Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
A Unity Katalógusban az összes katalógus alapértelmezés szerint elérhető az ugyanahhoz a metaadattárhoz csatolt munkaterületről. A munkaterület-katalógus hozzárendelése lehetővé teszi az alapértelmezett beállítás felülbírálását, hogy egy katalógust egy vagy több konkrét munkaterületre korlátozzon. Kötetlen munkaterületről a hozzáférés megtagadva, még akkor is, ha a felhasználóknak kifejezett jogosultságaik vannak a katalógusban.
Miért érdemes munkaterület-katalógus kötést használni?
A szervezeti és megfelelőségi követelmények gyakran meghatározzák, hogy bizonyos adatok csak a kijelölt környezetekben legyenek elérhetők. A következőkre is szükség lehet:
- Termelési adatok elkülönítése a fejlesztési vagy tesztkörnyezetektől.
- Bizonyos adattartományok összekapcsolásának megakadályozása.
- Győződjön meg arról, hogy a bizalmas adatok csak adott munkaterületeken dolgozhatók fel.
A Azure Databricks a munkaterület az elsődleges adatfeldolgozási környezet, a katalógus pedig az elsődleges adattartomány. A munkaterület-katalógus kötése összekapcsolja ezt a két fogalmat, így a katalógustulajdonosok és a MANAGE jogosultsággal rendelkező felhasználók határozzák meg, hogy mely munkaterületek férhetnek hozzá a katalógusokhoz.
A munkaterület-katalógus kötésének működése
Ha egy katalógust adott munkaterületekhez köt, csak a hozzárendelt munkaterületek férhetnek hozzá a katalógushoz. A hozzárendelt listában nem szereplő munkaterületek hibaüzenetet kapnak, amikor a felhasználók megpróbálnak hozzáférni a katalógushoz, felülírva az adott felhasználók számára biztosított egyéni jogosultságokat.
Ebben a diagramban prod_catalog két éles munkaterülethez van kötve. Még akkor sem fér hozzá egy felhasználó a táblához a Dev munkaterületről, ha rendelkezik egy SELECT engedéllyel arra a táblára prod_catalog.
Csak olvasási hozzáférés
Ha katalógust köt egy munkaterülethez, a munkaterületet igény szerint írásvédett hozzáférésre korlátozhatja. A munkaterületről a katalógusba történő összes írási művelet le lesz tiltva.
A munkaterület-katalógus alapértelmezett viselkedése
Az alapértelmezett megnyitási viselkedés kivétele az összes új munkaterülethez automatikusan létrehozott alapértelmezett munkaterület-katalógus . Ez a munkaterület-katalógus alapértelmezés szerint csak a saját munkaterületéhez van kötve. Ha leválasztotta ezt a katalógust, vagy kiterjeszti a hozzáférést más munkaterületekre, manuálisan kell megadnia a szükséges engedélyeket, mivel a munkaterület-rendszergazdák csoportja munkaterület-helyi, és nem használható több munkaterületen.
Platformszintű kényszerítés
A munkaterület-katalógus kapcsolatai következetesen érvényesülnek a platformon.
- Az információséma-lekérdezések csak az aktuális munkaterületen elérhető katalógusokat adják vissza.
- Az adatsor és a Katalóguskezelő csak az aktuális munkaterülethez rendelt katalógusokat jeleníti meg.
Mi köthető a munkaterületekhez?
A munkaterület-kötés a katalógusokon túl is érvényes. Kötést is végezhet:
- Külső helyek: annak korlátozása, hogy mely munkaterületek férhetnek hozzá adott felhőbeli tárolási útvonalakhoz. Lásd : (Nem kötelező) Külső hely hozzárendelése adott munkaterületekhez.
- Tárolási hitelesítő adatok: annak korlátozása, hogy mely munkaterületek használhatnak adott felhőbeli hitelesítő adatokat. Lásd : (Nem kötelező) Tároló hitelesítő adatainak hozzárendelése adott munkaterületekhez.
- Szolgáltatás hitelesítő adatai: annak korlátozása, hogy mely munkaterületek használhatnak adott felhőszolgáltatás-hitelesítő adatokat. Lásd : (Nem kötelező) Szolgáltatás hitelesítő adatainak hozzárendelése adott munkaterületekhez.
Katalógus kötése egy vagy több munkaterülethez
Ha katalógust szeretne hozzárendelni adott munkaterületekhez, használhatja a Catalog Explorert vagy a Databricks parancssori felületet.
Szükséges engedélyek: Metaadattár-rendszergazda, katalógus tulajdonosa, vagy MANAGE és USE CATALOG a katalógusban.
