تمكين التحكم في الوصول إلى جدول Hive metastore على نظام مجموعة (قديم)
توضح هذه المقالة كيفية تمكين التحكم في الوصول إلى الجدول ل Hive metastore المضمن على نظام مجموعة.
للحصول على معلومات حول كيفية تعيين الامتيازات على كائنات Hive metastore القابلة للتأمين بمجرد تمكين التحكم في الوصول إلى الجدول على نظام مجموعة، راجع امتيازات Hive metastore والكائنات القابلة للتأمين (القديمة).
إشعار
يعد التحكم في الوصول إلى جدول Hive metastore نموذجا قديما لإدارة البيانات. توصي Databricks باستخدام كتالوج Unity بدلا من ذلك لبساطته ونموذج الحوكمة الذي يتمحور حول الحساب. يمكنك ترقية الجداول التي يديرها Hive metastore إلى مخزن بيانات تعريف كتالوج Unity.
تمكين التحكم في الوصول إلى الجدول لنظام مجموعة
يتوفر التحكم في الوصول إلى الجدول في إصدارين:
- التحكم في الوصول إلى جدول SQL فقط، والذي يقيد المستخدمين إلى أوامر SQL.
- التحكم في الوصول إلى جدول Python وSQL، والذي يسمح للمستخدمين بتشغيل أوامر SQL وPython وPySpark.
التحكم في الوصول إلى الجدول غير معتمد مع وقت تشغيل التعلم الآلي.
هام
حتى إذا تم تمكين التحكم في الوصول إلى الجدول لنظام مجموعة، فإن مسؤولي مساحة عمل Azure Databricks لديهم حق الوصول إلى البيانات على مستوى الملف.
التحكم في الوصول إلى جدول SQL فقط
يقيد هذا الإصدار من التحكم في الوصول إلى الجدول المستخدمين إلى أوامر SQL فقط.
لتمكين التحكم في الوصول إلى جدول SQL فقط على نظام مجموعة وتقييد نظام المجموعة هذا لاستخدام أوامر SQL فقط، قم بتعيين العلامة التالية في تكوين Spark الخاص بالمجموعة:
spark.databricks.acl.sqlOnly true
إشعار
لا يتأثر الوصول إلى التحكم في الوصول إلى الجدول SQL فقط بإعداد تمكين التحكم في الوصول إلى الجدول في صفحة إعدادات المسؤول. يتحكم هذا الإعداد فقط في التمكين على مستوى مساحة العمل للتحكم في الوصول إلى جدول Python وSQL.
التحكم في الوصول إلى جدول Python وSQL
يتيح هذا الإصدار من التحكم في الوصول إلى الجدول للمستخدمين تشغيل أوامر Python التي تستخدم واجهة برمجة تطبيقات DataFrame بالإضافة إلى SQL. عند تمكينه على نظام مجموعة، المستخدمون على نظام المجموعة هذا:
- يمكن الوصول إلى Spark فقط باستخدام واجهة برمجة تطبيقات Spark SQL أو واجهة برمجة تطبيقات DataFrame. في كلتا الحالتين، يتم تقييد الوصول إلى الجداول وطرق العرض من قبل المسؤولين وفقا لامتيازات Azure Databricks التي يمكنك منحها على كائنات Hive metastore.
- يجب تشغيل أوامرها على عقد نظام المجموعة كمستخدم منخفض الامتياز ممنوع من الوصول إلى الأجزاء الحساسة من نظام الملفات أو إنشاء اتصالات شبكة الاتصال إلى منافذ أخرى غير 80 و443.
- يمكن فقط لوظائف Spark المضمنة إنشاء اتصالات شبكة اتصال على منافذ أخرى غير 80 و443.
- يمكن فقط للمستخدمين المسؤولين في مساحة العمل أو المستخدمين الذين لديهم امتياز ANY FILE قراءة البيانات من قواعد البيانات الخارجية من خلال موصل PySpark JDBC.
- إذا كنت تريد أن تكون عمليات Python قادرة على الوصول إلى منافذ صادرة إضافية، يمكنك تعيين تكوين
spark.databricks.pyspark.iptable.outbound.whitelisted.ports
Spark على المنافذ التي تريد السماح بالوصول إليها. التنسيق المدعوم لقيمة التكوين هو[port[:port][,port[:port]]...]
، على سبيل المثال:21,22,9000:9999
. يجب أن يكون المنفذ ضمن النطاق الصالح، أي .0-65535
ستفشل محاولات الالتفاف حول هذه القيود باستثناء. هذه القيود موجودة بحيث لا يمكن للمستخدمين الوصول إلى البيانات غير المميزة من خلال نظام المجموعة.
تمكين التحكم في الوصول إلى الجدول لمساحة العمل
قبل أن يتمكن المستخدمون من تكوين Python والتحكم في الوصول إلى جدول SQL، يجب أن تقوم مساحة عمل Azure Databricks بتمكين التحكم في الوصول إلى الجدول لمساحة عمل Azure Databricks ورفض وصول المستخدمين إلى المجموعات التي لم يتم تمكينها للتحكم في الوصول إلى الجدول.
- انتقل إلى صفحة الإعدادات.
- انقر فوق علامة التبويب الأمان.
- قم بتشغيل خيار التحكم في الوصول إلى الجدول.
فرض التحكم في الوصول إلى الجدول
للتأكد من وصول المستخدمين إلى البيانات التي تريد منهم الوصول إليها فقط، يجب تقييد المستخدمين على مجموعات مع تمكين التحكم في الوصول إلى الجدول. على وجه الخصوص، يجب عليك التأكد مما يلي:
- لا يملك المستخدمون الإذن لإنشاء مجموعات. إذا قاموا بإنشاء نظام مجموعة دون التحكم في الوصول إلى الجدول، يمكنهم الوصول إلى أي بيانات من تلك المجموعة.
- لا يملك المستخدمون إذن CAN ATTACH TO لأي مجموعة غير ممكنة للتحكم في الوصول إلى الجدول.
راجع حساب الأذونات للحصول على مزيد من المعلومات.
إنشاء نظام مجموعة ممكن للتحكم في الوصول إلى الجدول
يتم تمكين التحكم في الوصول إلى الجدول بشكل افتراضي في أنظمة المجموعات ذات وضع الوصول المشترك.
لإنشاء نظام المجموعة باستخدام واجهة برمجة تطبيقات REST، راجع إنشاء مجموعة جديدة.
تعيين الامتيازات على كائن بيانات
راجع امتيازات Hive metastore والكائنات القابلة للتأمين (القديمة).