تقييد الوصول إلى الكتالوج إلى مساحات عمل معينة

تقدم هذه المقالة ربط كتالوج مساحة العمل، وتصف كيفية ربط كتالوج Unity بمساحة عمل Azure Databricks لمنع مساحات العمل الأخرى في حساب Azure Databricks من الوصول إليه.

ما هو ربط كتالوج مساحة العمل؟

إذا كنت تستخدم مساحات العمل لعزل الوصول إلى بيانات المستخدم، يمكنك تقييد الوصول إلى الكتالوج إلى مساحات عمل معينة في حسابك، والمعروف أيضا باسم ربط كتالوج مساحة العمل. الإعداد الافتراضي هو مشاركة الكتالوج مع كافة مساحات العمل المرفقة بمخزن بيانات التعريف الحالي.

الاستثناء لهذا الافتراضي هو كتالوج مساحة العمل الذي يتم إنشاؤه تلقائيا لكافة مساحات العمل الجديدة. يرتبط كتالوج مساحة العمل هذا بمساحة العمل الخاصة بك فقط، إلا إذا اخترت منح مساحات العمل الأخرى حق الوصول إليها. للحصول على معلومات مهمة حول تعيين الأذونات إذا قمت بإلغاء ربط هذا الكتالوج، راجع إلغاء ربط كتالوج من مساحة عمل.

يمكنك السماح بالوصول للقراءة والكتابة إلى الكتالوج من مساحة عمل، أو يمكنك تحديد الوصول للقراءة فقط. إذا قمت بتحديد للقراءة فقط، حظر جميع عمليات الكتابة من مساحة العمل هذه إلى هذا الكتالوج.

تتضمن حالات الاستخدام النموذجية لربط كتالوج بمساحات عمل معينة ما يلي:

• التأكد من أن المستخدمين يمكنهم الوصول إلى بيانات الإنتاج فقط من بيئة مساحة عمل الإنتاج.
• التأكد من أن المستخدمين يمكنهم معالجة البيانات الحساسة فقط من مساحة عمل مخصصة.
• منح المستخدمين حق الوصول للقراءة فقط إلى بيانات الإنتاج من مساحة عمل المطور لتمكين التطوير والاختبار.

إشعار

يمكنك أيضا ربط المواقع الخارجية وبيانات اعتماد التخزين بمساحات عمل معينة، ما يحد من القدرة على الوصول إلى البيانات في المواقع الخارجية للمستخدمين المميزين في مساحات العمل هذه. راجع (اختياري) تعيين موقع خارجي لمساحات عمل معينة و (اختياري) تعيين بيانات اعتماد تخزين لمساحات عمل معينة.

مثال ربط كتالوج مساحة العمل

خذ مثال عزل الإنتاج والتطوير. إذا حددت أنه لا يمكن الوصول إلى كتالوجات بيانات الإنتاج إلا من مساحات عمل الإنتاج، فإن هذا يحل محل أي منح فردية يتم إصدارها للمستخدمين.

في هذا الرسم التخطيطي، prod_catalog مرتبط بمساحة عمل إنتاج. لنفترض أنه تم منح مستخدم حق الوصول إلى جدول في prod_catalog يسمى my_table (باستخدام GRANT SELECT ON my_table TO <user>). إذا حاول المستخدم الوصول my_table إلى مساحة عمل Dev، فسيتلقى رسالة خطأ. يمكن للمستخدم الوصول my_table فقط من مساحات عمل Prod ETL وProd Analytics.

يتم احترام روابط كتالوج مساحة العمل في جميع مجالات النظام الأساسي. على سبيل المثال، إذا قمت بالاستعلام عن مخطط المعلومات، فسترى فقط الكتالوجات التي يمكن الوصول إليها في مساحة العمل حيث تقوم بإصدار الاستعلام. كما تعرض نسب البيانات وعناوين UIs للبحث فقط الكتالوجات التي تم تعيينها لمساحة العمل (سواء باستخدام الروابط أو بشكل افتراضي).

ربط كتالوج بمساحات عمل واحدة أو أكثر

لتعيين كتالوج لمساحات عمل معينة، يمكنك استخدام مستكشف الكتالوج أو Databricks CLI.

الأذونات المطلوبة: مسؤول Metastore أو مالك الكتالوج.

إشعار

يمكن لمسؤولي Metastore رؤية جميع الكتالوجات في metastore باستخدام مستكشف الكتالوجات - ويمكن لمالكي الكتالوجات رؤية جميع الكتالوجات التي يمتلكونها في metastore - بغض النظر عما إذا كان الكتالوج معينا لمساحة العمل الحالية. تظهر الكتالوجات التي لم يتم تعيينها إلى مساحة العمل باللون الرمادي، ولا توجد كائنات تابعة مرئية أو قابلة للاستعلام.

