Aracılığıyla paylaş

Katalog erişimini belirli çalışma alanlarıyla sınırlama

  • Makale

Bu makalede çalışma alanı-katalog bağlaması tanıtılmaktadır ve Bir Unity Kataloğu kataloğunun Azure Databricks çalışma alanına bağlanarak Azure Databricks hesabınızdaki diğer çalışma alanlarının bu kataloğa erişmesini engelleme işlemi açıklanır.

Çalışma alanı-katalog bağlama nedir?

Kullanıcı veri erişimini yalıtmak için çalışma alanları kullanıyorsanız, katalog erişimini çalışma alanı-katalog bağlaması olarak da bilinen hesabınızdaki belirli çalışma alanlarıyla sınırlayabilirsiniz. Varsayılan değer, kataloğu geçerli meta veri deposuna eklenmiş tüm çalışma alanlarıyla paylaşmaktır.

Bu varsayılanın istisnası, tüm yeni çalışma alanları için otomatik olarak oluşturulan çalışma alanı kataloğudur . Bu çalışma alanı kataloğu, diğer çalışma alanlarına erişim vermeyi seçmediğiniz sürece yalnızca çalışma alanınıza bağlıdır. Bu kataloğun bağlantısını kaldırırsanız izinleri atama hakkında önemli bilgiler için bkz . Çalışma alanından kataloğu bağlama.

Çalışma alanından kataloğa okuma ve yazma erişimine izin verebilir veya salt okunur erişim belirtebilirsiniz. Salt okunur belirtirseniz, tüm yazma işlemlerinin bu çalışma alanından kataloğa engellenmesi gerekir.

Kataloğu belirli çalışma alanlarına bağlamaya yönelik tipik kullanım örnekleri şunlardır:

  • Kullanıcıların üretim verilerine yalnızca bir üretim çalışma alanı ortamından erişebilmesini sağlama.
  • Kullanıcıların hassas verileri yalnızca ayrılmış bir çalışma alanından işleyebildiğinden emin olma.
  • Geliştirmeyi ve testi etkinleştirmek için kullanıcılara geliştirici çalışma alanından üretim verilerine salt okunur erişim verme.

Not

Ayrıca dış konumları ve depolama kimlik bilgilerini belirli çalışma alanlarına bağlayarak dış konumlardaki verilere erişme özelliğini bu çalışma alanlarındaki ayrıcalıklı kullanıcılarla sınırlayabilirsiniz. Bkz. (İsteğe bağlı) Belirli çalışma alanlarına dış konum atama ve (İsteğe bağlı) Belirli çalışma alanlarına depolama kimlik bilgisi atama.

Çalışma alanı kataloğu bağlama örneği

Üretim ve geliştirme yalıtımı örneğini inceleyin. Üretim verileri kataloglarınıza yalnızca üretim çalışma alanlarından erişilebileceğini belirtirseniz, bu, kullanıcılara verilen tek tek tüm izinlerin yerini alır.

Katalog çalışma alanı bağlama diyagramı

Bu diyagramda, prod_catalog iki üretim çalışma alanına bağlıdır. Bir kullanıcıya adlı tabloya prod_catalog erişim izni verildiğini varsayalım (kullanarakGRANT SELECT ON my_table TO <user>).my_table Kullanıcı Geliştirme çalışma alanında erişmeye my_table çalışırsa bir hata iletisi alır. Kullanıcı yalnızca Prod ETL ve Prod Analytics çalışma alanlarından erişebilir my_table .

Çalışma alanı kataloğu bağlamalarına platformun tüm alanlarında uyulmaktadır. Örneğin, bilgi şemasını sorgularsanız, yalnızca sorguyu yayımladığınız çalışma alanında erişilebilen katalogları görürsünüz. Veri kökeni ve arama URI'leri de benzer şekilde yalnızca çalışma alanına atanan katalogları gösterir (bağlamaları kullanarak veya varsayılan olarak).

Kataloğu bir veya daha fazla çalışma alanına bağlama

Belirli çalışma alanlarına katalog atamak için Katalog Gezgini'ni veya Databricks CLI'yi kullanabilirsiniz.

gerekli izinler: Meta veri deposu yöneticisi veya katalog sahibi.

Not

Meta veri deposu yöneticileri Katalog Gezgini'ni kullanarak bir meta veri deposundaki tüm katalogları görebilir ve katalog sahipleri, kataloğun geçerli çalışma alanına atanıp atanmadığından bağımsız olarak bir meta veri deposunda sahip oldukları tüm katalogları görebilir. Çalışma alanına atanmamış kataloglar gri görünür ve hiçbir alt nesne görünür veya sorgulanabilir değildir.

