Povolení řízení přístupu k tabulce metastoru Hive v clusteru (starší verze)

Tento článek popisuje, jak povolit řízení přístupu k tabulce pro integrovaný metastore Hive v clusteru.

Informace o tom, jak nastavit oprávnění k zabezpečitelným objektům metastoru Hive po povolení řízení přístupu k tabulce v clusteru, najdete v tématu Oprávnění metastoru Hive a zabezpečitelné objekty (starší verze).

Povolení řízení přístupu k tabulce pro cluster

Řízení přístupu k tabulce je k dispozici ve dvou verzích:

• Řízení přístupu k tabulce pouze SQL, které omezuje uživatele na příkazy SQL.
• Řízení přístupu k tabulce Python a SQL, které umožňuje uživatelům spouštět příkazy SQL, Python a PySpark.

Modul runtime Machine Learning nepodporuje řízení přístupu k tabulce.

Řízení přístupu k tabulce jen PRO SQL

Tato verze řízení přístupu k tabulce omezuje uživatele pouze na příkazy SQL.

Pokud chcete povolit řízení přístupu k tabulce pouze SQL v clusteru a omezit ho tak, aby používal pouze příkazy SQL, nastavte následující příznak v souboru Spark conf clusteru:

spark.databricks.acl.sqlOnly true

Řízení přístupu k tabulce v Pythonu a SQL

Tato verze řízení přístupu k tabulce umožňuje uživatelům spouštět příkazy Pythonu, které používají rozhraní API datového rámce i SQL. Když je v clusteru povolená, uživatelé v daném clusteru:

• Může přistupovat ke Sparku pouze pomocí rozhraní SPARK SQL API nebo rozhraní DataFrame API. V obou případech je přístup k tabulkám a zobrazením omezený správci podle oprávnění Azure Databricks , která můžete udělit pro objekty metastoru Hive.
• Musí spouštět své příkazy na uzlech clusteru jako uživatel s nízkými oprávněními, který zakázal přístup k citlivým částem systému souborů nebo vytvářet síťová připojení k portům jiným než 80 a 443.
  • Pouze integrované funkce Sparku můžou vytvářet síťová připojení na jiných portech než 80 a 443.
  • Data z externích databází můžou prostřednictvím konektoru PySpark JDBC číst jenom uživatelé nebo uživatelé pracovního prostoru s oprávněním ANY FILE.
  • Pokud chcete, aby procesy Pythonu měly přístup k dalším odchozím portům, můžete konfiguraci spark.databricks.pyspark.iptable.outbound.whitelisted.ports Sparku nastavit na porty, ke které chcete povolit přístup. Podporovaný formát konfigurační hodnoty je [port[:port][,port[:port]]...]například: 21,22,9000:9999. Port musí být v platném rozsahu, 0-65535tj. .

Pokusy o vyřešení těchto omezení selžou s výjimkou. Tato omezení platí, aby uživatelé nikdy neměli přístup k neprivilegovaným datům prostřednictvím clusteru.

Povolení řízení přístupu k tabulce pro váš pracovní prostor

Aby uživatelé mohli nakonfigurovat řízení přístupu k tabulce Pythonu a SQL, musí pracovní prostor Azure Databricks povolit řízení přístupu k tabulce pro pracovní prostor Azure Databricks a odepřít uživatelům přístup ke clusterům, které nejsou povolené pro řízení přístupu k tabulce.

1. Přejděte na stránku nastavení.
2. Klikněte na kartu Zabezpečení.
3. Zapněte možnost Řízení přístupu k tabulce.

Vynucení řízení přístupu k tabulce

Pokud chcete zajistit, aby uživatelé měli přístup jenom k datům, která jim chcete povolit, musíte omezit uživatele na clustery s povoleným řízením přístupu k tabulce. Zejména byste měli zajistit, aby:

• Uživatelé nemají oprávnění k vytváření clusterů. Pokud vytvoří cluster bez řízení přístupu k tabulce, bude mít přístup k jakýmkoli datům z daného clusteru.
• Uživatelé nemají oprávnění PŘIPOJIT K žádnému clusteru, který není povolený pro řízení přístupu k tabulce.

Další informace najdete v tématu Výpočetní oprávnění .

Vytvoření clusteru s povoleným řízením přístupu k tabulce

Řízení přístupu k tabulce je ve výchozím nastavení povolené v clusterech s režimem sdíleného přístupu.

Pokud chcete vytvořit cluster pomocí rozhraní REST API, přečtěte si téma Vytvoření nového clusteru.

Nastavení oprávnění pro datový objekt

Viz oprávnění metastoru Hive a zabezpečitelné objekty (starší verze).