在统一目录中使用特权继承简化访问策略管理

统一目录，现在在AWS和Azure上普遍可用，为湖屋上的数据、分析和人工智能提供统一的治理解决方案。我们成千上万的客户现在利用Unity Catalog简化访问管理和审计控制，使用熟悉的SQL接口，跨平台数据共bob体育客户端下载享，无缝数据可观察性与自动化的血统，并通过轻松的数据发现和自动生成的数据洞察来提高数据团队的生产力。

在本博客中，我们将探讨数据管理员如何利用特权的继承在统一目录简化访问策略管理规模。

Unity目录中的特权继承

对数据管理员来说，管理对每个对象(如数据库(或模式)中的表或视图)的访问权限是一项艰巨而费时的工作，特别是在许多数据库中有100个或1000个数据对象的情况下。特权继承使得随着时间的推移设置和管理对这些对象的访问特权变得容易。管理员可以为一组用户分配对数据库(或模式)的访问权限，并将访问权限级联(或向下继承)到模式中包含的表。这包括现在存在或将来可能创建的表，并提供了一种简单的方法来设置编目和模式上的安全访问默认值。

特权继承成为数据管理员更强大的工具，当与Unity Catalog扩展的3级命名空间(<目录>。< schema >。<表>) 因为您可以在需要的地方利用继承。在下面的例子中，您可以将catalog main中找到的任何模式中的所有表和视图的SELECT特权授予finance组的成员:

格兰特选择在目录主要来金融;

或者，您可以在模式级别授予较小范围的访问权限，如下例所示:

格兰特选择在模式main.default来金融;

继承模型提供了一种为数据设置默认访问规则的简单方法。例如，下面的命令使机器学习团队能够在一个模式中创建表并读取彼此的表:

创建目录毫升;创建模式ml.sandbox;格兰特USE_CATALOG在目录毫升来ml_users;格兰特USE_SCHEMA在模式ml.sandbox来ml_users;格兰特创建表格在模式ml.sandbox来ml_users;格兰特选择在模式ml.sandbox来ml_users;

权限仍然由Unity Catalog metastore管理员、对象的所有者或包含该对象的目录或模式的所有者授予。您可以使用SQL命令、Unity Catalog CLI或新的数据资源管理器UI来管理权限。

Unity目录中新的和更改的权限类型

您将注意到CREATE和USAGE已被更特定的特权类型所取代。例如，CREATE在亚存储级别被CREATE CATALOG取代，在编目级别被CREATE SCHEMA取代，在模式级别被CREATE TABLE取代。类似地，USAGE在编目级别被USE CATALOG取代，在模式级别被USE SCHEMA取代。这为你精确控制用户在Unity Catalog的每个级别上可以做什么提供了灵活性。

还有一个新的ALL PRIVILEGES类型，可以在Catalog级别或以下分配，以将所有当前(和未来)特权类型赋予授予的主题。有关权限类型的完整列表，请参阅主题Unity Catalog特权和安全对象（AWS，Azure)．

如果你在公开预览期间(2022年8月25日之前)创建了Unity Catalog亚存储，你可以升级到特权模型1.0版。利用特权继承。在升级特权模型之前，现有工作负载将继续按原样运行。Databricks建议升级到特权模型1.0版本，以获得特权继承和新特性的好处。要了解BOB低频彩更多信息，请参阅主题升级到特权继承（AWS，Azure)．

开始使用Unity Catalog

要开始使用Unity Catalog，请参阅安装指南(AWS，Azure)．要了解BOB低频彩更多关于Unity Catalog特权的信息，请访问主题Unity Catalog特权和安全对象（AWS，Azure)．

你也可以导入这些笔记本来演练一些常见的Unity Catalog管理任务:

• Unity Catalog快速入门(SQL)
• Unity Catalog快速入门(Python)
• 在Unity Catalog (AWS)中创建外部表
• 在Unity目录中创建外部表(Azure)

即将发布的Unity Catalog访问策略管理路线图

• 基于属性的访问控制:根据数据资产的标签(属性)定义访问策略。
• 行过滤和列屏蔽:使用标准SQL函数定义行筛选器和列掩码，允许对行和列进行细粒度访问控制。