이 페이지에서는 Unity 카탈로그 보안 개체 및 해당 개체에 적용되는 권한을 설명합니다. Unity 카탈로그에서 권한을 부여하는 방법을 알아보려면 권한 표시, 부여 및 취소를 참조하세요.
Note
이 문서에서는 권한 모델 버전 1.0의 Unity 카탈로그 권한 및 상속 모델을 참조합니다. 공개 미리 보기(2022년 8월 25일 이전)에서 Unity 카탈로그 메타스토어를 만든 경우 현재 상속 모델을 지원하지 않는 이전 권한 모델에 있을 수 있습니다. 권한 상속을 얻으려면 권한 모델 버전 1.0으로 업그레이드할 수 있습니다. 권한 상속으로 업그레이드를 참조하세요.
Unity 카탈로그의 보안 개체
보안 오브젝트는 Unity 카탈로그 메타스토어에 정의된 오브젝트로서, 권한이 주체(사용자, 서비스 주체 또는 그룹)에게 부여될 수 있습니다. Unity 카탈로그의 보안 개체는 계층적입니다.
보안 개체는 다음과 같습니다.
메타스토어: 메타데이터에 대한 최상위 수준 컨테이너입니다. 각 Unity 카탈로그 메타스토어는 데이터를 구성하는 3 수준 네임스페이스(
catalog.schema.table)를 노출합니다.메타스토어에 대한 권한을 관리하는 경우 SQL 명령에 메타스토어 이름을 포함하지 않습니다. Unity 카탈로그는 작업 영역에 연결된 메타스토어에 대한 권한을 부여하거나 해지합니다. 예를 들어 다음 명령은 엔지니어링이라는 그룹에 작업 영역에 연결된 메타스토어에서 카탈로그를 만드는 기능을 부여합니다.
GRANT CREATE CATALOG ON METASTORE TO engineeringCATALOG: 데이터 자산을 구성하는 데 사용되는 개체 계층 구조의 첫 번째 계층입니다. 외장 카탈로그는 Lakehouse Federation 시나리오에서 외부 데이터 시스템의 데이터베이스를 미러링하는 특수 카탈로그 형식입니다.
SCHEMA: 데이터베이스라고도 하는 스키마는 개체 계층 구조의 두 번째 계층이며 테이블과 뷰를 포함합니다.
TABLE: 개체 계층 구조에서 가장 낮은 수준에는 관리 테이블, 외부 테이블, 외부 테이블, 스트리밍 테이블, 온라인 테이블, 및 기능 테이블이 있습니다. Azure Databricks 테이블을 참조하세요.
VIEW: 스키마 내에 포함된 하나 이상의 테이블에 대한 쿼리에서 생성된 읽기 전용 개체입니다.
MATERIALIZED VIEW: 스키마 내에 포함된 하나 이상의 테이블에 대한 쿼리에서 만든 개체입니다. 결과는 마지막으로 새로 고쳐졌을 때의 데이터 상태를 반영합니다.
메트릭 뷰: 테이블, 뷰 또는 SQL 쿼리일 수 있는 하나 이상의 데이터 원본을 기반으로 차원 및 측정값을 포함한 메트릭 정의 집합을 정의하는 읽기 전용 개체입니다. Unity 카탈로그 메트릭 뷰를 참조하세요.
볼륨: 구조화되지 않은 데이터의 논리적 볼륨입니다. 외부(선택한 클라우드 스토리지의 외부 위치에 저장) 또는 관리(Azure Databricks용으로 명시적으로 만드는 클라우드 스토리지의 스토리지 컨테이너에 저장됨)일 수 있습니다.
FUNCTION: 스키마에 포함된 사용자 정의 함수 또는 MLflow 등록 모델입니다.
모델: MLflow 등록 모델은 특정 유형의 함수입니다. 모델은 카탈로그 탐색기의 다른 함수와 별도로 나열되지만 SQL을 사용하여 모델에 대한 권한을 부여하면 사용합니다
GRANT ON FUNCTION.EXTERNAL LOCATION: Unity 카탈로그 메타스토어 내에 포함된 스토리지 자격 증명 및 클라우드 스토리지 경로에 대한 참조를 포함하는 개체입니다.
EXTERNAL METADATA: 사용자 지정 데이터 계보 구성에 추가할 수 있도록 Tableau 대시보드 또는 Salesforce 개체와 같은 외부 시스템의 엔터티에 대한 메타데이터를 포함하는 개체입니다. 사용자 고유의 데이터 계보 가져오기를 참조하세요.
서비스 자격 증명: 외부 서비스에 대한 액세스를 제공하는 장기 클라우드 자격 증명을 캡슐화하는 개체입니다. Unity 카탈로그 메타스토어에 포함됩니다.
STORAGE CREDENTIAL: Unity 카탈로그 메타스토어 내에 포함된 클라우드 스토리지에 대한 액세스를 제공하는 장기 클라우드 자격 증명을 캡슐화하는 개체입니다.
