Collegamento catalogo area di lavoro

Nel catalogo unity tutti i cataloghi sono accessibili per impostazione predefinita da qualsiasi area di lavoro collegata allo stesso metastore. L'associazione del catalogo dell'area di lavoro consente di eseguire l'override di questa impostazione predefinita per limitare un catalogo a una o più aree di lavoro specifiche. L'accesso da un'area di lavoro non vincolata viene negato, anche per gli utenti con privilegi espliciti concessi per il catalogo.

Perché utilizzare il collegamento del catalogo allo spazio di lavoro

I requisiti aziendali e di conformità spesso specificano che determinati dati devono rimanere accessibili solo in ambienti designati. Potrebbe anche essere necessario:

  • Isolare i dati di produzione da ambienti di sviluppo o test.
  • Impedire l'aggiunta di determinati domini dati.
  • Assicurarsi che i dati sensibili possano essere elaborati solo in aree di lavoro specifiche.

In Azure Databricks l'area di lavoro è l'ambiente di elaborazione dati primario e il catalogo è il dominio dati primario. L'associazione catalogo-ambiente di lavoro connette questi due concetti, consentendo ai proprietari dei cataloghi e agli utenti con il privilegio MANAGE di definire quali ambienti di lavoro possono accedere a quali cataloghi.

Funzionamento della connessione del catalogo all'area di lavoro

Quando si associa un catalogo a aree di lavoro specifiche, solo le aree di lavoro assegnate possono accedere al catalogo. Qualsiasi area di lavoro non presente nell'elenco assegnato riceve un errore quando gli utenti tentano di accedere al catalogo, sovrascrivendo qualsiasi concessione di privilegi individuali che tali utenti detengono.

Diagramma di associazione dell'area di lavoro del catalogo

In questo diagramma è prod_catalog associato a due aree di lavoro di produzione. Anche se un utente dispone di una SELECT concessione in una tabella in prod_catalog, non può accedere a tale tabella dall'area di lavoro Dev.

Accesso in sola lettura

Quando si associa un catalogo a un'area di lavoro, è possibile limitare facoltativamente tale area di lavoro all'accesso in sola lettura. Tutte le operazioni di scrittura da tale area di lavoro al catalogo vengono bloccate.

Comportamento predefinito del catalogo dell'area di lavoro

L'eccezione al comportamento di apertura predefinito è il catalogo delle aree di lavoro predefinito creato automaticamente per tutte le nuove aree di lavoro. Questo catalogo di aree di lavoro è associato solo alla propria area di lavoro per impostazione predefinita. Se si annulla l'associazione di questo catalogo o si estende l'accesso ad altre aree di lavoro, è necessario concedere manualmente le autorizzazioni necessarie, perché il gruppo di amministratori dell'area di lavoro è locale dell'area di lavoro e non può essere usato tra le aree di lavoro.

Applicazione a livello di piattaforma

I collegamenti tra catalogo e area di lavoro sono applicati coerentemente sulla piattaforma.

  • Le query dello schema delle informazioni restituiscono solo i cataloghi accessibili nell'area di lavoro corrente.
  • La derivazione dei dati e Esplora cataloghi mostrano solo i cataloghi assegnati all'area di lavoro corrente.

Cosa può essere vincolato alle aree di lavoro

L'associazione dell'area di lavoro si applica oltre i cataloghi. È anche possibile associare:

Associare un catalogo a una o più aree di lavoro

Per assegnare un catalogo a aree di lavoro specifiche, è possibile usare Esplora cataloghi o l'interfaccia della riga di comando di Databricks.

Autorizzazioni necessarie: amministratore metastore, proprietario del catalogo o MANAGE o USE CATALOG nel catalogo.

Annotazioni

Indipendentemente dal fatto che un catalogo sia assegnato all'area di lavoro corrente, gli amministratori del metastore possono visualizzare tutti i cataloghi in un metastore e i proprietari del catalogo possono visualizzare tutti i cataloghi di cui sono proprietari in un metastore. I cataloghi non assegnati all'area di lavoro vengono visualizzati in grigio e nessun oggetto figlio è visibile o su cui è possibile eseguire query.

