Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Op deze pagina wordt de eerste Unity Catalog-installatie voor werkruimtebeheerders in een nieuwe Azure Databricks werkruimte behandeld, waaronder:
- Bevestigen dat uw werkruimte is ingeschakeld voor Unity Catalog
- Toegang tot werkruimten en identiteiten beheren
- Rekenresources maken die compatibel zijn met Unity Catalog
- Een catalogus en schema voor uw gegevens maken
- Gebruikers de bevoegdheden verlenen die ze nodig hebben
Voordat u begint
Voordat u begint, moet u vertrouwd raken met de volgende Unity Catalog-concepten:
- Metastore: De Unity Catalog-container op het hoogste niveau, die is gericht op één cloudregio. Het bevat alle beveiligbare objecten: catalogi, opslagreferenties, externe locaties en meer. Zie Metastore.
- Catalogus: Het gegevenscontainerobject op het hoogste niveau in een metastore. Catalogi bevatten schema's, die op hun beurt tabellen, weergaven, volumes en functies bevatten. Zie Catalogus.
- Beheerdersrollen: Unity Catalog heeft drie hoofdbeheerdersrollen, accountbeheerder, werkruimtebeheerder en metastore-beheerder, elk met een ander bereik en verantwoordelijkheden. Zie Beheerdersbevoegdheden in Unity Catalog.
U hebt ook het volgende nodig:
- Een Azure Databricks-werkruimte in het Premium-abonnement.
-
Bevoegdheden voor werkruimtebeheerders . In de volgende gevallen hebt u mogelijk accountbeheerdersbevoegdheden nodig:
- Als uw werkruimte nog geen rekenresources heeft, hebt u accountbeheerdersbevoegdheden nodig om te controleren of Unity Catalog is ingeschakeld via de accountconsole in stap 1: Controleer of uw werkruimte is ingeschakeld voor Unity Catalog.
- Als uw werkruimte niet is gekoppeld aan een Unity Catalog-metastore, hebt u accountbeheerdersbevoegdheden nodig om deze toe te voegen.
- Als er geen metastore bestaat, hebt u accountbeheerdersbevoegdheden nodig om deze te maken.
Stap 1: Controleer of uw werkruimte is ingeschakeld voor Unity Catalog
Gebruik een van de volgende methoden om te bevestigen dat uw werkruimte is gekoppeld aan een Unity Catalog-metastore.
De accountconsole gebruiken
Voor deze methode zijn accountbeheerdersbevoegdheden vereist.
- Meld u als Azure Databricks-accountbeheerder aan bij de accountconsole.
- Klik op
Werkruimten. - Zoek uw werkruimte en controleer de kolom Metastore. Als er een metastore-naam aanwezig is, is uw werkruimte ingeschakeld voor Unity Catalog.
Een SQL-query uitvoeren
Voor deze methode zijn geen beheerdersbevoegdheden vereist, maar wel een compute-resource die compatibel is met Unity Catalog. Stap 3: U wordt begeleid bij het maken van uc-compatibele rekenresources voor Unity Catalog .
Voer de volgende opdracht uit in de SQL-queryeditor of een notebook dat is gekoppeld aan een rekenresource:
SELECT CURRENT_METASTORE();
Als de query een metastore-id retourneert, is uw werkruimte ingeschakeld voor Unity Catalog.
Als uw werkruimte niet is ingeschakeld voor Unity Catalog, raadpleegt u Upgrade an Azure Databricks workspace to Unity Catalog.
Stap 2: Werkruimtetoegang en identiteiten beheren
Werkruimtebeheerders kunnen gebruikers en groepen toevoegen, beheerdersrollen toewijzen en service-principals beheren.
Gebruikers toevoegen
Voeg afzonderlijke gebruikers toe die toegang nodig hebben tot deze werkruimte. Zie Gebruikers beheren voor instructies.
