Toegangsbeheer voor Hive-metastore-tabellen inschakelen op een cluster (verouderd)
In dit artikel wordt beschreven hoe u toegangsbeheer voor tabellen inschakelt voor de ingebouwde Hive-metastore op een cluster.
Zie Hive-metastore-bevoegdheden en beveiligbare objecten (verouderd) voor informatie over het instellen van bevoegdheden voor Hive-metastore-objecten zodra toegangsbeheer voor tabellen is ingeschakeld op een cluster.
Notitie
Toegangsbeheer voor Hive-metastoretabellen is een verouderd gegevensbeheermodel. Databricks raadt u aan om in plaats daarvan Unity Catalog te gebruiken voor het eenvouds- en accountbeheermodel. U kunt de tabellen die worden beheerd door de Hive-metastore upgraden naar de Unity Catalog-metastore.
Toegangsbeheer voor tabellen inschakelen voor een cluster
Toegangsbeheer voor tabellen is beschikbaar in twee versies:
- Toegangsbeheer voor alleen SQL-tabellen, waarmee gebruikers worden beperkt tot SQL-opdrachten.
- Toegangsbeheer voor Python- en SQL-tabellen, waarmee gebruikers SQL-, Python- en PySpark-opdrachten kunnen uitvoeren.
Toegangsbeheer voor tabellen wordt niet ondersteund met Machine Learning Runtime.
Belangrijk
Zelfs als toegangsbeheer voor tabellen is ingeschakeld voor een cluster, hebben beheerders van Azure Databricks-werkruimten toegang tot gegevens op bestandsniveau.
Toegangsbeheer voor alleen SQL-tabellen
Deze versie van toegangsbeheer voor tabellen beperkt gebruikers tot alleen SQL-opdrachten.
Als u toegangsbeheer voor alleen SQL-tabellen in een cluster wilt inschakelen en dat cluster alleen SQL-opdrachten wilt gebruiken, stelt u de volgende vlag in de Spark-conf van het cluster in:
spark.databricks.acl.sqlOnly true
Notitie
Toegangsbeheer voor alleen SQL-tabellen wordt niet beïnvloed door de instelling Toegangsbeheer voor tabellen inschakelen op de pagina met beheerdersinstellingen. Deze instelling bepaalt alleen het inschakelen van toegangsbeheer voor Python- en SQL-tabellen voor de hele werkruimte.
Toegangsbeheer voor Python- en SQL-tabellen
Met deze versie van toegangsbeheer voor tabellen kunnen gebruikers Python-opdrachten uitvoeren die gebruikmaken van de DataFrame-API en SQL. Wanneer het is ingeschakeld op een cluster, gebruikers in dat cluster:
- Kan alleen toegang krijgen tot Spark met behulp van de Spark SQL-API of DataFrame-API. In beide gevallen wordt de toegang tot tabellen en weergaven beperkt door beheerders volgens de Azure Databricks-bevoegdheden die u kunt verlenen aan Hive-metastore-objecten.
- De opdrachten moeten worden uitgevoerd op clusterknooppunten als een gebruiker met beperkte bevoegdheden die geen toegang heeft tot gevoelige onderdelen van het bestandssysteem of het maken van netwerkverbindingen met andere poorten dan 80 en 443.
- Alleen ingebouwde Spark-functies kunnen netwerkverbindingen maken op andere poorten dan 80 en 443.
- Alleen gebruikers of gebruikers van werkruimtebeheerders met ELKE BESTANDSbevoegdheden kunnen gegevens uit externe databases lezen via de PySpark JDBC-connector.
- Als u wilt dat Python-processen toegang hebben tot extra uitgaande poorten, kunt u de Spark-configuratie
spark.databricks.pyspark.iptable.outbound.whitelisted.ports
instellen op de poorten die u toegang wilt verlenen. De ondersteunde indeling van de configuratiewaarde is[port[:port][,port[:port]]...]
bijvoorbeeld:21,22,9000:9999
. De poort moet binnen het geldige bereik liggen, dat wil0-65535
gezegd.
Pogingen om deze beperkingen te omzeilen, mislukken met een uitzondering. Deze beperkingen gelden, zodat gebruikers nooit toegang hebben tot onbevoegde gegevens via het cluster.
Toegangsbeheer voor tabellen inschakelen voor uw werkruimte
Voordat gebruikers toegangsbeheer voor Python- en SQL-tabellen kunnen configureren, moet een Azure Databricks-werkruimtebeheerder toegangsbeheer voor tabellen inschakelen voor de Azure Databricks-werkruimte en gebruikers toegang weigeren tot clusters die niet zijn ingeschakeld voor toegangsbeheer voor tabellen.
- Ga naar de pagina Instellingen.
- Klik op de beveiliging tabblad.
- Schakel de optie Toegangsbeheer voor tabellen in.
Toegangsbeheer voor tabellen afdwingen
Als u ervoor wilt zorgen dat uw gebruikers alleen toegang hebben tot de gegevens die u wilt, moet u uw gebruikers beperken tot clusters waarvoor toegangsbeheer voor tabellen is ingeschakeld. U moet er met name voor zorgen dat:
- Gebruikers zijn niet gemachtigd om clusters te maken. Als ze een cluster maken zonder toegangsbeheer voor tabellen, hebben ze toegang tot alle gegevens uit dat cluster.
- Gebruikers hebben geen MACHTIGING KOPPELEN AAN voor een cluster dat niet is ingeschakeld voor toegangsbeheer voor tabellen.
Zie Compute-machtigingen voor meer informatie.
Een cluster maken dat is ingeschakeld voor toegangsbeheer voor tabellen
Toegangsbeheer voor tabellen is standaard ingeschakeld in clusters met de modus Gedeelde toegang.
Zie Nieuw cluster maken om het cluster te maken met behulp van de REST API.
Bevoegdheden instellen op een gegevensobject
Zie Hive-metastore-bevoegdheden en beveiligbare objecten (verouderd).