Udostępnij za pośrednictwem

Włącz dostęp do danych zewnętrznych w Unity Catalog

Ważne

Ta funkcja jest dostępna w publicznej wersji testowej.

Usługa Azure Databricks zapewnia dostęp do tabel katalogu Unity przy użyciu REST API Unity i REST katalogu Apache Iceberg.

Administrator magazynu metadanych musi włączyć dostęp do danych zewnętrznych dla każdego magazynu metadanych, do którego musisz uzyskać dostęp zewnętrznie. Użytkownik lub jednostka usługi, która konfiguruje połączenie, musi mieć EXTERNAL USE SCHEMA uprzywilejowanie dla każdego schematu, gdzie mają wykonywać obsługiwane operacje: czytanie z zarządzanych tabel lub tworzenie, czytanie oraz wpisywanie do tabel zewnętrznych.

Interfejs REST API Unity obsługuje bezpośrednie odczyty dla tabel Delta. Katalog REST Góry Lodowej obsługuje odczyty dla tabel delty oraz odczyty i zapisy dla tabel Góry lodowej. Zobacz Uzyskiwanie dostępu do danych usługi Databricks przy użyciu systemów zewnętrznych.

Włączanie dostępu do danych zewnętrznych w magazynie metadanych

Aby umożliwić aparatom zewnętrznym dostęp do danych w magazynie metadanych, administrator magazynu metadanych musi włączyć dostęp do danych zewnętrznych dla magazynu metadanych. Ta opcja jest domyślnie wyłączona, aby zapobiec nieautoryzowanemu dostępowi zewnętrznemu.

Aby włączyć dostęp do danych zewnętrznych, wykonaj następujące czynności:

  1. W obszarze roboczym usługi Azure Databricks dołączonym do magazynu metadanych kliknij ikonę Dane.Wykaz.
  2. Kliknij ikonę Koła zębatego. Ikona koła zębatego w górnej części okienka Wykaz i wybierz pozycję Magazyn metadanych.
  3. Na karcie <szczegóły> włącz <dostęp do danych zewnętrznych>.

Notatka

Te opcje są wyświetlane tylko dla wystarczająco uprzywilejowanych użytkowników. Jeśli te opcje nie są widoczne, nie masz uprawnień do włączania dostępu do danych zewnętrznych dla magazynu metadanych.

Udzielanie uprawnień katalogu Unity tożsamościom

Klienci zewnętrzni łączący się z usługą Azure Databricks potrzebują autoryzacji od wystarczająco uprzywilejowanego podmiotu.

Usługa Azure Databricks obsługuje uwierzytelnianie OAuth i osobiste tokeny dostępu do uwierzytelniania. Zobacz Autoryzowanie dostępu do zasobów usługi Azure Databricks.

Podmiot, który żąda tymczasowego poświadczenia, musi mieć:

  • Uprawnienie EXTERNAL USE SCHEMA w odniesieniu do zawierającego schematu lub jego katalogu nadrzędnego.

    To uprawnienie musi być zawsze przyznawane jawnie. Tylko właściciel katalogu nadrzędnego może to przyznać. Aby uniknąć przypadkowej eksfiltracji, ALL PRIVILEGES nie obejmuje uprawnień EXTERNAL USE SCHEMA, a właściciele schematu nie mają tego uprawnienia domyślnie.

  • SELECT uprawnienia do tabeli, USE CATALOG w katalogu nadrzędnym i USE SCHEMA w schemacie nadrzędnym.

  • W przypadku tworzenia tabel zewnętrznych podmiot zabezpieczeń musi również mieć CREATE TABLE uprawnienia do schematu oraz zarówno uprawnienia CREATE EXTERNAL TABLE, jak i EXTERNAL USE LOCATION w docelowej lokalizacji zewnętrznej.

    EXTERNAL USE LOCATION musi być zawsze udzielana jawnie. Tylko użytkownicy z przywilejem MANAGE dotyczącym lokalizacji zewnętrznej mogą go przyznać. Aby uniknąć przypadkowej eksfiltracji, ALL PRIVILEGES nie obejmuje EXTERNAL USE LOCATION uprawnień, a właściciele lokalizacji nie mają tego uprawnienia domyślnie.

Poniższa przykładowa składnia pokazuje udzielanie EXTERNAL USE SCHEMA użytkownikowi:

GRANT EXTERNAL USE SCHEMA ON SCHEMA catalog_name.schema_name TO `user@company.com`

Poniższa przykładowa składnia pokazuje udzielanie EXTERNAL USE LOCATION użytkownikowi:

GRANT EXTERNAL USE LOCATION ON EXTERNAL LOCATION external_location_name TO `user@company.com`

Zakładając, że użytkownik ma uprawnienia do odczytywania wszystkich żądanych tabel w schemacie, nie są potrzebne żadne dodatkowe uprawnienia. Jeśli musisz przyznać dodatkowe uprawnienia do odczytywania tabel, zobacz Dokumentacja uprawnień w katalogu Unity.

  • Last updated on