Gebruikers ordenen in groepen
Databricks raadt aan om toegang te beheren via groepen in plaats van afzonderlijke gebruikers. Als u bevoegdheden aan een groep verleent, worden deze toegepast op alle leden, wat de administratieve overhead vermindert naarmate uw team groeit.
- Als uw organisatie al groepen heeft in een id-provider (IdP): synchroniseer deze met Azure Databricks met behulp van automatische identiteitsbeheer of SCIM-inrichting, zodat groepslidmaatschap automatisch gesynchroniseerd blijft. Zie Automatisch identiteitsbeheer.
- Als u nog geen groepen hebt: als werkruimtebeheerder maakt u groepen op accountniveau door naar Instellingen-identiteit> te navigerenen toegang> te krijgen totBeheren naast Groepen. Zie Groepen beheren.
Beheerdersrollen toewijzen
Werkruimtebeheerders kunnen de meeste dagelijkse beheertaken uitvoeren: gebruikers toevoegen en verwijderen, rekenkracht beheren, werkruimte-instellingen configureren en toegang verlenen tot gegevens. Deze rol is geschikt voor leden van een centraal gegevensplatform of IT-team dat verantwoordelijk is voor het onderhouden van de werkruimte. Wees selectief over wie deze rol ontvangt. Werkruimtebeheerders hebben brede toegang tot werkruimtebronnen en -instellingen.
Meestal is de beheerdersrol van de werkruimte de enige beheerdersrol die u moet toewijzen. U kunt eventueel metastore-beheerders toewijzen voor speciale use cases. U kunt deze rol bijvoorbeeld toewijzen aan een toegewezen datagovernanceteam of een kleine groep senior platformtechnici als u het volgende wilt doen:
- Delegeren van het maken van catalogussen aan niet-werkruimtebeheerders.
- Beheer het init-script en de JAR-acceptatielijst.
- Gedeelde gegevens ontvangen via Delta Sharing.
- Objecteigendom overdragen wanneer een teamlid vertrekt.
Zie Beheerdersbevoegdheden in Unity Catalog voor instructies over het toewijzen van deze rollen.
Stap 3: Unity Catalog-compatibele rekenkracht maken
Als u Unity Catalog-workloads wilt uitvoeren, moeten rekenresources voldoen aan de beveiligingsvereisten van Unity Catalog. In de volgende tabel ziet u welke rekentypen compatibel zijn:
| Rekentype | UC-compatibel |
|---|---|
| SQL Warehouse | Yes |
| Serverloze rekenkracht (notebooks, taken, pijplijnen) | Yes |
| Cluster : toegangsmodus voor één gebruiker | Yes |
| Cluster : modus voor gedeelde toegang | Yes |
| Cluster : geen isolatiemodus voor gedeelde toegang | No |
Voor het maken van UC-compatibele berekeningen:
- SQL Warehouse: Zie Een SQL-warehouse maken.
- Serverloze berekening: Zie Verbinding maken met serverloze berekeningen.
- Cluster: Wanneer u een cluster configureert, selecteert u Eén gebruiker of Gedeeld als de toegangsmodus. Zie Toegangsmodi.
Als werkruimtebeheerder kunt u het maken van clusters beperken tot alleen beheerders of clusterbeleid gebruiken om gebruikers hun eigen Unity Catalog-compatibele clusters te laten maken. Zie Compute-machtigingen en het maken en beheren van computing-beleid.
Stap 4: Catalogi en schema’s maken
Catalogi zijn de primaire eenheid van gegevensisolatie in Unity Catalog. Alle schema's, tabellen, volumes, weergaven en functies leven in catalogi.
Wanneer moet u een nieuwe catalogus maken
Nieuwe werkruimten worden automatisch ingericht met een werkruimtecatalogus. Deze catalogus is standaard vernoemd naar uw werkruimte. Als u wilt controleren of u een werkruimtecatalogus hebt, klikt u op 
Catalogus in de zijbalk en zoek naar een catalogus die overeenkomt met de naam van uw werkruimte. Als deze bestaat, hoeft u mogelijk niet meteen extra catalogi te maken.
