Обновление до наследования привилегий

  • Статья

Если вы создали хранилище метаданных каталога Unity во время общедоступной предварительной версии (до 25 августа 2022 г.), можно обновить до версии 1.0. чтобы воспользоваться преимуществами наследования привилегий. Существующие рабочие нагрузки будут продолжать работать как есть, пока вы не обновите модель привилегий. Databricks рекомендует выполнить обновление до версии 1.0 для получения преимуществ наследования привилегий и новых функций.

Различия в модели привилегий версии 1.0

Модель привилегий версии 1.0 в каталоге Unity имеет следующие отличия от модели привилегий общедоступной предварительной версии:

  • Наследование привилегий. Привилегии модели привилегий версии 1.0 наследуются на дочерних защищаемых объектах. Это означает, что предоставление привилегий в каталоге автоматически предоставляет права всем текущим и будущим объектам в каталоге. Аналогичным образом привилегии, предоставленные схеме, наследуются всеми текущими и будущими объектами в этой схеме. В модели предварительной версии привилегии не наследуются на дочерних защищаемых объектах. Дополнительные сведения о наследовании привилегий см. в модели наследования.

  • ALL PRIVILEGES оценивается по-разному: в модели ALL PRIVILEGES привилегий общедоступной предварительной версии предоставляет субъекту все доступные привилегии во время предоставления привилегий. В модели привилегий версии 1.0 ALL PRIVILEGES разрешение расширяется до всех доступных привилегий во время проверки разрешений.

    В модели привилегий версии 1.0 при ALL PRIVILEGES отмене отзыва отменяется только ALL PRIVILEGES сама привилегия. Пользователи сохраняют другие привилегии, предоставленные им отдельно.

  • CREATE TABLE обновляется CREATE EXTERNAL TABLEдо: CREATE TABLE разрешение больше не применяется к внешним расположениям или учетным данным хранилища, которые необходимы для создания внешних таблиц. В модели привилегий версии 1.0 вместо этого вы предоставляете привилегии CREATE EXTERNAL TABLE для внешних расположений и учетных данных хранилища, чтобы разрешить пользователю создавать внешние таблицы с помощью этого внешнего расположения или учетных данных хранения.

  • CREATEудаляется: разрешение удаляется и заменяется следующими более конкретными привилегиями: CREATE CATALOG, , CREATE EXTERNAL LOCATION, CREATE SCHEMACREATE FUNCTION, CREATE TABLE. CREATE MANAGED STORAGECREATE

  • USAGE удаляется: USAGE разрешение удаляется и заменяется следующими более конкретными привилегиями: USE CATALOG и USE SCHEMA.

Обновление до модели привилегий версии 1.0

Предупреждение

Это действие нельзя отменить.

  1. Обновите все рабочие нагрузки, ссылающиеся на каталог Unity, чтобы использовать Databricks Runtime 11.3 LTS или более поздней версии.

    Необходимо обновить все кластеры, чтобы использовать Databricks Runtime 11.3 LTS или более поздней версии, и необходимо перезапустить все запущенные хранилища SQL. Если пропустить этот шаг, рабочие нагрузки в более ранних версиях Databricks Runtime будут отклонены после завершения обновления.

  2. Войдите в консоль учетной записи с правами администратора учетных записей.

  3. Щелкните Значок каталога каталог.

  4. Щелкните имя хранилища метаданных.

  5. В разделе " Модель привилегий " нажмите кнопку " Обновить"

  6. Нажмите кнопку " Обновить"

Если вы не видите возможность обновления, хранилище метаданных каталога Unity уже использует модель привилегий 1.0.

Обновление команд SQL (необязательно)

Databricks будет продолжать поддерживать гранты, выраженные с помощью старой модели привилегий, и автоматически сопоставлять их с эквивалентным грантом в модели привилегий версии 1.0. Однако привилегии, возвращаемые через SHOW GRANTS или information_schema данные, будут продолжать ссылаться на модель привилегий версии 1.0. Databricks рекомендует обновить существующий код, который выполняет предоставление ссылки на обновленную модель привилегий.

  • Замените привилегию CREATE TABLE на внешние расположения или учетные данные хранилища привилегией CREATE EXTERNAL TABLE .
  • Замените CREATE разрешение определенными привилегиямиCREATE CATALOG, , CREATE EXTERNAL LOCATIONили CREATE SCHEMACREATE FUNCTIONCREATE TABLE.
  • Замените USAGE разрешение определенными привилегиями USE CATALOG или USE SCHEMA.

Дополнительные сведения о модели привилегий каталога Unity см. в разделе "Привилегии каталога Unity" и защищаемые объекты