Поделиться через

Управление удостоверениями, разрешениями и привилегиями для конвейеров Delta Live Tables

  • Статья

В этой статье представлен обзор удостоверений, разрешений и привилегий для конвейеров Delta Live Tables.

Databricks рекомендует использовать каталог Unity для всех новых конвейеров Delta Live Tables. По умолчанию материализованные представления и потоковые таблицы, созданные конвейерами, настроенными в каталоге Unity, могут запрашиваться только владельцем конвейера. См. раздел "Использование каталога Unity" с конвейерами Delta Live Tables.

Если конвейеры публикуют наборы данных в устаревшем хранилище метаданных Hive, см. статью Использование конвейеров Delta Live Tables с устаревшим хранилищем метаданных Hive.

Общие рекомендации по конфигурациям удостоверений см . в рекомендациях по идентификации.

Какое удостоверение используется для обновлений конвейера?

Конвейеры разностных динамических таблиц обновляются с помощью удостоверения владельца конвейера. Назначьте новому владельцу конвейера изменение удостоверения, используемого для запуска конвейера.

Databricks рекомендует задать субъект-службу в качестве владельца конвейера. См. статью Управление субъектами-службами.

Кто может запустить обновление конвейера?

Обновления конвейера могут выполняться любым пользователем или субъектом-службой с разрешениями CAN RUN, CAN MANAGE или IS OWNER.

Настройка прав доступа к конвейеру

Для управления разрешениями необходимо иметь CAN MANAGE или IS OWNER разрешение на конвейер. Конвейеры используют списки управления доступом (ACL) для управления разрешениями. Полный список разрешений и их возможностей см. в разделе ACL конвейера ACL конвейера Delta Live Tables.

  1. На боковой панели щелкните Delta Live Tables.
  2. Выберите имя конвейера.
  3. Меню КебабЩелкните и выберите "Разрешения".
  4. В разделе "Параметры разрешений" выберите раскрывающееся меню "Выбрать пользователя", "Группа" или "Субъект-служба ", а затем выберите пользователя, группу или субъект-службу.
  5. Выберите разрешение в раскрывающемся меню разрешений.
  6. Нажмите кнопку Добавить.
  7. Нажмите кнопку Сохранить.

Разрешить пользователям без администратора просматривать журналы драйверов из конвейера с поддержкой каталога Unity

По умолчанию только администраторы конвейера и администраторы рабочей области могут просматривать журналы драйверов из кластера, на котором запущен конвейер с поддержкой каталога Unity. Вы можете включить доступ к журналам драйверов для любого пользователя с разрешениями CAN MANAGE, CAN VIEW или CAN RUN, добавив следующий параметр конфигурации Spark в configuration объект в параметрах конвейера:

{
  "configuration": {
    "spark.databricks.acl.needAdminPermissionToViewLogs": "false"
  }
}