Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Auf dieser Seite werden alle sicherungsfähigen Objekte im Unity-Katalog beschrieben. Ein sicherungsfähiges Objekt ist ein Objekt, das im Unity-Katalog definiert ist, für das Berechtigungen einem Prinzipal (Benutzer, Dienstprinzipal oder Gruppe) gewährt werden können.
Die Unity Catalog-Objekthierarchie
Sicherungsfähige Objekte in Unity Catalog sind hierarchisch. Diese hierarchische Struktur bietet die Grundlage für die Zugriffssteuerung im Unity-Katalog.
Der Metaspeicher ist das sicherungsfähige Objekt der obersten Ebene. Innerhalb dieses Metastores befinden sich Ihre Datenobjekte in einem Namespace mit drei Ebenen, der den Katalog, das Schema und den Typ der Ressource definiert, z. B. Tabelle (catalog.schema.table). Im folgenden Diagramm werden diese sicherungsfähigen Objekte hervorgehoben.
Das vorangehende Diagramm zeigt Folgendes:
-
Kataloge sind die Ebene der obersten Ebene für Ihre Datenressourcen. Kataloge sind direkt unter dem Metastore vorhanden. Sie werden verwendet, um Ihre Daten und KI-Ressourcen zu organisieren, in der Regel nach Organisationseinheiten oder Softwareentwicklungslebenszyklusbereichen.
-
Schemas sind in Katalogen vorhanden. Sie organisieren Daten und KI-Ressourcen in Kategorien, die präziser sind als Kataloge. Ein Schema kann einen einzelnen Anwendungsfall, ein Projekt oder eine Team-Sandbox darstellen.
- Tabellen sind Sammlungen strukturierter Daten, die nach Zeilen und Spalten organisiert sind.
- Ansichten werden Abfragen für andere Tabellen oder Ansichten gespeichert.
- Volumes stellen Sammlungen unstrukturierter Daten im Cloudobjektspeicher dar.
- Funktionen sind Einheiten wiederverwendbarer Logik, die einen skalaren Wert oder zeilensatz zurückgeben.
- Modelle sind KI-Modelle , die mit MLflow verpackt und als Funktionen im Unity-Katalog registriert sind.
-
Schemas sind in Katalogen vorhanden. Sie organisieren Daten und KI-Ressourcen in Kategorien, die präziser sind als Kataloge. Ein Schema kann einen einzelnen Anwendungsfall, ein Projekt oder eine Team-Sandbox darstellen.
Es gibt auch viele andere sicherungsfähige Objekte im Unity-Katalog. Alle diese Objekte sind direkt unter dem Metastore vorhanden. Im folgenden Diagramm werden diese sicherungsfähigen Objekte hervorgehoben.
Diese sicherungsfähigen Objekte können allgemein in zwei Gruppen kategorisiert werden. Die erste Gruppe enthält Objekte, die den Zugriff auf Cloudspeicher und andere externe Datenquellen und Dienste verwalten:
- Speicheranmeldeinformationen sind Objekte, die die Authentifizierungsinformationen darstellen, die für den Zugriff auf einen bestimmten Pfad im Cloudspeicher erforderlich sind.
- Externe Speicherorte sind Objekte, die einen bestimmten Pfad im Cloudspeicher darstellen. Außerdem enthält sie einen Verweis auf die Speicheranmeldeinformationen, die für den Zugriff auf diesen Pfad erforderlich sind.
- Ein externes Metadatenobjekt wird verwendet, um benutzerdefinierte Datenlinienbeziehungen für Systeme zu definieren, die außerhalb des Unity-Katalogs ausgeführt werden.
- Dienstanmeldeinformationen sind Objekte, die die für den Zugriff auf externe Clouddienste erforderlichen Authentifizierungsinformationen darstellen.
- Verbindungen sind Objekte, die eine Verbindung mit einem externen Datenbanksystem darstellen.
Die zweite Gruppe enthält Objekte, die den Zugriff auf Daten und die Freigabe von AI-Objekten über Metastore- oder Organisationsgrenzen hinweg verwalten:
- Freigaben sind Objekte, die eine logische Gruppierung von Datenressourcen darstellen, die Sie für externe Empfänger freigeben möchten.
- Anbieter sind Objekte, die eine externe Organisation oder Gruppe von Benutzern darstellen, die über freigegebene Daten für Ihre Organisation verfügen.
