Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье описаны привилегии администраторов учетных записей Azure Databricks, администраторов рабочих областей и администраторов хранилища метаданных для управления каталогом Unity.
Note
Если ваша рабочая область была включена для каталога Unity автоматически, администраторы рабочей области имеют привилегии по умолчанию в подключенном хранилище метаданных и каталоге рабочей области, если каталог рабочей области был подготовлен. Ознакомьтесь с правами администратора рабочей области , если рабочие области включены для каталога Unity автоматически.
Администраторы учетных записей
Администратор учетной записи — это роль с высоким уровнем привилегий, которую следует тщательно распределить. Администраторы учетных записей имеют права на всю учетную запись Azure Databricks, которая включает следующие ключевые возможности:
| Capability | Description |
|---|---|
| Создание хранилищ метаданных | Создание хранилищ метаданных и создание начального администратора хранилища метаданных по умолчанию |
| Связывание хранилищ метаданных с рабочими областями | Связывание хранилищ метаданных с определенными рабочими областями |
| Назначение роли администратора хранилища метаданных | Назначьте роль администратора хранилища метаданных пользователям, субъектам-службам или группам. Дополнительные сведения см. в разделе "Администраторы хранилища метаданных " для списка возможностей администратора хранилища метаданных. |
| Предоставление привилегий в хранилищах метаданных | Управление разрешениями на уровне хранилища метаданных |
| Включение разностного общего доступа для хранилища метаданных | Включите функцию разностного общего доступа для хранилища метаданных. |
| Настройка учетных данных хранилища | Настройка учетных данных хранилища для доступа к облачному хранилищу |
| Включение системных таблиц | Включение системных таблиц и управление доступом к ним |
Дополнительные сведения см. в разделе "Что такое администраторы учетных записей?".
Чтобы установить первого администратора учетной записи Azure Databricks, см. статью "Установка первого администратора учетной записи".
Администраторы рабочей области
Администратор рабочей области — это очень привилегированная роль, которую следует тщательно распределить. Администраторы рабочей области имеют права администратора в одной рабочей области, которая включает следующие ключевые возможности:
| Capability | Description |
|---|---|
| Управление членством в рабочей области | Добавление пользователей, субъектов-служб и групп в рабочую область |
| Назначение роли администратора рабочей области | Назначение роли администратора рабочей области пользователям, субъектам-службам или группам |
| Управление владением заданиями | Управление владением заданием. См. раздел "Управление доступом к заданию". |
| Управление параметром запуска задания от имени | Настройте удостоверение выполнения задания. См. "Настройка пользователя для выполнения заданий от имени". |
| Просмотр объектов рабочей области и управление ими | Доступ к записным книжкам, панелям мониторинга, запросам и другим объектам рабочей области. См. раздел Списки управления доступом. |
Дополнительные сведения см. в разделе "Что такое администраторы рабочей области?".
Администраторы учетных записей могут ограничить права администратора рабочей области с помощью RestrictWorkspaceAdmins параметра. См. раздел "Ограничить администраторы рабочей области".
Администраторские привилегии в рабочих областях при автоматическом включении этих областей для Unity Catalog
Если ваша рабочая область была включена для каталога Unity автоматически, рабочая область будет присоединена к хранилищу метаданных по умолчанию. Дополнительные сведения см. в разделе Автоматическое включение каталога Unity. Кроме того, администраторы рабочей области имеют следующие привилегии в подключенном хранилище метаданных по умолчанию:
CREATE CATALOG
CREATE CLEAN ROOM
CREATE EXTERNAL LOCATIONCREATE SERVICE CREDENTIALCREATE STORAGE CREDENTIALCREATE CONNECTIONCREATE SHARECREATE RECIPIENTCREATE PROVIDERCREATE MATERIALIZED VIEW
Note
Эти привилегии отображаются на вкладке "Разрешения хранилища метаданных " в консоли учетной записи. Azure Databricks представляет их с автоматически созданными системными группами _workspace_admins_databricks_<account_id>_workspace_<workspace_id>.
