Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Wykaz jest podstawową jednostką organizacji danych w modelu nadzoru danych usługi Azure Databricks Unity Catalog. Artykuł ten zawiera omówienie katalogów w Unity Catalog i jak najlepiej z nich korzystać.
Katalogi są pierwszą warstwą w trójpoziomowej przestrzeni nazw Katalogu Unity (catalog.schema.table-etc). Zawierają one schematy, które z kolei mogą zawierać tabele, widoki, woluminy, modele i funkcje. Katalogi są rejestrowane w metasklepie katalogu Unity na koncie platformy Azure Databricks.
Jak uporządkować dane w wykazy?
Podczas projektowania modelu zapewniania ładu danych należy dokładnie zastanowić się nad utworzonymi wykazami. Jako najwyższy poziom w modelu zarządzania danymi w organizacji, każdy katalog powinien reprezentować logiczną jednostkę izolacji danych i logiczną kategorię dostępu do danych, umożliwiając przepływ hierarchii uprawnień do schematów i obiektów danych, które zawierają. W związku z tym katalogi często odzwierciedlają jednostki organizacyjne i zakresy cyklu życia tworzenia oprogramowania. Możesz na przykład zdecydować się na katalog danych produkcyjnych i katalog danych rozwojowych albo na katalog danych nieklienckich i katalog poufnych danych klientów.
Izolacja danych przy użyciu katalogów
Każdy wykaz ma zazwyczaj własną zarządzaną lokalizację magazynu do przechowywania zarządzanych tabel i woluminów, zapewniając izolację danych fizycznych na poziomie wykazu. Możesz również przechowywać dane na poziomie magazynu metadanych, zapewniając domyślną lokalizację przechowywania katalogów, które nie mają własnej zarządzanej lokalizacji magazynu. Pamięć można dodać na poziomie schematu, co umożliwia bardziej szczegółową izolację danych.
Ponieważ konto usługi Azure Databricks ma jeden magazyn metadanych na region, wykazy są z natury odizolowane według regionów.
Aby uzyskać więcej informacji, zobacz Co to są obiekty bazy danych w usłudze Azure Databricks? oraz Wykazy i schematy.
Uprawnienia na poziomie katalogu
Ponieważ uprawnienia do dowolnego obiektu katalogu Unity są dziedziczone przez elementy podrzędne tego obiektu, posiadanie katalogu lub posiadanie szerokich uprawnień w katalogu jest bardzo potężne. Na przykład właściciele wykazu mają wszystkie uprawnienia do katalogu i obiektów w wykazie, a także mogą udzielić dostępu do dowolnego obiektu w wykazie. Użytkownicy z SELECT w katalogu mogą odczytywać dowolną tabelę w katalogu. Użytkownicy mający CREATE TABLE w katalogu mogą utworzyć tabelę w dowolnym schemacie w katalogu.
Aby wymusić zasadę najniższych uprawnień, w przypadku gdy użytkownicy mają minimalny dostęp, muszą wykonywać wymagane zadania, zazwyczaj udziela się dostępu tylko do określonych obiektów lub poziomu w hierarchii wymaganej przez użytkownika. Jednak uprawnienia na poziomie katalogu umożliwiają właścicielowi katalogu zarządzanie uprawnieniami, które właściciele obiektów niższego poziomu mogą przyznać. Nawet jeśli użytkownik ma dostęp do obiektu danych niskiego poziomu, takiego jak tabela, na przykład, ten użytkownik nie może uzyskać dostępu do tej tabeli, chyba że ma USE CATALOG również uprawnienia do katalogu zawierającego tabelę.
Aby uzyskać więcej informacji, zobacz Zarządzanie własnością obiektów w katalogu Unity i Typy uprawnień ogólnych w katalogu Unity.
