Dela via


Begränsa katalogåtkomst till specifika arbetsytor

Den här artikeln introducerar bindning av arbetsytekataloger och beskriver hur du binder en Unity Catalog-katalog till en Azure Databricks-arbetsyta för att förhindra att andra arbetsytor i ditt Azure Databricks-konto kommer åt den.

Vad är arbetsytekatalogbindning?

Om du använder arbetsytor för att isolera åtkomst till användardata kan du begränsa katalogåtkomsten till specifika arbetsytor i ditt konto, även kallat bindning mellan arbetsytor och katalog. Standardvärdet är att dela katalogen med alla arbetsytor som är kopplade till det aktuella metaarkivet.

Undantaget till den här standardinställningen är arbetsytekatalog som skapas automatiskt för alla nya arbetsytor. Den här arbetsytekatalogen är endast bunden till din arbetsyta, såvida du inte väljer att ge andra arbetsytor åtkomst till den. För viktig information om hur du tilldelar behörigheter om du avbinder denna katalog, se Avbinda en katalog från en arbetsyta.

Du kan tillåta läs- och skrivåtkomst till katalogen från en arbetsyta, eller så kan du ange skrivskyddad åtkomst. Om du anger skrivskyddad blockeras alla skrivåtgärder från arbetsytan till katalogen.

Vanliga användningsfall för att binda en katalog till specifika arbetsytor är:

  • Se till att användarna bara kan komma åt produktionsdata från en miljö för produktionsarbetsytor.
  • Se till att användarna bara kan bearbeta känsliga data från en dedikerad arbetsyta.
  • Ge användarna skrivskyddad åtkomst till produktionsdata från en arbetsyta för utvecklare för att möjliggöra utveckling och testning.

Kommentar

Du kan också binda externa platser och autentiseringsuppgifter för lagring till specifika arbetsytor, vilket begränsar möjligheten att komma åt data på externa platser till privilegierade användare på dessa arbetsytor. Se (Valfritt) Tilldela en extern plats till specifika arbetsytor och (valfritt) Tilldela en lagringsautentiseringsuppgift till specifika arbetsytor.

Exempel på bindning av arbetsytekatalog

Ta exemplet med produktions- och utvecklingsisolering. Om du anger att dina produktionsdatakataloger bara kan nås från produktionsarbetsytor ersätter detta alla enskilda bidrag som utfärdas till användare.

bindningsdiagram för katalogarbetsyta

I det här diagrammet prod_catalog är det bundet till två produktionsarbetsytor. Anta att en användare har beviljats åtkomst till en tabell i prod_catalog med namnet my_table (med hjälp av GRANT SELECT ON my_table TO <user>). Om användaren försöker komma åt my_table på Dev-arbetsytan får de ett felmeddelande. Användaren kan bara komma åt my_table från Prod ETL- och Prod Analytics-arbetsytorna.

Bindningar för arbetsytekataloger respekteras inom alla delar av plattformen. Om du till exempel frågar efter informationsschemat ser du bara de kataloger som är tillgängliga på arbetsytan där du utfärdar frågan. Datahärkomst och sökanvändargränssnitt visar också bara de kataloger som har tilldelats arbetsytan, oavsett om bindningar används eller som standard.

Binda en katalog till en eller flera arbetsytor

Om du vill tilldela en katalog till specifika arbetsytor kan du använda Catalog Explorer eller Databricks CLI.

behörigheter som krävs: Metaarkivadministratör, katalogägare eller MANAGE och USE CATALOG på katalogen.

Kommentar

Metaarkivadministratörer kan se alla kataloger i ett metaarkiv med hjälp av Catalog Explorer – och katalogägare kan se alla kataloger som de äger i ett metaarkiv – oavsett om katalogen har tilldelats till den aktuella arbetsytan. Kataloger som inte har tilldelats arbetsytan visas nedtonade, och inga underordnade objekt är synliga eller sökbara.

Katalogutforskaren

  1. Logga in på en arbetsyta som är länkad till metaarkivet.

  2. Klicka på katalogikonenCatalog.

  3. Klicka på katalognamnet till vänster i fönstret Catalog.

    Huvudpanelen i Katalogutforskaren har som standard listan Kataloger. Du kan också välja katalogen där.

  4. På fliken Arbetsytor avmarkerar du kryssrutan Alla arbetsytor har åtkomst .

    Om katalogen redan är bunden till en eller flera arbetsytor är den här kryssrutan redan avmarkerad.

  5. Klicka på Tilldela till arbetsytor och ange eller hitta de arbetsytor som du vill tilldela.

  6. (Valfritt) Begränsa åtkomsten till skrivskyddad arbetsyta.

    På menyn Hantera åtkomstnivå väljer du Ändra åtkomst till skrivskyddad.

    Du kan ångra det här valet när som helst genom att redigera katalogen och välja Ändra åtkomst till läs- & skriva.

Om du vill återkalla åtkomsten går du till fliken Arbetsytor, väljer arbetsytan och klickar på Återkalla.

CLI

Det finns två Databricks CLI kommandogrupper och två steg som krävs för att tilldela en katalog till en arbetsyta.

I följande exempel ersätter du <profile-name> med namnet på din Konfigurationsprofil för Azure Databricks-autentisering. Det bör innehålla värdet för en personlig åtkomsttoken, utöver arbetsytans instansnamn och arbetsyte-ID för arbetsytan där du genererade den personliga åtkomsttoken. Mer information finns i autentisering med personlig åtkomsttoken i Azure Databricks.

  1. Använd catalogs kommandogruppens update-kommando för att ange katalogens isolation mode till ISOLATED:

    databricks catalogs update <my-catalog> \
    --isolation-mode ISOLATED \
    --profile <profile-name>
    

    Standardvärdet isolation-mode är alla arbetsytor som är OPEN kopplade till metaarkivet.

  2. Använd kommandot update-bindings från kommandogruppen workspace-bindings för att tilldela arbetsytorna till katalogen.

    databricks workspace-bindings update-bindings catalog <my-catalog> \
    --json '{
      "add": [{"workspace_id": <workspace-id>, "binding_type": <binding-type>}...],
      "remove": [{"workspace_id": <workspace-id>, "binding_type": "<binding-type>}...]
    }' --profile <profile-name>
    

    Använd egenskaperna "add" och "remove" för att lägga till eller ta bort arbetsytebindningar. <binding-type> Kan vara antingen “BINDING_TYPE_READ_WRITE” (standard) eller “BINDING_TYPE_READ_ONLY”.

Om du vill visa en lista över alla arbetsytetilldelningar för en katalog använder du kommandot workspace-bindings kommandogruppens get-bindings:

databricks workspace-bindings get-bindings catalog <my-catalog> \
--profile <profile-name>

Koppla bort en katalog från en arbetsyta

Instruktioner för att återkalla åtkomst till en katalog från en arbetsyta med hjälp av Catalog Explorer eller kommandogruppen workspace-bindings CLI finns i Binda en katalog till en eller flera arbetsytor.

Viktigt!

Om din arbetsyta har aktiverats för Unity Catalog automatiskt och du har en arbetsytekatalogäger arbetsyteadministratörerna katalogen och har alla behörigheter för katalogen endast på arbetsytan. Om du avbinder katalogen eller binder den till andra kataloger måste du manuellt bevilja nödvändiga behörigheter till medlemmarna i arbetsyteadmins-gruppen som enskilda användare eller genom att använda kontonivågrupper, eftersom arbetsyteadmins-gruppen är en arbetsytelokal grupp. Mer information om kontogrupper jämfört med arbetsytelokala grupper finns i Typer av grupper i Azure Databricks.