Администраторы рабочей области являются владельцами каталога рабочих областей по умолчанию, если каталог рабочей области был подготовлен для рабочей области. Владение этим каталогом предоставляет следующие привилегии:
Управляйте привилегиями для любого объекта в каталоге рабочего пространства или передавайте права собственности на них.
Это включает возможность предоставлять себе доступ на чтение и запись ко всем данным в каталоге (прямой доступ по умолчанию отсутствует; предоставление разрешений регистрируется в журнале).
Передайте право собственности на сам каталог рабочей области.
Все пользователи рабочей области получают права USE CATALOG в каталоге рабочих областей. Пользователи рабочей области также получают привилегии USE SCHEMA, CREATE TABLE, CREATE VOLUME, CREATE MODEL, CREATE FUNCTIONи CREATE MATERIALIZED VIEW в схеме default в каталоге.
Note
Привилегии по умолчанию, предоставленные в подключенном хранилище метаданных и каталоге рабочих областей, не поддерживаются в рабочих областях (например, если каталог рабочей области также привязан к другой рабочей области).
Администраторы хранилища метаданных
Администратор хранилища метаданных является необязательным, но привилегированным пользователем или группой в каталоге Unity. Администраторы хранилища метаданных имеют привилегии из двух источников: привилегии по умолчанию, предоставляемые ролью, и привилегии владения, так как они являются владельцами хранилища метаданных.
Привилегии администратора хранилища метаданных по умолчанию
Администраторы хранилища метаданных имеют следующие привилегии в хранилище метаданных по умолчанию:
| Привилегия | Description |
|---|---|
CREATE CATALOG |
Создание каталогов в хранилище метаданных |
CREATE CLEAN ROOM |
Создание чистой комнаты для безопасной совместной работы над проектами с другими организациями без предоставления общего доступа к базовым данным |
CREATE CONNECTION |
Создание подключения к внешней базе данных в сценарии федерации Lakehouse |
CREATE EXTERNAL LOCATION |
Создание внешних расположений |
CREATE SERVICE CREDENTIAL |
Создание учетных данных службы |
CREATE STORAGE CREDENTIAL |
Создание учетных данных хранилища |
CREATE FOREIGN CATALOG |
Создание внешних каталогов с помощью подключения к внешней базе данных в сценарии Федерации Lakehouse |
CREATE SHARE |
Создание общей папки в Delta Share в качестве поставщика данных |
CREATE RECIPIENT |
Создание получателя в Delta Sharing в качестве поставщика данных |
CREATE PROVIDER |
Создание поставщика в Delta Sharing в качестве получателя данных |
CREATE MATERIALIZED VIEW |
Создание материализованных представлений |
MANAGE ALLOWLIST |
Обновление списков разрешений , которые управляют доступом кластера к скриптам и библиотекам инициализации |
Права владения
Как владельцы хранилища метаданных, администраторы хранилища метаданных имеют следующие привилегии:
| Привилегия | Description |
|---|---|
| Управление привилегиями и владение правами на передачу | Управление привилегиями или передача владения любым объектом в хранилище метаданных, включая учетные данные хранения, внешние расположения, подключения, общие ресурсы, получатели и поставщики |
| Предоставление доступа к данным | Предоставьте любому пользователю доступ на чтение и запись к любым данным в хранилище метаданных. Эта возможность является косвенной, так как администраторы хранилища метаданных могут передавать права владения любым объектом на себя. По умолчанию прямой доступ отсутствует. Разрешения предоставляются в журнале аудита. |
| Управление метаданными объектов | Чтение и обновление метаданных всех объектов в хранилище метаданных |
| Управление тегами | Установка тегов для всех объектов в хранилище метаданных |
| Настройка назначений запросов на доступ | Включение назначений запросов доступа по умолчанию в хранилище метаданных |
| Удаление хранилища метаданных | Удаление хранилища метаданных |
Что могут сделать только администраторы хранилища метаданных
