Hive metaadattár táblahozzáférés-vezérlésének engedélyezése fürtön (örökölt)

Ez a cikk azt ismerteti, hogyan engedélyezheti a táblahozzáférés-vezérlést a fürt beépített Hive metaadattára számára.

Ha tudni szeretné, hogyan állíthat be jogosultságokat a Hive metaadattár biztonságos objektumaihoz, ha a táblahozzáférés-vezérlés engedélyezve lett egy fürtön, tekintse meg a Hive metaadattár-jogosultságait és a biztonságos objektumokat (örökölt) ismertető témakört.

Feljegyzés

A Hive metaadattártáblák hozzáférés-vezérlése örökölt adatirányítási modell. A Databricks azt javasolja, hogy az egyszerűség és a fiókközpontú irányítási modell kedvéért a Unity katalógust használja. A Hive metaadattár által kezelt táblákat frissítheti a Unity Catalog metaadattárra.

Táblahozzáférés-vezérlés engedélyezése fürthöz

A táblahozzáférés-vezérlés két verzióban érhető el:

• Sql-only table access control, amely az SQL-parancsokra korlátozza a felhasználókat.
• Python- és SQL-táblahozzáférés-vezérlés, amellyel a felhasználók SQL-, Python- és PySpark-parancsokat futtathatnak.

A Machine Learning Runtime nem támogatja a táblahozzáférés-vezérlést.

Fontos

Az Azure Databricks-munkaterület rendszergazdái akkor is hozzáférhetnek fájlszintű adatokhoz, ha a táblahozzáférés-vezérlés engedélyezve van egy fürthöz.

Csak SQL-táblák hozzáférés-vezérlése

A táblahozzáférés-vezérlés ezen verziója csak SQL-parancsokra korlátozza a felhasználókat.

Ha engedélyezni szeretné a csak SQL-alapú táblahozzáférés-vezérlést egy fürtön, és korlátozni szeretné, hogy a fürt csak SQL-parancsokat használjon, állítsa be a következő jelölőt a fürt Spark-konföderációjában:

spark.databricks.acl.sqlOnly true

Feljegyzés

A csak SQL-hozzáférés-vezérléshez való hozzáférést a rendszergazdai beállítások lapon található Táblahozzáférés-vezérlés engedélyezése beállítás nem befolyásolja. Ez a beállítás csak a Python és az SQL-tábla hozzáférés-vezérlésének munkaterület-szintű engedélyezését szabályozza.

Python- és SQL-táblahozzáférés-vezérlés

A táblahozzáférés-vezérlés ezen verziója lehetővé teszi a felhasználók számára a DataFrame API-t és az SQL-t használó Python-parancsok futtatását. Ha engedélyezve van egy fürtön, az adott fürt felhasználói:

• A Spark csak a Spark SQL API vagy a DataFrame API használatával érhető el. Mindkét esetben a rendszergazdák korlátozzák a táblákhoz és nézetekhez való hozzáférést a Hive-metaadattár-objektumokon megadható Azure Databricks-jogosultságok alapján.
• A parancsokat a fürtcsomópontokon olyan alacsony jogosultságú felhasználóként kell futtatnia, aki nem férhet hozzá a fájlrendszer bizalmas részeihez, vagy hálózati kapcsolatokat kell létrehoznia a 80-as és a 443-as portoktól eltérő portokhoz.
  • Csak a beépített Spark-függvények hozhatnak létre hálózati kapcsolatokat a 80-as és a 443-as porton kívül.
  • A PySpark JDBC-összekötőn keresztül csak a munkaterület rendszergazdai felhasználói vagy a BÁRMELY FÁJL jogosultsággal rendelkező felhasználók olvashatnak adatokat külső adatbázisokból.
  • Ha azt szeretné, hogy a Python-folyamatok további kimenő portokhoz férjenek hozzá, beállíthatja a Spark-konfigurációt spark.databricks.pyspark.iptable.outbound.whitelisted.ports azokhoz a portokhoz, amelyekhez engedélyezni szeretné a hozzáférést. A konfigurációs érték támogatott formátuma például: [port[:port][,port[:port]]...]21,22,9000:9999. A portnak az érvényes tartományon belül kell lennie, 0-65535azaz .

A korlátozások megkerülésére tett kísérletek kivétellel meghiúsulnak. Ezek a korlátozások érvényben vannak, hogy a felhasználók soha ne férhessenek hozzá a nem megfelelő adatokhoz a fürtön keresztül.

Táblahozzáférés-vezérlés engedélyezése a munkaterületen

Ahhoz, hogy a felhasználók konfigurálhassák a Python- és SQL-táblák hozzáférés-vezérlését, az Azure Databricks-munkaterületnek engedélyeznie kell a táblahozzáférés-vezérlést az Azure Databricks-munkaterületen, és meg kell tagadnia a felhasználók hozzáférését a táblák hozzáférés-vezérléséhez nem engedélyezett fürtökhöz.

1. Lépjen a beállítások lapra.
2. Kattintson a Biztonság fülre.
3. Kapcsolja be a Táblahozzáférés-vezérlés lehetőséget.

Táblahozzáférés-vezérlés kényszerítése

Annak érdekében, hogy a felhasználók csak a kívánt adatokhoz férjenek hozzá, a felhasználókat olyan fürtökre kell korlátoznia, amelyeken engedélyezve van a táblahozzáférés-vezérlés. Különösen a következőkről kell gondoskodnia:

• A felhasználók nem jogosultak fürtök létrehozására. Ha táblahozzáférés-vezérlés nélküli fürtöt hoznak létre, az adott fürtből bármilyen adathoz hozzáférhetnek.
• A felhasználók nem rendelkeznek CSATOLÁSI engedéllyel olyan fürtökhöz, amelyek nincsenek engedélyezve a táblahozzáférés-vezérléshez.

További információkért lásd a számítási engedélyeket .

Táblahozzáférés-vezérléshez engedélyezett fürt létrehozása

A táblahozzáférés-vezérlés alapértelmezés szerint engedélyezve van a megosztott hozzáférési módban lévő fürtökben.

A fürt REST API-val való létrehozásáról az Új fürt létrehozása című témakörben olvashat.

Jogosultságok beállítása adatobjektumon

Lásd: Hive metaadattár-jogosultságok és biztonságos objektumok (örökölt).