Bagikan melalui

Membatasi akses katalog ke ruang kerja tertentu

  • Artikel

Artikel ini memperkenalkan pengikatan katalog ruang kerja, dan menjelaskan cara mengikat katalog Unity Catalog ke ruang kerja Azure Databricks untuk mencegah ruang kerja lain di akun Azure Databricks Anda mengaksesnya.

Apa itu pengikatan katalog ruang kerja?

Jika Anda menggunakan ruang kerja untuk mengisolasi akses data pengguna, Anda dapat membatasi akses katalog ke ruang kerja tertentu di akun Anda, juga dikenal sebagai pengikatan katalog ruang kerja. Defaultnya adalah berbagi katalog dengan semua ruang kerja yang dilampirkan ke metastore saat ini.

Pengecualian untuk default ini adalah katalog ruang kerja yang dibuat secara otomatis untuk semua ruang kerja baru. Katalog ruang kerja ini hanya terikat ke ruang kerja Anda, kecuali Anda memilih untuk memberi ruang kerja lain akses ke ruang kerja tersebut. Untuk informasi penting tentang menetapkan izin jika Anda membatalkan ikatan katalog ini, lihat Membatalkan ikatan katalog dari ruang kerja.

Anda dapat mengizinkan akses baca dan tulis ke katalog dari ruang kerja, atau Anda dapat menentukan akses baca-saja. Jika Anda menentukan baca-saja, maka semua operasi tulis diblokir dari ruang kerja tersebut ke katalog tersebut.

Kasus penggunaan umum untuk mengikat katalog ke ruang kerja tertentu meliputi:

  • Memastikan bahwa pengguna hanya dapat mengakses data produksi dari lingkungan ruang kerja produksi.
  • Memastikan bahwa pengguna hanya dapat memproses data sensitif dari ruang kerja khusus.
  • Memberi pengguna akses baca-saja ke data produksi dari ruang kerja pengembang untuk mengaktifkan pengembangan dan pengujian.

Catatan

Anda juga dapat mengikat lokasi eksternal dan kredensial penyimpanan ke ruang kerja tertentu, membatasi kemampuan untuk mengakses data di lokasi eksternal ke pengguna istimewa di ruang kerja tersebut. Lihat (Opsional) Menetapkan lokasi eksternal ke ruang kerja tertentu dan (Opsional) Menetapkan kredensial penyimpanan ke ruang kerja tertentu.

Contoh pengikatan katalog ruang kerja

Ambil contoh isolasi produksi dan pengembangan. Jika Anda menentukan bahwa katalog data produksi Anda hanya dapat diakses dari ruang kerja produksi, ini menggantikan setiap pemberian individu yang dikeluarkan untuk pengguna.

Diagram pengikatan ruang kerja katalog

Dalam diagram ini, prod_catalog terikat ke dua ruang kerja produksi. Misalkan pengguna telah diberikan akses ke tabel di yang dipanggil prod_catalog my_table (menggunakan GRANT SELECT ON my_table TO <user>). Jika pengguna mencoba mengakses my_table di ruang kerja Dev, mereka menerima pesan kesalahan. Pengguna hanya dapat mengakses my_table dari ruang kerja Prod ETL dan Prod Analytics.

Pengikatan katalog ruang kerja dihormati di semua area platform. Misalnya, jika Anda mengkueri skema informasi, Anda hanya melihat katalog yang dapat diakses di ruang kerja tempat Anda mengeluarkan kueri. Silsilah data dan UI pencarian juga hanya menampilkan katalog yang ditetapkan ke ruang kerja (baik menggunakan pengikatan atau secara default).

Mengikat katalog ke satu atau beberapa ruang kerja

Untuk menetapkan katalog ke ruang kerja tertentu, Anda dapat menggunakan Catalog Explorer atau Databricks CLI.

Izin diperlukan: Admin metastore atau pemilik katalog.

Catatan

Admin Metastore dapat melihat semua katalog di metastore menggunakan Catalog Explorer—dan pemilik katalog dapat melihat semua katalog yang mereka miliki di metastore—terlepas dari apakah katalog ditetapkan ke ruang kerja saat ini. Katalog yang tidak ditetapkan ke ruang kerja tampak berwarna abu-abu, dan tidak ada objek anak yang terlihat atau dapat dikueri.

