Hantera objektägarskap i Unity Catalog
Varje skyddsbart objekt i Unity Catalog har en ägare. Ägaren kan vara vilket huvudnamn som helst: en användare, tjänstens huvudnamn eller kontogrupp. Det huvudnamn som skapar ett objekt blir dess första ägare. Ett objekts ägare har alla behörigheter för objektet, till exempel SELECT och MODIFY i en tabell, utöver behörigheten att bevilja behörigheter till andra huvudkonton. Ett objekts ägare har möjlighet att släppa objektet.
Ägarbehörigheter
Ägare av ett objekt beviljas automatiskt alla behörigheter för objektet. Dessutom kan objektägare bevilja behörigheter för själva objektet och för alla underordnade objekt. Det innebär att ägare av ett schema inte automatiskt har alla behörigheter för tabellerna i schemat, men de kan ge sig själva behörigheter för tabellerna i schemat.
Kommentar
Det finns ett undantag till regeln att ägare har alla behörigheter för ett objekt: för att undvika oavsiktlig dataexfiltrering har schemaägare inte behörigheten EXTERNAL USE SCHEMA som standard. Se Kontrollera extern åtkomst till data i Unity Catalog.
Metaarkiv och katalogägarskap
Metaarkivadministratörer är ägare till metaarkivet. Administratörsrollen för metaarkivet är valfri. Metaarkivadministratörer kan tilldela om ägarskapet för metaarkivet genom att överföra administratörsrollen för metaarkivet, se Tilldela en metaarkivadministratör.
Om din arbetsyta aktiverades automatiskt för Unity Catalog kopplas arbetsytan till ett metaarkiv som standard och en arbetsytekatalog skapas för arbetsytan i metaarkivet. Arbetsyteadministratörer är standardägare och kan tilldela om ägarskapet för arbetsytekatalogen. På dessa arbetsytor finns det ingen metaarkivadministratör tilldelad som standard, men kontoadministratörer kan bevilja administratörsrollen för metaarkivet om det behövs. Se Metaarkivadministratörer.
Mer information om administratörsbehörigheter i Unity Catalog finns i Administratörsbehörigheter i Unity Catalog.
Visa ett objekts ägare
Du kan använda Catalog Explorer - eller SQL-instruktioner för att visa ett objekts ägare.
Behörigheter som krävs: Alla användare med BROWSE behörighet för objektet eller en överordnad objekt kan visa objektets ägare.
Katalogutforskaren
På din Azure Databricks-arbetsyta klickar du på
Katalog.Välj objektet, till exempel en katalog, ett schema, en tabell, en vy, en volym, en extern plats eller lagringsautentiseringsuppgifter.
Hur du navigerar till objektet beror på objektet. Kataloger, scheman och innehållet i scheman (till exempel tabeller och volymer) kan väljas i det vänstra katalogfönstret . Du hittar andra objekt, till exempel externa platser eller deltadelningsresurser, genom att
klicka på kugghjulsikonen ovanför fönstret Katalog och välja objektkategorin på menyn.För de flesta objekt visas ägaren på fliken Översikt på objektinformationssidan. För vissa objekt, till exempel externa platser, visas det överst på objektinformationssidan.
SQL
Kör följande SQL-kommando i en notebook- eller SQL-frågeredigerare. Ersätt platshållarvärdena:
<securable-type>: Typen av skyddsbar, till exempelCATALOGellerTABLE.<catalog>: Den överordnade katalogen om du visar ett schema eller innehållet i ett schema.<schema>: Det överordnade schemat om du visar innehållet i ett schema, till exempel en tabell eller vy.<securable-name>: Namnet på det skyddsbara objektet.
DESCRIBE <securable-type> EXTENDED <catalog>.<schema>.<securable-name>;
Överför projektägarskap
Du kan använda Catalog Explorer - eller SQL-instruktioner för att visa ett objekts ägare.
Behörigheter som krävs: Du kan överföra objektägarskap om du är den aktuella ägaren, en metaarkivadministratör eller containerns ägare (katalogen för ett schema, schemat för en tabell). Deltadelningsresursobjekt är ett undantag: huvudnamn med USE SHARE behörigheterna och SET SHARE PERMISSION kan också överföra ägarskapet för resursen.
Kommentar
För att förhindra behörighetseskaleringar kan endast en metstore-administratör överföra ägarskapet för en vy, funktion eller modell till alla användare, tjänstens huvudnamn eller grupper i kontot. Nuvarande ägare är begränsade till att överföra ägarskapet till sitt användarnamn eller till en grupp som de är medlemmar i.
Katalogutforskaren
På din Azure Databricks-arbetsyta klickar du på
Katalog.Välj objektet, till exempel en katalog, ett schema, en tabell, en vy, en extern plats eller lagringsautentiseringsuppgifter.
Hur du navigerar till objektet beror på objektet. Kataloger, scheman och innehållet i scheman (till exempel tabeller och volymer) kan väljas i det vänstra katalogfönstret . Du hittar andra objekt, till exempel externa platser eller deltadelningsresurser, genom att
klicka på kugghjulsikonen ovanför fönstret Katalog och välja objektkategorin på menyn.För de flesta objekt visas ägaren på fliken Översikt på objektinformationssidan. För vissa objekt, till exempel externa platser, visas det överst på objektinformationssidan.
Klicka på redigeringsikonen
bredvid Ägaren.Sök efter och välj en grupp, användare eller tjänstens huvudnamn.
Klicka på Spara.
SQL
Kör följande SQL-kommando i en notebook- eller SQL-frågeredigerare. Ersätt platshållarvärdena:
<securable-type>: Typen av skyddsbart objekt, till exempelCATALOGellerTABLE.METASTOREstöds inte som ett skyddsbart objekt i det här kommandot.<securable-name>: Namnet på det säkra. Om du ändrar ett schema eller innehållet i ett schema måste du använda det fullständiga namnområdet på tre nivåer (catalog.schema.object), såvida du inte redan har angett den överordnade katalogen och/eller schemat.<principal>är en användare, tjänstens huvudnamn (representeras av dess applicationId-värde) eller grupp. Du måste omsluta användare, tjänstens huvudnamn och gruppnamn som innehåller specialtecken i backticks (` `). Se Huvudnamn.
ALTER <securable-type> <securable-name> OWNER TO <principal>;
Om du till exempel vill överföra ägarskapet orders för tabellen till accounting gruppen:
ALTER TABLE mycatalog.myschema.orders OWNER TO `accounting`;