Arbeitsbereichskatalogbindung

Im Unity Catalog sind alle Kataloge standardmäßig von jedem Arbeitsbereich aus zugänglich, der mit demselben Metaspeicher verbunden ist. Mithilfe der Arbeitsbereichkatalogbindung können Sie diese Standardeinstellung außer Kraft setzen, um einen Katalog auf einen oder mehrere bestimmte Arbeitsbereiche zu beschränken. Der Zugriff von einem ungebundenen Arbeitsbereich wird verweigert, auch für Benutzer mit expliziten Berechtigungserteilungen im Katalog.

Gründe für die Verwendung der Arbeitsbereichkatalogbindung

Organisations- und Complianceanforderungen geben häufig an, dass bestimmte Daten nur in bestimmten Umgebungen zugänglich bleiben müssen. Möglicherweise müssen Sie auch:

  • Isolieren sie Produktionsdaten aus Entwicklungs- oder Testumgebungen.
  • Verhindern, dass bestimmte Datendomänen miteinander verbunden werden.
  • Stellen Sie sicher, dass vertrauliche Daten nur in bestimmten Arbeitsbereichen verarbeitet werden können.

In Azure Databricks ist der Arbeitsbereich die primäre Datenverarbeitungsumgebung, und der Katalog ist die primäre Datendomäne. Die Arbeitsbereichskatalogbindung verbindet diese beiden Konzepte und ermöglicht es Katalogbesitzern und Benutzern mit der MANAGE Berechtigung zu definieren, welche Arbeitsbereiche auf welche Kataloge zugreifen können.

Funktionsweise der Arbeitsbereichskatalogbindung

Wenn Sie einen Katalog an bestimmte Arbeitsbereiche binden, können nur die Arbeitsbereiche, die Sie zuweisen, auf den Katalog zugreifen. Jeder Arbeitsbereich, der nicht zur zugewiesenen Liste gehört, wird mit einer Fehlermeldung konfrontiert, wenn Benutzer versuchen, auf den Katalog zuzugreifen, wodurch jegliche für diese Benutzer gewährten individuellen Berechtigungen überschrieben werden.

Diagramm zur Katalog-Arbeitsbereichs-Bindung

In diesem Diagramm ist prod_catalog an zwei Produktionsarbeitsbereiche gebunden. Auch wenn ein Benutzer eine SELECT Berechtigung für eine Tabelle in prod_catalog hat, kann er nicht über den Dev-Arbeitsbereich auf diese Tabelle zugreifen.

Schreibgeschützter Zugang

Wenn Sie einen Katalog an einen Arbeitsbereich binden, können Sie diesen Arbeitsbereich optional auf schreibgeschützten Zugriff beschränken. Alle Schreibvorgänge aus diesem Arbeitsbereich in den Katalog werden blockiert.

Standardverhalten des Arbeitsbereichskatalogs

Die Ausnahme des Standardverhaltens beim Öffnen ist der standardmäßige Arbeitsbereichkatalog , der automatisch für alle neuen Arbeitsbereiche erstellt wird. Dieser Arbeitsbereichkatalog ist standardmäßig nur an seinen eigenen Arbeitsbereich gebunden. Wenn Sie diesen Katalog aufheben oder den Zugriff auf andere Arbeitsbereiche erweitern, müssen Sie manuell erforderliche Berechtigungen erteilen, da die Arbeitsbereichsadministratorgruppe arbeitsbereichslokal ist und nicht für alle Arbeitsbereiche verwendet werden kann.

Plattformweite Durchsetzung

Arbeitsbereichskatalogbindungen werden auf der gesamten Plattform einheitlich erzwungen:

  • Informationsschemaabfragen geben nur die Kataloge zurück, auf die im aktuellen Arbeitsbereich zugegriffen werden kann.
  • Datenlinien und Katalog-Explorer zeigen nur Kataloge an, die dem aktuellen Arbeitsbereich zugewiesen sind.

Was an Arbeitsbereiche gebunden werden kann

Arbeitsbereichsbindung gilt über Kataloge hinaus. Sie können auch binden:

Binden eines Katalogs an einen oder mehrere Arbeitsbereiche

Um einen Katalog bestimmten Arbeitsbereichen zuzuweisen, können Sie den Katalog-Explorer oder die Databricks CLI verwenden.

Erforderliche Berechtigungen: Metastore-Administrator, Katalogbesitzer oder MANAGE und USE CATALOG im Katalog.

Note

Unabhängig davon, ob einem Katalog der aktuelle Arbeitsbereich zugewiesen ist, können Metastore-Administratoren alle Kataloge in einem Metastore anzeigen, und Katalogbesitzer können alle Kataloge sehen, die sie in einem Metastore besitzen. Kataloge, die dem Arbeitsbereich nicht zugewiesen sind, werden ausgegraut angezeigt, und es sind keine untergeordneten Objekte sichtbar oder abfragbar.

