Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
In Unity Catalog zijn alle catalogi standaard toegankelijk vanuit elke werkruimte die is gekoppeld aan dezelfde metastore. Met binding voor werkruimtecatalogus kunt u deze standaardinstelling overschrijven om een catalogus te beperken tot een of meer specifieke werkruimten. Toegang vanuit een niet-afhankelijke werkruimte wordt geweigerd, zelfs voor gebruikers met expliciete bevoegdheden voor de catalogus.
Waarom werkruimtecatalogusbinding gebruiken
Organisatie- en nalevingsvereisten geven vaak aan dat bepaalde gegevens alleen toegankelijk moeten blijven in aangewezen omgevingen. Mogelijk moet u ook het volgende doen:
- Productiegegevens isoleren van ontwikkel- of testomgevingen.
- Voorkomen dat bepaalde gegevensdomeinen worden samengevoegd.
- Zorg ervoor dat gevoelige gegevens alleen kunnen worden verwerkt in specifieke werkruimten.
In Azure Databricks is de werkruimte de primaire omgeving voor gegevensverwerking en is de catalogus het primaire gegevensdomein. Werkruimte-catalogusbinding verbindt deze twee concepten om cataloguseigenaren en gebruikers met de MANAGE-privileges te laten bepalen welke werkruimten toegang hebben tot welke catalogi.
Hoe de binding van de werkruimtecatalogus werkt
Wanneer u een catalogus koppelt aan specifieke werkruimten, hebben alleen de werkruimten die u toewijst toegang tot de catalogus. Elke werkruimte die zich niet in de toegewezen lijst bevindt, zal een foutmelding ontvangen wanneer gebruikers toegang proberen te krijgen tot de catalogus, waardoor eventuele individuele bevoegdheden van die gebruikers worden overschreven.
In dit diagram prod_catalog is gekoppeld aan twee productiewerkruimten. Zelfs als een gebruiker een SELECT subsidie voor een tabel in prod_catalogheeft, heeft deze geen toegang tot die tabel vanuit de Dev-werkruimte.
Alleen-lezen toegang
Wanneer u een catalogus aan een werkruimte bindt, kunt u deze werkruimte desgewenst beperken tot alleen-lezentoegang. Alle schrijfbewerkingen van die werkruimte naar de catalogus worden geblokkeerd.
Standaardgedrag van werkruimtecatalogus
De uitzondering op het standaardgedrag voor openen is de standaardwerkruimtecatalogus die automatisch wordt gemaakt voor alle nieuwe werkruimten. Deze werkruimtecatalogus is standaard alleen gebonden aan een eigen werkruimte. Als u deze catalogus ontkoppelt of de toegang tot andere werkruimten uitbreidt, moet u alle vereiste machtigingen handmatig verlenen, omdat de werkruimtebeheerdersgroep werkruimte-lokaal is en niet kan worden gebruikt in werkruimten.
Platformbrede afdwinging
Bindingen voor werkruimtecatalogus worden op het platform consistent afgedwongen.
- Informatieschema-query's geven alleen de catalogi weer die toegankelijk zijn in de huidige werkruimte.
- Gegevensherkomst en Catalogusverkenner tonen alleen catalogi die zijn toegewezen aan de huidige werkruimte.
Wat kan worden gekoppeld aan werkruimtes
Werkruimtebinding is van toepassing buiten catalogi. U kunt ook het volgende binden:
- Externe locaties: beperken welke werkruimten toegang hebben tot specifieke cloudopslagpaden. Zie (optioneel) Een externe locatie toewijzen aan specifieke werkruimten.
- Opslagreferenties: beperken welke werkruimten specifieke cloudreferenties kunnen gebruiken. Zie (Optioneel) Een opslagreferentie toewijzen aan specifieke werkruimten.
- Servicereferenties: beperken welke werkruimten specifieke cloudservicereferenties kunnen gebruiken. Zie (Optioneel) Een servicereferentie toewijzen aan specifieke werkruimten.
Een catalogus verbinden met een of meer werkruimten
Als u een catalogus wilt toewijzen aan specifieke werkruimten, kunt u Catalog Explorer of de Databricks CLI gebruiken.
vereiste machtigingen: Metastore-beheerder, cataloguseigenaar of MANAGE en USE CATALOG in de catalogus.
