Udostępnij za pośrednictwem


Ograniczanie dostępu wykazu do określonych obszarów roboczych

W tym artykule przedstawiono powiązanie katalogu obszarów roboczych i opisano sposób powiązania wykazu aparatu Unity z obszarem roboczym usługi Azure Databricks, aby uniemożliwić dostęp do innych obszarów roboczych na koncie usługi Azure Databricks.

Co to jest powiązanie wykazu obszarów roboczych?

Jeśli używasz obszarów roboczych do izolowania dostępu do danych użytkownika, możesz ograniczyć dostęp katalogu do określonych obszarów roboczych na koncie, nazywanym również powiązaniem katalogu obszarów roboczych. Domyślnym ustawieniem jest udostępnienie wykazu wszystkim obszarom roboczym dołączonym do bieżącego magazynu metadanych.

Wyjątkiem od tej wartości domyślnej jest wykaz obszarów roboczych, który jest tworzony automatycznie dla wszystkich nowych obszarów roboczych. Ten wykaz obszarów roboczych jest powiązany tylko z obszarem roboczym, chyba że zdecydujesz się na nadanie innym obszarom roboczym dostępu do niego. Aby uzyskać ważne informacje na temat przypisywania uprawnień w przypadku odłączenia tego wykazu, zobacz Usuwanie powiązania wykazu z obszaru roboczego.

Możesz zezwolić na dostęp do odczytu i zapisu do katalogu z obszaru roboczego lub określić dostęp tylko do odczytu. Jeśli określisz tylko do odczytu, wszystkie operacje zapisu zostaną zablokowane z tego obszaru roboczego do tego wykazu.

Typowe przypadki użycia powiązania wykazu z określonymi obszarami roboczymi obejmują:

  • Zapewnienie, że użytkownicy mogą uzyskiwać dostęp tylko do danych produkcyjnych ze środowiska produkcyjnego obszaru roboczego.
  • Zapewnienie, że użytkownicy mogą przetwarzać tylko poufne dane z dedykowanego obszaru roboczego.
  • Zapewnienie użytkownikom dostępu tylko do odczytu do danych produkcyjnych z obszaru roboczego dewelopera w celu umożliwienia programowania i testowania.

Uwaga

Można również powiązać lokalizacje zewnętrzne i poświadczenia magazynu z określonymi obszarami roboczymi, ograniczając możliwość uzyskiwania dostępu do danych w lokalizacjach zewnętrznych uprzywilejowanym użytkownikom w tych obszarach roboczych. Zobacz (Opcjonalnie) Przypisywanie lokalizacji zewnętrznej do określonych obszarów roboczych i (opcjonalnie) Przypisywanie poświadczeń magazynu do określonych obszarów roboczych.

Przykład powiązania wykazu obszarów roboczych

Weźmy przykład izolacji środowiska produkcyjnego i programistycznego. Jeśli określisz, że dostęp do katalogów danych produkcyjnych będzie można uzyskać tylko z obszarów roboczych produkcyjnych, zastępuje to wszelkie indywidualne granty wydane dla użytkowników.

Diagram powiązania obszaru roboczego wykazu

Na tym diagramie prod_catalog jest powiązany z dwoma obszarami roboczymi produkcyjnymi. Załóżmy, że użytkownik otrzymał dostęp do tabeli o prod_catalog nazwie my_table (przy użyciu polecenia GRANT SELECT ON my_table TO <user>). Jeśli użytkownik spróbuje uzyskać dostęp my_table w obszarze roboczym Deweloper, zostanie wyświetlony komunikat o błędzie. Użytkownik może uzyskiwać dostęp my_table tylko z obszarów roboczych Prod ETL i Prod Analytics.

Powiązania katalogu obszarów roboczych są przestrzegane we wszystkich obszarach platformy. Jeśli na przykład wykonujesz zapytanie dotyczące schematu informacji, w obszarze roboczym będą widoczne tylko wykazy dostępne w obszarze roboczym, w którym jest wystawiane zapytanie. Pochodzenie danych i interfejsy użytkownika wyszukiwania również pokazują tylko wykazy przypisane do obszaru roboczego (niezależnie od tego, czy są używane powiązania, czy domyślnie).

Wiązanie wykazu z co najmniej jednym obszarem roboczym

Aby przypisać wykaz do określonych obszarów roboczych, możesz użyć Eksploratora wykazu lub interfejsu wiersza polecenia usługi Databricks.

Uprawnienia wymagane: administrator magazynu metadanych, właściciel katalogu lub MANAGE i USE CATALOG w katalogu.

