Включение управления доступом к таблицам хранилища метаданных Hive в кластере (устаревшая версия)
В этой статье описывается, как включить управление доступом к таблицам для встроенного хранилища метаданных Hive в кластере.
Сведения о настройке привилегий для защищаемых объектов хранилища метаданных Hive после включения управления доступом к таблицам в кластере см. в разделе "Привилегии хранилища метаданных Hive" и защищаемые объекты (устаревшие версии).
Примечание.
Управление доступом к таблице хранилища метаданных Hive — это устаревшая модель управления данными. Databricks рекомендует вместо этого использовать каталог Unity, благодаря его простоте и модели управления на основе учетных записей. Вы можете обновить таблицы, управляемые хранилищем метаданных Hive, до каталога хранилища метаданных Unity.
Включение управления доступа к таблицам для кластера
Управление доступом к таблицам доступно в двух версиях:
- Управление доступом к таблицам только для SQL, где можно использовать только команды SQL.
- Управление доступом к таблицам Python и SQL , где можно выполнять команды SQL, Python и PySpark.
Управление доступом к таблицам не поддерживается в среде выполнения Машинное обучение.
Внимание
Даже если для кластера включен контроль доступа к таблицам, администраторы рабочей области Azure Databricks имеют доступ к данным на уровне файлов.
Управление доступом к таблицам только для SQL
Эта версия управления доступом к таблицам разрешает использовать только команды SQL.
Чтобы включить в кластере управление доступом к таблицам только для SQL и разрешить в этом кластере использование только команд SQL, установите следующий флаг в конфигурации Spark кластера:
spark.databricks.acl.sqlOnly true
Примечание.
Доступ к управлению доступом только к таблицам SQL не влияет на параметр enable Table контроль доступа на странице параметров администратора. Этот параметр управляет только включением управления доступом к таблицам Python и SQL на уровне рабочей области.
Управление доступом к таблицам Python и SQL
Эта версия управления доступом к таблицам позволяет выполнять команды Python, использующие API кадров данных, а также SQL. Если она включена в кластере, пользователи этого кластера:
- Могут работать со Spark только с помощью API Spark SQL или API кадров данных. В обоих случаях доступ к таблицам и представлениям ограничен администраторами в соответствии с привилегиями Azure Databricks , которые можно предоставить для объектов хранилища метаданных Hive.
- Должны выполнять команды на узлах кластера, так как пользователь с небольшим набором прав доступа не может обращаться к конфиденциальным частям файловой системы или создавать сетевые подключения к портам, отличным от 80 и 443.
- Только встроенные функции Spark могут создавать сетевые подключения на портах, отличных от 80 и 443.
- Только пользователи или пользователи рабочей области с правами ANY FILE могут считывать данные из внешних баз данных через соединитель PySpark JDBC.
- Если вы хотите, чтобы процессы Python могли получать доступ к дополнительным исходящим портам, можно задать конфигурацию
spark.databricks.pyspark.iptable.outbound.whitelisted.portsSpark для портов, которые необходимо разрешить доступ. Поддерживаемый формат значения конфигурации —[port[:port][,port[:port]]...], например21,22,9000:9999. Порт должен находиться в пределах допустимого диапазона, т. е.0-65535.
Попытки обхода этих ограничений будут завершаться с исключением. Эти ограничения применяются, чтобы пользователи никогда не могли получать доступ к непривилегированным данным через кластер.
Включение управления доступом к таблицам для рабочей области
Прежде чем пользователи смогут настроить управление доступом к таблицам Python и SQL, рабочая область Azure Databricks должна включить управление доступом к таблицам для рабочей области Azure Databricks и запретить пользователям доступ к кластерам, которые не включены для управления доступом к таблицам.
- Перейдите на страницу параметров.
- Перейдите на вкладку Безопасность .
- Включите параметр "Таблица контроль доступа".
Принудительное применение контроля доступа к таблицам
Чтобы предоставлять пользователям доступ только к тем данным, которые им нужны, необходимо ограничить доступ к кластерам с включенным контролем доступа к таблицам. В частности, следует убедиться в том, что:
- У пользователей нет разрешения на создание кластеров. При создании кластера без контроля доступа к таблицам они смогут получать доступ к любым данным этого кластера.
- У пользователей нет разрешения CAN ATTACH TO для любого кластера, который не включен для управления доступом к таблицам.
Дополнительные сведения см. в разделе "Разрешения вычислений ".
Создание кластера с поддержкой управления доступом к таблицам
Управление доступом к таблицам включается по умолчанию в кластерах с режимом общего доступа.
Сведения о создании кластера с помощью REST API см. в статье "Создание кластера".
Определение привилегий для объекта данных
Ознакомьтесь с привилегиями хранилища метаданных Hive и защищаемыми объектами (устаревшими версиями).