CONNECTION: Lakehouse 페더레이션 시나리오에서 외부 데이터베이스 시스템에 액세스하기 위한 경로 및 자격 증명을 지정하는 개체입니다.
SHARE: Delta Sharing을 사용하여 공유하려는 테이블에 대한 논리적 그룹화입니다. 공유는 Unity 카탈로그 메타스토어 내에 포함됩니다.
RECIPIENT: Delta Sharing를 사용하여 데이터를 공유할 수 있는 사용자들의 조직 또는 그룹을 식별하는 개체입니다. 이러한 개체는 Unity 카탈로그 메타스토어 내에 포함됩니다.
PROVIDER: Delta Sharing을 사용하여 데이터를 공유할 수 있게 한 조직을 나타내는 개체입니다. 이러한 개체는 Unity 카탈로그 메타스토어 내에 포함됩니다.
CLEAN ROOM: 여러 당사자가 서로의 데이터에 직접 액세스하지 않고 공동 작업할 수 있는 Databricks에서 관리하는 안전하고 개인 정보 보호 환경을 나타내는 개체입니다.
Unity 카탈로그의 보안 개체별 권한 유형
다음 표에는 Unity 카탈로그의 각 보안 개체에 적용되는 권한 유형이 나열되어 있습니다. Unity 카탈로그에서 권한을 부여하는 방법을 알아보려면 권한 표시, 부여 및 취소를 참조하세요.
| Securable | Privileges |
|---|---|
| Metastore |
CREATE CATALOG, CREATE CLEAN ROOM, CREATE CONNECTION, CREATE EXTERNAL LOCATION, CREATE EXTERNAL METADATA, CREATE PROVIDER, CREATE RECIPIENT, CREATE SHARE, CREATE SERVICE CREDENTIAL, CREATE STORAGE CREDENTIAL, SET SHARE PERMISSION, USE MARKETPLACE ASSETS, USE PROVIDER, USE RECIPIENT, USE SHARE |
| Catalog |
ALL PRIVILEGES, APPLY TAG, BROWSE, CREATE SCHEMAUSE CATALOG모든 사용자는 기본적으로 USE CATALOG 카탈로그에 main를 가지고 있습니다.다음 권한 유형은 카탈로그 내의 보안 개체에 적용됩니다. 카탈로그 수준에서 이러한 권한을 부여하여 카탈로그의 현재 및 향후 개체에 적용할 수 있습니다. CREATE FUNCTION, CREATE TABLE, CREATE MATERIALIZED VIEW, CREATE MODEL, CREATE VOLUME, EXTERNAL USE SCHEMA, READ VOLUME, REFRESH, WRITE VOLUME, EXECUTEMANAGEMODIFYSELECT,USE SCHEMA |
| Schema |
ALL PRIVILEGES, APPLY TAG, CREATE FUNCTION, CREATE TABLE, CREATE MODEL, CREATE VOLUME, CREATE MATERIALIZED VIEWMANAGE, EXTERNAL USE SCHEMAUSE SCHEMA다음 권한 유형은 스키마 내의 보안 개체에 적용됩니다. 스키마 수준에서 이러한 권한을 부여하여 스키마 내의 현재 및 향후 개체에 적용할 수 있습니다. EXECUTE, MODIFY, READ VOLUME, REFRESH, SELECTWRITE VOLUME |
| Table |
ALL PRIVILEGES, APPLY TAG, MANAGE, MODIFYSELECT |
| 구체화된 뷰 |
ALL PRIVILEGES, APPLY TAG, MANAGE, REFRESHSELECT |
| View |
ALL PRIVILEGES, APPLY TAG, MANAGESELECT |
| Volume |
ALL PRIVILEGES, MANAGE, READ VOLUMEWRITE VOLUME |
| 외부 위치 |
ALL PRIVILEGES, BROWSE, CREATE EXTERNAL TABLE, CREATE EXTERNAL VOLUME, CREATE FOREIGN SECURABLE, CREATE MANAGED STORAGE, EXTERNAL USE LOCATIONMANAGE, READ FILESWRITE FILES |
| 외부 메타데이터 |
ALL PRIVILEGES, BROWSE, MANAGEMODIFY |
| 서비스 자격 증명 |
ALL PRIVILEGES, ACCESS, CREATE CONNECTION. MANAGE |
| 스토리지 자격 증명 |
ALL PRIVILEGES, CREATE EXTERNAL LOCATION, CREATE EXTERNAL TABLE, MANAGE, READ FILESWRITE FILES |
| Connection |
ALL PRIVILEGES, CREATE FOREIGN CATALOG, MANAGEUSE CONNECTION |
| Function |
ALL PRIVILEGES, APPLY TAG (모델만 해당), CREATE MODEL VERSION (모델만 해당), EXECUTE, MANAGE |
| Procedure |
ALL PRIVILEGES, , EXECUTEMANAGE |
| Model | 등록된 모델은 함수의 한 유형입니다. |
| Share |
SELECT(RECIPIENT에 부여 가능) |
| Recipient | None |
| Provider | None |
| 클린룸 |
ALL PRIVILEGES, BROWSE, EXECUTE CLEAN ROOM TASK, MANAGEMODIFY CLEAN ROOM |
일반 Unity 카탈로그 권한 유형
이 섹션에서는 Unity 카탈로그에 일반적으로 적용되는 권한 유형에 대해 자세히 설명합니다. Unity 카탈로그에서 권한을 부여하는 방법을 알아보려면 권한 표시, 부여 및 취소를 참조하세요.
