Megosztás a következőn keresztül:

Katalógushozzáférés korlátozása adott munkaterületekhez

  • Cikk

Ez a cikk bemutatja a munkaterület-katalógus kötését, és ismerteti, hogyan lehet egy Unity Catalog-katalógust egy Azure Databricks-munkaterülethez kötni annak érdekében, hogy az Azure Databricks-fiók többi munkaterülete ne férhessen hozzá.

Mi az a munkaterület-katalógus kötése?

Ha munkaterületekkel elkülöníti a felhasználói adatokhoz való hozzáférést, korlátozhatja a katalógus hozzáférését a fiók adott munkaterületeihez, más néven munkaterület-katalóguskötésekhez. Az alapértelmezett beállítás a katalógus megosztása az aktuális metaadattárhoz csatolt összes munkaterülettel.

Az alapértelmezett kivétel az összes új munkaterülethez automatikusan létrehozott munkaterület-katalógus . Ez a munkaterület-katalógus csak a munkaterülethez van kötve, kivéve, ha úgy dönt, hogy más munkaterületeknek hozzáférést ad hozzá. Az engedélyek hozzárendelésével kapcsolatos fontos információkért, ha leválasztja ezt a katalógust, olvassa el a katalógus munkaterületről való kötésének megszüntetése című témakört.

Engedélyezheti a katalógushoz való olvasási és írási hozzáférést egy munkaterületről, vagy megadhat írásvédett hozzáférést. Ha írásvédett műveletet ad meg, a rendszer minden írási műveletet letilt a munkaterületről a katalógusba.

A katalógus adott munkaterületekhez való kötésének tipikus használati esetei a következők:

  • Annak biztosítása, hogy a felhasználók csak éles munkaterületi környezetből férhessenek hozzá az éles adatokhoz.
  • Annak biztosítása, hogy a felhasználók csak dedikált munkaterületről dolgozzák fel a bizalmas adatokat.
  • A fejlesztői munkaterületről csak olvasható hozzáférést biztosít a felhasználóknak az éles adatokhoz a fejlesztés és tesztelés engedélyezéséhez.

Feljegyzés

A külső helyeket és a tárolási hitelesítő adatokat adott munkaterületekhez is kötheti, így korlátozhatja a külső helyeken lévő adatok elérését a munkaterületek kiemelt felhasználói számára. Lásd : (Nem kötelező) Külső hely hozzárendelése adott munkaterületekhez és (Nem kötelező) Tároló hitelesítő adatainak hozzárendelése adott munkaterületekhez.

Példa munkaterület-katalógus kötésre

Vegyük példaként a termelés és a fejlesztés elkülönítését. Ha azt adja meg, hogy az éles adatkatalógusok csak éles munkaterületekről érhetők el, ez felülírja a felhasználók számára kibocsátott egyedi támogatásokat.

Katalógus-munkaterület kötési diagramja

Ebben a diagramban prod_catalog két éles munkaterülethez van kötve. Tegyük fel, hogy egy felhasználó hozzáférést kapott egy meghívott táblához prod_catalog (a használatávalGRANT SELECT ON my_table TO <user>).my_table Ha a felhasználó megpróbál hozzáférni my_table a Dev munkaterületen, hibaüzenet jelenik meg. A felhasználó csak a Prod ETL és a Prod Analytics munkaterületekről férhet hozzá my_table .

A munkaterület-katalógus kötéseit a platform minden területén tiszteletben tartják. Ha például lekérdezi az információs sémát, csak a munkaterületen elérhető katalógusok láthatók, ahol a lekérdezést kibocsátja. Az adatsorok és a keresési felhasználói felületek hasonlóképpen csak a munkaterülethez rendelt katalógusokat jelenítik meg (akár kötéseket használnak, akár alapértelmezés szerint).

Katalógus kötése egy vagy több munkaterülethez

Ha katalógust szeretne hozzárendelni adott munkaterületekhez, használhatja a Catalog Explorert vagy a Databricks parancssori felületet.

Szükséges engedélyek: Metaadattár-rendszergazda vagy katalógustulajdonos.

Feljegyzés

A metaadattár-rendszergazdák a Katalóguskezelővel láthatják a metaadattár összes katalógusát – a katalógustulajdonosok pedig megtekinthetik a metaadattárban lévő összes katalógust, függetlenül attól, hogy a katalógus az aktuális munkaterülethez van-e rendelve. A munkaterülethez nem rendelt katalógusok szürkén jelennek meg, és egyetlen gyermekobjektum sem látható vagy kérdezhető le.