Следующие возможности являются эксклюзивными для администраторов хранилища метаданных. Ни другая роль, включая администраторов учетных записей или администраторов рабочей области, не может выполнять следующие действия:
| Capability | Description |
|---|---|
| Предоставление привилегий в хранилище метаданных | Администраторы хранилища метаданных — это единственные пользователи, которые могут предоставлять привилегии в самом хранилище метаданных. |
| Передача права владения любым объектом | Передача прав владения учетными данными хранения, внешних расположений, подключений, общих папок, получателей, поставщиков, каталогов и других объектов хранилища метаданных |
| Управление списками разрешений | Обновление скрипта и jar-разрешенных списков , которые управляют доступом кластера к библиотекам и сценариям. |
| Удаление хранилища метаданных | Удаление хранилища метаданных полностью |
| Включение назначений запросов доступа по умолчанию | Настройка назначений запросов доступа по умолчанию для объектов без явных назначений |
Так как администраторы хранилища метаданных являются единственными пользователями, имеющими эти привилегии, необходимо назначить администратора хранилища метаданных, если вы хотите использовать любую из следующих функций:
- Смена владельца каталогов после увольнения сотрудника.
- Управление и делегирование разрешений для скрипта init и jar allowlist.
- Делегировать возможность создавать каталоги и другие разрешения верхнего уровня администраторам, не являющимся администраторами рабочей области.
- Получение общих данных через разностный общий доступ.
- Удалите права администратора рабочей области по умолчанию .
- Добавьте управляемое хранилище в хранилище метаданных, если он отсутствует. См. статью "Добавление управляемого хранилища в существующее хранилище метаданных".
- Включите назначения запросов доступа по умолчанию для объектов, у которых нет явных назначений. См. раздел "Включить назначения электронной почты по умолчанию".
Кто имеет начальные права администратора хранилища метаданных?
Если администратор учетной записи создает хранилище метаданных вручную, администратор учетной записи является первоначальным владельцем хранилища метаданных и администратором хранилища метаданных. Все хранилища метаданных, созданные до 9 ноября 2023 года, были созданы вручную администратором учетной записи.
Если хранилище метаданных было подготовлено в рамках автоматического включения каталога Unity, хранилище метаданных было создано без администратора хранилища метаданных. В этом случае администраторы рабочей области автоматически получают права, которые делают наличие администратора хранилища метаданных необязательным. При необходимости администраторы учетных записей могут назначать роль администратора хранилища метаданных пользователю, субъекту-службе или группе. Настоятельно рекомендуется использовать группы. См. автоматическое включение каталога Unity.
Назначение администратора хранилища метаданных
Администратор хранилища метаданных — это очень привилегированная роль, которую следует тщательно распределить. Этот параметр необязателен.
Администраторы учетных записей могут назначать роль администратора хранилища метаданных. Databricks рекомендует номинировать группу в качестве администратора хранилища метаданных. При этом любой член группы автоматически является администратором хранилища метаданных.
Чтобы назначить роль администратора хранилища метаданных группе, выполните следующие действия.
- Войдите в консоль учетной записи с правами администратора учетных записей.
- Щелкните
Каталог. - Нажмите на имя хранилища метаданных, чтобы открыть его свойства.
- В разделе Администратор хранилища метаданных нажмите Изменить.
- Выберите группу из раскрывающегося списка. Для поиска параметров можно ввести текст в поле.
- Нажмите кнопку "Сохранить".
Important
Изменение назначения администратора хранилища метаданных может занять до 30 секунд, чтобы отразиться в вашей учетной записи, и в некоторых рабочих областях может потребоваться больше времени, чем другие. Эта задержка возникает из-за протоколов кэширования.