Mengaktifkan kontrol akses tabel metastore Apache Hive pada kluster (warisan)

Artikel ini menjelaskan cara mengaktifkan kontrol akses tabel untuk metastore Apache Hive bawaan pada kluster.

Untuk informasi tentang cara mengatur hak istimewa pada objek yang dapat diamankan metastore Apache Hive setelah kontrol akses tabel diaktifkan pada kluster, lihat Hak istimewa metastore Apache Hive dan objek yang dapat diamankan (warisan).

Catatan

Kontrol akses tabel metastore Apache Hive adalah model tata kelola data warisan. Databricks merekomendasikan agar Anda menggunakan Unity Catalog sebagai gantinya untuk model tata kelolanya yang sederhana dan berpusat pada akun. Anda dapat meningkatkan tabel yang dikelola oleh metastore Apache Hive ke metastore Unity Catalog.

Mengaktifkan kontrol akses tabel untuk kluster

Kontrol akses tabel tersedia dalam dua versi:

• kontrol akses tabel khusus SQL, yang membatasi pengguna untuk SQL perintah.
• Python dan SQL kontrol akses tabel, yang memungkinkan pengguna untuk menjalankan perintah SQL, Python, dan PySpark.

Kontrol akses tabel tidak didukung dengan Pembelajaran Mesin Runtime.

Penting

Bahkan jika kontrol akses tabel diaktifkan untuk kluster, administrator ruang kerja Azure Databricks memiliki akses ke data tingkat file.

Kontrol akses tabel SQL saja

Versi kontrol akses tabel ini membatasi pengguna hanya untuk perintah SQL.

Untuk mengaktifkan kontrol akses tabel khusus SQL pada kluster dan membatasi kluster tersebut hanya menggunakan perintah SQL, atur bendera berikut di Spark conf kluster:

spark.databricks.acl.sqlOnly true

Catatan

Akses ke kontrol akses tabel khusus SQL tidak terpengaruh oleh pengaturan Aktifkan Kontrol Akses Tabel di halaman pengaturan admin. Pengaturan itu hanya mengontrol pemberdayaan Python dan kontrol akses tabel SQL ruang kerja.

Kontrol akses tabel SQL dan Phyton

Versi kontrol akses tabel ini memungkinkan pengguna menjalankan perintah Python yang menggunakan API DataFrame serta SQL. Saat diaktifkan pada kluster, pengguna di kluster tersebut:

• Dapat mengakses Spark hanya menggunakan API Spark SQL API atau API DataFrame. Dalam kedua kasus, akses ke tabel dan tampilan dibatasi oleh administrator sesuai dengan Hak Istimewa Azure Databricks yang dapat Anda berikan pada objek metastore Apache Hive.
• Harus menjalankan perintah mereka pada node cluster sebagai pengguna dengan hak istimewa rendah yang dilarang mengakses bagian sensitif dari sistem file atau membuat koneksi jaringan ke port selain 80 dan 443.
  • Hanya fungsi Spark bawaan yang dapat membuat koneksi jaringan pada port selain 80 dan 443.
  • Hanya pengguna admin ruang kerja atau pengguna dengan hak istimewa FILE APA PUN yang dapat membaca data dari database eksternal melalui konektor PySpark JDBC.
  • Jika Anda ingin proses Python dapat mengakses port keluar tambahan, Anda dapat mengatur konfigurasi Sparkspark.databricks.pyspark.iptable.outbound.whitelisted.ports ke port yang ingin Anda izinkan aksesnya. Format nilai konfigurasi yang didukung adalah [port[:port][,port[:port]]...], misalnya: 21,22,9000:9999. Port harus berada dalam kisaran yang valid, yaitu, 0-65535.

Upaya untuk mengatasi pembatasan ini akan gagal dengan pengecualian. Pembatasan ini diberlakukan agar pengguna tidak pernah dapat mengakses data yang tidak mampu melalui cluster.

Mengaktifkan kontrol akses tabel untuk ruang kerja Anda

Sebelum pengguna dapat mengonfigurasi kontrol akses tabel Python dan SQL, ruang kerja Azure Databricks harus mengaktifkan kontrol akses tabel untuk ruang kerja Azure Databricks dan menolak akses pengguna ke kluster yang tidak diaktifkan untuk kontrol akses tabel.

1. Buka halaman pengaturan.
2. Klik tab Keamanan.
3. Aktifkan opsi Kontrol Akses Tabel.

Terapkan kontrol akses tabel

Untuk memastikan bahwa pengguna Anda hanya mengakses data yang Anda inginkan, Anda harus membatasi pengguna Anda ke kluster dengan kontrol akses tabel diaktifkan. Secara khusus, Anda harus memastikan bahwa:

• Pengguna tidak memiliki izin untuk membuat kluster. Jika mereka membuat kluster tanpa kontrol akses tabel, mereka dapat mengakses data apa pun dari kluster tersebut.
• Pengguna tidak memiliki izin CAN ATTACH TO untuk kluster apa pun yang tidak diaktifkan untuk kontrol akses tabel.

Lihat Izin komputasi untuk informasi selengkapnya.

Membuat kluster diaktifkan untuk kontrol akses tabel

Kontrol akses tabel diaktifkan secara default dalam kluster dengan mode Akses bersama.

Untuk membuat kluster menggunakan REST API, lihat Membuat kluster baru.

Atur hak istimewa pada objek data

Lihat Hak istimewa metastore Apache Hive dan objek yang dapat diamankan (warisan).