모든 권한
적용 가능한 개체 형식: CATALOG, EXTERNAL LOCATION, EXTERNAL METADATA, SERVICE CREDENTIAL, STORAGE CREDENTIAL, SCHEMAFUNCTION (모델 포함), PROCEDURE, TABLE, MATERIALIZED VIEWVIEW,VOLUME
명시적으로 지정하지 않고 보안 개체 및 해당 자식 개체에 적용 가능한 모든 권한을 부여하거나 취소하는 데 사용됩니다.
개체에 ALL PRIVILEGES가 부여되면 부여 시점에 사용자에게 해당 권한이 개별적으로 부여되지 않습니다. 대신 권한 확인이 수행되는 시점에 사용 가능한 모든 권한으로 확장됩니다. 즉, Databricks에서 새로운 권한과 새로운 보안 가능한 개체를 릴리스하면 기존 ALL PRIVILEGES 권한에는 보안 가능한 개체, 기존 하위 개체 및 새로운 하위 개체에 적용되는 모든 새로운 권한이 자동으로 포함됩니다.
실수로 인한 데이터 반출 또는 권한 상승 ALL PRIVILEGES 방지를 위해 , EXTERNAL USE SCHEMA또는 EXTERNAL USE LOCATION 권한을 포함하지 MANAGE않습니다.
ALL PRIVILEGES 해지되면 ALL PRIVILEGES 권한과 권한에 암시된 모든 개별 권한이 제거됩니다. 에 포함되지 ALL PRIVILEGES않은 권한(예: MANAGE, EXTERNAL USE LOCATION및 EXTERNAL USE SCHEMA)은 영향을 받지 않습니다.
Note
이 권한은 계층 구조의 상위 수준에서 적용할 때 강력합니다. 예를 들어, GRANT 모든 권한을 CATALOG 주요 analysts에게 부여하여 카탈로그 내 모든 기존 및 미래 보안 개체에 대한 모든 현재 및 미래의 권한을 분석가 팀이 갖도록 합니다.
ACCESS
적용할 수 있는 개체 형식: SERVICE CREDENTIAL
사용자가 서비스 자격 증명을 사용하여 외부 서비스 또는 서비스에 액세스할 수 있도록 허용합니다.
태그 적용
적용 가능한 개체 유형: CATALOG, SCHEMA, TABLE, VOLUME, MATERIALIZED VIEW, VIEW, FUNCTION로 등록된 모델
사용자가 개체에 대한 태그를 추가하고 편집할 수 있습니다. 테이블 또는 뷰에 APPLY TAG를 부여하면 열 태그 지정도 사용할 수 있습니다. 등록된 모델에 APPLY TAG를 부여하면 모델 버전 태그도 사용할 수 있습니다.
또한 사용자는 상위 카탈로그에 대한 USE CATALOG 권한과 상위 스키마에 대한 USE SCHEMA 권한이 있어야 합니다.
관리 태그를 Unity 카탈로그 보안 개체에 적용하려면 관리 태그에 대한 ASSIGN 권한도 있어야 합니다. 관리 태그에 대한 권한 관리를 참조하세요.
BROWSE
적용할 수 있는 개체 형식: CATALOG, CLEAN ROOM, EXTERNAL METADATA, EXTERNAL LOCATION
사용자가 카탈로그 탐색기, 스키마 브라우저, 검색 결과, 계보 그래프 information_schema및 REST API를 사용하여 개체의 메타데이터를 볼 수 있습니다. 이 가시성을 통해 사용자는 개체를 검색하고 개체에 대한 액세스를 요청할 수 있습니다.
사용자는 상위 카탈로그에 대한 USE CATALOG 권한이나 상위 스키마에 대한 USE SCHEMA 권한이 필요하지 않습니다.
모든 사용자는 카탈로그 탐색기를 사용하여 생성한 새 카탈로그에 대해 기본적으로 BROWSE 권한이 부여됩니다. 원하는 경우 권한을 취소할 수 있습니다. SQL 문, REST API 또는 Databricks CLI를 사용하여 만든 카탈로그에는 기본적으로 BROWSE 권한이 부여되지 않습니다. 이를 과도하게 부여해야 합니다.
Databricks는 개체를 BROWSE 검색할 수 있도록 하고 모든 사용자가 개체에 대한 액세스를 요청할 수 있도록 그룹에 카탈로그 All account users 를 부여하는 것이 좋습니다.