Katalog Gezgini

  1. Meta veri deposuna bağlı bir çalışma alanında oturum açın.

  2. Katalog'a tıklayın Katalog simgesi .

  3. Katalog bölmesinde, sol tarafta katalog adına tıklayın.

    Ana Katalog Gezgini bölmesi varsayılan olarak Kataloglar listesidir. Kataloğu buradan da seçebilirsiniz.

  4. Çalışma Alanları sekmesinde Tüm çalışma alanlarının erişimi var onay kutusunu temizleyin.

    Kataloğunuz zaten bir veya daha fazla çalışma alanına bağlıysa, bu onay kutusu zaten temizlenir.

  5. Çalışma alanlarına ata'ya tıklayın ve atamak istediğiniz çalışma alanlarını girin veya bulun.

  6. (İsteğe bağlı) Çalışma alanı erişimini salt okunur olarak sınırlayın.

    Erişim Düzeyini Yönet menüsünde Erişimi salt okunur olarak değiştir'i seçin.

    İstediğiniz zaman kataloğu düzenleyip Okuma ve yazma erişimini değiştir'i seçerek bu seçimi tersine çevirebilirsiniz.

Erişimi iptal etmek için Çalışma Alanları sekmesine gidin, çalışma alanını seçin ve İptal Et'e tıklayın.

CLI

Çalışma alanına katalog atamak için iki Databricks CLI komut grubu ve iki adım gerekir.

Aşağıdaki örneklerde değerini Azure Databricks kimlik doğrulama yapılandırma profilinizin adıyla değiştirin <profile-name> . Kişisel erişim belirtecini oluşturduğunuz çalışma alanının çalışma alanı örneği adına ve çalışma alanı kimliğine ek olarak kişisel erişim belirtecinin değerini içermelidir. Bkz. Azure Databricks kişisel erişim belirteci kimlik doğrulaması.

  1. Katalogları catalogs isolation mode ISOLATEDolarak ayarlamak için komut grubunun update komutunu kullanın:

    databricks catalogs update <my-catalog> \
--isolation-mode ISOLATED \
--profile <profile-name>

    Varsayılan değer isolation-mode , OPEN meta veri deposuna bağlı tüm çalışma alanlarıdır.

  2. workspace-bindings Çalışma alanlarını kataloğa atamak için komut grubunun update-bindings komutunu kullanın:

    databricks workspace-bindings update-bindings catalog <my-catalog> \
--json '{
  "add": [{"workspace_id": <workspace-id>, "binding_type": <binding-type>}...],
  "remove": [{"workspace_id": <workspace-id>, "binding_type": "<binding-type>}...]
}' --profile <profile-name>

    "add" Çalışma alanı bağlamaları eklemek veya kaldırmak için ve "remove" özelliklerini kullanın. <binding-type>(varsayılan) veya “BINDING_TYPE_READ_ONLY”olabilir “BINDING_TYPE_READ_WRITE” .

Bir kataloğun tüm çalışma alanı atamalarını listelemek için komut grubunun get-bindings komutunu kullanınworkspace-bindings:

databricks workspace-bindings get-bindings catalog <my-catalog> \
--profile <profile-name>

Çalışma alanından kataloğun bağlantısını kaldırma

Katalog Gezgini'ni veya workspace-bindings CLI komut grubunu kullanarak kataloğa çalışma alanı erişimini iptal etme yönergeleri, Kataloğu bir veya daha fazla çalışma alanına bağlama bölümüne eklenir.

Önemli

Çalışma alanınız Unity Kataloğu için otomatik olarak etkinleştirildiyse ve bir çalışma alanı kataloğunuz varsa, çalışma alanı yöneticileri bu kataloğun sahibidir ve yalnızca çalışma alanında bu katalog üzerinde tüm izinlere sahiptir. Bu kataloğun bağlamasını kaldırdığınızda veya diğer kataloglara bağlarsanız, çalışma alanı yöneticileri grubu çalışma alanı yöneticileri grubu bir çalışma alanı yerel grubu olduğundan, çalışma alanı yöneticileri grubunun üyelerine tek tek kullanıcılar olarak veya hesap düzeyi grupları kullanarak gerekli izinleri el ile vermelisiniz. Hesap grupları ve çalışma alanı-yerel gruplar hakkında daha fazla bilgi için bkz . Hesap grupları ile çalışma alanı-yerel gruplar arasındaki fark.