Povolení řízení přístupu k tabulce metastoru Hive v clusteru (starší verze)
Tento článek popisuje, jak povolit řízení přístupu k tabulce pro integrovaný metastore Hive v clusteru.
Informace o tom, jak nastavit oprávnění k zabezpečitelným objektům metastoru Hive po povolení řízení přístupu k tabulce v clusteru, najdete v tématu Oprávnění metastoru Hive a zabezpečitelné objekty (starší verze).
Poznámka:
Řízení přístupu k tabulce metastoru Hive je starší model zásad správného řízení dat. Databricks doporučuje místo toho používat katalog Unity pro jednoduchost a model zásad správného řízení soustředěný na účet. Tabulky spravované metastorem Hive můžete upgradovat na metastore katalogu Unity.
Povolení řízení přístupu k tabulce pro cluster
Řízení přístupu k tabulce je k dispozici ve dvou verzích:
- Řízení přístupu k tabulce pouze SQL, které omezuje uživatele na příkazy SQL.
- Řízení přístupu k tabulce Python a SQL, které umožňuje uživatelům spouštět příkazy SQL, Python a PySpark.
Modul runtime Machine Learning nepodporuje řízení přístupu k tabulce.
Důležité
I když je pro cluster povolené řízení přístupu k tabulce, mají správci pracovního prostoru Azure Databricks přístup k datům na úrovni souborů.
Řízení přístupu k tabulce jen PRO SQL
Tato verze řízení přístupu k tabulce omezuje uživatele pouze na příkazy SQL.
Pokud chcete povolit řízení přístupu k tabulce pouze SQL v clusteru a omezit ho tak, aby používal pouze příkazy SQL, nastavte následující příznak v souboru Spark conf clusteru:
spark.databricks.acl.sqlOnly true
Poznámka:
Přístup k řízení přístupu k tabulce pouze SQL nemá vliv na nastavení Povolit řízení přístupu k tabulce na stránce nastavení správce. Toto nastavení řídí pouze povolení pythonu a řízení přístupu k tabulce SQL pro celý pracovní prostor.
Řízení přístupu k tabulce v Pythonu a SQL
Tato verze řízení přístupu k tabulce umožňuje uživatelům spouštět příkazy Pythonu, které používají rozhraní API datového rámce i SQL. Když je v clusteru povolená, uživatelé v daném clusteru:
- Může přistupovat ke Sparku pouze pomocí rozhraní SPARK SQL API nebo rozhraní DataFrame API. V obou případech je přístup k tabulkám a zobrazením omezený správci podle oprávnění Azure Databricks , která můžete udělit pro objekty metastoru Hive.
- Musí spouštět své příkazy na uzlech clusteru jako uživatel s nízkými oprávněními, který zakázal přístup k citlivým částem systému souborů nebo vytvářet síťová připojení k portům jiným než 80 a 443.
- Pouze integrované funkce Sparku můžou vytvářet síťová připojení na jiných portech než 80 a 443.
- Data z externích databází můžou prostřednictvím konektoru PySpark JDBC číst jenom uživatelé nebo uživatelé pracovního prostoru s oprávněním ANY FILE.
- Pokud chcete, aby procesy Pythonu měly přístup k dalším odchozím portům, můžete konfiguraci
spark.databricks.pyspark.iptable.outbound.whitelisted.ports
nastavit na porty, ke které chcete povolit přístup. Podporovaný formát konfigurační hodnoty je[port[:port][,port[:port]]...]
například:21,22,9000:9999
. Port musí být v platném rozsahu,0-65535
tj. .
Pokusy o vyřešení těchto omezení selžou s výjimkou. Tato omezení platí, aby uživatelé nikdy neměli přístup k neprivilegovaným datům prostřednictvím clusteru.
Povolení řízení přístupu k tabulce pro váš pracovní prostor
Aby uživatelé mohli konfigurovat řízení přístupu k tabulce Python a SQL, musí správce pracovního prostoru Azure Databricks povolit řízení přístupu k tabulce pro pracovní prostor Azure Databricks a odepřít uživatelům přístup ke clusterům, které nejsou povolené pro řízení přístupu k tabulce.
- Přejděte na stránku nastavení.
- Klikněte na kartu Zabezpečení.
- Zapněte možnost Řízení přístupu k tabulce.
Vynucení řízení přístupu k tabulce
Pokud chcete zajistit, aby uživatelé měli přístup jenom k datům, která jim chcete povolit, musíte omezit uživatele na clustery s povoleným řízením přístupu k tabulce. Zejména byste měli zajistit, aby:
- Uživatelé nemají oprávnění k vytváření clusterů. Pokud vytvoří cluster bez řízení přístupu k tabulce, bude mít přístup k jakýmkoli datům z daného clusteru.
- Uživatelé nemají oprávnění PŘIPOJIT K žádnému clusteru, který není povolený pro řízení přístupu k tabulce.
Další informace najdete v tématu Výpočetní oprávnění .
Vytvoření clusteru s povoleným řízením přístupu k tabulce
Řízení přístupu k tabulce je ve výchozím nastavení povolené v clusterech s režimem sdíleného přístupu.
Pokud chcete vytvořit cluster pomocí rozhraní REST API, přečtěte si téma Vytvoření nového clusteru.
Nastavení oprávnění pro datový objekt
Viz oprávnění metastoru Hive a zabezpečitelné objekty (starší verze).