHAREshare_name

    受信者に対し、共有へのアクセスを制御します。

  • TABLEtable_name

    マネージドまたは外部のテーブルへのアクセスを制御します。 テーブルが見つからない場合、Azure Databricks で TABLE_OR_VIEW_NOT_FOUND エラーが発生します。

  • VIEWview_name

    ビューへのアクセスを制御します。 ビューが見つからない場合、Azure Databricks では TABLE_OR_VIEW_NOT_FOUND エラーが生じます。

  • VOLUMEvolume_name

    ボリュームへのアクセスを制御します。 ボリュームが見つからない場合、Azure Databricks によってエラーが発生します。

特権の種類

特権の種類の一覧については、「Unity Catalog の特権とセキュリティ保護可能なオブジェクト」を参照してください。

-- Grant a privilege to the user alf@melmak.et
> GRANT SELECT ON TABLE t TO `alf@melmak.et`;

-- Revoke a privilege from the general public group.
> REVOKE USE SCHEMA ON SCHEMA some_schema FROM `alf@melmak.et`;