Katalog-Explorer

  1. Melden Sie sich bei einem Arbeitsbereich an, der mit dem Metastore verknüpft ist.

  2. Klicken Sie auf das Symbol Katalog.

  3. Klicken Sie im Bereich Katalog links auf den Namen des Katalogs.

    Im Hauptbereich des Katalog-Explorers wird standardmäßig die Liste Kataloge angezeigt. Sie können den Katalog auch dort auswählen.

  4. Deaktivieren Sie auf der Registerkarte Arbeitsbereiche das Kontrollkästchen Alle Arbeitsbereiche haben Zugriff.

    Wenn Ihr Katalog bereits an einen oder mehrere Arbeitsbereiche gebunden ist, ist dieses Kontrollkästchen bereits deaktiviert.

  5. Klicken Sie auf Arbeitsbereichen zuordnen und geben Sie die Arbeitsbereiche ein, die Sie zuordnen möchten, oder suchen Sie diese.

  6. (Optional) Beschränken Sie den Arbeitsbereichszugriff auf schreibgeschützt.

    Wählen Sie im Menü Zugriffsebene verwalten die Option Zugriff in „Schreibgeschützt“ ändern aus.

    Sie können diese Auswahl jederzeit rückgängig machen, indem Sie den Katalog bearbeiten und Zugriff auf Lesen und Schreiben ändern wählen.

Um den Zugriff zu widerrufen, wechseln Sie zur Registerkarte Arbeitsbereiche, wählen Sie den Arbeitsbereich aus, und klicken Sie auf Widerrufen.

CLI

Es gibt zwei CLI-Befehlsgruppen für Databricks und zwei Schritte, die zum Zuweisen eines Katalogs zu einem Arbeitsbereich erforderlich sind.

In den folgenden Beispielen, ersetzen Sie <profile-name> mit dem Namen Ihres Azure Databricks-Authentifizierungskonfigurationsprofils. Sie sollte den Wert eines persönlichen Zugriffstokens zusätzlich zu dem Arbeitsbereichsinstanznamen und der Arbeitsbereichs-ID des Arbeitsbereichs enthalten, in dem Sie das persönliche Zugriffstoken generiert haben. Siehe Authentifizierung mit persönlichem Zugriffstoken (Legacy).

  1. Verwenden Sie den Befehl catalogs der Befehlsgruppe update, um den Katalog isolation mode auf ISOLATED festzulegen.

    databricks catalogs update <my-catalog> \
--isolation-mode ISOLATED \
--profile <profile-name>

    Die isolation-mode-Standardeinstellung ist OPEN für alle Arbeitsbereiche, die mit dem Metastore verbunden sind.

  2. Verwenden Sie den Befehl der workspace-bindings Befehlsgruppe update-bindings, um die Arbeitsbereiche dem Katalog zuzuweisen.

    databricks workspace-bindings update-bindings catalog <my-catalog> \
--json '{
  "add": [{"workspace_id": <workspace-id>, "binding_type": <binding-type>}...],
  "remove": [{"workspace_id": <workspace-id>, "binding_type": "<binding-type>}...]
}' --profile <profile-name>

    Verwenden Sie die Eigenschaften "add" und "remove", um Arbeitsbereichsbindungen hinzuzufügen oder zu entfernen. Der <binding-type> kann entweder "BINDING_TYPE_READ_WRITE" (Standard) oder "BINDING_TYPE_READ_ONLY" sein.

Wenn Sie alle Arbeitsbereichszuweisungen für einen Katalog auflisten möchten, verwenden Sie den Befehl der workspace-bindings Befehlsgruppe get-bindings :

databricks workspace-bindings get-bindings catalog <my-catalog> \
--profile <profile-name>

Herauslösen eines Katalogs aus einem Arbeitsbereich

Anweisungen zum Widerrufen des Arbeitsbereichszugriffs auf einen Katalog mithilfe des Katalog-Explorers oder der workspace-bindings CLI-Befehlsgruppe sind in Binden eines Katalogs an einen oder mehrere Arbeitsbereiche enthalten.

Von Bedeutung

Wenn Ihr Arbeitsbereich für Unity-Katalog automatisch aktiviert wurde und Sie über einen Standardarbeitsbereichskatalog verfügen, besitzen Arbeitsbereichsadministratoren diesen Katalog und verfügen nur über alle Berechtigungen für diesen Katalog im Arbeitsbereich. Wenn Sie diesen Katalog trennen oder mit anderen Katalogen verbinden, müssen Sie den Mitgliedern der Arbeitsbereich-Administratorgruppe manuell Berechtigungen erteilen, entweder als individuelle Benutzer oder unter Verwendung von Gruppen auf Kontoebene, da die Arbeitsbereich-Administratorgruppe eine lokal auf den Arbeitsbereich beschränkte Gruppe ist. Weitere Informationen zu Kontogruppen und arbeitsbereichslokalen Gruppen finden Sie unter "Gruppenquellen".

  • Last updated on