次の方法で共有

Unity Catalog の権限とセキュリティ保護可能なオブジェクト

適用対象:「はい」のチェック マーク Databricks SQL Databricks Runtime 「はい」のチェック マーク Unity Catalog のみ

権限は、メタストア内のセキュリティ保護可能なオブジェクトを操作するためにプリンシパルに付与される権限です。 権限モデルとセキュリティ保護可能なオブジェクトは、Unity Catalog メタストアとレガシの Hive メタストアのどちらを使用しているかによって異なります。 この記事では、Unity Catalog の権限モデルについて説明します。 Hive メタストアを使用している場合は、Hive メタストアの Privileges およびセキュリティ保護可能なオブジェクトを参照してください。

Unity カタログで権限を管理する方法の詳細については、「 Unity カタログの管理権限」を参照してください

この記事では、特権モデル バージョン 1.0 の Unity Catalog の特権と継承モデルについて説明します。 パブリック プレビュー中 (2022 年 8 月 25 日より前) に Unity カタログメタストアを作成した場合は、現在の継承モデルをサポートしていない以前の特権モデルを使用している可能性があります。 特権モデル バージョン 1.0 にアップグレードして、特権の継承を取得できます。 「特権継承へのアップグレード」を参照してください。

セキュリティ保護可能なオブジェクト

セキュリティ保護可能なオブジェクトは、プリンシパルに権限を付与できる Unity Catalog メタストアで定義されているオブジェクトです。 Unity カタログのセキュリティ保護可能なオブジェクトとそのオブジェクトに付与できる権限の完全な一覧については、「 Unity Catalog 権限とセキュリティ保護可能なオブジェクト」を参照してください

任意のオブジェクトに対する権限を管理するには、そのオブジェクトの所有者であるか、オブジェクトに対する MANAGE 権限を持っている必要があります。また、オブジェクトの親カタログに対する USE CATALOG と、その親スキーマに対する USE SCHEMA が必要です。

構文

securable_object
  { CATALOG [ catalog_name ] |
    CONNECTION connection_name |
    CLEAN ROOM clean_room_name |
    EXTERNAL LOCATION location_name |
    FUNCTION function_name |
    METASTORE |
    PROCEDURE procedure_name |
    SCHEMA schema_name |
    SHARE share_name |
    [ STORAGE | SERVICE ] CREDENTIAL credential_name |
    [ TABLE ] table_name |
    MATERIALIZED VIEW view_name |
    VIEW view_name |
    VOLUME volume_name
  }

SERVER の代わりに CONNECTIONDATABASE の代わりに SCHEMA を指定することもできます。

パラメーター

  • CATALOG catalog_name

    データ カタログ全体へのアクセスを制御します。

  • MATERIALIZED VIEW view_name

    具体化されたビューへのアクセスを制御します。

  • METASTORE

    ワークスペースにアタッチされている Unity Catalog メタストアへのアクセスを制御します。 メタストアの権限を管理する場合、SQL コマンドにメタストア名を含めないでください。 Unity Catalog は、ワークスペースにアタッチされているメタストアに対する権限を付与または取り消します。

  • PROCEDURE procedure_name

    ユーザー定義プロシージャへのアクセスを制御します。

    プロシージャが見つからない場合、Azure Databricks によってエラーが発生します。

  • SCHEMA schema_name

    スキーマへのアクセスを制御します。

  • [ STORAGE | SERVICE ] CREDENTIAL credential_name

    credentialへのアクセスを制御します。

    キーワード STORAGESERVICE ("はい Databricks Runtime 15.4 以上" とマークされているチェック ) は省略可能です。

  • SHARE share_name

    受信者に対し、共有へのアクセスを制御します。

  • TABLE table_name

    マネージドまたは外部のテーブルへのアクセスを制御します。 テーブルが見つからない場合、Azure Databricks で TABLE_OR_VIEW_NOT_FOUND エラーが発生します。

  • VIEW view_name

    ビューへのアクセスを制御します。 ビューが見つからない場合、Azure Databricks では TABLE_OR_VIEW_NOT_FOUND エラーが生じます。

  • VOLUME volume_name

    ボリュームへのアクセスを制御します。 ボリュームが見つからない場合、Azure Databricks によってエラーが発生します。

特権の種類

特権の種類の一覧については、「Unity Catalog の特権とセキュリティ保護可能なオブジェクト」を参照してください。

-- Grant a privilege to the user alf@melmak.et
> GRANT SELECT ON TABLE t TO `alf@melmak.et`;

-- Revoke a privilege from the general public group.
> REVOKE USE SCHEMA ON SCHEMA some_schema FROM `alf@melmak.et`;