Táblázat hozzáférés-vezérlésének engedélyezése egy fürtön

Megjegyzés

Ez a cikk az engedélyezési lista kifejezésre mutató hivatkozásokat tartalmaz,amelyek a Azure Databricks már nem használják. Amikor eltávolítjuk a kifejezést a szoftverből, eltávolítjuk a cikkből.

Ez a cikk a tábla hozzáférés-vezérlésének fürtön való engedélyezését ismerteti.

Az adatobjektumok jogosultságait a tábla hozzáférés-vezérlésének fürtön való engedélyezése után való beállítására vonatkozó információkért lásd: Adatobjektumok jogosultságai.

Táblázat hozzáférés-vezérlésének engedélyezése fürtön

A táblázat hozzáférés-vezérlése két verzióban érhető el:

  • SQL táblázatos hozzáférés-vezérlést,amely a felhasználók számára SQL parancsokat. A Apache Spark SQL API-ra van korlátozva, ezért nem használhat Olyan Python-, Scala-, R-, RDD API-kat vagy ügyfeleket,amelyek közvetlenül olvasnak adatokat a felhőalapú tárolóból, például a DBUtilsból.
  • A Python és SQL táblázat hozzáférés-vezérlése,amely lehetővé teszi a SQL, Python és PySpark parancsok futtatását. A Spark SQL API-ra és a DataFrame API-ra van korlátozva, ezért nem használhat Scala, R, RDD API-kat vagyolyan ügyfeleket, amelyek közvetlenül beolvassák az adatokat a felhőalapú tárolóból, például a DBUtilsból.

Fontos

A rendszergazdák akkor is hozzáférhetnek a fájlszintű adatokhoz Azure Databricks ha a táblázat hozzáférés-vezérlése engedélyezve van egy fürtön.

SQL táblázat hozzáférés-vezérlése

A táblázat hozzáférés-vezérlésének ezen verziója arra korlátozza a felhasználókat, SQL parancsokat.

Ha engedélyezni SQL csak tábla hozzáférés-vezérlését egy fürtön, és korlátozni szeretné, hogy a fürt csak SQL-parancsokat használjon, állítsa be a következő jelzőt a fürt Spark-konfigurációján:

spark.databricks.acl.sqlOnly true

Megjegyzés

A SQL tábla hozzáférés-vezérlését nem befolyásolja a Access Control engedélyezése beállítás a felügyeleti konzolon. Ez a beállítás csak a Teljes munkaterületre kiterjedően szabályozza a Python és SQL hozzáférés-vezérlését.

Python és SQL táblázat hozzáférés-vezérlése

A tábla hozzáférés-vezérlésének ezen verziója lehetővé teszi a felhasználók számára a DataFrame API-t használó Python-parancsok futtatását, valamint SQL. Ha engedélyezve van egy fürtön, a fürtön a felhasználók:

  • A Sparkhoz csak a Spark SQL API vagy a DataFrame API használatával férhet hozzá. A táblákhoz és nézetekhez való hozzáférést mindkét esetben a rendszergazdák korlátozzák a Azure Databricks adatirányítási modellnek megfelelően.
  • A parancsokat olyan alacsony jogosultságú felhasználóként kell futtatnia a fürtcsomópontokon, amely nem fér hozzá a fájlrendszer bizalmas részeihez, vagy nem hoz létre hálózati kapcsolatokat a 80-as és a 443-as portokon.
    • Csak a beépített Spark-függvények hozhatnak létre hálózati kapcsolatokat a 80-as és a 443-as porton kívül.
    • A PySpark JDBC-összekötőnkeresztül csak a rendszergazdai vagy BÁRMELY FÁJL jogosultsággal rendelkező felhasználók olvashatnak adatokat külső adatbázisokból.
    • Ha azt szeretné, hogy a Python-folyamatok további kimenő portokhoz is hozzáférjenek, beállíthatja a Spark konfigurációját a hozzáférést engedélyezni kívánt portokra. A konfigurációs érték támogatott formátuma például a [port[:port][,port[:port]]...] következő: 21,22,9000:9999 . A portnak az érvényes tartományon belül kell lennie, azaz 0-65535 .

Az ilyen korlátozásokat meg nem próbáló kísérletek kivétellel meghiúsulnak. Ezek a korlátozások azért vannak érvényben, hogy a felhasználók soha ne férnek hozzá a nem rendszer-jogosultságú adatokhoz a fürtön keresztül.

Követelmények

Mielőtt a felhasználók konfigurálni tudjanak a Pythont SQL tábla hozzáférés-vezérlését, a rendszergazdának a Azure Databricks kell:

  • Tábla hozzáférés-vezérlésének engedélyezése a Azure Databricks munkaterületen.
  • Tiltsa le a felhasználók hozzáférését a tábla hozzáférés-vezérléséhez nem engedélyezett fürtökhöz. A gyakorlatban ez azt jelenti, hogy a legtöbb felhasználónak megtagadja a fürtök létrehozására vonatkozó engedélyét, és megtagadja a felhasználóktól a Csatolható engedélyt a tábla hozzáférés-vezérlésére nem engedélyezett fürtökre.

További információ mindkét követelményről: Enable table access control for your workspace (Tábla hozzáférés-vezérlésének engedélyezése a munkaterületen).

Tábla hozzáférés-vezérléséhez engedélyezett fürt létrehozása

Fürt létrehozásakor kattintson a Táblázat hozzáférés-vezérlésének engedélyezése lehetőségre, és csak a Python és SQL engedélyezése lehetőségre. Ez a lehetőség csak magas egyidejűségi szintű fürtök esetén érhető el.

Enable table access control

A fürt táblázatos hozzáférés-vezérléshez való REST API lásd: Fürt létrehozása tábla hozzáférés-vezérléshez példa.

Jogosultságok beállítása adatobjektumon

Lásd: Adatobjektumok jogosultságai.