Penjelajah Katalog

  1. Masuk ke ruang kerja yang ditautkan ke metastore.

  2. Klik Ikon katalog Katalog.

  3. Di panel Katalog , di sebelah kiri, klik nama katalog.

    Panel Penjelajah Katalog utama default ke daftar Katalog . Anda juga dapat memilih katalog di sana.

  4. Pada tab Ruang Kerja, kosongkan kotak centang Semua ruang kerja memiliki akses .

    Jika katalog Anda sudah terikat ke satu atau beberapa ruang kerja, kotak centang ini sudah dihapus.

  5. Klik Tetapkan ke ruang kerja dan masukkan atau temukan ruang kerja yang ingin Anda tetapkan.

  6. (Opsional) Batasi akses ruang kerja ke baca-saja.

    Pada menu Kelola Tingkat Akses, pilih Ubah akses ke baca-saja.

    Anda dapat membalikkan pilihan ini kapan saja dengan mengedit katalog dan memilih Ubah akses untuk membaca &menulis.

Untuk mencabut akses, buka tab Ruang Kerja, pilih ruang kerja, dan klik Cabut.

CLI

Ada dua grup perintah Databricks CLI dan dua langkah yang diperlukan untuk menetapkan katalog ke ruang kerja.

Dalam contoh berikut, ganti <profile-name> dengan nama profil konfigurasi autentikasi Azure Databricks Anda. Ini harus mencakup nilai token akses pribadi, selain nama instans ruang kerja dan ID ruang kerja ruang kerja tempat Anda membuat token akses pribadi. Lihat Autentikasi token akses pribadi Azure Databricks.

  1. catalogs Gunakan perintah grup update perintah untuk mengatur katalog isolation mode ke ISOLATED:

    databricks catalogs update <my-catalog> \
--isolation-mode ISOLATED \
--profile <profile-name>

    isolation-mode Defaultnya adalah OPEN untuk semua ruang kerja yang dilampirkan ke metastore.

  2. workspace-bindings Gunakan perintah grup update-bindings perintah untuk menetapkan ruang kerja ke katalog:

    databricks workspace-bindings update-bindings catalog <my-catalog> \
--json '{
  "add": [{"workspace_id": <workspace-id>, "binding_type": <binding-type>}...],
  "remove": [{"workspace_id": <workspace-id>, "binding_type": "<binding-type>}...]
}' --profile <profile-name>

    "add" Gunakan properti dan "remove" untuk menambahkan atau menghapus pengikatan ruang kerja. <binding-type> dapat berupa “BINDING_TYPE_READ_WRITE” (default) atau “BINDING_TYPE_READ_ONLY”.

Untuk mencantumkan semua penetapan ruang kerja untuk katalog, gunakan workspace-bindings perintah grup get-bindings perintah:

databricks workspace-bindings get-bindings catalog <my-catalog> \
--profile <profile-name>

Membatalkan ikatan katalog dari ruang kerja

Instruksi untuk mencabut akses ruang kerja ke katalog menggunakan Catalog Explorer atau workspace-bindings grup perintah CLI disertakan dalam Mengikat katalog ke satu atau beberapa ruang kerja.

Penting

Jika ruang kerja Anda diaktifkan untuk Katalog Unity secara otomatis dan Anda memiliki katalog ruang kerja, admin ruang kerja memiliki katalog tersebut dan memiliki semua izin pada katalog tersebut di ruang kerja saja. Jika Anda membatalkan ikatan katalog tersebut atau mengikatnya ke katalog lain, Anda harus memberikan izin yang diperlukan secara manual kepada anggota grup admin ruang kerja sebagai pengguna individual atau menggunakan grup tingkat akun, karena grup admin ruang kerja adalah grup lokal ruang kerja. Untuk informasi selengkapnya tentang grup akun vs grup ruang kerja-lokal, lihat Perbedaan antara grup akun dan grup ruang kerja-lokal.