Esploratore di cataloghi

  1. Effettua l'accesso a un'area di lavoro collegata al metastore.

  2. Fare clic sull'icona Dati.Catalogo.

  3. Nel riquadro Catalogo , a sinistra, fare clic sul nome del catalogo.

    Per impostazione predefinita, il riquadro principale Esplora Cataloghi visualizza l'elenco dei Cataloghi. È anche possibile selezionare il catalogo.

  4. Nella scheda Aree di lavoro, deselezionare la casella di controllo Tutte le aree di lavoro hanno accesso.

    Se il catalogo è già associato a una o più aree di lavoro, questa casella di controllo è già deselezionata.

  5. Fare clic su Assegna alle aree di lavoro e immettere o trovare le aree di lavoro da assegnare.

  6. (Facoltativo) Limitare l'accesso all'area di lavoro a sola lettura.

    Scegliere Cambia accesso in sola lettura dal menu Gestisci livello di accesso.

    È possibile invertire questa selezione in qualsiasi momento modificando il catalogo e selezionando Modifica l'accesso alla lettura e scrittura.

Per revocare l'accesso, passare alla scheda Aree di lavoro , selezionare l'area di lavoro e fare clic su Revoca.

CLI

Esistono due gruppi di comandi dell'interfaccia della riga di comando di Databricks e due passaggi necessari per assegnare un catalogo a un'area di lavoro.

Negli esempi seguenti sostituire <profile-name> con il nome del profilo di configurazione dell'autenticazione di Azure Databricks. Deve includere il valore di un token di accesso personale, oltre al nome dell'istanza dell'area di lavoro e all'ID dell'area di lavoro in cui è stato generato il token di accesso personale. Vedere Autenticazione del token di accesso personale (legacy).

  1. Usare il comando catalogs del gruppo di comandi update per impostare il isolation mode del catalogo su ISOLATED.

    databricks catalogs update <my-catalog> \
--isolation-mode ISOLATED \
--profile <profile-name>

    L'impostazione predefinita isolation-mode è OPEN a tutte le aree di lavoro collegate al metastore.

  2. Usa il comando del gruppo di comandi workspace-bindings e update-bindings per assegnare le aree di lavoro al catalogo.

    databricks workspace-bindings update-bindings catalog <my-catalog> \
--json '{
  "add": [{"workspace_id": <workspace-id>, "binding_type": <binding-type>}...],
  "remove": [{"workspace_id": <workspace-id>, "binding_type": "<binding-type>}...]
}' --profile <profile-name>

    Usare le proprietà "add" e "remove" per aggiungere o rimuovere associazioni di aree di lavoro. <binding-type> può essere "BINDING_TYPE_READ_WRITE" (impostazione predefinita) o "BINDING_TYPE_READ_ONLY".

Per elencare tutte le assegnazioni dello spazio di lavoro per un catalogo, utilizzare il comando workspace-bindings del gruppo di comandi get-bindings.

databricks workspace-bindings get-bindings catalog <my-catalog> \
--profile <profile-name>

Annullare l'associazione di un catalogo da un'area di lavoro

Le istruzioni per revocare l'accesso di un'area di lavoro a un catalogo tramite Esplora cataloghi o il gruppo di comandi della riga di comando workspace-bindings si trovano in Associare un catalogo a una o più aree di lavoro.

Importante

Se l'area di lavoro è stata abilitata automaticamente per Unity Catalog e si dispone di un catalogo di aree di lavoro predefinito, gli amministratori dell'area di lavoro sono proprietari di tale catalogo e dispongono di tutte le autorizzazioni per tale catalogo solo nell'area di lavoro. Se il catalogo viene scollegato o associato ad altri cataloghi, è necessario concedere manualmente le autorizzazioni necessarie ai membri del gruppo di amministratori dell'area di lavoro come singoli utenti o usando gruppi a livello di account, perché il gruppo di amministratori dell'area di lavoro è un gruppo locale dell'area di lavoro. Per altre informazioni sui gruppi di account e sui gruppi locali dell'area di lavoro, vedere Origini di gruppo.

  • Last updated on