Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Identity, oprávnění a privilegia určují, kdo může kanály spouštět, spravovat a dotazovat se na ně i na data, která produkují.
Databricks doporučuje používat katalog Unity pro všechny nové kanály. Ve výchozím nastavení můžou materializovaná zobrazení a streamované tabulky vytvořené kanály nakonfigurovanými pomocí katalogu Unity dotazovat pouze vlastník kanálu. Podívejte se na Použití katalogu Unity s kanály.
Pokud vaše kanály publikují datové sady do starší verze metastoru Hive, přečtěte si téma Použití kanálů Lakeflow se starším metastorem Hive.
Obecné osvědčené postupy pro konfigurace identit najdete v tématu Osvědčené postupy identit.
Jaká identita je využita pro aktualizace pipeline?
Pipeliney zpracovávají aktualizace pod identitou uživatele run-as. Ve výchozím nastavení je uživatelem, pod kterým se kanál spouští, autor kanálu, ale můžete ho změnit na jiného uživatele nebo instanční objekt služby. Viz Nastavit uživatele spuštění jako.
Databricks doporučuje nastavit uživatele, pod kterým se spuštění provádí, jako instanční objekt služby, aby aktualizace pipeline nebyly vázány na účet konkrétního uživatele. Viz principály služeb.
Kdo může spustit aktualizaci pipeline?
Aktualizace pipeline může spustit libovolný uživatel nebo service principal s oprávněními CAN RUN, CAN MANAGE nebo IS OWNER.
Kdo může zobrazit kanál a jeho výstup?
Aby uživatel mohl otevřít kanál a zobrazit jeho podrobnosti, potřebuje k kanálu alespoň CAN VIEW oprávnění. Úplný seznam úrovní oprávnění kanálů a oprávnění, která jednotlivé úrovně poskytují, najdete v tématu ACL kanálů Lakeflow.
K zobrazení pipeline, na které je založena streamovaná tabulka nebo materializované zobrazení, potřebuje uživatel, který není správcem, kromě oprávnění k pipeline také oprávnění REFRESH k této streamované tabulce nebo materializovanému zobrazení.
REFRESH Bez oprávnění se v adrese URL kanálu zobrazuje, že kanál není k dispozici.
Konfigurace oprávnění kanálu
Ke správě oprávnění musíte mít oprávnění CAN MANAGE nebo IS OWNER na pipeline. Kanály používají seznamy řízení přístupu (ACL) k řízení oprávnění. Úplný seznam oprávnění a jejich možností najdete v části Seznamy ACL pro Lakeflow pipelines.
- Na bočním panelu klikněte na Úlohy a projekty.
- Vyberte název kanálu.
- Klikněte na Share (Sdílet). Zobrazí se dialogové okno Nastavení oprávnění .
- Klikněte na Vybrat uživatele, skupinu nebo instanční objekt... a vyberte uživatele, skupinu nebo instanční objekt.
- V rozevírací nabídce oprávnění vyberte jednu možnost.
- Klikněte na tlačítko Přidat.
- Klikněte na Uložit.
Změna vlastníka kanálu
Ve výchozím nastavení je vlastníkem kanálu také uživatel, pod jehož účtem se aktualizace kanálu spouštějí. Změna vlastníka změní identitu použitou pro budoucí aktualizace.
Pokud chcete změnit identitu, pod kterou se aktualizace kanálu spouštějí, aniž byste změnili vlastníka, nastavte místo toho uživatele pro spuštění. Viz Nastavit uživatele spuštění jako.
Pokud chcete změnit vlastníka kanálu, musíte být správcem metastoru i správcem pracovního prostoru. Změňte vlastníka pomocí uživatelského rozhraní nebo rozhraní REST API.
Použití uživatelského rozhraní
- Na bočním panelu klikněte na Úlohy a projekty.
- Vyberte název kanálu.
- Klikněte na Share (Sdílet). Zobrazí se dialogové okno Nastavení oprávnění .
- Vymažte aktuálního vlastníka a pak vyberte nového vlastníka. Vlastníkem může být uživatel nebo instanční objekt služby. Databricks doporučuje instanční objekt služby. Viz principály služeb.
- Klikněte na Uložit.
Použití rozhraní REST API
Pokud ovládací prvek vlastníka není v uživatelském rozhraní dostupný, například u některých interně spravovaných kanálů, změňte vlastníka pomocí operace Nastavit oprávnění kanálu REST API. Zadejte user_name nového vlastníka (nebo service_principal_name pro instanční objekt služby) s úrovní oprávnění IS_OWNER:
{
"access_control_list": [
{
"user_name": "new.owner@example.com",
"permission_level": "IS_OWNER"
}
]
}
Pokud žádný uživatel není zároveň správcem metastore a správcem pracovního prostoru
Pokud nikdo ve vaší organizaci není správcem metastoru i správcem pracovního prostoru, požádejte zástupce Databricks o změnu vlastníka kanálu.
Povolit uživatelům bez oprávnění správce zobrazit protokoly ovladačů z kanálu s podporou katalogu Unity
Ve výchozím nastavení můžou protokoly ovladačů zobrazit pouze vlastník kanálu a správci pracovního prostoru z clusteru, na kterém běží kanál s podporou katalogu Unity. Přístup k protokolům ovladačů můžete povolit pro libovolného uživatele s oprávněními CAN MANAGE, CAN VIEW nebo CAN RUN přidáním následujícího konfiguračního parametru Sparku do objektu configuration v nastavení kanálu:
{
"configuration": {
"spark.databricks.acl.needAdminPermissionToViewLogs": "false"
}
}