Note
개체에 BROWSE 대한 권한만 있는 사용자는 SQL을 사용하여 메타데이터를 탐색하는 기능이 제한됩니다.
CREATE CATALOG
적용 가능한 개체 형식: Unity 카탈로그 메타스토어
사용자가 Unity 카탈로그 메타스토어에서 카탈로그를 만들 수 있습니다. 외세 카탈로그를 만들려면 외세 카탈로그를 포함하는 연결 또는 메타스토어에 대한 CREATE FOREIGN CATALOG 권한이 있어야 합니다.
클린룸 만들기
적용 가능한 개체 형식: Unity 카탈로그 메타스토어
사용자가 기본 데이터를 공유하지 않고도 다른 조직과 프로젝트를 안전하게 공동 작업할 수 있는 클린룸을 만들 수 있습니다.
CREATE CONNECTION
적용 가능한 개체 형식: Unity 카탈로그 메타스토어, SERVICE CREDENTIAL
사용자가 Lakehouse 페더레이션 시나리오에서 외부 데이터베이스에 대한 연결을 만들 수 있습니다. 서비스 자격 증명을 사용하여 연결을 만들려면 메타스토어와 서비스 자격 증명 모두에 대해 이 권한이 있어야 합니다.
CREATE EXTERNAL LOCATION
적용 가능한 개체 형식: Unity 카탈로그 메타스토어, STORAGE CREDENTIAL
외부 위치를 만들려면 사용자는 외부 위치에서 참조되는 metastore 및 스토리지 자격 증명 모두에 대해 이 권한이 있어야 합니다.
외부 메타데이터 만들기
적용 가능한 개체 형식: Unity 카탈로그 메타스토어
사용자가 사용자 지정 계보에서 사용할 외부 메타데이터 보안 개체를 만들 수 있습니다. 외부 메타데이터 개체에 계보 관계를 추가하려면 사용자는 관계를 지정하는 Unity Catalog 개체에 대한 권한과 함께 외부 메타데이터 개체에 대한 권한이 있어야 합니다 MODIFY .
외부 항목 생성 TABLE
적용할 수 있는 개체 형식: EXTERNAL LOCATION, STORAGE CREDENTIAL
사용자가 외부 위치 또는 스토리지 자격 증명을 사용하여 클라우드 테넌트에서 직접 외부 테이블을 만들도록 허용합니다. Databricks는 스토리지 자격 증명이 아닌 외부 위치에 이 권한을 부여하는 것이 좋습니다(경로로 범위가 지정되므로 사용자가 클라우드 테넌트에서 외부 테이블을 만들 수 있는 위치를 더 자세히 제어할 수 있음).
외부 볼륨 생성
적용할 수 있는 개체 형식: EXTERNAL LOCATION
사용자가 외부 위치를 사용하여 외부 볼륨을 만들 수 있도록 허용합니다.
외부 생성 CATALOG
적용할 수 있는 개체 형식: CONNECTION
사용자가 Lakehouse 페더레이션 시나리오에서 외부 데이터베이스에 대한 연결을 사용하여 외부 카탈로그를 만들 수 있습니다.
외부 보안 가능 항목 생성
적용할 수 있는 개체 형식: EXTERNAL LOCATION
외부 카탈로그를 만드는 사용자가 외부 위치에서 다루는 권한 있는 경로 지정할 수 있습니다.
또한 사용자는 Unity 카탈로그 메타스토어에서 CREATE CATALOG을, 연결에서 CREATE FOREIGN CATALOG을 가지고 있어야 합니다.
CREATE FUNCTION
적용할 수 있는 개체 형식: SCHEMA
사용자가 스키마에서 함수 또는 프로시저를 만들 수 있습니다. 권한은 상속되므로 CREATE FUNCTION 카탈로그에 부여할 수도 있습니다. 이를 통해 사용자는 카탈로그의 기존 스키마 또는 이후 스키마에서 함수 또는 프로시저를 만들 수 있습니다.
또한 사용자는 상위 카탈로그에 대한 USE CATALOG 권한과 상위 스키마에 대한 USE SCHEMA 권한이 있어야 합니다.
모델 생성
적용할 수 있는 개체 형식: SCHEMA
사용자가 스키마에 MLflow 등록 모델(함수 유형)을 만들 수 있도록 허용합니다. 권한이 상속되므로 CREATE MODEL은 카탈로그에 부여될 수도 있으며, 이를 통해 사용자는 카탈로그의 기존 스키마 또는 향후 스키마에 등록된 모델을 만들 수 있습니다.
또한 사용자는 상위 카탈로그에 대한 USE CATALOG 권한과 상위 스키마에 대한 USE SCHEMA 권한이 있어야 합니다.
모델 버전 만들기
적용할 수 있는 개체 형식: MODEL
사용자가 MLflow 등록 모델의 새 버전(함수 유형)을 등록할 수 있습니다. 사용자에게 모델 버전에 태그를 실행, 수정 또는 추가할 수 있는 권한을 부여하지 않습니다.