- Empfänger sind Objekte, die eine externe Organisation oder Gruppe von Benutzern darstellen, für die ein Anbieter Daten gemeinsam verwendet.
- Saubere Räume sind Objekte, die eine sichere Umgebung für die Zusammenarbeit mit anderen Organisationen darstellen, ohne zugrunde liegende Daten verfügbar zu machen.
In den folgenden Abschnitten werden die einzelnen sicherungsfähigen Objekte ausführlicher beschrieben.
Metastore
Der Metastore ist das sicherungsfähige Objekt der obersten Ebene im Unity-Katalog. Ein Metastore enthält alle sicherungsfähigen Objekte, die im Unity-Katalog in einer einzelnen Cloudregion registriert sind. Zu diesen Objekten gehören nicht nur die Kataloge, die Ihre Daten organisieren, sondern auch Objekte, die steuern, wie auf Daten zugegriffen und freigegeben wird, z. B. Dienstanmeldeinformationen, Speicheranmeldeinformationen, externe Speicherorte, Verbindungen, Freigaben, Empfänger, Anbieter und Reinräume.
In der folgenden Tabelle sind wichtige Details zum Metastore zusammengefasst:
| Einzelheit | Beschreibung |
|---|---|
| Geltungsbereich | Ein Metastore ist auf eine einzelne Cloudregion eingestellt. Ihre Organisation erfordert einen Metaspeicher pro Region, in der sie ausgeführt wird. Ein einzelner Metaspeicher kann an mehrere Arbeitsbereiche in derselben Region angefügt werden. Berechtigungserteilungen in einem Metastore gelten für alle Arbeitsbereiche, die diesem Metastore zugeordnet sind. Mit anderen Worten, ein in einem Arbeitsbereich gewährtes Privileg ist in allen anderen Arbeitsbereichen wirksam, die diesen Metaspeicher freigeben. |
| Metastore-Berechtigungen | Berechtigungen für den Metastore ermöglichen Vorgänge auf metastore-Ebene. Ermöglicht beispielsweise einem Benutzer das CREATE CATALOG Erstellen eines Katalogs innerhalb des Metastores. Dies gewährt dem Benutzer jedoch keinen Zugriff auf Daten innerhalb des Katalogs. Die vollständige Liste der anwendbaren Berechtigungen finden Sie in der Tabelle mit den Berechtigungstypen.Wichtig ist, dass auf metastore-Ebene gewährte Berechtigungen nicht an untergeordnete Objekte in der Hierarchie erben. Metastore-Level-Zuschüsse gelten nur für Vorgänge auf Metastoreebene. Dies unterscheidet sich vom Verhalten der Berechtigungsvererbung für Katalog- und Schemaerteilungen, bei denen geerbte Berechtigungen automatisch für alle aktuellen und zukünftigen untergeordneten Objekte gelten. Siehe Berechtigungsvererbung. |
| Metastore-Administratoren | Der Metastore-Administrator ist eine optionale Rolle in Azure Databricks. Sie wird von Kontoadministratoren zugewiesen. Bestimmte Funktionen sind nur für Metastore-Administratoren verfügbar, z. B. das Löschen des Metastores, das Verwalten von Arbeitsbereichszuweisungen und das Übernehmen des Eigentums an jedem Objekt im Metastore, wodurch indirekter Zugriff auf alle Daten im Metastore gewährt wird. Diese Funktionen können nicht über Standardberechtigungserteilungen gewährt werden. Siehe Metastoreadministrator*innen. Wenn ein Arbeitsbereich für Unity-Katalog automatisch aktiviert ist, erhalten Arbeitsbereichsadministratoren einen Standardsatz von Berechtigungen auf Metastoreebene, einschließlich CREATE CATALOG, CREATE STORAGE CREDENTIALund CREATE EXTERNAL LOCATION. Diese werden nicht an andere Arbeitsbereiche übertragen, die mit demselben Metastore verbunden sind. Siehe Arbeitsbereichsadministratorberechtigungen, wenn Arbeitsbereiche automatisch für Unity Catalog aktiviert werden. |
Katalog
Innerhalb eines Metastores ist ein Katalog die erste und höchste Ebene für Ihre Datenressourcen. Kataloge sind Containerobjekte. Ein Katalog enthält Schemas, die wiederum Tabellen, Ansichten, Volumes und Funktionen enthalten.
