Liaison espace de travail-catalogue

Dans le catalogue Unity, tous les catalogues sont accessibles par défaut à partir de n’importe quel espace de travail attaché au même metastore. La liaison de catalogue d’espaces de travail vous permet de remplacer cette valeur par défaut pour restreindre un catalogue à un ou plusieurs espaces de travail spécifiques. L’accès à partir d’un espace de travail indépendant est refusé, même pour les utilisateurs disposant de privilèges explicites sur le catalogue.

Pourquoi utiliser la liaison workspace-catalog

Les exigences d’organisation et de conformité spécifient souvent que certaines données doivent rester accessibles uniquement dans les environnements désignés. Vous devrez peut-être également :

• Isolez les données de production des environnements de développement ou de test.
• Empêcher la jonction de certains domaines de données.
• Vérifiez que les données sensibles ne peuvent être traitées que dans des espaces de travail spécifiques.

Dans Azure Databricks, l’espace de travail est l’environnement de traitement des données principal et le catalogue est le domaine de données principal. La liaison des espaces de travail et des catalogues connecte ces deux concepts, permettant aux propriétaires de catalogue et aux utilisateurs avec le privilège MANAGE de déterminer quels espaces de travail peuvent accéder à quels catalogues.

Fonctionnement de la liaison entre le catalogue et l’espace de travail

Lorsque vous liez un catalogue à des espaces de travail spécifiques, seuls les espaces de travail que vous attribuez peuvent accéder au catalogue. Tout espace de travail qui n'est pas dans la liste affectée génère une erreur lorsque les utilisateurs tentent d'accéder au catalogue, ce qui annule les privilèges individuels accordés à ces utilisateurs.

Dans ce diagramme, prod_catalog est lié à deux espaces de travail de production. Même si un utilisateur dispose d’une SELECT autorisation sur une table, prod_catalogil ne peut pas accéder à cette table à partir de l’espace de travail Dev.

Accès en lecture seule

Lors de la liaison d’un catalogue à un espace de travail, vous pouvez éventuellement restreindre cet espace de travail à un accès en lecture seule. Toutes les opérations d’écriture de cet espace de travail dans le catalogue sont bloquées.

Comportement du catalogue d’espaces de travail par défaut

L’exception au comportement d’ouverture par défaut est le catalogue d’espace de travail par défaut créé automatiquement pour tous les nouveaux espaces de travail. Ce catalogue d’espaces de travail est lié uniquement à son propre espace de travail par défaut. Si vous annulez la liaison de ce catalogue ou étendez l’accès à d’autres espaces de travail, vous devez accorder manuellement les autorisations requises, car le groupe d’administrateurs de l’espace de travail est local et ne peut pas être utilisé entre les espaces de travail.

Application à l’échelle de la plateforme

Les liaisons de catalogue d’espaces de travail sont appliquées de manière cohérente sur l’ensemble de la plateforme :

• Les requêtes de schéma d’informations retournent uniquement les catalogues accessibles dans l’espace de travail actuel.
• La traçabilité des données et l’Explorateur de catalogues affichent uniquement les catalogues affectés à l’espace de travail actuel.

Ce qui peut être associé aux espaces de travail

La liaison d’espace de travail s’applique au-delà des catalogues. Vous pouvez également lier :

• Emplacements externes : restreindre les espaces de travail pouvant accéder à des chemins de stockage cloud spécifiques. Voir (Facultatif) Affecter un emplacement externe à des espaces de travail spécifiques.
• Informations d’identification de stockage : limitez les espaces de travail qui peuvent utiliser des informations d’identification cloud spécifiques. Consultez (Facultatif) Attribuer un identifiant de stockage à des espaces de travail spécifiques.

• Informations d’identification du service : limitez les espaces de travail qui peuvent utiliser des informations d’identification de service cloud spécifiques. Voir (Facultatif) Affecter un identifiant de service à des espaces de travail spécifiques.

Lier un catalogue à un ou plusieurs espaces de travail

Pour affecter un catalogue à des espaces de travail spécifiques, vous pouvez utiliser Catalog Explorer ou Databricks CLI.

Autorisations requises: administrateur du metastore, propriétaire du catalogue ou MANAGE et USE CATALOG sur le catalogue.

Explorateur de catalogues

1. Connectez-vous à un espace de travail lié au metastore.

2. Cliquez sur Catalogue.

3. Dans le volet Catalogue, à gauche, cliquez sur le nom du catalogue.

   Le volet principal de Catalog Explorer est défini par défaut sur la liste Catalogs. Vous pouvez également sélectionner le catalogue.

4. Sous l’onglet Espaces de travail , désactivez la case à cocher Tous les espaces de travail ont accès .

   Si votre catalogue est déjà lié à un ou plusieurs espaces de travail, cette case à cocher est déjà désactivée.

5. Cliquez sur Affecter à des espaces de travail, puis entrez ou recherchez les espaces de travail que vous souhaitez attribuer.

6. (Facultatif) Spécifiez un accès en lecture seule à l’espace de travail.

   Dans le menu Gérer le niveau d’accès, sélectionnez Changer l’accès pour En lecture seule.

   Vous pouvez annuler cette sélection à tout moment en modifiant le catalogue et en sélectionnant Modifier l’accès en lecture et en écriture.

Pour révoquer l’accès, accédez à l’onglet Espaces de travail, sélectionnez l’espace de travail, puis cliquez sur Révoquer.

CLI

Il existe deux groupes de commandes Databricks CLI et deux étapes nécessaires pour affecter un catalogue à un espace de travail.

Dans les exemples suivants, remplacez <profile-name> par le nom de votre profil de configuration d’authentification Azure Databricks. Il doit inclure la valeur d’un jeton d’accès personnel, en plus du nom de l’instance de l’espace de travail et de l’ID d’espace de travail de l’espace de travail où vous avez généré le jeton d’accès personnel. Consultez l’authentification par jeton d’accès personnel (hérité) .

1. Utilisez la commande catalogs du groupe de commandes update pour définir le catalogue à isolation modeISOLATED:

   databricks catalogs update <my-catalog> \
   --isolation-mode ISOLATED \
   --profile <profile-name>
   

   La valeur par défaut isolation-mode concerne OPEN tous les espaces de travail attachés au metastore.

2. Utilisez la commande du workspace-bindings groupe update-bindings pour affecter les espaces de travail au catalogue :

   databricks workspace-bindings update-bindings catalog <my-catalog> \
   --json '{
     "add": [{"workspace_id": <workspace-id>, "binding_type": <binding-type>}...],
     "remove": [{"workspace_id": <workspace-id>, "binding_type": "<binding-type>}...]
   }' --profile <profile-name>
   

   Utilisez les propriétés "add" et "remove" pour ajouter ou supprimer des liaisons d’espace de travail. Le <binding-type> peut avoir la valeur "BINDING_TYPE_READ_WRITE" (par défaut) ou "BINDING_TYPE_READ_ONLY".

Pour répertorier toutes les attributions d’espace de travail pour un catalogue, utilisez la commande du groupe de commandes workspace-bindingsget-bindings :

databricks workspace-bindings get-bindings catalog <my-catalog> \
--profile <profile-name>

Dissocier un catalogue d’un espace de travail

Les instructions pour révoquer l’accès à un espace de travail à un catalogue à l’aide de Catalog Explorer ou du groupe de commandes CLI workspace-bindings sont fournies dans Lier un catalogue à un ou plusieurs espaces de travail.