또한 사용자는 상위 카탈로그에 대한 USE CATALOG 권한과 상위 스키마에 대한 USE SCHEMA 권한이 있어야 합니다.
관리되는 저장소 만들기
적용할 수 있는 개체 형식: EXTERNAL LOCATION
사용자가 카탈로그 또는 스키마 수준에서 관리형 테이블을 저장할 위치를 지정하고 메타스토어의 기본 루트 스토리지를 재정의할 수 있습니다.
CREATE SCHEMA
적용할 수 있는 개체 형식: CATALOG
사용자가 스키마를 만들 수 있습니다. 사용자에게 카탈로그에 대한 USE CATALOG 권한도 있어야 합니다.
서비스 자격 증명 생성
적용 가능한 개체 형식: Unity 카탈로그 메타스토어
사용자가 Unity 카탈로그 메타스토어에서 서비스 자격 증명을 만들 수 있습니다.
저장소 자격 증명 생성
적용 가능한 개체 형식: Unity 카탈로그 메타스토어
사용자가 Unity 카탈로그 메타스토어에서 스토리지 자격 증명을 생성할 수 있도록 허용합니다.
CREATE TABLE
적용할 수 있는 개체 형식: SCHEMA
사용자가 스키마에서 테이블 또는 보기를 만들 수 있습니다. 권한이 상속되기 때문에 CREATE TABLE은(는) 카탈로그에 부여될 수도 있으며, 이를 통해 사용자는 카탈로그의 기존 또는 향후 스키마에서 테이블 또는 뷰를 생성할 수 있습니다.
또한 사용자는 부모 카탈로그에 대한 USE CATALOG 권한과 부모 스키마에 대한 USE SCHEMA 권한이 있어야 합니다.
CREATE MATERIALIZED VIEW
적용할 수 있는 개체 형식: SCHEMA
사용자가 스키마에서 구체화된 뷰를 만들 수 있습니다. 권한이 상속되기 때문에 CREATE MATERIALIZED VIEW은(는) 카탈로그에 부여될 수도 있으며, 이를 통해 사용자는 카탈로그의 기존 또는 향후 스키마에서 테이블 또는 뷰를 생성할 수 있습니다.
또한 사용자는 부모 카탈로그에 대한 USE CATALOG 권한과 부모 스키마에 대한 USE SCHEMA 권한이 있어야 합니다.
CREATE VOLUME
적용할 수 있는 개체 형식: SCHEMA
사용자가 스키마에서 볼륨을 만들 수 있습니다. 권한이 상속되므로 카탈로그에도 CREATE VOLUME를 부여할 수 있으므로 사용자는 카탈로그의 기존 또는 향후 스키마에 볼륨을 만들 수 있습니다.
또한 USE CATALOG 사용자는 볼륨의 부모 카탈로그에 대한 권한과 USE SCHEMA 부모 스키마에 대한 권한이 있어야 합니다.
EXECUTE
적용 가능한 개체 유형: FUNCTION, 모델
사용자가 상위 카탈로그에 USE CATALOG가 있고 상위 스키마에 USE SCHEMA가 있는 경우 사용자가 사용자 정의 함수를 호출하거나 추론을 위해 모델을 로드할 수 있도록 허용합니다. 함수의 경우 EXECUTE는 함수 정의 및 메타데이터를 볼 수 있는 권한을 부여합니다. 등록된 모델의 경우 EXECUTE는 등록된 모델의 모든 버전에 대한 메타데이터를 보고 모델 파일을 다운로드할 수 있는 권한을 부여합니다.
권한은 상속되므로 카탈로그 또는 스키마에 대한 EXECUTE 권한을 사용자에게 부여할 수 있습니다. 그러면 사용자에게 카탈로그 또는 스키마의 모든 현재 및 이후 함수에 대한 EXECUTE 권한이 자동으로 부여됩니다.
클린룸 작업 수행
적용할 수 있는 개체 형식: CLEAN ROOM
사용자가 클린룸에서 작업(Notebook)을 실행할 수 있습니다. 또한 사용자가 클린룸 세부 정보를 볼 수 있습니다.
외부 사용 위치
적용할 수 있는 개체 형식: EXTERNAL LOCATION
사용자에게 Unity 카탈로그 열기 API 또는 Apache Spark를 사용하여 외부 처리 엔진에서 Unity 카탈로그 외부 위치에 액세스할 수 있는 임시 자격 증명을 부여할 수 있습니다.
외부 위치에 대한 권한이 있는 MANAGE 사용자만 이 권한을 부여할 수 있습니다.
실수로 인한 데이터 반출 ALL PRIVILEGES 을 EXTERNAL USE LOCATION 방지하기 위해 권한은 포함하지 않으며 외부 위치 소유자는 기본적으로 이 권한을 갖지 않습니다.
Unity 카탈로그에 대한 외부 데이터 액세스 활성화을 참조하세요.
외부 USE SCHEMA
Important
이 기능은 공개 미리 보기 상태입니다.
