Udostępnij za pośrednictwem

Zarządzanie tożsamościami, uprawnieniami i przywilejami dla potoków DLT

  • Artykuł

Ten artykuł zawiera omówienie tożsamości, uprawnień i przywilejów dla potoków DLT.

Databricks rekomenduje używanie Unity Catalog dla wszystkich nowych potoków DLT. Domyślnie zmaterializowane widoki i tabele strumieniowe utworzone przez potoki skonfigurowane za pomocą Unity Catalog mogą być zapytane wyłącznie przez właściciela potoku. Zobacz Użyj katalogu Unity z potokami DLT.

Jeśli potoki publikują zestawy danych w starszym magazynie metadanych Hive, zobacz Używanie potoków DLT ze starszym magazynem metadanych Hive.

Aby uzyskać ogólne najlepsze praktyki dotyczące konfiguracji tożsamości, zobacz Najlepsze praktyki dotyczące tożsamości.

Jaka tożsamość jest używana na potrzeby aktualizacji potoku?

Potoki DLT przetwarzają aktualizacje przy użyciu tożsamości właściciela potoku. Przypisz nowego właściciela potoku, aby zmienić tożsamość używaną do uruchamiania potoku.

Usługa Databricks zaleca ustawienie jednostki usługi jako właściciela potoku. Zobacz Zarządzanie jednostkami usługi.

Kto może uruchomić aktualizację pipeline?

Aktualizacje potoku mogą być uruchamiane przez dowolnego użytkownika lub jednostkę usługi z uprawnieniami CAN RUN, CAN MANAGE lub IS OWNER.

Konfigurowanie uprawnień pipelines

Musisz mieć uprawnienia CAN MANAGE lub IS OWNER w potoku, aby zarządzać uprawnieniami. Potoki używają list kontroli dostępu (ACL) do kontrolowania uprawnień. Aby uzyskać pełną listę uprawnień i ich możliwości, zobacz listy ACL potoków DLT.

  1. Na pasku bocznym kliknij pozycję DLT.
  2. Wybierz nazwę potoku.
  3. Kliknij Udostępnij. Zostanie wyświetlone okno dialogowe Ustawienia uprawnień.
  4. Kliknij Wybierz użytkownika, grupę lub jednostkę usługi... i wybierz użytkownika, grupę lub jednostkę usługi.
  5. Wybierz uprawnienie z listy rozwijanej uprawnień.
  6. Kliknij pozycję Dodaj.
  7. Kliknij Zapisz.

Zezwalaj użytkownikom niebędącym administratorami na wyświetlanie dzienników sterowników w potoku z włączonym Unity Catalog.

Domyślnie tylko właściciel potoku i administratorzy obszaru roboczego mogą wyświetlać dzienniki sterowników z klastra obsługującego potok z włączonym katalogiem Unity. Możesz włączyć dostęp do rejestrów sterowników dla dowolnego użytkownika z CAN MANAGE, CAN VIEW lub CAN RUN uprawnieniami poprzez dodanie następującego parametru konfiguracji platformy Spark do obiektu configuration w ustawieniach potoku.

{
  "configuration": {
    "spark.databricks.acl.needAdminPermissionToViewLogs": "false"
  }
}