Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Tento článek vysvětluje, jak vytvořit výpočetní prostředek přiřazený ke skupině pomocí režimu vyhrazeného přístupu.
Režim přístupu k vyhrazené skupině umožňuje uživatelům získat provozní efektivitu clusteru standardního režimu přístupu a zároveň bezpečně podporovat jazyky a úlohy, které nejsou podporovány standardním režimem přístupu, jako je Databricks Runtime pro ML, rozhraní API RDD a R.
Požadavky
Použití režimu přístupu k vyhrazené skupině:
- Pracovní prostor musí být povolený pro katalog Unity.
- Musíte použít Databricks Runtime 15.4 nebo novější.
- Přiřazená skupina musí mít oprávnění
CAN MANAGEve složce pracovního prostoru, kde můžou uchovávat poznámkové bloky, experimenty ML a další artefakty pracovního prostoru používané clusterem skupiny.
Co je režim vyhrazeného přístupu?
Režim vyhrazeného přístupu je nejnovější verze režimu přístupu s jedním uživatelem. S vyhrazeným přístupem je možné výpočetní prostředek přiřadit jednomu uživateli nebo skupině, což umožňuje pouze přiřazeným uživatelům přístup k používání výpočetního prostředku.
Když je uživatel připojený k výpočetnímu prostředku vyhrazenému ke skupině (clusteru skupin), oprávnění uživatele se automaticky sníží na oprávnění skupiny, což uživateli umožní bezpečně sdílet prostředek s ostatními členy skupiny.
Vytvoření výpočetního prostředku vyhrazeného pro skupinu
- V pracovním prostoru Azure Databricks přejděte na Compute a klikněte na Create compute.
- Rozbalte oddíl Pokročilé.
- V části Režim aplikace Access klepněte v rozevírací nabídce na položku Ručně a pak v rozevírací nabídce vyberte Dedicated (dříve: Single-user).
- V poli Jeden uživatel nebo skupina vyberte skupinu, kterou chcete k tomuto prostředku přiřadit.
- Nakonfigurujte další požadovaná výpočetní nastavení a potom klikněte na Vytvořit.
Osvědčené postupy pro správu clusterů skupin
Vzhledem k tomu, že uživatelská oprávnění jsou při používání skupinových clusterů omezena na skupinu, doporučuje Databricks vytvořit složku /Workspace/Groups/<groupName> pro každou skupinu, kterou chcete použít s clusterem skupin. Potom skupině přiřaďte oprávnění CAN MANAGE ke složce. To umožňuje skupinám vyhnout se chybám oprávnění. Všechny poznámkové bloky skupiny a prostředky pracovního prostoru by se měly spravovat ve složce skupiny.
Musíte také upravit následující úlohy, které se mají spouštět ve skupinových clusterech:
- MLflow: Ujistěte se, že poznámkový blok spustíte ze složky skupiny, nebo pokud ne, spusťte
mlflow.set_tracking_uri("/Workspace/Groups/<groupName>"). - AutoML: Nastavte volitelný parametr
experiment_dirna“/Workspace/Groups/<groupName>”pro spuštění AutoML. -
dbutils.notebook.run: Ujistěte se, že skupina má oprávněníREADna poznámkový blok, který je spuštěn.
Nastavení oprávnění u skupinových clusterů
Všechny příkazy, dotazy a další akce prováděné v clusteru skupiny používají oprávnění přiřazená ke skupině, nikoli jednotlivému uživateli.
Jednotlivá uživatelská oprávnění nelze vynutit, protože všichni členové skupiny mají úplný přístup k rozhraním API Sparku a sdílenému výpočetnímu prostředí. Pokud byla použita uživatelská oprávnění, jeden člen by mohl dotazovat omezená data a jiný člen bez přístupu by stále mohl načíst výsledky prostřednictvím sdíleného prostředí. Proto samotná skupina, nikoli uživatel, který je členem skupiny, musí mít potřebná oprávnění k úspěšnému provedení akce.
Skupina například potřebuje explicitní oprávnění k dotazování na tabulku, přístup k tajnému rozsahu nebo tajemství, použití přihlašovacích údajů pro připojení k Unity Catalog, přístup ke složce Git nebo vytvoření objektu pracovního prostoru.
