Aktivera åtkomstkontroll för Hive-metaarkivtabeller i ett kluster (äldre)

Den här artikeln beskriver hur du aktiverar tabellåtkomstkontroll för det inbyggda Hive-metaarkivet i ett kluster.

Information om hur du anger behörigheter för Skyddsbara Hive-metaarkivobjekt när åtkomstkontroll för tabeller har aktiverats i ett kluster finns i Hive-metaarkivbehörigheter och skyddsbara objekt (äldre).

Kommentar

Åtkomstkontroll för Hive-metaarkivtabeller är en äldre datastyrningsmodell. Databricks rekommenderar att du använder Unity Catalog i stället för dess enkelhet och kontocentrerade styrningsmodell. Du kan uppgradera tabellerna som hanteras av Hive-metaarkivet till metaarkivet i Unity Catalog .

Aktivera tabellåtkomstkontroll för ett kluster

Tabellåtkomstkontroll är tillgänglig i två versioner:

• Sql-endast tabellåtkomstkontroll, som begränsar användare till SQL-kommandon.
• Python- och SQL-tabellåtkomstkontroll, som gör att användare kan köra SQL-, Python- och PySpark-kommandon.

Tabellåtkomstkontroll stöds inte med Mašinsko učenje Runtime.

Viktigt!

Även om tabellåtkomstkontroll är aktiverad för ett kluster har Azure Databricks-arbetsyteadministratörer åtkomst till data på filnivå.

Åtkomstkontroll för endast SQL-tabeller

Den här versionen av tabellåtkomstkontroll begränsar endast användare till SQL-kommandon.

Om du vill aktivera åtkomstkontroll för endast SQL-tabeller i ett kluster och begränsa klustret till att endast använda SQL-kommandon anger du följande flagga i klustrets Spark-konfiguration:

spark.databricks.acl.sqlOnly true

Kommentar

Åtkomst till åtkomstkontroll för endast SQL-tabeller påverkas inte av inställningen Aktivera åtkomstkontroll för tabell på sidan administratörsinställningar. Den inställningen styr endast den arbetsyteomfattande aktiveringen av python- och SQL-tabellåtkomstkontroll.

Åtkomstkontroll för Python- och SQL-tabeller

Med den här versionen av tabellåtkomstkontrollen kan användare köra Python-kommandon som använder Både DataFrame-API:et och SQL. När det är aktiverat i ett kluster, användare i klustret:

• Kan bara komma åt Spark med Spark SQL API eller DataFrame API. I båda fallen begränsas åtkomsten till tabeller och vyer av administratörer enligt de Azure Databricks-privilegier som du kan bevilja för Hive-metaarkivobjekt.
• Måste köra sina kommandon på klusternoder som en användare med låg behörighet som inte får komma åt känsliga delar av filsystemet eller skapa nätverksanslutningar till andra portar än 80 och 443.
  • Endast inbyggda Spark-funktioner kan skapa nätverksanslutningar på andra portar än 80 och 443.
  • Endast arbetsyteadministratörsanvändare eller användare med filbehörighet kan läsa data från externa databaser via PySpark JDBC-anslutningsappen.
  • Om du vill att Python-processer ska kunna komma åt ytterligare utgående portar kan du ange Spark-konfigurationen spark.databricks.pyspark.iptable.outbound.whitelisted.ports till de portar som du vill tillåta åtkomst till. Det format som stöds för konfigurationsvärdet är [port[:port][,port[:port]]...], till exempel: 21,22,9000:9999. Porten måste ligga inom det giltiga intervallet, 0-65535dvs. .

Försök att kringgå dessa begränsningar misslyckas med ett undantag. Dessa begränsningar är på plats så att användarna aldrig kan komma åt oprivilegierade data via klustret.

Aktivera tabellåtkomstkontroll för din arbetsyta

Innan användarna kan konfigurera åtkomstkontroll för Python- och SQL-tabeller måste en Azure Databricks-arbetsyta aktivera tabellåtkomstkontroll för Azure Databricks-arbetsytan och neka användare åtkomst till kluster som inte är aktiverade för tabellåtkomstkontroll.

1. Gå till inställningssidan.
2. Klicka på den säkerhet fliken.
3. Aktivera alternativet Tabellåtkomstkontroll.

Framtvinga åtkomstkontroll för tabeller

För att säkerställa att dina användare endast kommer åt de data som du vill att de ska använda måste du begränsa användarna till kluster med tabellåtkomstkontroll aktiverad. I synnerhet bör du se till att:

• Användare har inte behörighet att skapa kluster. Om de skapar ett kluster utan åtkomstkontroll för tabeller kan de komma åt alla data från klustret.
• Användarna har inte behörigheten KAN KOPPLA TILL för alla kluster som inte är aktiverade för tabellåtkomstkontroll.

Mer information finns i Beräkningsbehörigheter .

Skapa ett kluster aktiverat för tabellåtkomstkontroll

Tabellåtkomstkontroll är aktiverad som standard i kluster med läget Delad åtkomst.

Information om hur du skapar klustret med hjälp av REST-API:et finns i Skapa nytt kluster.

Ange privilegier för ett dataobjekt

Se Behörigheter för Hive-metaarkiv och skyddsbara objekt (äldre).