Katalóguskezelő

  1. Jelentkezzen be a metaadattárhoz csatolt munkaterületre.

  2. Kattintson a Katalógus gombra Katalógus ikon .

  3. A Katalógus panel bal oldalán kattintson a katalógus nevére.

    A Katalóguskezelő fő panelje alapértelmezés szerint a Katalógusok lista. Itt is kiválaszthatja a katalógust.

  4. A Munkaterületek lapon törölje a jelet a Minden munkaterület hozzáférése jelölőnégyzetből.

    Ha a katalógus már egy vagy több munkaterülethez van kötve, ez a jelölőnégyzet már nincs bejelölve.

  5. Kattintson a Munkaterületek hozzárendelése gombra, és adja meg vagy keresse meg a hozzárendelni kívánt munkaterületeket.

  6. (Nem kötelező) A munkaterület hozzáférésének korlátozása írásvédettre.

    A Hozzáférési szint kezelése menüben válassza a Hozzáférés módosítása írásvédettre lehetőséget.

    Ezt a kijelölést bármikor megfordíthatja a katalógus szerkesztésével, majd a Hozzáférés módosítása olvasáshoz és íráshoz lehetőséget választva.

A hozzáférés visszavonásához lépjen a Munkaterületek lapra, jelölje ki a munkaterületet, és kattintson a Visszavonás gombra.

CLI

Két Databricks CLI-parancscsoport és két lépés szükséges a katalógus munkaterülethez való hozzárendeléséhez.

Az alábbi példákban cserélje le <profile-name> az Azure Databricks-hitelesítési konfigurációs profil nevét. Tartalmaznia kell egy személyes hozzáférési jogkivonat értékét a munkaterület-példány neve és a munkaterület azonosítója mellett, ahol a személyes hozzáférési jogkivonatot létrehozta. Tekintse meg az Azure Databricks személyes hozzáférési jogkivonatának hitelesítését.

  1. A katalógus beállításához használja a catalogs parancscsoport update parancsát isolation mode ISOLATED:

    databricks catalogs update <my-catalog> \
--isolation-mode ISOLATED \
--profile <profile-name>

    Az alapértelmezett isolation-mode beállítás a OPEN metaadattárhoz csatolt összes munkaterületre igaz.

  2. workspace-bindings A parancscsoport parancsával update-bindings rendelje hozzá a munkaterületeket a katalógushoz:

    databricks workspace-bindings update-bindings catalog <my-catalog> \
--json '{
  "add": [{"workspace_id": <workspace-id>, "binding_type": <binding-type>}...],
  "remove": [{"workspace_id": <workspace-id>, "binding_type": "<binding-type>}...]
}' --profile <profile-name>

    A munkaterület-kötések hozzáadásához vagy "remove" eltávolításához használja a "add" tulajdonságokat és a tulajdonságokat. Ez <binding-type> lehet “BINDING_TYPE_READ_WRITE” (alapértelmezett) vagy “BINDING_TYPE_READ_ONLY”.

A katalógus összes munkaterület-hozzárendelésének listázásához használja a workspace-bindings parancscsoport parancsát get-bindings :

databricks workspace-bindings get-bindings catalog <my-catalog> \
--profile <profile-name>

Katalógus leválasztása munkaterületről

A katalógusok katalógushoz való hozzáférésének a Catalog Explorer vagy a workspace-bindings CLI parancscsoport használatával történő visszavonására vonatkozó utasításokat a katalógus egy vagy több munkaterülethez való kötése tartalmazza.

Fontos

Ha a munkaterület automatikusan engedélyezve lett a Unity-katalógushoz, és Ön rendelkezik munkaterület-katalógussal, a munkaterület rendszergazdái birtokolják ezt a katalógust, és csak a munkaterületen rendelkeznek az adott katalógusra vonatkozó összes engedéllyel. Ha leválasztja a katalógust, vagy más katalógusokhoz köti, a szükséges engedélyeket manuálisan kell megadnia a munkaterület-rendszergazdai csoport tagjainak egyéni felhasználókként vagy fiókszintű csoportok használatával, mivel a munkaterület rendszergazdái csoportja egy munkaterület-helyi csoport. További információ a fiókcsoportokról és a munkaterület-helyi csoportokról: Különbség a fiókcsoportok és a munkaterület-helyi csoportok között.