Omezení přístupu ke katalogu na konkrétní pracovní prostory
Tento článek představuje vazbu katalogu pracovních prostorů a popisuje, jak vytvořit vazbu katalogu Unity s pracovním prostorem Azure Databricks, aby se zabránilo přístupu k jiným pracovním prostorům ve vašem účtu Azure Databricks.
Co je vazba katalogu pracovních prostorů?
Pokud k izolaci přístupu k uživatelským datům používáte pracovní prostory, můžete omezit přístup katalogu na konkrétní pracovní prostory ve vašem účtu, označované také jako vazby katalogu pracovních prostorů. Výchozí hodnotou je sdílení katalogu se všemi pracovními prostory připojenými k aktuálnímu metastoru.
Výjimkou tohoto výchozího nastavení je katalog pracovních prostorů, který se vytvoří automaticky pro všechny nové pracovní prostory. Tento katalog pracovních prostorů je vázán pouze na váš pracovní prostor, pokud se nerozhodnete udělit přístup k jiným pracovním prostorům. Důležité informace o přiřazování oprávnění, pokud zrušíte vazbu tohoto katalogu, najdete v tématu Zrušení vazby katalogu z pracovního prostoru.
Přístup ke čtení a zápisu do katalogu můžete povolit z pracovního prostoru nebo můžete zadat přístup jen pro čtení. Pokud zadáte jen pro čtení, budou všechny operace zápisu z daného pracovního prostoru do daného katalogu blokovány.
Mezi obvyklé případy použití pro vazbu katalogu s konkrétními pracovními prostory patří:
- Zajištění přístupu uživatelů pouze k produkčním datům z produkčního prostředí pracovního prostoru.
- Zajištění, aby uživatelé mohli zpracovávat citlivá data pouze z vyhrazeného pracovního prostoru.
- Poskytnutí přístupu uživatelům jen pro čtení k produkčním datům z vývojářského pracovního prostoru za účelem povolení vývoje a testování
Poznámka:
Můžete také vytvořit vazbu externích umístění a přihlašovacích údajů úložiště ke konkrétním pracovním prostorům a omezit tak možnost přístupu k datům v externích umístěních na privilegované uživatele v těchto pracovních prostorech. Viz (Volitelné) Přiřazení externího umístění konkrétním pracovním prostorům a (volitelné) Přiřazení přihlašovacích údajů úložiště konkrétním pracovním prostorům.
Příklad vazby katalogu pracovních prostorů
Podívejte se na příklad izolace výroby a vývoje. Pokud určíte, že k produkčním datovým katalogům je možné přistupovat pouze z produkčních pracovních prostorů, nahradí se tím všechna jednotlivá udělení, která jsou vydána uživatelům.
V tomto diagramu prod_catalog
je svázán se dvěma produkčními pracovními prostory. Předpokládejme, že uživateli byl udělen přístup k tabulce volané prod_catalog
my_table
(pomocí GRANT SELECT ON my_table TO <user>
). Pokud se uživatel pokusí získat přístup k my_table
pracovnímu prostoru dev, zobrazí se mu chybová zpráva. Uživatel má přístup my_table
pouze z pracovních prostorů Prod ETL a Prod Analytics.
Vazby katalogu pracovních prostorů se respektují ve všech oblastech platformy. Pokud například dotazujete schéma informací, zobrazí se v pracovním prostoru, kde dotaz vydáváte, pouze katalogy přístupné. Uživatelská rozhraní pro rodokmen dat a vyhledávání zobrazují také pouze katalogy, které jsou přiřazené k pracovnímu prostoru (bez ohledu na to, jestli používají vazby nebo ve výchozím nastavení).
Vytvoření vazby katalogu k jednomu nebo více pracovním prostorům
Pokud chcete katalog přiřadit ke konkrétním pracovním prostorům, můžete použít Průzkumníka katalogu nebo Rozhraní příkazového řádku Databricks.
Požadovaná oprávnění: Správce metastoru nebo vlastník katalogu.
Poznámka:
Správci metastoru můžou zobrazit všechny katalogy v metastoru pomocí Průzkumníka katalogu a vlastníci katalogu uvidí všechny katalogy, které vlastní v metastoru, bez ohledu na to, jestli je katalog přiřazen k aktuálnímu pracovnímu prostoru. Katalogy, které nejsou přiřazené k pracovnímu prostoru, se zobrazují šedě a podřízené objekty nejsou viditelné ani dotazovatelné.
