Dela via

Begränsa katalogåtkomst till specifika arbetsytor

  • Artikel

Den här artikeln introducerar bindning av arbetsytekataloger och beskriver hur du binder en Unity Catalog-katalog till en Azure Databricks-arbetsyta för att förhindra att andra arbetsytor i ditt Azure Databricks-konto kommer åt den.

Vad är bindning av arbetsytekatalog?

Om du använder arbetsytor för att isolera åtkomst till användardata kan du begränsa katalogåtkomsten till specifika arbetsytor i ditt konto, även kallat bindning mellan arbetsytor och katalog. Standardvärdet är att dela katalogen med alla arbetsytor som är kopplade till det aktuella metaarkivet.

Undantaget till den här standardinställningen är arbetsytekatalogen som skapas automatiskt för alla nya arbetsytor. Den här arbetsytekatalogen är endast bunden till din arbetsyta, såvida du inte väljer att ge andra arbetsytor åtkomst till den. Viktig information om hur du tilldelar behörigheter om du avbindde den här katalogen finns i Ta bort bindning av en katalog från en arbetsyta.

Du kan tillåta läs- och skrivåtkomst till katalogen från en arbetsyta, eller så kan du ange skrivskyddad åtkomst. Om du anger skrivskyddad blockeras alla skrivåtgärder från arbetsytan till katalogen.

Vanliga användningsfall för att binda en katalog till specifika arbetsytor är:

  • Se till att användarna bara kan komma åt produktionsdata från en miljö för produktionsarbetsytor.
  • Se till att användarna bara kan bearbeta känsliga data från en dedikerad arbetsyta.
  • Ge användarna skrivskyddad åtkomst till produktionsdata från en arbetsyta för utvecklare för att möjliggöra utveckling och testning.

Kommentar

Du kan också binda externa platser och autentiseringsuppgifter för lagring till specifika arbetsytor, vilket begränsar möjligheten att komma åt data på externa platser till privilegierade användare på dessa arbetsytor. Se (Valfritt) Tilldela en extern plats till specifika arbetsytor och (valfritt) Tilldela en lagringsautentiseringsuppgift till specifika arbetsytor.

Exempel på bindning av arbetsytekatalog

Ta exemplet med produktions- och utvecklingsisolering. Om du anger att dina produktionsdatakataloger bara kan nås från produktionsarbetsytor ersätter detta alla enskilda bidrag som utfärdas till användare.

Bindningsdiagram för katalog-arbetsyta

I det här diagrammet prod_catalog är det bundet till två produktionsarbetsytor. Anta att en användare har beviljats åtkomst till en tabell i prod_catalog med namnet my_table (med ).GRANT SELECT ON my_table TO <user> Om användaren försöker komma åt my_table på Dev-arbetsytan får de ett felmeddelande. Användaren kan bara komma åt my_table från Prod ETL- och Prod Analytics-arbetsytorna.

Bindningar för arbetsytekataloger respekteras inom alla delar av plattformen. Om du till exempel frågar efter informationsschemat ser du bara de kataloger som är tillgängliga på arbetsytan där du utfärdar frågan. Data härkomst och sök-UIs visar också bara de kataloger som har tilldelats till arbetsytan (oavsett om du använder bindningar eller som standard).

Binda en katalog till en eller flera arbetsytor

Om du vill tilldela en katalog till specifika arbetsytor kan du använda Catalog Explorer eller Databricks CLI.

Behörigheter som krävs: Metaarkivadministratör eller katalogägare.

Kommentar

Metaarkivadministratörer kan se alla kataloger i ett metaarkiv med hjälp av Catalog Explorer – och katalogägare kan se alla kataloger som de äger i ett metaarkiv – oavsett om katalogen har tilldelats till den aktuella arbetsytan. Kataloger som inte har tilldelats arbetsytan visas nedtonade och inga underordnade objekt är synliga eller frågebara.

Katalogutforskaren

  1. Logga in på en arbetsyta som är länkad till metaarkivet.

  2. Klicka på Katalogikon Katalog.

  3. Klicka på katalognamnet till vänster i fönstret Katalog.

    Huvudfönstret i Katalogutforskaren är standard i listan Kataloger . Du kan också välja katalogen där.

  4. På fliken Arbetsytor avmarkerar du kryssrutan Alla arbetsytor har åtkomst .

    Om katalogen redan är bunden till en eller flera arbetsytor är den här kryssrutan redan avmarkerad.

  5. Klicka på Tilldela till arbetsytor och ange eller hitta de arbetsytor som du vill tilldela.

  6. (Valfritt) Begränsa åtkomsten till skrivskyddad arbetsyta.

    På menyn Hantera åtkomstnivå väljer du Ändra åtkomst till skrivskyddad.

    Du kan ångra det här valet när som helst genom att redigera katalogen och välja Ändra åtkomst till läs- och skrivbehörighet.

Om du vill återkalla åtkomsten går du till fliken Arbetsytor , väljer arbetsytan och klickar på Återkalla.

CLI

Det finns två Databricks CLI-kommandogrupper och två steg krävs för att tilldela en katalog till en arbetsyta.

I följande exempel ersätter du <profile-name> med namnet på din Konfigurationsprofil för Azure Databricks-autentisering. Det bör innehålla värdet för en personlig åtkomsttoken, utöver arbetsytans instansnamn och arbetsyte-ID för arbetsytan där du genererade den personliga åtkomsttoken. Mer information finns i autentisering med personlig åtkomsttoken i Azure Databricks.

  1. catalogs Använd kommandogruppens update kommando för att ange katalogens isolation mode till ISOLATED:

    databricks catalogs update <my-catalog> \
--isolation-mode ISOLATED \
--profile <profile-name>

    Standardvärdet isolation-mode är alla arbetsytor som är OPEN kopplade till metaarkivet.

  2. workspace-bindings Använd kommandogruppens update-bindings kommando för att tilldela arbetsytorna till katalogen:

    databricks workspace-bindings update-bindings catalog <my-catalog> \
--json '{
  "add": [{"workspace_id": <workspace-id>, "binding_type": <binding-type>}...],
  "remove": [{"workspace_id": <workspace-id>, "binding_type": "<binding-type>}...]
}' --profile <profile-name>

    "add" Använd egenskaperna och "remove" för att lägga till eller ta bort arbetsytebindningar. <binding-type> Kan vara antingen “BINDING_TYPE_READ_WRITE” (standard) eller “BINDING_TYPE_READ_ONLY”.

Om du vill visa en lista över alla arbetsytetilldelningar för en katalog använder du workspace-bindings kommandogruppens get-bindings kommando:

databricks workspace-bindings get-bindings catalog <my-catalog> \
--profile <profile-name>

Koppla bort en katalog från en arbetsyta

Instruktioner för att återkalla arbetsytans åtkomst till en katalog med hjälp av Katalogutforskaren workspace-bindings eller CLI-kommandogruppen ingår i Binda en katalog till en eller flera arbetsytor.

Viktigt!

Om din arbetsyta har aktiverats för Unity Catalog automatiskt och du har en arbetsytekatalog äger arbetsyteadministratörerna katalogen och har alla behörigheter för katalogen endast på arbetsytan. Om du avbindde den katalogen eller binder den till andra kataloger måste du bevilja nödvändiga behörigheter manuellt till medlemmarna i gruppen arbetsyteadministratörer som enskilda användare eller använda grupper på kontonivå, eftersom arbetsytans administratörsgrupp är en arbetsytelokal grupp. Mer information om kontogrupper jämfört med arbetsytelokala grupper finns i Skillnaden mellan kontogrupper och lokala arbetsytegrupper.