Megjegyzés:
Függetlenül attól, hogy egy katalógus az aktuális munkaterülethez van-e rendelve, a metaadattár rendszergazdái megtekinthetik a metaadattár összes katalógusát, a katalógustulajdonosok pedig megtekinthetik a metaadattárban lévő összes katalógust. A munkaterülethez nem rendelt katalógusok szürkén jelennek meg, és egyetlen gyermekobjektum sem látható vagy kérdezhető le.
Katalóguskezelő
Jelentkezzen be a metaadattárhoz csatolt munkaterületre.
Kattintson
Katalógus.A Katalógus panel bal oldalán kattintson a katalógus nevére.
A Katalóguskezelő fő panelje alapértelmezés szerint a Katalógusok listára kerül. Itt is kiválaszthatja a katalógust.
A Munkaterületek lapon törölje a jelet a Minden munkaterület hozzáférése jelölőnégyzetből.
Ha a katalógus már egy vagy több munkaterülethez van kötve, ez a jelölőnégyzet már nincs bejelölve.
Kattintson a Munkaterületek hozzárendelése gombra, és adja meg vagy keresse meg a hozzárendelni kívánt munkaterületeket.
(Nem kötelező) A munkaterület hozzáférésének korlátozása csak olvasható módra.
A Hozzáférési szint kezelése menüben válassza a Hozzáférés módosítása írásvédettre lehetőséget.
Ezt a kijelölést bármikor megfordíthatja a katalógus szerkesztésével, majd a Hozzáférés módosítása olvasáshoz és íráshoz lehetőséget választva.
A hozzáférés visszavonásához lépjen a Munkaterületek lapra, jelölje ki a munkaterületet, és kattintson a Visszavonás gombra.
parancssori felület
Két Databricks CLI-parancscsoport és két lépés szükséges a katalógus munkaterülethez való hozzárendeléséhez.
Az alábbi példákban cserélje le a <profile-name> a Azure Databricks hitelesítési konfigurációs profil nevére. Tartalmaznia kell egy személyes hozzáférési jogkivonat értékét, valamint annak a munkaterület-példány nevét és ID-jét, amelynél a személyes hozzáférési jogkivonatot létrehozta. Lásd: Személyes hozzáférési jogkivonat-hitelesítés (örökölt).
A katalógus
catalogsupdatebeállításához használja aisolation modeparancscsoportISOLATEDparancsát:databricks catalogs update <my-catalog> \ --isolation-mode ISOLATED \ --profile <profile-name>Az alapértelmezett
isolation-modebeállítás aOPENmetastore-hoz csatolt összes munkaterületre vonatkozik.A
workspace-bindingsparancscsoportupdate-bindingsparancsát használja a munkaterületek katalógushoz rendeléséhez.databricks workspace-bindings update-bindings catalog <my-catalog> \ --json '{ "add": [{"workspace_id": <workspace-id>, "binding_type": <binding-type>}...], "remove": [{"workspace_id": <workspace-id>, "binding_type": "<binding-type>}...] }' --profile <profile-name>Használja a
"add"és"remove"tulajdonságokat a munkaterülethez kötődések hozzáadására vagy eltávolítására. Ez<binding-type>lehet"BINDING_TYPE_READ_WRITE"(alapértelmezett) vagy"BINDING_TYPE_READ_ONLY".
A katalógus összes munkaterület-hozzárendelésének listázásához használja a workspace-bindings parancscsoport parancsát get-bindings :
databricks workspace-bindings get-bindings catalog <my-catalog> \
--profile <profile-name>
Katalógus leválasztása a munkaterületről
A munkaterület egy katalógushoz való hozzáférésének visszavonására szolgáló utasítások a Catalog Explorer vagy a workspace-bindings CLI parancscsoport segítségével a következő részben találhatók: Katalógus kötése egy vagy több munkaterülethez.
Important
Ha a munkaterület automatikusan engedélyezve lett a Unity Cataloghoz, és Ön alapértelmezett munkaterület-katalógussal rendelkezik, a munkaterület rendszergazdái rendelkeznek a katalógussal, és csak a munkaterületen rendelkeznek az adott katalógusra vonatkozó összes engedéllyel. Ha leválasztja a katalógust, vagy más katalógusokhoz köti, a szükséges engedélyeket manuálisan kell megadnia a munkaterület-rendszergazdai csoport tagjainak egyéni felhasználókként vagy fiókszintű csoportok használatával, mivel a munkaterület rendszergazdái csoportja egy munkaterület-helyi csoport. További információ a fiókcsoportokról és a munkaterület helyi csoportjairól: Csoportforrások.