Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
I Unity Catalog är alla kataloger tillgängliga som standard från alla arbetsytor som är kopplade till samma metaarkiv. Med bindning av arbetsytekatalog kan du åsidosätta den här standardinställningen för att begränsa en katalog till en eller flera specifika arbetsytor. Åtkomst från en obunden arbetsyta nekas, även för användare med explicita behörighetsbidrag i katalogen.
Varför använda arbetsplatskatalogbindning
Organisations- och efterlevnadskrav anger ofta att vissa data endast måste vara tillgängliga i angivna miljöer. Du kan också behöva:
- Isolera produktionsdata från utvecklings- eller testmiljöer.
- Förhindra att vissa datadomäner kopplas samman.
- Se till att känsliga data bara kan bearbetas på specifika arbetsytor.
I Azure Databricks är arbetsytan den primära databearbetningsmiljön och katalogen är den primära datadomänen. Bindning av arbetsytekataloger ansluter dessa två begrepp så att katalogägare och användare med behörigheten MANAGE definierar vilka arbetsytor som kan komma åt vilka kataloger.
Så här fungerar bindning för arbetsytekatalog
När du binder en katalog till specifika arbetsytor kan endast de arbetsytor som du tilldelar komma åt katalogen. Alla arbetsytor som inte finns i den tilldelade listan får ett fel när användare försöker komma åt katalogen, vilket åsidosätter alla individuella privilegier som dessa användare har fått.
I det här diagrammet är prod_catalog bunden till två produktionsarbetsytor. Även om en användare har ett SELECT beviljande för en tabell i prod_catalogkan de inte komma åt tabellen från Dev-arbetsytan.
Skrivskyddad åtkomst
När du binder en katalog till en arbetsyta kan du välja att begränsa arbetsytan till skrivskyddad åtkomst. Alla skrivåtgärder från arbetsytan till katalogen blockeras.
Standardbeteende för arbetsytekatalog
Undantaget till standardbeteendet för öppna är standardkatalogen för arbetsytor som skapas automatiskt för alla nya arbetsytor. Den här arbetsytekatalogen är endast bunden till sin egen arbetsyta som standard. Om du avbindde den här katalogen eller utökar åtkomsten till andra arbetsytor måste du bevilja nödvändiga behörigheter manuellt, eftersom gruppen arbetsyteadministratörer är arbetsytelokal och inte kan användas mellan arbetsytor.
Plattformsomfattande tillämpning
Bindningar för arbetsytekatalog tillämpas konsekvent på hela plattformen:
- Informationsschemafrågor returnerar endast de kataloger som är tillgängliga på den aktuella arbetsytan.
- Data Lineage och Katalogutforskaren visar endast kataloger som har tilldelats till den aktuella arbetsytan.
Vad kan bindas till arbetsytor
Bindning av arbetsytor sträcker sig bortom kataloger. Du kan också binda:
- Externa platser: begränsa vilka arbetsytor som kan komma åt specifika molnlagringsvägar. Se (Valfritt) Tilldela en extern plats till specifika arbetsytor.
- Autentiseringsuppgifter för lagring: begränsa vilka arbetsytor som kan använda specifika molnautentiseringsuppgifter. Se (Valfritt) Tilldela en lagringsautentiseringsuppgift till specifika arbetsytor.
- Tjänstautentiseringsuppgifter: begränsa vilka arbetsytor som kan använda specifika autentiseringsuppgifter för molntjänsten. Se (Valfritt) Tilldela en tjänstautentiseringsuppgift till specifika arbetsytor.
Binda en katalog till en eller flera arbetsytor
Om du vill tilldela en katalog till specifika arbetsytor kan du använda Catalog Explorer eller Databricks CLI.
behörigheter som krävs: Metaarkivadministratör, katalogägare eller MANAGE och USE CATALOG på katalogen.