Häufig beziehen wir uns auf den "Namespace mit drei Ebenen" (catalog.schema).table) für Daten im Unity-Katalog. Hier ist der Katalog die erste Ebene des dreistufigen Namespaces.
In der folgenden Tabelle sind wichtige Details zu Katalogen zusammengefasst:
| Einzelheit | Beschreibung |
|---|---|
| Vererbung | Berechtigungen, die in einem Katalog gewährt werden, gelten automatisch für alle aktuellen und zukünftigen Schemas, Tabellen, Ansichten, Volumes und Funktionen darin. Beispielsweise ermöglicht die Gewährung SELECT eines Katalogs einem Benutzer das Lesen einer beliebigen Tabelle in diesem Katalog (mit den entsprechenden USE CATALOG Und USE SCHEMAVerwendungsberechtigungen). Siehe Berechtigungsvererbung.Aufgrund der Vererbung sind Berechtigungen auf Katalogebene breit. Seien Sie vorsichtig, wenn Sie sie Benutzern gewähren. |
Verwendungsberechtigung (USE CATALOG) |
Die USE CATALOGVerwendungsberechtigung ist erforderlich, bevor ein Benutzer mit einem beliebigen Objekt in einem Katalog interagieren kann. Dies ist unabhängig davon, welche Berechtigungen sie für untergeordnete Objekte enthalten. |
Die BROWSE Berechtigung |
Die Gewährung der BROWSE Berechtigungen für einen Benutzer in einem Katalog ermöglicht es ihnen, Metadaten für alle Objekte im Katalog zu ermitteln und anzuzeigen, einschließlich untergeordneter Schemas, Tabellen, Ansichten, Volumes und Funktionen, ohne Zugriff auf Daten zu gewähren.
BROWSE kann nur auf Katalogebene gewährt werden.Databricks empfiehlt, der All account users Gruppe zu gewährenBROWSE, damit Benutzer Daten ermitteln und den Zugriff nach Bedarf anfordern können. |
| Arbeitsbereichsbindung | Standardmäßig kann auf einen Katalog von allen Arbeitsbereichen zugegriffen werden, die mit demselben Metastore verbunden sind. Sie können dies einschränken, indem Sie den Katalog an bestimmte Arbeitsbereiche binden, optional als schreibgeschützt. Die Arbeitsbereichsbindung ersetzt einzelne Berechtigungserteilungen. Selbst ein Benutzer mit expliziter SELECT Erteilung kann nicht auf ein Objekt in einem Katalog zugreifen, der nicht an seinen Arbeitsbereich gebunden ist. Siehe Einschränken des Katalogzugriffs auf bestimmte Arbeitsbereiche. |
Weitere Informationen zu Katalogen finden Sie unter Was sind Kataloge in Azure Databricks?.
Schema
Innerhalb eines Katalogs ist ein Schema (auch als Datenbank bezeichnet) die zweite Ebene der Objekthierarchie für Ihre Datenressourcen. Schemas sind Containerobjekte. Ein Schema enthält Tabellen, Ansichten, Volumes und Funktionen.
Häufig beziehen wir uns auf den Namespace mit drei Ebenen (d. h catalog. .schema.table) für Daten im Unity-Katalog. Hier ist das Schema die zweite Ebene des Namespace mit drei Ebenen.
In der folgenden Tabelle sind wichtige Details zu Schemas zusammengefasst:
| Einzelheit | Beschreibung |
|---|---|
| Vererbung | Berechtigungen, die für ein Schema gewährt werden, gelten automatisch für alle aktuellen und zukünftigen Tabellen, Ansichten, Volumes und Funktionen darin. Die Gewährung SELECT eines Schemas ermöglicht es einem Benutzer beispielsweise, eine beliebige Tabelle in diesem Schema zu lesen (mit den entsprechenden USE CATALOG Und USE SCHEMAVerwendungsberechtigungen). Siehe Berechtigungsvererbung.Aufgrund der Vererbung können Berechtigungen auf Schemaebene breit sein. Überprüfen Sie, welche Objekte im Schema enthalten sind, bevor Sie Benutzern Berechtigungen erteilen. |
Verwendungsberechtigung (USE SCHEMA) |
Die USE SCHEMAVerwendungsberechtigung ist erforderlich, bevor ein Benutzer mit einem beliebigen Objekt in einem Schema interagieren kann. Dies ist zusätzlich zum USE CATALOG übergeordneten Katalog des Schemas vorhanden. Eine USE SCHEMA Erteilung bietet nicht allein Zugriff auf Daten im Schema. |
Weitere Informationen zu Schemas finden Sie unter Schemas.