Overweeg na verloop van tijd nieuwe catalogi te maken naarmate uw gebruik groeit, georganiseerd rond logische grenzen, zoals:
- Teams of bedrijfseenheden: afzonderlijke catalogi voor engineering, financiën en marketing
-
Omgevingen: gescheiden
dev,stagingenprodcatalogi om ontwikkeling te isoleren van productiegegevens - Projecten: een speciale catalogus per primair gegevensproduct of initiatief
Als de gegevensgrenzen van uw organisatie al goed zijn gedefinieerd, kunt u nu catalogi maken.
Een catalogus maken
Voer de volgende SQL uit om een catalogus te maken.
CREATE CATALOG IF NOT EXISTS <catalog-name>;
Opmerking
Beheerde gegevens in deze catalogus worden opgeslagen in de standaardlocatie voor beheerde opslag van de metastore. Als u een andere locatie wilt gebruiken, geeft u een MANAGED LOCATION op. Zie Verbinding maken met cloudobjectopslag met behulp van Unity Catalog.
Maak vervolgens een schema om uw tabellen en andere gegevensobjecten te ordenen:
CREATE SCHEMA IF NOT EXISTS <catalog-name>.<schema-name>;
Zie Catalogi maken en schema's maken voor gedetailleerde instructies en het gebruik van Catalog Explorer.
Stap 5: Bevoegdheden verlenen aan gebruikers
In Unity Catalog hebben gebruikers standaard geen toegang tot gegevens. Werkruimtebeheerders kunnen bevoegdheden verlenen aan beveiligbare objecten in de werkruimte. Databricks raadt aan bevoegdheden te verlenen aan groepen in plaats van afzonderlijke gebruikers. Hierdoor is de toegang eenvoudiger te beheren naarmate uw team groeit.
Gegevensdetectie inschakelen
Azure Databricks raadt u aan de BROWSE-bevoegdheid voor alle catalogi toe te kennen aan de groep All account users.
BROWSE hiermee kunnen gebruikers zien dat objecten bestaan en hun metagegevens weergeven in Catalog Explorer zonder toegang te verlenen tot de onderliggende gegevens. Hierdoor kunnen uw gebruikers gegevens detecteren en toegang aanvragen zonder dat beheerders vooraf machtigingen hoeven te verlenen.
GRANT BROWSE ON CATALOG <catalog-name> TO `account users`;
Gegevenstoegang verlenen
Voor toegang tot gegevens in Unity Catalog hebben gebruikers doorgaans de specifieke bevoegdheid nodig voor de bewerking (zoals SELECT het lezen van een tabel) en de juiste gebruiksbevoegdheden (zoals USE CATALOG in de bovenliggende catalogus en USE SCHEMA in het bovenliggende schema). Zie concepten van het Unity Catalog-machtigingsmodel.
Verdeel deze bevoegdheden alleen aan de gebruikers en groepen die toegang nodig hebben tot specifieke catalogi en schema's. Als u bijvoorbeeld alleen-lezentoegang wilt verlenen tot een schema, gebruikt u de volgende SQL:
GRANT USE CATALOG ON CATALOG <catalog-name> TO `<group-name>`;
GRANT USE SCHEMA ON SCHEMA <catalog-name>.<schema-name> TO `<group-name>`;
GRANT SELECT ON SCHEMA <catalog-name>.<schema-name> TO `<group-name>`;
Voor lees-schrijftoegang:
GRANT USE CATALOG ON CATALOG <catalog-name> TO `<group-name>`;
GRANT USE SCHEMA ON SCHEMA <catalog-name>.<schema-name> TO `<group-name>`;
GRANT SELECT, MODIFY ON SCHEMA <catalog-name>.<schema-name> TO `<group-name>`;
Toegangspatronen veranderen in de loop van de tijd. Gebruik de volgende pagina's als referentie bij het beheren van bevoegdheden in Unity Catalog:
- Concepten van het unity Catalog-machtigingsmodel: hierin wordt de objecthiërarchie, het eigendom, de overname van bevoegdheden en de werking van het machtigingsmodel van Unity Catalog uitgelegd.
