统一目录权限和可获得的对象
本文描述了统一目录权限模型。了解这个模型不同于蜂巢metastore,明白了统一目录和遗留蜂巢metastore一起工作。
请注意
本文指的是统一目录权限和继承模型权限模型1.0版。如果你创建统一目录metastore公共预览期间(2022年8月25日之前,),你可以升级到特权模式版本1.0升级到特权的继承
管理权限
权限可以授予通过metastore管理员,一个对象的所有者,或者目录的所有者或模式包含对象。您可以管理权限metastore对象通过使用SQL命令,统一目录CLI,或者在数据浏览器。学习如何使用数据浏览器来管理权限看到的,管理统一编目数据浏览权限。
在SQL管理特权,你使用格兰特和撤销语句在笔记本或砖SQL查询编辑器,使用的语法:
格兰特privilege_type在securable_object来主要
地点:
privilege_type是一个统一目录权限类型securable_object是一个统一目录中可获得的对象主要是一个用户,服务主体(由其applicationId价值),或组。你必须附上用户、服务主体和组名特殊字符在引号(””)。看到主要。
例如,下面的命令授予一组命名财务团队访问模式中创建表命名默认的与父目录命名主要:
格兰特创建表在模式主要。默认的来”金融- - - - - -团队”;
关于授予特权使用SQL命令的更多信息,见统一目录中的特权和可获得的对象。
你也可以通过使用管理权限砖起程拓殖提供者和databricks_grants。
在统一目录中可获得的对象
可获得的对象是一个对象中定义的统一目录metastore权限可以授予一个主体。可获得的对象统一目录层次。
可获得的对象是:
METASTORE元数据:顶层容器。每个统一目录metastore公开了一个三级名称空间(
目录。模式。表),组织您的数据。目录:对象层次结构的第一层,用来组织你的数据资产。
模式:也称为数据库,模式是第二层的对象层次结构,包含表和视图。
表:在对象层次结构的最低水平,表外部云存储(存储在外部的位置在你的选择)管理表(存储在云存储中存储容器创建明确砖)。
视图:一个只读对象创建从一个或多个表,包含在一个模式。
外部位置:一个对象,该对象包含一个引用存储凭证和云存储路径,包含在一个统一目录metastore。
存储凭证:一个对象,该对象封装了一个长期的云凭据提供访问包含在一个统一的云存储目录metastore。
函数:一个用户定义的函数,它是包含在一个模式。
分享:逻辑分组表你打算使用三角洲分享分享。包含在一个联合目录metastore。
收件人:对象识别一个组织或一组用户可以使用三角洲有数据共享与他们分享。这些对象包含在一个联合目录metastore。
提供者:一个对象代表了一个组织,使数据共享使用三角洲共享。这些对象包含在一个联合目录metastore。
继承模型
可获得的对象统一目录层次和特权是继承了下行。最高水平的对象权限继承目录。这意味着授予特权在目录或模式自动授予的特权目录内的所有当前和未来的对象或模式。授予的权限统一目录metastore不继承。
例如,以下命令授予选择在所有表和视图特权在目录的任何模式主要到组金融:
格兰特选择在目录主要来金融;
类似地,您可以执行拨款模式为一个更小范围的访问:
格兰特选择在模式主要。默认的来金融;
继承模型提供了一种简单的方法来设置默认为您的数据访问规则。例如以下命令启用机器学习团队创建表内模式和阅读彼此的表:
创建目录毫升;创建模式毫升。team_sandbox;格兰特USE_CATALOG在目录毫升来ml_team;格兰特USE_SCHEMA在模式毫升。team_sandbox来ml_team;格兰特创建表在模式毫升。team_sandbox来ml_team;格兰特选择在模式毫升。team_sandbox来ml_team;
中可获得的特权类型的对象统一目录
下表列出了适用于每一个可获得的特权类型对象统一目录:
可获得的 |
特权 |
|---|---|
Metastore |
|
目录 |
所有的用户都拥有 以下特权类型适用于可获得的对象在一个目录中。你可以在目录级别授予这些权限将它们应用到相关的目录内的当前和未来的对象。
|
模式 |
以下特权类型适用于在一个模式中可获得的对象。你可以在模式级别授予这些权限将它们应用到相关的当前和未来的对象内的模式。
|
表 |
|
视图 |
|
外部位置 |
|