Uwaga

Administratorzy magazynu metadanych mogą wyświetlać wszystkie wykazy w magazynie metadanych przy użyciu Eksploratora wykazu— a właściciele wykazu mogą zobaczyć wszystkie wykazy, które należą do magazynu metadanych— niezależnie od tego, czy wykaz jest przypisany do bieżącego obszaru roboczego. Wykazy, które nie są przypisane do obszaru roboczego, są wyszarywane, a żadne obiekty podrzędne nie są widoczne ani możliwe do wykonywania zapytań.

Eksplorator wykazu

  1. Zaloguj się do obszaru roboczego połączonego z magazynem metadanych.

  2. Kliknij pozycję Ikona wykazuWykaz.

  3. W okienku Wykaz po lewej stronie kliknij nazwę katalogu.

    Główne okienko Eksplorator wykazu jest domyślnie wyświetlane na liście Wykazy . Możesz również wybrać tam katalog.

  4. Na karcie Obszary robocze wyczyść pole wyboru Wszystkie obszary robocze mają dostęp.

    Jeśli katalog jest już powiązany z co najmniej jednym obszarem roboczym, to pole wyboru zostało już wyczyszczone.

  5. Kliknij pozycję Przypisz do obszarów roboczych i wprowadź lub znajdź obszary robocze, które chcesz przypisać.

  6. (Opcjonalnie) Ogranicz dostęp do obszaru roboczego tylko do odczytu.

    W menu Zarządzanie poziomem dostępu wybierz pozycję Zmień dostęp tylko do odczytu.

    Możesz odwrócić ten wybór w dowolnym momencie, edytując wykaz i wybierając pozycję Zmień dostęp do odczytu i zapisu.

Aby odwołać dostęp, przejdź do karty Obszary robocze , wybierz obszar roboczy i kliknij przycisk Odwołaj.

CLI

Istnieją dwie grupy poleceń interfejsu wiersza polecenia usługi Databricks i dwa kroki wymagane do przypisania wykazu do obszaru roboczego.

W poniższych przykładach zastąp <profile-name> ciąg nazwą profilu konfiguracji uwierzytelniania usługi Azure Databricks. Powinna ona zawierać wartość osobistego tokenu dostępu, oprócz nazwy wystąpienia obszaru roboczego i identyfikatora obszaru roboczego, w którym wygenerowano osobisty token dostępu. Zobacz Uwierzytelnianie osobistego tokenu dostępu w usłudze Azure Databricks.

  1. catalogs Użyj polecenia grupy update poleceń, aby ustawić katalog isolation mode na ISOLATED:

    databricks catalogs update <my-catalog> \
    --isolation-mode ISOLATED \
    --profile <profile-name>
    

    Wartość domyślna isolation-mode to OPEN wszystkie obszary robocze dołączone do magazynu metadanych.

  2. workspace-bindings Użyj polecenia grupy update-bindings poleceń, aby przypisać obszary robocze do katalogu:

    databricks workspace-bindings update-bindings catalog <my-catalog> \
    --json '{
      "add": [{"workspace_id": <workspace-id>, "binding_type": <binding-type>}...],
      "remove": [{"workspace_id": <workspace-id>, "binding_type": "<binding-type>}...]
    }' --profile <profile-name>
    

    "add" Użyj właściwości i"remove", aby dodać lub usunąć powiązania obszaru roboczego. Może to być <binding-type> (wartość domyślna“BINDING_TYPE_READ_WRITE”) lub “BINDING_TYPE_READ_ONLY”.

Aby wyświetlić listę wszystkich przypisań obszarów roboczych dla wykazu, użyj workspace-bindings polecenia grupy get-bindings poleceń:

databricks workspace-bindings get-bindings catalog <my-catalog> \
--profile <profile-name>

Usuwanie powiązania wykazu z obszaru roboczego

Instrukcje dotyczące odwołwania dostępu obszaru roboczego do katalogu przy użyciu Eksploratora wykazu lub workspace-bindings grupy poleceń interfejsu wiersza polecenia są zawarte w temacie Wiązanie wykazu z co najmniej jednym obszarem roboczym.

Ważne

Jeśli obszar roboczy został włączony automatycznie dla wykazu aparatu Unity i masz wykaz obszarów roboczych, administratorzy obszaru roboczego są właścicielami tego wykazu i mają wszystkie uprawnienia do tego wykazu tylko w obszarze roboczym. W przypadku odłączenia tego wykazu lub powiązania go z innymi katalogami należy ręcznie przyznać członkom grupy administratorów obszaru roboczego jako pojedynczych użytkowników lub grupom na poziomie konta, ponieważ administratorzy obszaru roboczego są grupą lokalną obszaru roboczego. Aby uzyskać więcej informacji o grupach kont a grupach lokalnych obszaru roboczego, zobacz Różnice między grupami kont i grupami lokalnymi obszaru roboczego.