gerencia a propriedade do objeto Unity Catalog
Cada objeto securizável no Unity Catalog tem um proprietário. O proprietário pode ser qualquer entidade principal: um usuário, uma entidade de serviço ou um grupo account. O principal que cria um objeto torna-se seu proprietário inicial. O proprietário de um objeto tem todos os privilégios sobre o objeto, como SELECT
e MODIFY
em uma tabela, além da permissão para conceder privilégios a outros diretores. O proprietário de um objeto tem a capacidade de soltar o objeto.
Privilégios do proprietário
Os proprietários de um objeto recebem automaticamente todos os privilégios desse objeto. Além disso, os proprietários do objeto podem conceder privilégios ao próprio objeto e a todos os seus objetos filhos. Isso significa que os proprietários de um esquema não têm automaticamente todos os privilégios nas tabelas do esquema, mas podem conceder a si mesmos privilégios nas tabelas do esquema.
Observação
Há uma exceção à regra de que os proprietários têm todos os privilégios em um objeto: para evitar a exfiltração acidental de dados, os proprietários de esquemas não têm o privilégio EXTERNAL USE SCHEMA
em default. Consulte Controlar o acesso externo aos dados no Unity Catalog.
Propriedade de metastore e catálogo
Os administradores do metastore são os proprietários do metastore. A função de administrador do metastore é opcional. Os administradores do metastore podem reatribuir a propriedade do metastore transferindo a função de administrador do metastore, consulte Atribuir um administrador do metastore.
Se o seu workspace foi ativado para Unity Catalog automaticamente, o workspace é anexado a um metastore por default e um catálogo workspace é criado para o seu workspace no metastore. workspace Os administradores são os proprietários do default e podem reatribuir a propriedade do catálogo workspace. Nesses espaços de trabalho, não há nenhum administrador de metastore atribuído por default, mas os administradores de account podem conceder a função de administrador de metastore, se necessário. Consulte Administradores do Metastore.
Para obter mais informações sobre privilégios de administrador em Unity Catalog, consulte Privilégios de administrador em Unity Catalog.
Propriedade versus o privilégio MANAGE
MANAGE
(Visualização pública) é um privilégio semelhante à propriedade de um objeto. Ele concede ao usuário a capacidade de editar, soltar e gerenciar privilégios no objeto. No entanto, os usuários com o privilégio MANAGE
em um objeto não recebem automaticamente todos os privilégios nesse objeto. Assim como acontece com outros privilégios, os usuários precisam de USE CATALOG
no catálogo principal do objeto e USE SCHEMA
no esquema principal do objeto. Por exemplo, para conceder permissões em uma tabela, os usuários devem ter o privilégio MANAGE
nessa tabela e os privilégios USE CATALOG
em seu catálogo principal, junto com os privilégios USE SCHEMA
em seu esquema pai.
O único objeto só pode ser um único principal, incluindo um grupo, enquanto MANAGE
pode ser concedido a vários diretores.
Para evitar o aumento acidental de privilégios, ALL PRIVILEGES
não inclui o privilégio MANAGE
Ver o proprietário de um objeto
O senhor pode usar o Catalog Explorer ou as instruções SQL para view o proprietário de um objeto.
Permissões necessárias: Qualquer usuário com o privilégio BROWSE
no objeto ou um pai do objeto pode view o proprietário do objeto.
Em seu site Databricks workspace, clique em Catalog.
Selecione o objeto, como um catálogo, esquema, tabela, view, volume, local externo ou credencial de armazenamento.
A forma de navegar até o objeto depende do objeto. Os catálogos, os esquemas e o conteúdo dos esquemas (como tabelas e volumes) podem ser selecionados no painel esquerdo do Catálogo. O senhor pode encontrar outros objetos, como locais externos ou compartilhamentos do Delta Sharing, clicando no ícone de engrenagem acima do painel Catalog e selecionando a categoria do objeto no menu.
Para a maioria dos objetos, o proprietário é exibido na Visão geral tab na página de detalhes do objeto. Para alguns objetos, como locais externos, ele é exibido na parte superior da página de detalhes do objeto.
Execute o seguinte comando SQL em um editor de consultas Notebook ou SQL. Substitua os valores do espaço reservado:
<securable-type>
: o tipo de protegível, comoCATALOG
ouTABLE
.<catalog>
: O catálogo pai se o senhor estiver visualizando um esquema ou o conteúdo de um esquema.<schema>
: O esquema pai se o senhor estiver visualizando o conteúdo de um esquema, como uma tabela ou view.<securable-name>
: O nome do objeto securizável.
DESCRIBE <securable-type> EXTENDED <catalog>.<schema>.<securable-name>;
Transferir propriedade
O senhor pode usar o Catalog Explorer ou as instruções SQL para view o proprietário de um objeto.
Permissões necessárias: você pode transferir a propriedade do objeto se for o proprietário atual, um administrador da metastore, o proprietário do contêiner (o catálogo de um esquema, o esquema de uma tabela) ou um usuário com o privilégio MANAGE
no objeto. Os objetos de compartilhamento Delta Sharing são uma exceção: os diretores com os privilégios USE SHARE
e SET SHARE PERMISSION
também podem transferir a propriedade do compartilhamento.
Observação
Para evitar o aumento de privilégios, somente um administrador de metastore pode transferir a propriedade de um view, função ou modelo para qualquer usuário, entidade de serviço ou grupo no account. Proprietários e usuários atuais com o privilégio MANAGE
estão restritos a transferir a propriedade para seu nome de usuário ou para um grupo do qual sejam membros.
Em seu site Databricks workspace, clique em Catalog.
Selecione o objeto, como um catálogo, esquema, tabela, view, local externo ou credencial de armazenamento.
A forma de navegar até o objeto depende do objeto. Os catálogos, os esquemas e o conteúdo dos esquemas (como tabelas e volumes) podem ser selecionados no painel esquerdo do Catálogo. O senhor pode encontrar outros objetos, como locais externos ou compartilhamentos do Delta Sharing, clicando no ícone de engrenagem acima do painel Catalog e selecionando a categoria do objeto no menu.
Para a maioria dos objetos, o proprietário é exibido na Visão geral tab na página de detalhes do objeto. Para alguns objetos, como locais externos, ele é exibido na parte superior da página de detalhes do objeto.
Clique no ícone de edição ao lado do Owner.
Pesquise e selecione um grupo, usuário ou entidade de serviço.
Clique em Salvar.
Execute o seguinte comando SQL em um editor de consultas Notebook ou SQL. Substitua os valores do espaço reservado:
<securable-type>
: O tipo de objeto protegível, comoCATALOG
ouTABLE
.METASTORE
não é suportado como um objeto protegível neste comando.<securable-name>
: O nome do securizável. Se estiver modificando um esquema ou o conteúdo de um esquema, o usuário deverá usar o namespace completo de três níveis (catalog.schema.object
), a menos que já tenha especificado o catálogo e/ou esquema pai.<principal>
é um usuário, uma entidade de serviço (representada por seu valor applicationId) ou um grupo. Os nomes de usuários, entidades de serviço e grupos que incluam caracteres especiais devem ser colocados entre chaves (` `
). Ver Principal.
ALTER <securable-type> <securable-name> OWNER TO <principal>;
Por exemplo, para transferir a propriedade da tabela orders
para o grupo accounting
:
ALTER TABLE mycatalog.myschema.orders OWNER TO `accounting`;