Tabelle
Innerhalb eines Schemas ist eine Tabelle das primäre sicherungsfähige Objekt für strukturierte Daten im Unity-Katalog. Im Folgenden sind die Tabellentypen in Azure Databricks aufgeführt:
- Verwaltete Tabellen sind Tabellen , in denen der Speicherortpfad vom Unity-Katalog bestimmt wird. Wichtig ist, dass sich die Daten selbst immer noch in Ihrem Cloudkonto befinden. Databricks empfiehlt die Verwendung von verwalteten Tabellen, um die neuesten Tabellenfeatures zu nutzen. Siehe verwaltete Tabellen im Unity-Katalog in Azure Databricks für Delta Lake und Apache Iceberg.
- Externe Tabellen sind Tabellen , in denen Sie den Speicherortpfad angeben. Unity Catalog verwaltet weiterhin die Metadaten der Tabelle, verwaltet jedoch nicht den Lebenszyklus, die Optimierung, den Speicherort oder das Layout der Daten. Weitere Informationen finden Sie unter Arbeiten mit externen Tabellen.
- Fremdtabellen sind Tabellen aus einem fremden Katalog, die im Unity-Katalog registriert sind. Siehe "Arbeiten mit Fremdtabellen".
In der folgenden Tabelle sind wichtige Details zu Tabellen zusammengefasst:
| Einzelheit | Beschreibung |
|---|---|
| Verwendungsberechtigungen | Um auf eine Tabelle zuzugreifen, muss USE CATALOG ein Benutzer im übergeordneten Katalog und USE SCHEMA im übergeordneten Schema (Verwendungsberechtigungen) zusätzlich zu den relevanten Berechtigungen auf Tabellenebene verfügen, SELECT z. B. oder MODIFY. |
| Vererbung | Tabellenberechtigungen können vom übergeordneten Schema oder Katalog geerbt werden. Beispielsweise gewährt die Gewährung SELECT eines Schemas automatisch SELECT alle aktuellen und zukünftigen Tabellen in diesem Schema. Siehe Berechtigungsvererbung. |
| Lese- und Schreibzugriff | Dient SELECT zum Gewähren des Lesezugriffs und MODIFY zum Gewähren des Schreibzugriffs (Einfügen, Aktualisieren, Löschen). Fremdtabellen, auf die über lakehouse Federation zugegriffen wird, sind schreibgeschützt und unterstützen nicht die MODIFY Berechtigungen. |
Weitere Informationen zu Tabellen finden Sie in Azure Databricks-Tabellen.
Ansicht
Innerhalb eines Schemas ist eine Ansicht ein schreibgeschütztes Objekt, das von einer gespeicherten SQL-Abfrage über eine oder mehrere Tabellen oder andere Ansichten definiert wird. Ansichten werden ergebnisse für jede Abfrage neu kompensiert.
In der folgenden Tabelle sind wichtige Details zu Ansichten zusammengefasst:
| Einzelheit | Beschreibung |
|---|---|
| Verwendungsberechtigungen | Um auf eine Ansicht zuzugreifen, muss USE CATALOG ein Benutzer zusätzlich zu SELECT der Ansicht im übergeordneten Katalog und USE SCHEMA im übergeordneten Schema (Nutzungsrechte) verfügen.Der Benutzer benötigt keine Berechtigungen für die zugrunde liegenden Tabellen, die von der Ansicht abfragen. Die Berechtigungen des Ansichtsbesitzers werden verwendet, um die zugrunde liegenden Tabellen zur Abfragezeit aufzulösen. Bei Tabellenbesitzern ist dies nützlich, um den Zugriff auf bestimmte Zeilen oder Spalten einzuschränken, ohne die zugrunde liegenden Tabellen direkt verfügbar zu machen. |
| Vererbung |
SELECT auf Schema- oder Katalogebene gewährt wird, gilt für alle aktuellen und zukünftigen Ansichten in diesem Schema oder Katalog. Siehe Berechtigungsvererbung. |
Weitere Informationen zu Ansichten finden Sie unter Was ist eine Ansicht?.