Note
Oavsett om en katalog har tilldelats till den aktuella arbetsytan kan metaarkivadministratörer se alla kataloger i ett metaarkiv och katalogägare kan se alla kataloger som de äger i ett metaarkiv. Kataloger som inte är tilldelade till arbetsytan visas nedtonade och inga underordnade objekt är synliga eller frågebara.
Katalogutforskaren
Logga in på en arbetsyta som är länkad till metaarkivet.
Klicka på
Katalog.Klicka på katalognamnet till vänster i fönstret Catalog.
Huvudpanelen i Katalogutforskaren har som standard listan Kataloger. Du kan också välja katalogen där.
På fliken Arbetsytor avmarkerar du kryssrutan Alla arbetsytor har åtkomst .
Om katalogen redan är bunden till en eller flera arbetsytor är den här kryssrutan redan avmarkerad.
Klicka på Tilldela till arbetsytor och ange eller hitta de arbetsytor som du vill tilldela.
(Valfritt) Begränsa åtkomsten till skrivskyddad arbetsyta.
På menyn Hantera åtkomstnivå väljer du Ändra åtkomst till skrivskyddad.
Du kan ångra det här valet när som helst genom att redigera katalogen och välja Ändra åtkomst till läs- & skriva.
Om du vill återkalla åtkomsten går du till fliken Arbetsytor , väljer arbetsytan och klickar på Återkalla.
CLI
Det finns två Databricks CLI kommandogrupper och två steg som krävs för att tilldela en katalog till en arbetsyta.
I följande exempel ersätter du <profile-name> med namnet på konfigurationsprofilen för Azure Databricks autentisering. Det bör innehålla värdet för en personlig åtkomsttoken, utöver arbetsytans instansnamn och arbetsyte-ID för arbetsytan där du genererade den personliga åtkomsttoken. Se Personlig åtkomsttokenautentisering (äldre).
catalogsAnvänd kommandogruppensupdatekommando för att ange katalogensisolation modetillISOLATED:databricks catalogs update <my-catalog> \ --isolation-mode ISOLATED \ --profile <profile-name>Standardinställningen
isolation-modeärOPENför alla arbetsytor som är kopplade till metaarkivet.workspace-bindingsAnvänd kommandogruppensupdate-bindingskommando för att tilldela arbetsytorna till katalogen:databricks workspace-bindings update-bindings catalog <my-catalog> \ --json '{ "add": [{"workspace_id": <workspace-id>, "binding_type": <binding-type>}...], "remove": [{"workspace_id": <workspace-id>, "binding_type": "<binding-type>}...] }' --profile <profile-name>Använd egenskaperna
"add"och"remove"för att lägga till eller ta bort arbetsytebindningar.<binding-type>Kan vara antingen"BINDING_TYPE_READ_WRITE"(standard) eller"BINDING_TYPE_READ_ONLY".
Om du vill visa en lista över alla arbetsytetilldelningar för en katalog använder du workspace-bindings kommandogruppens get-bindings kommando:
databricks workspace-bindings get-bindings catalog <my-catalog> \
--profile <profile-name>
Koppla bort en katalog från en arbetsyta
Instruktioner för att återkalla åtkomst till en katalog från en arbetsyta med hjälp av Catalog Explorer eller kommandogruppen workspace-bindings CLI finns i Binda en katalog till en eller flera arbetsytor.
Important
Om din arbetsyta har aktiverats för Unity Catalog automatiskt och du har en standardkatalog för arbetsytor äger arbetsyteadministratörerna katalogen och har alla behörigheter för katalogen endast på arbetsytan. Om du avbinder katalogen eller binder den till andra kataloger måste du manuellt bevilja nödvändiga behörigheter till medlemmarna i arbetsyteadmins-gruppen som enskilda användare eller genom att använda kontonivågrupper, eftersom arbetsyteadmins-gruppen är en arbetsytelokal grupp. Mer information om kontogrupper jämfört med arbetsytelokala grupper finns i Gruppkällor.