Ukázková oprávnění skupiny
Při vytváření datového objektu pomocí clusteru skupiny se skupina přiřadí jako vlastník objektu.
Pokud máte například poznámkový blok připojený ke skupinovému clusteru a spusťte následující příkaz:
use catalog main;
create schema group_cluster_group_schema;
Potom spusťte tento dotaz a zkontrolujte vlastníka schématu:
describe schema group_cluster_group_schema;
Aktivita určená pro výpočetní činnost auditní skupiny
Existují dvě klíčové identity, které jsou důležité, když skupinový cluster spouští pracovní zátěž:
- Uživatel, který spouští úlohu v clusteru skupin
- Skupina, jejíž oprávnění se používají k provádění skutečných akcí pracovní zátěže
Systémová tabulka protokolu auditování tyto identity zaznamenává pod následujícími parametry:
-
identity_metadata.run_by: Ověřování uživatele, který provede akci -
identity_metadata.run_as: Autorizovaná skupina, jejíž oprávnění se používají pro akci.
Následující příklad dotazu načítá metadata identity pro akci prováděnou s clusterem skupiny:
select action_name, event_time, user_identity.email, identity_metadata
from system.access.audit
where user_identity.email = "uc-group-cluster-group" AND service_name = "unityCatalog"
order by event_time desc limit 100;
Další ukázkové dotazy najdete v referenční dokumentaci k systémové tabulce protokolu auditu. Viz Referenční informace k systémové tabulce protokolu auditu.
Známá omezení
Přístup k vyhrazené skupině má následující omezení:
- Úlohy vytvořené pomocí rozhraní API a sady SDK nelze přiřadit přístup ke skupině. Důvodem je to, že parametr úlohy
run_aspodporuje pouze jednoho uživatele nebo instanční objekt. - Úlohy, které používají Git selžou, protože dočasný adresář, který úloha používá ke kontrole úložiště Git, do kterého nelze zapisovat. Místo toho používejte složky Git .
- Systémové tabulky linie nezaznamenávají
identity_metadata.run_as(autorizovanou skupinu) aniidentity_metadata.run_by(ověřujícího uživatele) pro úlohy spuštěné na skupinovém clusteru. - Protokoly auditu doručované do úložiště zákazníka nezaznamenají
identity_metadata.run_as(autorizační skupinu) aniidentity_metadata.run_by(ověřovacího uživatele) pro úlohy spuštěné v clusteru skupin. K zobrazení metadat identity musíte použít tabulkusystem.access.audit. - Když je průzkumník katalogu připojený ke skupinovému clusteru, nefiltruje jen podle prostředků, které jsou přístupné pouze skupině.
- Správci skupin, kteří nejsou členy skupiny, nemůžou vytvářet, upravovat ani odstraňovat clustery skupin. To můžou udělat jenom správci pracovního prostoru a členové skupiny.
- Pokud je skupina přejmenována, musíte ručně aktualizovat všechny zásady výpočetních prostředků, které odkazují na název skupiny.
- Skupinové clustery nejsou podporovány pro pracovní prostory s vypnutými seznamy ACL (isWorkspaceAclsEnabled == false) kvůli inherentnímu nedostatku zabezpečení a řízení přístupu k datům, když jsou seznamy ACL pracovního prostoru vypnuté.
- Příkaz
%runa další akce prováděné v kontextu poznámkového bloku vždy používají oprávnění uživatele místo oprávnění skupiny. Důvodem je to, že tyto akce zpracovává prostředí poznámkového bloku, nikoli prostředí clusteru. Alternativní příkazy, jakodbutils.notebook.run()jsou například spuštěné v clusteru, a proto používají oprávnění skupiny. - Funkce
is_member(<group>)se vrátífalsepři vyvolání v clusteru skupiny, protože skupina není členem sebe sama. Chcete-li správně zkontrolovat členství v clusterech skupin i v jiných režimech přístupu, použijteis_member(<group>) OR current_user() == <group>. - Vytváření a přístup k modelům obsluhující koncové body se nepodporuje.
- Vytváření a přístup ke koncovým bodům nebo indexům vyhledávání AI se nepodporuje.
- Odstranění souborů a složek není podporováno ve skupinových clusterech.
- Uživatelské rozhraní pro nahrávání souborů nepodporuje clustery skupin.