审核 Unity Catalog 资源的访问权限和活动

重要

Unity Catalog 目前为公共预览版。 要使用该预览版,请联系 Azure Databricks 代表。

本文介绍如何审核 Unity Catalog 的访问权限和活动。

要求

  • 必须是 Azure Databricks 中的帐户管理员。
  • Azure Databricks 帐户必须使用高级计划
  • 如有必要,请创建一个元存储
  • 将元存储链接到用于处理诊断日志的工作区。

配置诊断日志

Unity Catalog 捕获对元存储执行的操作的诊断日志。 这让你可以详细了解谁访问了给定数据集,并有助于满足合规性和业务要求。

  1. 为帐户中的每个工作区启用诊断日志

  2. 使用单一用户群集安全模式创建数据科学与工程群集。 请参阅创建数据科学与工程群集

  3. 将以下示例笔记本导入工作区并将其附加到刚刚创建的群集。 请参阅导入笔记本

    Unity Catalog 诊断日志分析

    获取笔记本

  4. 填写笔记本顶部的字段:

    • azure_resource_group:包含 Azure Databricks 工作区的 Azure 资源组的 ID。
    • azure_subscription_id:包含 Azure Databricks 工作区的 Azure 订阅的 ID。
    • log_category:(可选)按日志类别进行筛选。
    • storage_account_access_key:用来提供诊断日志的存储帐户的访问密钥。
    • storage_account_name:用来提供诊断日志的 Azure 存储帐户的名称。
    • workspace_name:Azure Databricks 工作区的名称。
  5. 运行笔记本以创建审核报告。

  6. 若要修改报告或返回给定用户的活动,请参阅笔记本中的命令 24。