Opmerking
Ongeacht of een catalogus is toegewezen aan de huidige werkruimte, kunnen metastore-beheerders alle catalogi in een metastore zien en cataloguseigenaren kunnen alle catalogi zien die ze bezitten in een metastore. Catalogi die niet aan de werkruimte zijn toegewezen, worden grijs weergegeven en onderliggende objecten zijn niet zichtbaar of doorzoekbaar.
Catalogusverkenner
Meld u aan bij een werkruimte die is gekoppeld aan de metastore.
Klik op
Catalogus.Klik in het deelvenster Catalogus aan de linkerkant op de catalogusnaam.
Het hoofdvenster Catalogusverkenner is standaard ingesteld op de cataloguslijst. U kunt ook de catalogus daar selecteren.
Schakel op het tabblad Werkruimten het selectievakje Alle werkruimten hebben toegang uit.
Als uw catalogus al is gebonden aan een of meer werkruimten, is dit selectievakje al uitgeschakeld.
Klik op Toewijzen aan werkruimten en voer de werkruimten in die u wilt toewijzen of zoek deze.
(Optioneel) Beperk de toegang tot de werkruimte tot alleen lezen.
In het menu Toegangsniveau beheren, selecteer Alleen-lezen toegang instellen.
U kunt deze selectie op elk gewenst moment omkeren door de catalogus te bewerken en De toegang tot lezen en schrijven wijzigen te selecteren.
Als u de toegang wilt intrekken, gaat u naar het tabblad Werkruimten , selecteert u de werkruimte en klikt u op Intrekken.
CLI
Er zijn twee Databricks CLI-opdrachtgroepen en twee stappen vereist om een catalogus toe te wijzen aan een werkruimte.
Vervang in de volgende voorbeelden <profile-name> door de naam van uw Azure Databricks-verificatieconfiguratieprofiel. Het moet de waarde van een persoonlijk toegangstoken bevatten, naast de naam van het werkruimte-exemplaar en de werkruimte-id van de werkruimte waarin u het persoonlijke toegangstoken hebt gegenereerd. Zie Persoonlijke toegangstokenverificatie (verouderd).
Gebruik de opdracht van de opdrachtgroep
catalogsom de catalogusupdatein te stellen opisolation mode:ISOLATEDdatabricks catalogs update <my-catalog> \ --isolation-mode ISOLATED \ --profile <profile-name>De standaardwaarde
isolation-modeisOPENvoor alle werkruimten die zijn gekoppeld aan de metastore.Gebruik de opdracht van de
workspace-bindingsopdrachtgroepupdate-bindingsom de werkruimten toe te wijzen aan de catalogus:databricks workspace-bindings update-bindings catalog <my-catalog> \ --json '{ "add": [{"workspace_id": <workspace-id>, "binding_type": <binding-type>}...], "remove": [{"workspace_id": <workspace-id>, "binding_type": "<binding-type>}...] }' --profile <profile-name>Gebruik de
"add"en"remove"eigenschappen om werkruimtebindingen toe te voegen of te verwijderen. De<binding-type>kan zijn"BINDING_TYPE_READ_WRITE"(standaard) of"BINDING_TYPE_READ_ONLY".
Als u alle werkruimtetoewijzingen voor een catalogus wilt weergeven, gebruikt u de opdracht van de workspace-bindings opdrachtgroep get-bindings :
databricks workspace-bindings get-bindings catalog <my-catalog> \
--profile <profile-name>
Een catalogus uit een werkruimte ontkoppelen
Instructies voor het intrekken van toegang tot een werkruimte tot een catalogus met behulp van Catalog Explorer of de workspace-bindings CLI-opdrachtgroep zijn opgenomen in Een catalogus koppelen aan een of meer werkruimten.
Important
Als uw werkruimte automatisch is ingeschakeld voor Unity Catalog en u een standaardwerkruimtecatalogus hebt, zijn werkruimtebeheerders eigenaar van die catalogus en beschikken ze alleen over alle machtigingen voor die catalogus in de werkruimte. Als u deze catalogus ontkoppelt of aan andere catalogi koppelt, moet u de vereiste machtigingen handmatig toewijzen aan de leden van de groep werkruimtebeheerders als afzonderlijke gebruikers of met behulp van groepen op accountniveau, omdat de werkruimtebeheerdersgroep een werkruimte-lokale groep is. Zie Groepsbronnen voor meer informatie over accountgroepen versus werkruimte-lokale groepen.