적용할 수 있는 개체 형식: SCHEMA
사용자에게 Unity 카탈로그 열기 API 또는 Iceberg REST API를 사용하여 외부 처리 엔진에서 Unity 카탈로그 테이블에 액세스할 수 있는 임시 자격 증명을 부여할 수 있습니다.
카탈로그 소유자만 이 권한을 부여할 수 있습니다.
우발적인 데이터 유출을 방지하기 위해 ALL PRIVILEGES에는 EXTERNAL USE SCHEMA 권한이 포함되지 않으며 스키마 소유자는 기본적으로 이 권한을 갖지 않습니다.
Unity 카탈로그에 대한 외부 데이터 액세스 활성화을 참조하세요.
MANAGE
적용 가능한 개체 형식: CATALOG, , EXTERNAL LOCATIONEXTERNAL METADATA, SERVICE CREDENTIAL, STORAGE CREDENTIAL, SCHEMAFUNCTION (모델 포함), CONNECTION, TABLE, MATERIALIZED VIEW, VIEW,VOLUMECLEAN ROOM
Important
이 기능은 공개 미리 보기 상태입니다.
사용자가 권한을 보고 관리하고, 소유권을 이전하고, 개체를 삭제하고, 이름을 바꿀 수 있습니다.
MANAGE 개체 소유권과 비슷하지만 MANAGE 권한이 있는 사용자에게 해당 개체에 대한 모든 권한이 자동으로 부여되지는 않습니다(그러나 자신에게 권한을 부여할 수 있습니다).
또한 USE CATALOG 사용자는 개체의 부모 카탈로그에 대한 권한과 USE SCHEMA 부모 스키마에 대한 권한이 있어야 합니다.
ALL PRIVILEGES에 MANAGE 특권이 포함되지 않습니다.
허용 목록 관리
적용 가능한 개체 형식: Unity 카탈로그 메타스토어
사용자가 표준 액세스 모드로 Unity 카탈로그 사용 클러스터를 제어하는 허용 목록에서 init 스크립트, JAR 및 Maven 좌표에 대한 경로를 추가하거나 수정할 수 있습니다. 표준 액세스 모드(이전의 공유 액세스 모드)의 컴퓨팅에서 허용 리스트 라이브러리 및 초기화 스크립트를 참조하세요.
MODIFY
적용할 수 있는 개체 형식: EXTERNAL METADATA, TABLE
사용자가 테이블에 대해 SELECT뿐 아니라 부모 카탈로그에 대한 USE CATALOG 및 부모 스키마에 대한 USE SCHEMA도 있는 경우 사용자가 테이블에 대해 데이터를 추가, 업데이트 및 삭제하도록 허용합니다.
권한은 상속되므로 카탈로그 또는 스키마에 대한 MODIFY 권한을 사용자에게 부여할 수 있습니다. 그러면 사용자에게 카탈로그 또는 스키마의 모든 현재 및 이후 테이블에 대한 MODIFY 권한이 자동으로 부여됩니다.
Note
MODIFY 외부 테이블은 읽기 전용이므로 외부 테이블에 권한을 부여할 수 없습니다.
클린룸 수정
적용할 수 있는 개체 형식: CLEAN ROOM
사용자가 데이터 자산 추가 및 제거, Notebook 추가 및 제거, 메모 업데이트 등 클린룸을 업데이트할 수 있습니다. 또한 사용자가 클린룸 세부 정보를 볼 수 있습니다.
파일 읽기
적용할 수 있는 개체 형식: EXTERNAL LOCATION
READ FILES 를 사용하면 사용자가 외부 위치로 구성된 클라우드 개체 스토리지에서 직접 파일을 읽을 수 있습니다. Databricks는 이 방법에 대해 권장하지 않습니다. 대신 볼륨 및 READ VOLUME 권한을 사용하여 클라우드 개체 스토리지의 데이터에 대한 읽기 액세스를 관리해야 합니다. 자세한 지침은 외부 위치를 참조하세요.
볼륨 읽기
적용할 수 있는 개체 형식: VOLUME
사용자가 상위 카탈로그에 USE CATALOG, 상위 스키마에 USE SCHEMA가 있는 경우 볼륨에 저장된 파일과 디렉터리를 읽을 수 있도록 허용합니다.
권한은 상속됩니다. 사용자에게 카탈로그 또는 스키마에 대한 READ VOLUME 권한을 부여하면 카탈로그 또는 스키마의 모든 현재 및 향후 볼륨에 대한 READ VOLUME 권한이 자동으로 사용자에게 부여됩니다.
REFRESH
적용할 수 있는 개체 형식: MATERIALIZED VIEW
사용자가 상위 카탈로그에 USE CATALOG가 있고 상위 스키마에 USE SCHEMA가 있는 경우 구체화된 뷰를 새로 고칠 수 있도록 허용합니다.
