共用方式為

將計算資源指派給群組

  • 發行項

重要

這項功能目前處於 公開預覽

本文說明如何使用 專用 存取模式,建立指派給群組的計算資源。

專用群組存取模式可讓使用者取得標準存取模式叢集的作業效率,同時安全地支持標準存取模式不支援的語言和工作負載,例如適用於 ML 的 Databricks Runtime、Spark Machine Learning Library (MLlib)、RDD API 和 R。

藉由啟用專用群組叢集公開預覽,您的工作區也會存取新的簡化計算UI。 這個新的UI會更新存取模式的名稱,並簡化計算設定。 請參閱 使用簡單表單來管理計算

要求

若要使用專用群組存取模式:

  • 工作區系統管理員必須先在預覽 UI 中啟用 計算:專用群組叢集 的預覽功能。 請參閱 管理 Azure Databricks 預覽版
  • 工作區必須為 Unity Catalog 啟用。
  • 您必須使用 Databricks Runtime 15.4 或更新版本。
  • 指派的群組必須具有在一個工作區資料夾上的 CAN MANAGE 許可權,在該資料夾中可以保留群組用於其工作區活動的筆記本、ML 實驗以及其他工作區成品。

什麼是專用存取模式?

專用存取模式是最新版本的單一使用者存取模式。 使用專用存取權時,可以將計算資源指派給單一使用者或群組,只允許指派的使用者存取權使用計算資源。

當使用者連線到專用於群組(群組叢集)的計算資源時,使用者的許可權會自動縮小群組的許可權範圍,讓使用者安全地與群組的其他成員共用資源。

建立專用於群組的計算資源

  1. 在 Azure Databricks 工作區中,移至 [計算],然後點擊 [建立計算]。
  2. 展開 進階區段
  3. 在 [存取模式] 底下,點擊 [手動],然後從下拉功能表中選取 [專用(原單一使用者)]。
  4. 在 [單一使用者或群組] 字段中,選取您要指派給此資源的群組。
  5. 設定其他所需的計算設定,然後點擊 建立

管理群組叢集的最佳做法

在使用群組叢集時,使用者權限會限定在群組範圍內,因此 Databricks 建議為您計畫搭配群組叢集使用的每個群組建立一個 /Workspace/Groups/<groupName> 資料夾。 然後,將資料夾 CAN MANAGE 許可權指派給群組。 這可讓群組避免許可權錯誤。 群組的所有筆記本和工作區資產都應該在群組資料夾中管理。

您也必須修改下列工作負載,以在群組叢集上執行:

  • MLflow:請確定您從群組資料夾執行筆記本,或執行 mlflow.set_tracking_uri("/Workspace/Groups/<groupName>")
  • AutoML:將可選的 experiment_dir 參數設為 “/Workspace/Groups/<groupName>” 以用於您的 AutoML 執行。
  • dbutils.notebook.run:請確定群組具有正在執行筆記本的 READ 權限。

群組許可權範例

當您使用群組叢集建立數據物件時,群組會指派為對象的擁有者。

例如,如果您有連結至群組叢集的筆記本,並執行下列命令:

use catalog main;
create schema group_cluster_group_schema;

然後執行此查詢來檢查架構的擁有者:

describe schema group_cluster_group_schema;

群組架構 的範例描述

專用於稽核群組的計算活動

當群組叢集執行工作負載時,涉及兩個主要身分識別:

  1. 在群組叢集上執行工作負載的使用者
  2. 用來執行實際工作負載動作許可權的群組

稽核記錄資料表 在下列參數下記錄這些身份:

  • identity_metadata.run_by:驗證執行動作的使用者
  • identity_metadata.run_as:許可權用於動作的授權群組。

下列範例查詢會針對群組叢集所採取的動作提取身分識別元數據:

select action_name, event_time, user_identity.email, identity_metadata
from system.access.audit
where user_identity.email = "uc-group-cluster-group" AND service_name = "unityCatalog"
order by event_time desc limit 100;

檢視稽核記錄系統數據表參考以取得更多範例查詢。 請參閱 稽核記錄系統資料表參考

局限性

專用群組存取模式公開預覽具有下列已知限制:

  • 譜系系統資料表不會記錄執行於群組叢集的工作負載的 identity_metadata.run_as(授權群組)或 identity_metadata.run_by(驗證使用者)身份。
  • 傳送到客戶儲存空間的稽核日誌不會記錄在群組叢集上執行的工作負載的 identity_metadata.run_as(授權群組)或 identity_metadata.run_by(驗證使用者)身份資訊。 您必須使用 system.access.audit 數據表來檢視身分識別元數據。
  • 當附加至群組叢集時,目錄瀏覽器不會針對只有群組能存取的資產進行篩選。
  • 非群組成員的群組管理員無法建立、編輯或刪除群組叢集。 只有工作區管理員和群組成員可以這麼做。
  • 如果群組已重新命名,您必須手動更新參考組名的任何計算原則。
  • 停用 ACL 的工作區不支援群組叢集(isWorkspaceAclsEnabled == false),因為停用工作區 ACL 時固有的安全性和數據存取控制不足。
  • %run 命令目前會在群組叢集上執行時使用用戶的許可權,而不是群組的許可權。 dbutils.notebook.run() 等替代項目會正確使用群組的許可權。