Průzkumník katalogu
Přihlaste se k pracovnímu prostoru, který je propojený s metastorem.
Klikněte na Katalog.
V podokně Katalog klikněte na levé straně na název katalogu.
Hlavní podokno Průzkumníka katalogu je ve výchozím nastavení seznamu Katalogy . Můžete tam také vybrat katalog.
Na kartě Pracovní prostory zrušte zaškrtnutí políčka Všechny pracovní prostory mají přístup.
Pokud je katalog již vázán na jeden nebo více pracovních prostorů, je toto políčko již nezaškrtnuto.
Klikněte na Přiřadit k pracovním prostorům a zadejte nebo vyhledejte pracovní prostory, které chcete přiřadit.
(Volitelné) Omezte přístup k pracovnímu prostoru jen pro čtení.
V nabídce Spravovat úroveň přístupu vyberte Změnit přístup jen pro čtení.
Tento výběr můžete kdykoliv vrátit zpět úpravou katalogu a výběrem možnosti Změnit přístup ke čtení a zápisu.
Pokud chcete přístup odvolat, přejděte na kartu Pracovní prostory , vyberte pracovní prostor a klikněte na Tlačítko Odvolat.
Rozhraní příkazového řádku
Existují dvě skupiny příkazů Rozhraní příkazového řádku Databricks a dva kroky potřebné k přiřazení katalogu k pracovnímu prostoru.
V následujících příkladech nahraďte <profile-name>
názvem konfiguračního profilu ověřování Azure Databricks. Kromě názvu instance pracovního prostoru a ID pracovního prostoru, ve kterém jste vygenerovali osobní přístupový token, by měl obsahovat hodnotu tokenu pat. Viz ověřování tokenů pat azure Databricks.
catalogs
Pomocí příkazu skupinyupdate
příkazů nastavte katalogisolation mode
naISOLATED
:databricks catalogs update <my-catalog> \ --isolation-mode ISOLATED \ --profile <profile-name>
Výchozí hodnota
isolation-mode
jeOPEN
pro všechny pracovní prostory připojené k metastoru.workspace-bindings
Pomocí příkazu skupinyupdate-bindings
příkazů přiřaďte pracovní prostory do katalogu:databricks workspace-bindings update-bindings catalog <my-catalog> \ --json '{ "add": [{"workspace_id": <workspace-id>, "binding_type": <binding-type>}...], "remove": [{"workspace_id": <workspace-id>, "binding_type": "<binding-type>}...] }' --profile <profile-name>
"add"
Pomocí vlastností"remove"
můžete přidávat nebo odebírat vazby pracovního prostoru. Může<binding-type>
to být buď“BINDING_TYPE_READ_WRITE”
(výchozí) nebo“BINDING_TYPE_READ_ONLY”
.
Pokud chcete zobrazit seznam všech přiřazení pracovního prostoru pro katalog, použijte workspace-bindings
příkaz skupiny get-bindings
příkazů:
databricks workspace-bindings get-bindings catalog <my-catalog> \
--profile <profile-name>
Zrušení vazby katalogu z pracovního prostoru
Pokyny k odvolání přístupu k katalogu pomocí Průzkumníka katalogů nebo workspace-bindings
skupiny příkazů rozhraní příkazového řádku jsou zahrnuty do vazby katalogu k jednomu nebo více pracovním prostorům.
Důležité
Pokud byl váš pracovní prostor povolen pro katalog Unity automaticky a máte katalog pracovních prostorů, správci pracovního prostoru tento katalog vlastní a mají všechna oprávnění pouze v daném katalogu. Pokud zrušíte vazbu tohoto katalogu nebo ho svážete s jinými katalogy, musíte členům skupiny správců pracovního prostoru udělit ručně požadovaná oprávnění jako jednotliví uživatelé nebo skupiny na úrovni účtu, protože skupina správců pracovního prostoru je místní skupina pracovního prostoru. Další informace o skupinách účtů a místních skupinách pracovních prostorů najdete v tématu Rozdíl mezi skupinami účtů a místními skupinami pracovního prostoru.