Begränsa katalogåtkomst till specifika arbetsytor
Den här artikeln introducerar bindning av arbetsytekataloger och beskriver hur du binder en Unity Catalog-katalog till en Azure Databricks-arbetsyta för att förhindra att andra arbetsytor i ditt Azure Databricks-konto kommer åt den.
Vad är arbetsytekatalogbindning?
Om du använder arbetsytor för att isolera åtkomst till användardata kan du begränsa katalogåtkomsten till specifika arbetsytor i ditt konto, även kallat bindning mellan arbetsytor och katalog. Standardvärdet är att dela katalogen med alla arbetsytor som är kopplade till det aktuella metaarkivet.
Undantaget till den här standardinställningen är arbetsytekatalog som skapas automatiskt för alla nya arbetsytor. Den här arbetsytekatalogen är endast bunden till din arbetsyta, såvida du inte väljer att ge andra arbetsytor åtkomst till den. För viktig information om hur du tilldelar behörigheter om du avbinder denna katalog, se Avbinda en katalog från en arbetsyta.
Du kan tillåta läs- och skrivåtkomst till katalogen från en arbetsyta, eller så kan du ange skrivskyddad åtkomst. Om du anger skrivskyddad blockeras alla skrivåtgärder från arbetsytan till katalogen.
Vanliga användningsfall för att binda en katalog till specifika arbetsytor är:
- Se till att användarna bara kan komma åt produktionsdata från en miljö för produktionsarbetsytor.
- Se till att användarna bara kan bearbeta känsliga data från en dedikerad arbetsyta.
- Ge användarna skrivskyddad åtkomst till produktionsdata från en arbetsyta för utvecklare för att möjliggöra utveckling och testning.
Kommentar
Du kan också binda externa platser och autentiseringsuppgifter för lagring till specifika arbetsytor, vilket begränsar möjligheten att komma åt data på externa platser till privilegierade användare på dessa arbetsytor. Se (Valfritt) Tilldela en extern plats till specifika arbetsytor och (valfritt) Tilldela en lagringsautentiseringsuppgift till specifika arbetsytor.
Exempel på bindning av arbetsytekatalog
Ta exemplet med produktions- och utvecklingsisolering. Om du anger att dina produktionsdatakataloger bara kan nås från produktionsarbetsytor ersätter detta alla enskilda bidrag som utfärdas till användare.
I det här diagrammet prod_catalog
är det bundet till två produktionsarbetsytor. Anta att en användare har beviljats åtkomst till en tabell i prod_catalog
med namnet my_table
(med hjälp av GRANT SELECT ON my_table TO <user>
). Om användaren försöker komma åt my_table
på Dev-arbetsytan får de ett felmeddelande. Användaren kan bara komma åt my_table
från Prod ETL- och Prod Analytics-arbetsytorna.
Bindningar för arbetsytekataloger respekteras inom alla delar av plattformen. Om du till exempel frågar efter informationsschemat ser du bara de kataloger som är tillgängliga på arbetsytan där du utfärdar frågan. Datahärkomst och sökanvändargränssnitt visar också bara de kataloger som har tilldelats arbetsytan, oavsett om bindningar används eller som standard.
Binda en katalog till en eller flera arbetsytor
Om du vill tilldela en katalog till specifika arbetsytor kan du använda Catalog Explorer eller Databricks CLI.
behörigheter som krävs: Metaarkivadministratör, katalogägare eller MANAGE
och USE CATALOG
på katalogen.
Kommentar
Metaarkivadministratörer kan se alla kataloger i ett metaarkiv med hjälp av Catalog Explorer – och katalogägare kan se alla kataloger som de äger i ett metaarkiv – oavsett om katalogen har tilldelats till den aktuella arbetsytan. Kataloger som inte har tilldelats arbetsytan visas nedtonade, och inga underordnade objekt är synliga eller sökbara.
Katalogutforskaren
Logga in på en arbetsyta som är länkad till metaarkivet.
Klicka på
Catalog.
Klicka på katalognamnet till vänster i fönstret Catalog.
Huvudpanelen i Katalogutforskaren har som standard listan Kataloger. Du kan också välja katalogen där.
På fliken Arbetsytor avmarkerar du kryssrutan Alla arbetsytor har åtkomst .
Om katalogen redan är bunden till en eller flera arbetsytor är den här kryssrutan redan avmarkerad.
Klicka på Tilldela till arbetsytor och ange eller hitta de arbetsytor som du vill tilldela.
(Valfritt) Begränsa åtkomsten till skrivskyddad arbetsyta.
På menyn Hantera åtkomstnivå väljer du Ändra åtkomst till skrivskyddad.
Du kan ångra det här valet när som helst genom att redigera katalogen och välja Ändra åtkomst till läs- & skriva.
Om du vill återkalla åtkomsten går du till fliken Arbetsytor, väljer arbetsytan och klickar på Återkalla.
CLI
Det finns två Databricks CLI kommandogrupper och två steg som krävs för att tilldela en katalog till en arbetsyta.
I följande exempel ersätter du <profile-name>
med namnet på din Konfigurationsprofil för Azure Databricks-autentisering. Det bör innehålla värdet för en personlig åtkomsttoken, utöver arbetsytans instansnamn och arbetsyte-ID för arbetsytan där du genererade den personliga åtkomsttoken. Mer information finns i autentisering med personlig åtkomsttoken i Azure Databricks.
Använd
catalogs
kommandogruppensupdate
-kommando för att ange katalogensisolation mode
tillISOLATED
:databricks catalogs update <my-catalog> \ --isolation-mode ISOLATED \ --profile <profile-name>
Standardvärdet
isolation-mode
är alla arbetsytor som ärOPEN
kopplade till metaarkivet.Använd kommandot
update-bindings
från kommandogruppenworkspace-bindings
för att tilldela arbetsytorna till katalogen.databricks workspace-bindings update-bindings catalog <my-catalog> \ --json '{ "add": [{"workspace_id": <workspace-id>, "binding_type": <binding-type>}...], "remove": [{"workspace_id": <workspace-id>, "binding_type": "<binding-type>}...] }' --profile <profile-name>
Använd egenskaperna
"add"
och"remove"
för att lägga till eller ta bort arbetsytebindningar.<binding-type>
Kan vara antingen“BINDING_TYPE_READ_WRITE”
(standard) eller“BINDING_TYPE_READ_ONLY”
.
Om du vill visa en lista över alla arbetsytetilldelningar för en katalog använder du kommandot workspace-bindings
kommandogruppens get-bindings
:
databricks workspace-bindings get-bindings catalog <my-catalog> \
--profile <profile-name>
Koppla bort en katalog från en arbetsyta
Instruktioner för att återkalla åtkomst till en katalog från en arbetsyta med hjälp av Catalog Explorer eller kommandogruppen workspace-bindings
CLI finns i Binda en katalog till en eller flera arbetsytor.
Viktigt!
Om din arbetsyta har aktiverats för Unity Catalog automatiskt och du har en arbetsytekatalogäger arbetsyteadministratörerna katalogen och har alla behörigheter för katalogen endast på arbetsytan. Om du avbinder katalogen eller binder den till andra kataloger måste du manuellt bevilja nödvändiga behörigheter till medlemmarna i arbetsyteadmins-gruppen som enskilda användare eller genom att använda kontonivågrupper, eftersom arbetsyteadmins-gruppen är en arbetsytelokal grupp. Mer information om kontogrupper jämfört med arbetsytelokala grupper finns i Typer av grupper i Azure Databricks.