مستكشف الكتالوج

1. سجل الدخول إلى مساحة عمل مرتبطة ب metastore.

2. انقر فوق كتالوج.

3. في جزء الكتالوج، على اليسار، انقر فوق اسم الكتالوج.

   يتم تعيين جزء مستكشف الكتالوج الرئيسي افتراضيا إلى قائمة الكتالوجات. يمكنك أيضا تحديد الكتالوج هناك.

4. في علامة التبويب مساحات العمل، قم بإلغاء تحديد خانة الاختيار كافة مساحات العمل التي لديها حق الوصول .

   إذا كان الكتالوج الخاص بك مرتبطا بالفعل بمساحة عمل واحدة أو أكثر، فقد تم إلغاء تحديد خانة الاختيار هذه بالفعل.

5. انقر فوق تعيين إلى مساحات العمل وأدخل مساحات العمل التي تريد تعيينها أو ابحث عنها.

6. (اختياري) تقييد الوصول إلى مساحة العمل للقراءة فقط.

   في القائمة إدارة مستوى الوصول، حدد تغيير الوصول إلى للقراءة فقط.

   يمكنك عكس هذا التحديد في أي وقت عن طريق تحرير الكتالوج وتحديد تغيير الوصول للقراءة والكتابة.

لإبطال الوصول، انتقل إلى علامة التبويب مساحات العمل، وحدد مساحة العمل، وانقر فوق إبطال.

CLI

هناك مجموعتا أوامر Databricks CLI وخطوتان مطلوبتان لتعيين كتالوج إلى مساحة عمل.

في الأمثلة التالية، استبدل <profile-name> باسم ملف تعريف تكوين مصادقة Azure Databricks. يجب أن يتضمن قيمة الرمز المميز للوصول الشخصي، بالإضافة إلى اسم مثيل مساحة العمل ومعرف مساحة العمل لمساحة العمل حيث قمت بإنشاء رمز الوصول الشخصي المميز. راجع مصادقة الرمز المميز للوصول الشخصي ل Azure Databricks.

1. catalogs استخدم أمر مجموعة update الأوامر لتعيين الكتالوج isolation mode إلى ISOLATED:

   databricks catalogs update <my-catalog> \
   --isolation-mode ISOLATED \
   --profile <profile-name>
   

   الإعداد الافتراضي isolation-mode هو OPEN لكافة مساحات العمل المرفقة ب metastore.

2. workspace-bindings استخدم أمر مجموعة update-bindings الأوامر لتعيين مساحات العمل إلى الكتالوج:

   databricks workspace-bindings update-bindings catalog <my-catalog> \
   --json '{
     "add": [{"workspace_id": <workspace-id>, "binding_type": <binding-type>}...],
     "remove": [{"workspace_id": <workspace-id>, "binding_type": "<binding-type>}...]
   }' --profile <profile-name>
   

   استخدم الخاصيتين "add" و "remove" لإضافة روابط مساحة العمل أو إزالتها. <binding-type> يمكن أن يكون إما “BINDING_TYPE_READ_WRITE” (افتراضي) أو “BINDING_TYPE_READ_ONLY”.

لسرد كافة تعيينات مساحة العمل للكتالوج، استخدم workspace-bindings أمر مجموعة get-bindings الأوامر:

databricks workspace-bindings get-bindings catalog <my-catalog> \
--profile <profile-name>

إلغاء ربط كتالوج من مساحة عمل

يتم تضمين إرشادات إبطال الوصول إلى مساحة العمل إلى كتالوج باستخدام مستكشف الكتالوج workspace-bindings أو مجموعة أوامر CLI في ربط كتالوج إلى مساحة عمل واحدة أو أكثر.

هام

إذا تم تمكين مساحة العمل لكتالوج Unity تلقائيا وكان لديك كتالوج مساحة عمل، فإن مسؤولي مساحة العمل يمتلكون هذا الكتالوج ولديهم جميع الأذونات على هذا الكتالوج في مساحة العمل فقط. إذا قمت بإلغاء ربط هذا الكتالوج أو ربطه بكتالوجات أخرى، يجب منح أي أذونات مطلوبة يدويا لأعضاء مجموعة مسؤولي مساحة العمل كمستخدمين فرديين أو باستخدام مجموعات على مستوى الحساب، لأن مجموعة مسؤولي مساحة العمل هي مجموعة مساحة عمل محلية. لمزيد من المعلومات حول مجموعات الحسابات مقابل مجموعات مساحة العمل المحلية، راجع الفرق بين مجموعات الحسابات والمجموعات المحلية لمساحة العمل.