Sdílet prostřednictvím


Povolení pracovního prostoru pro katalog Unity

Tento článek vysvětluje, jak povolit pracovní prostor pro katalog Unity přiřazením metastoru katalogu Unity.

Důležité

9. listopadu 2023 služba Databricks začala automaticky povolovat nové pracovní prostory pro katalog Unity a postupně se zavádět. Pokud byl váš pracovní prostor pro Katalog Unity povolen automaticky, tento článek se na vás nevztahuje.

Pokud chcete zjistit, jestli už je váš pracovní prostor pro katalog Unity povolený, přečtěte si krok 1: Potvrzení, že je pro katalog Unity povolený váš pracovní prostor.

Povolení pracovních prostorů pro katalog Unity

Povolení katalogu Unity pro pracovní prostor znamená, že:

  • Uživatelé v daném pracovním prostoru můžou potenciálně přistupovat ke stejným datům, ke kterým mají přístup uživatelé v jiných pracovních prostorech ve vašem účtu, a správci dat můžou tato data spravovat centrálně napříč pracovními prostory.
  • Přístup k datům se audituje automaticky.
  • Pro pracovní prostor je povolená federace identit, což správcům umožňuje centrálně spravovat identity pomocí konzoly účtů a dalších rozhraní na úrovni účtu. To zahrnuje přiřazování uživatelů k pracovním prostorům.

Pokud chcete povolit pracovní prostor Azure Databricks pro Unity Catalog, přiřadíte ho metastoru katalogu Unity. Metastore je kontejner nejvyšší úrovně pro data v katalogu Unity. Každý metastor zveřejňuje 3úrovňový obor názvů (catalog.schema.table), podle kterého lze data uspořádat.

V účtu můžete sdílet jeden metastor napříč několika pracovními prostory Azure Databricks. Každý propojený pracovní prostor má stejné zobrazení dat v metastoru a můžete spravovat řízení přístupu k datům napříč pracovními prostory. Pro každou oblast můžete vytvořit jeden metastor a připojit ho k libovolnému počtu pracovních prostorů v dané oblasti.

Důležité informace před povolením pracovního prostoru pro katalog Unity

Než povolíte pracovní prostor pro katalog Unity, měli byste:

  • Seznamte se s oprávněními správců pracovního prostoru v pracovních prostorech, které jsou povolené pro katalog Unity, a zkontrolujte svá stávající přiřazení správců pracovního prostoru.

    Správce pracovního prostoru je privilegovaná role, kterou byste měli pečlivě distribuovat.

    Správci pracovních prostorů můžou spravovat operace pro svůj pracovní prostor, včetně přidávání uživatelů a instančních objektů, vytváření clusterů a delegování dalších uživatelů jako správců pracovních prostorů. Pokud byl váš pracovní prostor pro Katalog Unity povolen automaticky, má správce pracovního prostoru ve výchozím nastavení také řadu dalších oprávnění, včetně možnosti vytvářet většinu typů objektů katalogu Unity a udělit přístup k těm, které vytvoří. Podívejte se na oprávnění správce v katalogu Unity.

    Pokud váš pracovní prostor nebyl pro katalog Unity povolen automaticky, správci pracovních prostorů nemají ve výchozím nastavení přístup k objektům katalogu Unity než jakýkoli jiný uživatel, ale mají možnost provádět úlohy správy pracovních prostorů, jako je správa vlastnictví úloh a prohlížení poznámkových bloků, které můžou udělit nepřímý přístup k datům registrovaným v katalogu Unity.

    Správci účtu můžou pomocí nastavení RestrictWorkspaceAdmins omezit oprávnění správce pracovního prostoru. Viz Omezení správců pracovního prostoru.

    Pokud k izolaci přístupu k datům uživatelů používáte pracovní prostory, můžete chtít použít vazby katalogu pracovních prostorů. Vazby katalogu pracovních prostorů umožňují omezit přístup k katalogu podle hranic pracovního prostoru. Můžete například zajistit, aby správci a uživatelé pracovního prostoru měli přístup pouze k produkčním datům z prod_catalog produkčního prostředí prod_workspacepracovního prostoru. Výchozí hodnotou je sdílení katalogu se všemi pracovními prostory připojenými k aktuálnímu metastoru. Stejně tak můžete vytvořit vazbu přístupu k externím umístěním tak, aby byly přístupné jenom ze zadaných pracovních prostorů. Viz Omezení přístupu katalogu k určitým pracovním prostorům a (volitelné) Přiřazení externího umístění konkrétním pracovním prostorům.

  • Aktualizujte všechny automatizace nakonfigurované tak, aby spravovaly uživatele, skupiny a instanční objekty, jako jsou konektory zřizování SCIM a automatizace Terraformu, aby místo koncových bodů pracovního prostoru odkazovaly na koncové body účtu. Viz Zřizování SCIM na úrovni účtu a pracovního prostoru.

  • Mějte na paměti, že povolení pracovního prostoru pro katalog Unity nelze vrátit zpět. Jakmile pracovní prostor povolíte, budete spravovat uživatele, skupiny a instanční objekty pro tento pracovní prostor pomocí rozhraní na úrovni účtu.

Požadavky

Než budete moct povolit pracovní prostor pro Katalog Unity, musíte mít metastore katalogu Unity nakonfigurovaný pro váš účet Azure Databricks. Viz Vytvoření metastoru katalogu Unity.

Povolení pracovního prostoru pro katalog Unity

Při vytváření metastoru se zobrazí výzva k přiřazení pracovních prostorů k danému metastoru, který tyto pracovní prostory povolí pro katalog Unity. Můžete se také vrátit do konzoly účtu a kdykoli povolit pracovní prostor pro katalog Unity.

Povolení existujícího pracovního prostoru pro katalog Unity pomocí konzoly účtu:

  1. Jako správce účtu se přihlaste ke konzole účtu.
  2. Klikněte na Ikona katalogu Katalog.
  3. Klikněte na název metastoru.
  4. Klikněte na kartu Pracovní prostory .
  5. Klikněte na Přiřadit k pracovnímu prostoru.
  6. Vyberte jeden nebo více pracovních prostorů. Pokud chcete seznam filtrovat, můžete zadat část názvu pracovního prostoru.
  7. Posuňte se do dolní části dialogového okna a klikněte na Přiřadit.
  8. V potvrzovací dialogovém okně klikněte na Povolit.

Po dokončení přiřazení se pracovní prostor zobrazí na kartě Pracovní prostory metastoru a metastor se zobrazí na kartě Konfigurace pracovního prostoru.

Další kroky

Pokud chcete odebrat přístup pracovního prostoru k datům v metastoru, můžete zrušit propojení metastoru s pracovním prostorem.

Upozorňující

Pokud přerušíte propojení mezi pracovním prostorem a metastorem katalogu Unity:

  • Uživatelé v pracovním prostoru už nebudou mít přístup k datům v metastoru.
  • Přerušíte všechny poznámkové bloky, dotazy nebo úlohy, které odkazují na data spravovaná v metastoru.
  1. Jako správce účtu se přihlaste ke konzole účtu.
  2. Klikněte na Ikona katalogu Katalog.
  3. Klikněte na název metastoru.
  4. Na kartě Pracovní prostory vyhledejte pracovní prostor, který chcete z metastoru odebrat.
  5. Klikněte na nabídku se třemi tlačítky úplně vpravo od řádku pracovního prostoru a vyberte Odebrat z tohoto metastoru.
  6. V potvrzovací dialogovém okně klikněte na Zrušit přiřazení.

Po dokončení odebrání se pracovní prostor už nezobrazuje na kartě Pracovní prostory metastoru.