Sdílet prostřednictvím


Povolení řízení přístupu k tabulce metastoru Hive v clusteru (starší verze)

Tento článek popisuje, jak povolit řízení přístupu k tabulce pro integrovaný metastore Hive v clusteru.

Informace o tom, jak nastavit oprávnění k zabezpečitelným objektům metastoru Hive po povolení řízení přístupu k tabulce v clusteru, najdete v tématu Oprávnění metastoru Hive a zabezpečitelné objekty (starší verze).

Poznámka:

Řízení přístupu k tabulce metastoru Hive je starší model zásad správného řízení dat. Databricks doporučuje místo toho používat katalog Unity pro jednoduchost a model zásad správného řízení soustředěný na účet. Tabulky spravované metastorem Hive můžete upgradovat na metastore katalogu Unity.

Povolení řízení přístupu k tabulce pro cluster

Řízení přístupu k tabulce je k dispozici ve dvou verzích:

  • Řízení přístupu k tabulce pouze SQL, které omezuje uživatele na příkazy SQL.
  • Řízení přístupu k tabulce Python a SQL, které umožňuje uživatelům spouštět příkazy SQL, Python a PySpark.

Modul runtime Machine Learning nepodporuje řízení přístupu k tabulce.

Důležité

I když je pro cluster povolené řízení přístupu k tabulce, mají správci pracovního prostoru Azure Databricks přístup k datům na úrovni souborů.

Řízení přístupu k tabulce jen PRO SQL

Tato verze řízení přístupu k tabulce omezuje uživatele pouze na příkazy SQL.

Pokud chcete povolit řízení přístupu k tabulce pouze SQL v clusteru a omezit ho tak, aby používal pouze příkazy SQL, nastavte následující příznak v souboru Spark conf clusteru:

spark.databricks.acl.sqlOnly true

Poznámka:

Přístup k řízení přístupu k tabulce pouze SQL nemá vliv na nastavení Povolit řízení přístupu k tabulce na stránce nastavení správce. Toto nastavení řídí pouze povolení pythonu a řízení přístupu k tabulce SQL pro celý pracovní prostor.

Řízení přístupu k tabulce v Pythonu a SQL

Tato verze řízení přístupu k tabulce umožňuje uživatelům spouštět příkazy Pythonu, které používají rozhraní API datového rámce i SQL. Když je v clusteru povolená, uživatelé v daném clusteru:

  • Může přistupovat ke Sparku pouze pomocí rozhraní SPARK SQL API nebo rozhraní DataFrame API. V obou případech je přístup k tabulkám a zobrazením omezený správci podle oprávnění Azure Databricks , která můžete udělit pro objekty metastoru Hive.
  • Musí spouštět své příkazy na uzlech clusteru jako uživatel s nízkými oprávněními, který zakázal přístup k citlivým částem systému souborů nebo vytvářet síťová připojení k portům jiným než 80 a 443.
    • Pouze integrované funkce Sparku můžou vytvářet síťová připojení na jiných portech než 80 a 443.
    • Data z externích databází můžou prostřednictvím konektoru PySpark JDBC číst jenom uživatelé nebo uživatelé pracovního prostoru s oprávněním ANY FILE.
    • Pokud chcete, aby procesy Pythonu měly přístup k dalším odchozím portům, můžete konfiguraci spark.databricks.pyspark.iptable.outbound.whitelisted.ports Sparku nastavit na porty, ke které chcete povolit přístup. Podporovaný formát konfigurační hodnoty je [port[:port][,port[:port]]...]například: 21,22,9000:9999. Port musí být v platném rozsahu, 0-65535tj. .

Pokusy o vyřešení těchto omezení selžou s výjimkou. Tato omezení platí, aby uživatelé nikdy neměli přístup k neprivilegovaným datům prostřednictvím clusteru.

Povolení řízení přístupu k tabulce pro váš pracovní prostor

Aby uživatelé mohli nakonfigurovat řízení přístupu k tabulce Pythonu a SQL, musí pracovní prostor Azure Databricks povolit řízení přístupu k tabulce pro pracovní prostor Azure Databricks a odepřít uživatelům přístup ke clusterům, které nejsou povolené pro řízení přístupu k tabulce.

  1. Přejděte na stránku nastavení.
  2. Klikněte na kartu Zabezpečení.
  3. Zapněte možnost Řízení přístupu k tabulce.

Vynucení řízení přístupu k tabulce

Pokud chcete zajistit, aby uživatelé měli přístup jenom k datům, která jim chcete povolit, musíte omezit uživatele na clustery s povoleným řízením přístupu k tabulce. Zejména byste měli zajistit, aby:

  • Uživatelé nemají oprávnění k vytváření clusterů. Pokud vytvoří cluster bez řízení přístupu k tabulce, bude mít přístup k jakýmkoli datům z daného clusteru.
  • Uživatelé nemají oprávnění PŘIPOJIT K žádnému clusteru, který není povolený pro řízení přístupu k tabulce.

Další informace najdete v tématu Výpočetní oprávnění .

Vytvoření clusteru s povoleným řízením přístupu k tabulce

Řízení přístupu k tabulce je ve výchozím nastavení povolené v clusterech s režimem sdíleného přístupu.

Pokud chcete vytvořit cluster pomocí rozhraní REST API, přečtěte si téma Vytvoření nového clusteru.

Nastavení oprávnění pro datový objekt

Viz oprávnění metastoru Hive a zabezpečitelné objekty (starší verze).