gerencia a propriedade do objeto Unity Catalog

Cada objeto securizável no Unity Catalog tem um proprietário. O proprietário pode ser qualquer entidade principal: um usuário, uma entidade de serviço ou um grupo account. O principal que cria um objeto torna-se seu proprietário inicial. O proprietário de um objeto tem todos os privilégios sobre o objeto, como SELECT e MODIFY em uma tabela, além da permissão para conceder privilégios a outros diretores. O proprietário de um objeto tem a capacidade de soltar o objeto.

Privilégios do proprietário

Os proprietários de um objeto recebem automaticamente todos os privilégios desse objeto. Além disso, os proprietários do objeto podem conceder privilégios ao próprio objeto e a todos os seus objetos filhos. Isso significa que os proprietários de um esquema não têm automaticamente todos os privilégios nas tabelas do esquema, mas podem conceder a si mesmos privilégios nas tabelas do esquema.

Observação

Há uma exceção à regra de que os proprietários têm todos os privilégios em um objeto: para evitar a exfiltração acidental de dados, os proprietários de esquemas não têm o privilégio EXTERNAL USE SCHEMA em default. Consulte Controlar o acesso externo aos dados no Unity Catalog.

Propriedade de metastore e catálogo

Os administradores do metastore são os proprietários do metastore. A função de administrador do metastore é opcional. Os administradores do metastore podem reatribuir a propriedade do metastore transferindo a função de administrador do metastore, consulte Atribuir um administrador do metastore.

Se o seu workspace foi ativado para Unity Catalog automaticamente, o workspace é anexado a um metastore por default e um catálogo workspace é criado para o seu workspace no metastore. workspace Os administradores são os proprietários do default e podem reatribuir a propriedade do catálogo workspace. Nesses espaços de trabalho, não há nenhum administrador de metastore atribuído por default, mas os administradores de account podem conceder a função de administrador de metastore, se necessário. Consulte Administradores do Metastore.

Para obter mais informações sobre privilégios de administrador em Unity Catalog, consulte Privilégios de administrador em Unity Catalog.

Ver o proprietário de um objeto

O senhor pode usar o Catalog Explorer ou as instruções SQL para view o proprietário de um objeto.

Permissões necessárias: Qualquer usuário com o privilégio BROWSE no objeto ou um pai do objeto pode view o proprietário do objeto.

  1. Em seu site Databricks workspace, clique em Ícone do catálogo Catalog.

  2. Selecione o objeto, como um catálogo, esquema, tabela, view, volume, local externo ou credencial de armazenamento.

    A forma de navegar até o objeto depende do objeto. Os catálogos, os esquemas e o conteúdo dos esquemas (como tabelas e volumes) podem ser selecionados no painel esquerdo do Catálogo. O senhor pode encontrar outros objetos, como locais externos ou compartilhamentos do Delta Sharing, clicando no ícone de engrenagem ícone de engrenagem acima do painel Catalog e selecionando a categoria do objeto no menu.

    Para a maioria dos objetos, o proprietário é exibido na Visão geral tab na página de detalhes do objeto. Para alguns objetos, como locais externos, ele é exibido na parte superior da página de detalhes do objeto.

Execute o seguinte comando SQL em um editor de consultas Notebook ou SQL. Substitua os valores do espaço reservado:

  • <securable-type>: o tipo de protegível, como CATALOG ou TABLE.

  • <catalog>: O catálogo pai se o senhor estiver visualizando um esquema ou o conteúdo de um esquema.

  • <schema>: O esquema pai se o senhor estiver visualizando o conteúdo de um esquema, como uma tabela ou view.

  • <securable-name>: O nome do objeto securizável.

DESCRIBE <securable-type> EXTENDED <catalog>.<schema>.<securable-name>;

Transferir propriedade

O senhor pode usar o Catalog Explorer ou as instruções SQL para view o proprietário de um objeto.

Permissões necessárias: O senhor pode transferir a propriedade do objeto se for o proprietário atual, um administrador do metastore ou o proprietário do contêiner (o catálogo de um esquema, o esquema de uma tabela). Os objetos de compartilhamento Delta Sharing são uma exceção: os diretores com privilégios USE SHARE e SET SHARE PERMISSION também podem transferir a propriedade de ações.

Observação

Para evitar o aumento de privilégios, somente um administrador da metstore pode transferir a propriedade de um view, função ou modelo para qualquer usuário, entidade de serviço ou grupo no account. Os proprietários atuais estão restritos a transferir a propriedade para seu nome de usuário ou para um grupo do qual sejam membros.

  1. Em seu site Databricks workspace, clique em Ícone do catálogo Catalog.

  2. Selecione o objeto, como um catálogo, esquema, tabela, view, local externo ou credencial de armazenamento.

    A forma de navegar até o objeto depende do objeto. Os catálogos, os esquemas e o conteúdo dos esquemas (como tabelas e volumes) podem ser selecionados no painel esquerdo do Catálogo. O senhor pode encontrar outros objetos, como locais externos ou compartilhamentos do Delta Sharing, clicando no ícone de engrenagem ícone de engrenagem acima do painel Catalog e selecionando a categoria do objeto no menu.

    Para a maioria dos objetos, o proprietário é exibido na Visão geral tab na página de detalhes do objeto. Para alguns objetos, como locais externos, ele é exibido na parte superior da página de detalhes do objeto.

  3. Clique no ícone de edição ícone de edição ao lado do Owner.

  4. Pesquise e selecione um grupo, usuário ou entidade de serviço.

  5. Clique em Salvar.

Execute o seguinte comando SQL em um editor de consultas Notebook ou SQL. Substitua os valores do espaço reservado:

  • <securable-type>: O tipo de objeto protegível, como CATALOG ou TABLE. METASTORE não é suportado como um objeto protegível neste comando.

  • <securable-name>: O nome do securizável. Se estiver modificando um esquema ou o conteúdo de um esquema, o usuário deverá usar o namespace completo de três níveis (catalog.schema.object), a menos que já tenha especificado o catálogo e/ou esquema pai.

  • <principal> é um usuário, uma entidade de serviço (representada por seu valor applicationId) ou um grupo. Os nomes de usuários, entidades de serviço e grupos que incluam caracteres especiais devem ser colocados entre chaves ( ` ` ). Ver Principal.

ALTER <securable-type> <securable-name> OWNER TO <principal>;

Por exemplo, para transferir a propriedade da tabela orders para o grupo accounting:

ALTER TABLE mycatalog.myschema.orders OWNER TO `accounting`;