Materialisierte Ansicht
Eine materialisierte Ansicht ist eine Ansicht, die die Abfrageergebnisse vorab berechnet und speichert. Die Ergebnisse spiegeln den Status der Daten zum Zeitpunkt der letzten Aktualisierung der materialisierten Ansicht wider.
Das Berechtigungsmodell für materialisierte Ansichten entspricht dem des Standardansichten. Zusätzlich zu SELECT und MANAGE, materialisierte Ansichten unterstützen die REFRESH Berechtigung, die es einem Benutzer ermöglicht, eine Aktualisierung der Ergebnisse der materialisierten Ansicht auszulösen. Benutzer mit nur SELECT und den entsprechenden Verwendungsberechtigungen können die gespeicherten Ergebnisse abfragen, aber keine Aktualisierung auslösen.
Weitere Informationen zu materialisierten Ansichten finden Sie unter Materialisierte Ansichten.
Metrikansicht
Eine Metrikansicht ist ein schreibgeschütztes Objekt, das eine Reihe wiederverwendbarer Metrikdefinitionen definiert, die auf einer oder mehreren Tabellen, Ansichten oder SQL-Abfragen basieren. Benutzer fragen eine Metrikansicht wie eine Standardansicht ab.
Das Berechtigungsmodell für materialisierte Ansichten entspricht dem des Standardansichten. Benutzer benötigen SELECT und die entsprechenden Verwendungsberechtigungen , um die Metrikansicht abzufragen. Die Berechtigungen des metrischen Ansichtsbesitzers werden verwendet, um die zugrunde liegenden Datenquellen zur Abfragezeit aufzulösen.
Weitere Informationen zu Metrikansichten finden Sie unter Unity Catalog-Metrikansichten.
Volumen
Innerhalb eines Schemas ist ein Volume ein sicherungsfähiges Objekt für unstrukturierte Daten im Cloudspeicher. Volumes können verwaltet werden (Vom Unity-Katalog bestimmter Speicherort) oder extern (Sie geben den Speicherpfad an). Im Gegensatz zu Tabellen und Ansichten unterstützen Volumes keine SQL-Abfragevorgänge – sie bieten Lese- und Schreibzugriff auf Dateiebene auf Daten im Cloudspeicher. Im Folgenden sind die Arten von Volumes in Azure Databricks aufgeführt:
- Verwaltete Volumes sind Volumes , bei denen der Pfad des Speicherorts vom Unity-Katalog bestimmt wird. Wichtig ist, dass sich die Daten selbst immer noch in Ihrem Cloudkonto befinden. Databricks empfiehlt die Verwendung von verwalteten Volumes, damit unity Catalog automatisch den gesamten Datenzugriff steuert.
- Externe Volumes sind Volumes, in denen Sie den Speicherortpfad angeben. Sie können externe Volumes verwenden, wenn Sie externen Systemzugriff außerhalb von Azure Databricks benötigen, aber seien Sie vorsichtig, dass externe Systeme die Unity-Kataloggovernance umgehen können.
In der folgenden Tabelle sind wichtige Details zu Volumes zusammengefasst:
| Einzelheit | Beschreibung |
|---|---|
| Verwendungsberechtigungen | Um auf Dateien in einem Volume zuzugreifen, muss USE CATALOG ein Benutzer im übergeordneten Katalog und USE SCHEMA im übergeordneten Schema (Nutzungsrechte) zusätzlich zu READ VOLUME oder WRITE VOLUME auf dem Volume verfügen. |
| Lese- und Schreibzugriff | Dient READ VOLUME zum Lesen von Dateien und Verzeichnissen, die in einem Volume gespeichert sind, und WRITE VOLUME um die Möglichkeit zum Hinzufügen, Ändern oder Löschen von Dateien zu gewähren. |
| Vererbung |
READ VOLUME und WRITE VOLUME auf Schema- oder Katalogebene gewährt werden, gelten für alle aktuellen und zukünftigen Volumes in diesem Schema oder Katalog. Siehe Berechtigungsvererbung. |
Weitere Informationen zu Volumes finden Sie unter Was sind Unity Catalog-Volumes?.