Typy wykazu
Podczas tworzenia wykazu otrzymujesz dwie opcje:
- Katalog standardowy: typowy katalog używany jako podstawowa jednostka do organizowania obiektów danych w Unity Catalog. Jest to typ wykazu omówiony w tym artykule.
- Katalog zagraniczny: obiekt Unity Catalog, który jest używany tylko w scenariuszach federacyjnych Lakehouse. Wykaz obcy odzwierciedla bazę danych w zewnętrznym systemie danych, umożliwiając wykonywanie zapytań tylko do odczytu w tym systemie danych w obszarze roboczym usługi Azure Databricks. Zobacz Co to jest Federacja Lakehouse?.
Oprócz tych dwóch typów wykazu, usługa Azure Databricks automatycznie udostępnia następujące wykazy podczas tworzenia nowego obszaru roboczego.
-
hive_metastorecatalog: to jest repozytorium wszystkich danych zarządzanych przez starszy magazyn metadanych Hive w obszarach roboczych usługi Azure Databricks. Gdy istniejący obszar roboczy nienależący do Unity Catalog jest konwertowany na Unity Catalog, wszystkie obiekty zarejestrowane w starszym magazynie metadanych Hive są wyświetlane w Unity Catalog w kataloguhive_metastore. Aby uzyskać informacje na temat pracy z magazynem metadanych Hive obok Unity Catalog, zobacz Praca ze starszym magazynem metadanych Hive wraz z Unity Catalog. Magazyn metadanych Hive jest przestarzały, a wszystkie obszary robocze usługi Azure Databricks powinny zostać przeniesione do Unity Catalog. - Katalog obszarów roboczych: we wszystkich nowych obszarach roboczych ten katalog jest tworzony domyślnie. Zazwyczaj ma tę samą nazwę co nazwa twojego obszaru roboczego. Jeśli ten katalog istnieje, wszyscy użytkownicy w twoim obszarze roboczym mają do niego domyślny dostęp, co czyni go wygodnym miejscem do wypróbowania procesu tworzenia i dostępu do obiektów danych w Unity Catalog. Zobacz Krok 1: Potwierdź, że obszar roboczy jest włączony dla Unity Catalog.
Katalog domyślny
Domyślny katalog jest skonfigurowany dla każdej przestrzeni roboczej, która jest włączona dla Unity Catalog. Domyślny wykaz umożliwia wykonywanie operacji na danych bez określania wykazu. Jeśli pominięto nazwę wykazu najwyższego poziomu podczas wykonywania operacji na danych, przyjmuje się domyślny wykaz.
Jeśli obszar roboczy został włączony automatycznie dla Katalogu Unity, wtedy katalog wstępnie przygotowanego obszaru roboczego zostanie określony jako domyślny katalog. Administrator obszaru roboczego może zmienić domyślny wykaz zgodnie z potrzebami.
Aby uzyskać szczegółowe informacje, zobacz Zarządzanie wykazem domyślnym.
Powiązanie przestrzeni roboczej z katalogiem
Jeśli używasz obszarów roboczych do izolowania dostępu do danych użytkownika, możesz użyć powiązań katalogów obszarów roboczych. Wiązania katalogów obszarów roboczych umożliwiają ograniczenie dostępu do katalogu wzdłuż granic obszaru roboczego. Możesz na przykład upewnić się, że administratorzy i użytkownicy obszaru roboczego mają dostęp wyłącznie do danych produkcyjnych w środowisku produkcyjnym obszaru roboczego prod_catalogprod_workspace. Katalogi są udostępniane wszystkim obszarom roboczym powiązanym z bieżącym metamagazynem, chyba że określono powiązanie. Zobacz Izolacja środowiska przy użyciu powiązania katalogu obszarów roboczych i Ograniczanie dostępu do katalogów do określonych obszarów roboczych.
Jeśli obszar roboczy został włączony automatycznie dla Unity Catalog, wstępnie aprowizowany katalog jest domyślnie powiązany z Twoim obszarem roboczym.