권한은 상속됩니다. 사용자에게 카탈로그 또는 스키마에 대한 REFRESH 권한을 부여하면 카탈로그 또는 스키마의 모든 현재 및 향후 구체화된 보기에 대한 REFRESH 권한이 자동으로 사용자에게 부여됩니다.
SELECT
적용할 수 있는 개체 형식: TABLE, VIEW, MATERIALIZED VIEW, SHARE
테이블 또는 뷰에 적용된 경우, 사용자가 부모 카탈로그에 대한 USE CATALOG 및 부모 스키마에 대한 USE SCHEMA를 가지고 있는 경우 테이블 또는 뷰에서 선택할 수 있습니다. 공유에 적용된 경우 수신자가 공유에서 선택할 수 있습니다.
권한은 상속되므로 카탈로그 또는 스키마에 대한 SELECT 권한을 사용자에게 부여할 수 있습니다. 그러면 사용자에게 카탈로그 또는 스키마의 모든 현재 및 이후 테이블 및 보기에 대한 SELECT 권한이 자동으로 부여됩니다.
USE CATALOG
적용할 수 있는 개체 형식: CATALOG
이 권한은 카탈로그 자체에 대해 액세스 권한을 부여하지 않지만 사용자가 카탈로그 내의 개체와 상호 작용하기 위해 필요합니다. 예를 들어, 테이블에서 데이터를 선택하려면 사용자에게 해당 테이블에 대한 SELECT 권한과 부모 카탈로그에 대한 USE CATALOG 권한뿐만 아니라 부모 스키마에 대한 USE SCHEMA 권한도 있어야 합니다.
이것은 카탈로그 소유자가 개별 스키마 및 테이블 소유자가 생성된 데이터를 공유할 수 있는 정도를 제한할 수 있도록 허용하는 데 유용합니다. 예를 들어 다른 사용자에게 SELECT 권한을 부여하는 테이블 소유자는 부모 카탈로그에 대한 USE CATALOG 권한과 부모 스키마에 대한 USE SCHEMA 권한도 부여하지 않는 한 해당 사용자가 테이블에 대한 읽기 권한을 허용하지 않습니다.
해당 카탈로그에 대해 사용자가 USE CATALOG 권한이 있는 경우 개체의 메타데이터를 읽기 위해 부모 카탈로그에 대한 BROWSE 권한이 필요하지 않습니다.
연결 사용
적용할 수 있는 개체 형식: CONNECTION
사용자가 Lakehouse 페더레이션 시나리오에서 외부 데이터베이스에 대한 연결에 대한 세부 정보를 나열하고 볼 수 있습니다. 연결에 대한 외부 카탈로그를 만들려면 연결에 CREATE FOREIGN CATALOG가 있거나 연결의 소유권이 있어야 합니다.
USE SCHEMA
적용할 수 있는 개체 형식: SCHEMA
이 권한은 스키마 자체에 대해 액세스 권한을 부여하지 않지만 사용자가 스키마 내의 개체와 상호 작용하기 위해 필요합니다. 예를 들어, 테이블에서 데이터를 선택하려면 사용자에게 해당 테이블에 대한 SELECT 권한과 부모 스키마 및 부모 스키마에 대한 USE SCHEMA뿐만 아니라 부모 카탈로그에 대한 USE CATALOG도 있어야 합니다.
권한은 상속되므로 카탈로그에 대한 USE SCHEMA 권한을 사용자에게 부여할 수 있습니다. 그러면 사용자에게 카탈로그의 모든 현재 및 이후 스키마에 대한 USE SCHEMA 권한이 자동으로 부여됩니다.
이는 스키마 소유자가 개별 테이블 소유자가 생성하는 데이터를 공유할 수 있는 정도를 제한하도록 허용하는 데 유용합니다. 다른 사용자에게 SELECT 권한을 부여하더라도, 사용자가 부모 스키마에 대한 USE SCHEMA 권한과 부모 카탈로그에 대한 USE CATALOG 권한을 동시에 부여받지 않는 한 테이블 읽기 권한이 허용되지 않습니다.
사용자가 해당 스키마의 부모 카탈로그에 대한 USE SCHEMA 권한이 있는 경우, 부모 스키마에 대한 BROWSE 권한 없이도 개체의 메타데이터를 읽을 수 있습니다.
파일 작성
적용할 수 있는 개체 형식: EXTERNAL LOCATION
Databricks는 볼륨 및 WRITE VOLUME 권한을 사용하여 클라우드 개체 스토리지의 데이터에 대한 쓰기 액세스를 관리하는 것이 좋습니다.
WRITE FILES 사용자가 외부 위치로 구성된 클라우드 개체 스토리지에 직접 파일을 쓸 수 있습니다. 자세한 지침은 관리 볼륨 및 외부 볼륨을 참조하세요.
쓰기 볼륨
적용할 수 있는 개체 형식: VOLUME
사용자가 상위 카탈로그에 USE CATALOG가 있고 상위 스키마에 USE SCHEMA가 있는 경우 볼륨에 저장된 파일 및 디렉터리를 추가, 제거 또는 수정할 수 있도록 허용합니다.