Funktion
Innerhalb eines Schemas ist eine Funktion ein sicherungsfähiges Objekt im Unity-Katalog, das wiederverwendbare ausführbare Logik darstellt. Zu den Funktionen gehören benutzerdefinierte Funktionen (USER-Defined Functions, UDFs), gespeicherte Prozeduren und registrierte Modelle (MLflow-Modelle, die im Unity-Katalog registriert sind).
- Benutzerdefinierte Funktionen (USER-Defined Functions, UDFs) sind benutzerdefinierte Funktionen, die in SQL- oder Python geschrieben werden, die in SQL-Abfragen und -Notizbüchern aufgerufen werden können. Siehe Was sind benutzerdefinierte Funktionen (UDFs, User Defined Functions)?.
- Gespeicherte Prozeduren sind benutzerdefinierte Routinen, die eine Abfolge von SQL-Anweisungen ausführen und nebenwirkungen wie das Einfügen oder Aktualisieren von Daten umfassen können.
- Registrierte Modelle sind MLflow Machine Learning-Modelle, die im Unity-Katalog registriert sind. Im Unity-Katalog werden registrierte Modelle als Funktionstyp implementiert. Weitere Informationen dazu finden Sie unter Verwalten des Lebenszyklus von Modellen in Unity Catalog.
In der folgenden Tabelle sind wichtige Details zu Funktionen zusammengefasst:
| Einzelheit | Beschreibung |
|---|---|
| Verwendungsberechtigungen | Um eine Funktion auszuführen oder ein registriertes Modell zu laden, muss USE CATALOG ein Benutzer zusätzlich zu EXECUTE der Funktion über den übergeordneten Katalog und USE SCHEMA das übergeordnete Schema (Nutzungsrechte) verfügen. |
Die EXECUTE Berechtigung |
Das Gewähren EXECUTE eines Benutzers für eine Funktion ermöglicht es ihm, die Funktion aufzurufen und seine Definition und Metadaten anzuzeigen. Bei registrierten Modellen EXECUTE kann der Benutzer außerdem Metadaten für alle Versionen des registrierten Modells anzeigen und Modelldateien herunterladen. |
| Vererbung |
EXECUTE auf Schema- oder Katalogebene gewährt wird, gilt für alle aktuellen und zukünftigen Funktionen in diesem Schema oder Katalog. Siehe Berechtigungsvererbung. |
Modell
Ein Modell ist ein versionsiertes MLflow Machine Learning-Modell, das im Unity-Katalog als Funktionsobjekt gespeichert ist. Das Modell selbst ist der Container. Die Artefakte und Metadaten für jeden Schulungslauf werden als Modellversionen darin gespeichert.
Das Berechtigungsmodell für registrierte Modelle ist identisch mit dem von Funktionen. Die folgenden zusätzlichen Berechtigungen gelten speziell für Modelle:
APPLY TAG: Ermöglicht das Hinzufügen und Bearbeiten von Tags in einem Modell und dessen Versionen. Der Benutzer muss auch im übergeordneten Katalog undUSE SCHEMAim übergeordneten Schema verfügenUSE CATALOG.CREATE MODEL VERSION: Ermöglicht es einem Benutzer, neue Versionen eines Modells zu registrieren, ohne dem Modell die Möglichkeit zum Ausführen, Ändern oder Hinzufügen von Tags zu gewähren. Der Benutzer muss auch im übergeordneten Katalog undUSE SCHEMAim übergeordneten Schema verfügenUSE CATALOG.
Für das Erstellen eines Modells ist die CREATE MODEL Berechtigung für das Schema erforderlich, nicht CREATE FUNCTION.
CREATE MODEL kann auch in einem Katalog gewährt werden, um das Erstellen von Modellen in einem beliebigen Schema in diesem Katalog zu ermöglichen.
Weitere Informationen zu Modellen finden Sie unter Verwalten des Modelllebenszyklus im Unity-Katalog.
Speicheranmeldeinformationen
Innerhalb eines Metastores ist eine Speicheranmeldeinformation ein sicherungsfähiges Objekt, das die Authentifizierungsinformationen speichert, die für den Zugriff auf einen bestimmten Pfad im Cloudspeicher erforderlich sind. Die gespeicherte Authentifizierungsmethode hängt vom Cloudanbieter ab: einer IAM-Rolle auf AWS, einem Dienstprinzipal in Azure oder einem Dienstkonto auf GCP.
