Unity Catalog 中的特权和安全对象

适用于： Databricks SQL Databricks Runtime 仅 Unity Catalog

特权是指授予主体的对元存储中的安全对象进行操作的权利。 特权模型和安全对象因你使用的是 Unity Catalog 元存储还是旧版 Hive 元存储而有所不同。 本文介绍 Unity Catalog 的特权模型。 如果使用 Hive 元存储，请参阅 Hive 元存储中的特权和安全对象

安全对象

安全对象是在 Unity Catalog 元存储中定义的对象，可以在其上向主体授予特权。 有关 Unity 目录安全对象的完整列表以及可对其授予的权限，请参阅 Unity Catalog 特权和安全对象。

若要管理对任何对象的特权，你必须是其所有者。

语法

securable_object
  { CATALOG [ catalog_name ] |
    CONNECTION connection_name |
    CLEAN ROOM clean_room_name |
    EXTERNAL LOCATION location_name |
    FUNCTION function_name |
    METASTORE |
    SCHEMA schema_name |
    SHARE share_name |
    STORAGE CREDENTIAL credential_name |
    [ TABLE ] table_name |
    MATERIALIZED VIEW view_name |
    VIEW view_name |
    VOLUME volume_name
  }

还可以指定 SERVER 而不是 CONNECTION，指定 DATABASE 而不是 SCHEMA。

parameters

• CATALOGcatalog_name

  控制对整个数据目录的访问。

• CONNECTIONconnection_name

  控制对连接的访问。

• EXTERNAL LOCATIONlocation_name

  控制对外部位置的访问。

• FUNCTIONfunction_name

  控制对用户定义的函数或 MLflow 注册模型的访问。

• MATERIALIZED VIEWview_name

  控制对具体化视图的访问。

• METASTORE

  控制对附加到工作区的 Unity Catalog 元存储的访问。 管理元对存储的特权时，SQL 命令中请勿包含元存储名。 Unity Catalog 会授予或撤销对附加到工作区的元存储的特权。

• SCHEMAschema_name

  控制对架构的访问。

• STORAGE CREDENTIALcredential_name

  控制对存储凭据的访问。

• SHAREshare_name

  控制接收方对共享的访问。

• TABLEtable_name

  控制对托管表或外部表的访问。 如果找不到表，Azure Databricks 会引发 TABLE_OR_VIEW_NOT_FOUND 错误。

• VIEWview_name

  控制对视图的访问。 如果找不到视图，Azure Databricks 会引发 TABLE_OR_VIEW_NOT_FOUND 错误。

• VOLUMEvolume_name

  控制对卷的访问。 如果找不到该卷，Azure Databricks 会引发错误。

权限类型

有关特权类型的列表，请参阅 Unity Catalog 特权和安全对象。

示例

-- Grant a privilege to the user alf@melmak.et
> GRANT SELECT ON TABLE t TO `alf@melmak.et`;

-- Revoke a privilege from the general public group.
> REVOKE USE SCHEMA ON SCHEMA some_schema FROM `alf@melmak.et`;

相关内容

• GRANT
• 主体
• REVOKE