권한은 상속됩니다. 사용자에게 카탈로그 또는 스키마에 대한 WRITE VOLUME 권한을 부여하면 카탈로그 또는 스키마의 모든 현재 및 향후 볼륨에 대한 WRITE VOLUME 권한이 자동으로 사용자에게 부여됩니다.
델타 공유 또는 Databricks Marketplace에만 적용되는 권한 유형
이 섹션에서는 델타 공유에만 적용되는 권한 유형에 대한 세부 정보를 제공합니다.
제공자 생성
적용 가능한 개체 형식: Unity 카탈로그 메타스토어
사용자가 메타스토어에서 Delta Sharing 공급자 개체를 만들 수 있습니다. 공급자는 Delta Sharing을 사용하여 공유 데이터가 있는 사용자의 조직 또는 그룹을 식별합니다. 공급자 만들기는 받는 사람의 Databricks 계정에서 사용자가 수행합니다. Delta Sharing이란?을 참조하세요.
CREATE RECIPIENT
적용 가능한 개체 형식: Unity 카탈로그 메타스토어
사용자가 메타스토어에서 Delta Sharing 수신자 개체를 만들 수 있습니다. 수신자는 Delta Sharing를 사용하여 데이터를 공유할 수 있는 조직 또는 사용자 그룹을 식별합니다. 받는 사람 만들기는 공급자의 Databricks 계정에서 사용자가 수행합니다. Delta Sharing이란?을 참조하세요.
CREATE SHARE
적용 가능한 개체 형식: Unity 카탈로그 메타스토어
사용자가 메타스토어에서 공유를 만들 수 있습니다. 공유는 Delta Sharing을 사용하여 공유하려는 테이블에 대한 논리적 그룹화입니다.
SET 공유 권한
적용 가능한 개체 형식: Unity 카탈로그 메타스토어
델타 공유에서 이 권한은 USE SHARE 및 USE RECIPIENT(또는 수신자 소유권)와 결합하여 제공자 사용자가 수신자에게 공유에 대한 액세스 권한을 부여할 수 있는 권한을 부여합니다.
USE SHARE와 결합하면 공유 소유권을 다른 사용자, 그룹 또는 서비스 주체로 이전할 수 있습니다.
마켓플레이스 자산 사용
적용 가능한 개체 형식: Unity 카탈로그 메타스토어
모든 Unity 카탈로그 메타스토어에 대해 기본적으로 사용하도록 설정됩니다. Databricks Marketplace에서 이 권한은 사용자에게 Marketplace 목록에서 공유되는 데이터 제품에 대한 액세스 권한을 즉시 얻거나 요청할 수 있는 기능을 제공합니다. 또한 사용자가 공급자가 데이터 제품을 공유할 때 생성되는 읽기 전용 카탈로그에 액세스할 수 있습니다. 이 권한이 없으면 사용자에게 CREATE CATALOG 및 USE PROVIDER 권한 또는 메타스토어 관리자 역할이 필요합니다. 이렇게 하면 강력한 권한이 있는 사용자 수를 제한할 수 있습니다.
제공자 사용
적용 가능한 개체 형식: Unity 카탈로그 메타스토어
델타 공유에서 받는 사람 사용자에게 받는 사람 메타스토어 및 해당 공유의 모든 공급자에 대한 읽기 전용 액세스 권한을 부여합니다. 이 권한은 CREATE CATALOG 권한과 결합하여 메타스토어 관리자가 아닌 수신자 사용자가 공유를 카탈로그로 마운트할 수 있도록 허용합니다. 이렇게 하면 강력한 metastore 관리자 역할을 가진 사용자 수를 제한할 수 있습니다.
수신자 사용
적용 가능한 개체 형식: Unity 카탈로그 메타스토어
델타 공유에서 공급자 사용자에게 공급자 메타스토어 및 해당 공유의 모든 받는 사람에 대한 읽기 전용 액세스를 제공합니다. 이렇게 하면 metastore 관리자가 아닌 공급자 사용자가 받는 사람 세부 정보, 받는 사람 인증 상태 및 공급자가 받는 사람과 공유한 공유 목록을 볼 수 있습니다.
Databricks Marketplace에서 공급자 사용자는 공급자 콘솔에서 목록 및 소비자 요청을 볼 수 있습니다.
공유 사용
적용 가능한 개체 형식: Unity 카탈로그 메타스토어
델타 공유에서 공급자 사용자에게 공급자 메타스토어에 정의된 모든 공유에 대한 읽기 전용 액세스를 제공합니다. 이렇게 하면 metastore 관리자가 아닌 공급자 사용자가 공유를 나열하고 공유의 받는 사람과 함께 공유의 자산(테이블 및 전자 필기장)을 나열할 수 있습니다.
Databricks Marketplace에서 이를 통해 공급자 사용자는 목록에서 공유되는 데이터에 대한 세부 정보를 볼 수 있습니다.