Speicheranmeldeinformationen werden am häufigsten als Baustein für externe Speicherorte verwendet, die Speicheranmeldeinformationen mit einem bestimmten Cloudspeicherpfad koppeln. Eine Speicheranmeldeinformation kann auch direkt zum Erstellen externer Tabellen verwendet werden.
Zum Erstellen von Speicheranmeldeinformationen benötigt ein Benutzer die CREATE STORAGE CREDENTIAL Berechtigung für den Unity Catalog-Metastore.
Weitere Informationen zu Speicheranmeldeinformationen finden Sie unter Übersicht über Speicheranmeldeinformationen.
Externer Speicherort
Innerhalb eines Metastores ist ein externer Speicherort ein sicherungsfähiges Objekt, das speicheranmeldeinformationen mit einem Cloudspeicherpfad kombiniert. Er steuert den Zugriff auf einen bestimmten Pfad im Cloudspeicher.
Um einen externen Speicherort zu erstellen, benötigt ein Benutzer die CREATE EXTERNAL LOCATION Berechtigung für den Unity-Katalog-Metastore.
Nach dem Erstellen eines externen Speicherorts benötigen Benutzer die READ FILES Berechtigung, Dateien direkt aus dem Speicherpfad zu lesen, und die WRITE FILES Berechtigung zum Schreiben von Dateien. Databricks empfiehlt jedoch, den Cloudspeicherzugriff über Volumes und die READ VOLUME Rechte WRITE VOLUME zu verwalten, anstatt externe Standorte zu gewähren und WRITE FILES direkt zu gewährenREAD FILES.
Weitere Informationen zu externen Speicherorten finden Sie unter Übersicht über externe Speicherorte.
Externe Metadaten
Innerhalb eines Metastores ist ein externes Metadatenobjekt ein sicherungsfähiges Objekt, das verwendet wird, um benutzerdefinierte Datenlinienbeziehungen für Systeme zu definieren, die außerhalb der systemeigenen Linienverfolgung von Unity Catalog ausgeführt werden.
Um ein externes Metadatenobjekt zu erstellen, benötigt ein Benutzer die CREATE EXTERNAL METADATA Berechtigung für den Unity-Katalog-Metastore. Um dem Objekt Linienbeziehungen hinzuzufügen oder zu ändern, benötigt MODIFY der Benutzer das externe Metadatenobjekt sowie die entsprechenden Berechtigungen für alle Unity Catalog-Objekte, auf die in der Beziehung verwiesen wird.
Weitere Informationen zu externen Metadaten finden Sie unter Anzeigen der Datenlinie mithilfe des Unity-Katalogs.
Dienstberechtigungen
Innerhalb eines Metastores ist eine Dienstanmeldeinformation ein sicherungsfähiges Objekt, das Authentifizierungsinformationen für den Zugriff auf externe Clouddienste speichert. Dies ist im Gegensatz zu Speicheranmeldeinformationen, die den Zugriff auf Cloudspeicher steuern.
Um eine Dienstanmeldeinformationen zu erstellen, benötigt ein Benutzer die CREATE SERVICE CREDENTIAL Berechtigung für den Unity-Katalog-Metastore.
Die ACCESS Berechtigung ermöglicht es einem Benutzer, die Dienstanmeldeinformationen für den Zugriff auf einen externen Dienst zu verwenden.
CREATE CONNECTION auf dienstanmeldeinformationen (kombiniert mit CREATE CONNECTION dem Metastore) ermöglicht es einem Benutzer, mithilfe dieser Anmeldeinformationen eine Verbindung mit einer externen Datenbank herzustellen.
Weitere Informationen zu Dienstanmeldeinformationen finden Sie unter Erstellen von Dienstanmeldeinformationen.
Verbindung
Innerhalb eines Metastores ist eine Verbindung ein sicherungsfähiges Objekt, das eine Verbindung mit einem externen Datenbanksystem in einem Lakehouse Federation-Szenario definiert.