存储凭证 |
|
函数 |
|
分享 |
|
收件人 |
没有一个 |
提供者 |
没有一个 |
当你metastore管理特权,不包括在SQL命令metastore名称。统一目录上的特权授予或撤销metastore附加到您的工作区。例如,下面的命令授予一组命名工程的能力在metastore附着在工作区中创建一个目录:
格兰特创建目录在METASTORE来工程
一般统一目录权限类型
本节提供细节的特权类型通常适用于统一目录。
所有权限
适用对象类型:目录,外部位置,存储凭证,模式,函数,表,视图
授予或撤销所有权限适用于使用可获得的和它的子对象没有显式地指定它们。当时这个扩大到所有可用的特权权限检查。
请注意
这种特权时强大的应用在更高水平的层次结构。例如,目录上的所有特权授予主要分析师会给分析师团队所有特权在每个对象(模式、表、视图、函数)的目录。
创建外部表
适用对象类型:外部位置,存储凭证
允许用户创建外部表直接在云租户使用外部位置或存储凭证。砖建议授予这种特权在外部位置而不是存储凭证(因为这是局限于一个路径,它允许更多的控制,用户可以创建外部表在你的云租户)。
创建函数
适用对象类型:模式
允许用户创建一个函数的模式。由于权限继承,创建函数也可以被授予一个目录,它允许用户创建一个函数在任何现有或未来模式目录中。
用户也必须有使用目录在它的父目录使用模式在母公司模式。
创建表
适用对象类型:模式
允许用户创建一个表或视图的模式。由于权限继承,创建表也可以授予一个目录,允许用户创建一个表或视图目录中任何现有或未来的模式。
用户也必须有使用目录在它的父目录和特权使用模式特权在母公司模式。
执行
适用对象类型:函数
允许用户调用一个用户定义的函数,如果用户也有使用目录在它的父目录使用模式在母公司模式。
由于继承特权,您可以授予一个用户执行权限目录或模式,自动授予用户执行特权的所有当前和未来的功能目录或模式。
修改
适用对象类型:表
允许用户添加、更新和删除数据或从表中如果用户也有选择在桌子上一样使用目录在它的父目录使用模式在母公司模式。
由于继承特权,您可以授予一个用户修改权限目录或模式,自动授予用户修改特权的所有当前和未来的表目录或模式。
选择
适用对象类型:表,视图,分享
如果应用到一个表或视图,允许用户选择表或视图,如果用户也有使用目录在它的父目录使用模式在母公司模式。如果应用到一个共享,允许收件人选择的份额。
由于继承特权,您可以授予一个用户选择特权在目录或模式,自动授予用户选择特权在所有当前和未来的表和视图的目录或模式。
使用目录
适用对象类型:目录
这种特权不授权访问目录本身,但需要用户与目录中的任何对象。例如,选择一个表的数据,用户需要选择在那张桌子和特权使用目录它的父目录以及上的特权使用模式母公司模式上的特权。
这是用于允许目录所有者能够限制多少个人模式和表所有者可以共享数据。例如,一个表所有者授予选择到另一个用户不允许用户读取访问表,除非他们也理所当然使用目录它的父目录以及上的特权使用模式母公司模式上的特权。
仅适用于三角洲分享特权类型
本节提供的详细信息仅适用于三角洲分享特权类型。
创建供应商
适用对象类型:统一目录metastore
允许用户创建一个三角洲metastore提供者共享对象。提供者标识一个组织或一组用户共享数据使用三角洲共享。提供者创建执行由用户在接收方的砖帐户。看到共享数据安全地使用三角洲共享。
创建收件人
适用对象类型:统一目录metastore
允许用户创建一个三角洲metastore中的接收方对象共享。一个接收方识别一个组织或一组用户可以使用三角洲有数据共享与他们分享。收件人创建执行由用户在提供者的砖帐户。看到共享数据安全地使用三角洲共享。
使用提供者
适用对象类型:统一目录metastore
在三角洲地区共享,给接收方用户只读访问所有供应商在收件人metastore和他们的股份。结合创建目录特权,这种特权允许接收方用户不是metastore admin目录挂载共享。这使您能够限制用户的数量与强大metastore admin角色。
使用收件人
适用对象类型:统一目录metastore
在三角洲地区共享,给供应商用户只读访问所有提供者metastore接受者,他们的股份。这允许一个提供者的用户不是metastore管理员查看收件人详细信息,接收方身份验证状态和提供者的股票列表已经与收件人共享。
在砖的市场,这给供应商用户能够查看清单和消费者请求提供者控制台。