- Naslaginformatie over bevoegdheden voor Unity Catalog: geeft een overzicht van alle bevoegdheden in Unity Catalog, op welke beveiligbare objecten deze van toepassing is en op wat het toestaat.
- Bevoegdheden beheren in Unity Catalog: Hierin wordt beschreven hoe u bevoegdheden voor beveiligbare objecten verleent, intrekt en inspecteert met behulp van SQL of Catalog Explorer.
Controlelijst instellen
Als u alle vijf de stappen hebt voltooid, wordt Unity Catalog ingesteld in uw werkruimte en kunnen uw gebruikers aan de slag met gegevens. Gebruik de volgende controlelijst om te controleren of alles aanwezig is:
- [] Unity Catalog is ingeschakeld, wat betekent dat er een Unity Catalog-metastore aan uw werkruimte is gekoppeld. Zie stap 1: Controleer of uw werkruimte is ingeschakeld voor Unity Catalog.
- [ ] Gebruikers worden toegevoegd aan de werkruimte en hebben de juiste rollen. Zie stap 2: Werkruimtetoegang en identiteiten beheren.
- [ ] Unity Catalog-compatibele rekenkracht is beschikbaar. Zie stap 3: Unity Catalog-compatibele rekenkracht maken.
- [] Catalogi en schema's worden gemaakt om uw gegevens te ordenen. Zie stap 4: Catalogi en schema's maken.
- [ ] Gebruikers hebben toegang tot de beoogde catalogi. Zie stap 5: bevoegdheden verlenen aan gebruikers.
Volgende stappen
Als Unity Catalog is ingesteld, kunt u beginnen met het toepassen van meer geavanceerde governancemogelijkheden op uw werkruimte.
Toegangsbeheer op basis van kenmerken
Met op kenmerken gebaseerd toegangsbeheer (ABAC) kunt u dynamisch, gedetailleerd toegangsbeleid definiëren op basis van kenmerken van de gegevens en de gebruiker die toegang tot deze gegevens heeft. In plaats van machtigingentabel per tabel te beheren, schrijft u beleidsregels die automatisch filteren op rijniveau en maskering op kolomniveau afdwingen. U kunt bijvoorbeeld gevoelige kolommen verbergen voor gebruikers buiten een specifieke regio of PII maskeren voor niet-bevoegde rollen.
Gegevensclassificatie
Gegevensclassificatie maakt gebruik van een AI-agent om uw catalogus automatisch te scannen en gevoelige gegevens zoals PII, financiële informatie en referenties te taggen. Na classificatie kunnen tags rechtstreeks worden geïntegreerd met ABAC-beleid, zodat u besturingselementen voor governance kunt toepassen op basis van wat de gegevens daadwerkelijk bevatten in plaats van het toegangsobject per object te beheren.
Bewaking van gegevenskwaliteit
Bewaking van gegevenskwaliteit biedt anomaliedetectie voor alle tabellen in een schema en gegevensprofilering op tabelniveau. Anomaliedetectie bewaakt automatisch de nieuwheid en volledigheid met behulp van historische gegevenspatronen, waardoor problemen worden opgelost zonder handmatige configuratie. Met gegevensprofilering worden statistische distributies in de loop van de tijd vastgelegd, zodat u gegevensintegriteit kunt bijhouden en waarschuwingen kunt instellen voor onverwachte wijzigingen.
AI-governance met Unity AI Gateway
Unity AI Gateway breidt Unity Catalog-governance uit naar AI. Het biedt enterprise governance voor LLM-eindpunten, agents en MCP-servers, zodat u toegangsbeheer, auditlogboeken en waarneembaarheid kunt implementeren voor alle AI-interacties in een geïntegreerde gebruikersinterface.