Um eine Verbindung zu erstellen, benötigt ein Benutzer die CREATE CONNECTION Berechtigung für den Unity-Katalog-Metastore. Wenn die Verbindung eine Dienstanmeldeinformationen verwendet, benötigt CREATE CONNECTION der Benutzer auch die Anmeldeinformationen des Diensts.
Mit USE CONNECTION den Berechtigungen kann ein Benutzer Verbindungsdetails auflisten und anzeigen und die remote_query Funktion verwenden, um SQL-Abfragen direkt in der externen Datenbank auszuführen.
CREATE FOREIGN CATALOG bei einer Verbindung ermöglicht es einem Benutzer, einen fremdkatalog zu erstellen, der von dieser Verbindung unterstützt wird.
Weitere Informationen zu Verbindungen finden Sie unter Verwalten von Verbindungen für lakehouse Federation.
Teilen
Innerhalb eines Metastores ist eine Freigabe ein sicherungsfähiges Objekt in der Delta-Freigabe, das eine logische Gruppierung von Datenressourcen (Tabellen, Ansichten und Volumes) darstellt. Ein Anbieter kann die Freigabe dann externen Empfängern zur Verfügung stellen.
Der SELECT Berechtigung für eine Freigabe wird einem Empfänger (nicht einzelnen Benutzern) gewährt, damit dieser Empfänger die Objekte in der Freigabe lesen kann. Um eine Freigabe zu erstellen, benötigt ein Benutzer die CREATE SHARE Berechtigung für den Unity-Katalog-Metastore.
Weitere Informationen zu Freigaben finden Sie unter Erstellen und Verwalten von Freigaben für Die Delta-Freigabe.
Provider
Innerhalb eines Metastores ist ein Anbieter ein sicherungsfähiges Objekt in der Delta-Freigabe, das eine externe Organisation darstellt, die über freigegebene Daten für Ihre Organisation verfügt. Anbieterobjekte werden im Unity-Katalog-Metastore des Empfängers erstellt. Mit USE PROVIDER den Berechtigungen kann ein Benutzer alle Anbieter und deren Freigaben anzeigen und in Kombination mit CREATE CATALOGeinem freigegebenen Katalog bereitstellen, ohne dass die Administratorrolle des Metastores erforderlich ist.
Zum Erstellen eines Anbieters benötigt ein Benutzer die CREATE PROVIDER Berechtigung für den Unity Catalog-Metastore.
Weitere Informationen zu Anbietern finden Sie unter Was ist Delta-Freigabe?.
Recipient
Innerhalb eines Metastores ist ein Empfänger ein sicherungsfähiges Objekt in der Delta-Freigabe, das eine externe Organisation oder Gruppe von Benutzern darstellt, für die ein Anbieter Daten freigibt. Empfängerobjekte werden im Unity-Katalog-Metastore des Anbieters erstellt. Für ein Empfängerobjekt selbst können keine Berechtigungen erteilt werden. Der Zugriff auf freigegebene Daten wird gesteuert, indem dem Empfänger eine Freigabe gewährt SELECT wird.
Zum Erstellen eines Empfängers benötigt ein Benutzer die CREATE RECIPIENT Berechtigung für den Unity-Katalog-Metastore.
Weitere Informationen zu Empfängern finden Sie unter Erstellen und Verwalten von Datenempfängern für die Delta-Freigabe (Databricks-to-Databricks-Freigabe).
Reinraum
Innerhalb eines Metastores ist ein Reinraum ein sicherungsfähiges Objekt, das eine sichere Umgebung für die Zusammenarbeit mit anderen Organisationen an freigegebenen Daten bereitstellt, ohne dass beide Parteien ihre zugrunde liegenden Daten für die andere verfügbar machen.
Um einen Reinraum zu erstellen, benötigt ein Benutzer die CREATE CLEAN ROOM Berechtigungen für den Unity-Katalog-Metastore.
Mit EXECUTE CLEAN ROOM TASK den Berechtigungen kann ein Benutzer Notizbücher innerhalb des Reinraums ausführen und Details zu Reinräumen anzeigen. Mit MODIFY CLEAN ROOM den Berechtigungen kann ein Benutzer den Reinraum aktualisieren, einschließlich hinzufügen oder entfernen von Datenressourcen, Notizbüchern und Kommentaren.
Weitere Informationen zu Reinräumen finden Sie unter Was ist Azure Databricks Clean Rooms?.