Membatasi akses katalog ke ruang kerja tertentu

Artikel ini memperkenalkan pengikatan katalog ruang kerja, dan menjelaskan cara mengikat katalog Unity Catalog ke ruang kerja Azure Databricks untuk mencegah ruang kerja lain di akun Azure Databricks Anda mengaksesnya.

Apa itu pengikatan katalog ruang kerja?

Jika Anda menggunakan ruang kerja untuk mengisolasi akses data pengguna, Anda dapat membatasi akses katalog ke ruang kerja tertentu di akun Anda, juga dikenal sebagai pengikatan katalog ruang kerja. Secara default, katalog tersebut dibagikan dengan semua ruang kerja yang terhubung ke metastore saat ini.

Pengecualian untuk default ini adalah katalog ruang kerja yang dibuat secara otomatis untuk semua ruang kerja baru. Katalog ruang kerja ini hanya terikat ke ruang kerja Anda, kecuali Anda memilih untuk memberi ruang kerja lain akses ke ruang kerja tersebut. Untuk informasi penting tentang menetapkan izin jika Anda melepaskan ikatan katalog ini, lihat Melepaskan katalog dari ruang kerja.

Anda dapat mengizinkan akses baca dan tulis ke katalog dari ruang kerja, atau Anda dapat menentukan akses baca-saja. Jika Anda menentukan baca-saja, maka semua operasi tulis diblokir dari ruang kerja tersebut ke katalog tersebut.

Kasus penggunaan umum untuk mengikat katalog ke ruang kerja tertentu meliputi:

• Memastikan bahwa pengguna hanya dapat mengakses data produksi dari lingkungan ruang kerja produksi.
• Memastikan bahwa pengguna hanya dapat memproses data sensitif dari ruang kerja khusus.
• Memberi pengguna akses baca-saja ke data produksi dari ruang kerja pengembang untuk mengaktifkan pengembangan dan pengujian.

Contoh pengikatan katalog ruang kerja

Ambil contoh isolasi produksi dan pengembangan. Jika Anda menentukan bahwa katalog data produksi Anda hanya dapat diakses dari ruang kerja produksi, ini menggantikan setiap pemberian individu yang dikeluarkan untuk pengguna.

Dalam diagram ini, prod_catalog terikat ke dua ruang kerja produksi. Misalkan pengguna telah diberikan akses ke tabel di prod_catalog yang disebut my_table (menggunakan GRANT SELECT ON my_table TO <user>). Jika pengguna mencoba mengakses my_table di ruang kerja Dev, mereka menerima pesan kesalahan. Pengguna hanya dapat mengakses my_table dari ruang kerja Prod ETL dan Prod Analytics.

Pengikatan katalog ruang kerja diperhatikan di semua area platform. Misalnya, jika Anda mengkueri skema informasi, Anda hanya melihat katalog yang dapat diakses di ruang kerja tempat Anda mengeluarkan kueri. Silsilah data dan UI pencarian juga hanya menampilkan katalog yang ditetapkan ke ruang kerja (baik menggunakan pengikatan atau secara default).

Mengikat katalog ke satu atau beberapa ruang kerja

Untuk menetapkan katalog ke ruang kerja tertentu, Anda dapat menggunakan Catalog Explorer atau Databricks CLI.

Izin diperlukan : Administrator metastore, pemilik katalog, atau MANAGE dan USE CATALOG pada katalog.

Penjelajah Katalog

1. Masuk ke ruang kerja yang ditautkan ke metastore.

2. Klik ikon Katalog Katalog.

3. Di panel Katalog, di sebelah kiri, klik nama katalog.

   Panel Utama Penjelajah Katalog secara default ke daftar Katalog . Anda juga dapat memilih katalog di sana.

4. Pada tab Ruang Kerja, kosongkan kotak centang Semua ruang kerja memiliki akses .

   Jika katalog Anda sudah terikat ke satu atau beberapa ruang kerja, kotak centang ini sudah dihapus.

5. Klik Tetapkan ke ruang kerja dan masukkan atau temukan ruang kerja yang ingin Anda tetapkan.

6. (Opsional) Batasi akses ruang kerja ke hanya baca.

   Pada menu Kelola Tingkat Akses, pilih Ubah akses menjadibaca-saja.

   Anda dapat membalikkan pilihan ini kapan saja dengan mengedit katalog dan memilih Mengubah akses untuk membaca & menulis.

Untuk mencabut akses, buka tab Ruang Kerja , pilih ruang kerja, dan klik Cabut.

CLI

Ada dua grup perintah Databricks CLI dan dua langkah yang diperlukan untuk menetapkan katalog ke ruang kerja.

Dalam contoh berikut, ganti <profile-name> dengan nama profil konfigurasi autentikasi Azure Databricks Anda. Ini harus mencakup nilai token akses pribadi, selain nama instans dan ID dari ruang kerja tempat Anda membuat token akses pribadi. Lihat Autentikasi token akses pribadi Azure Databricks.

1. Gunakan perintah update dari grup perintah catalogs untuk mengatur isolation mode dari katalog ke ISOLATED:

   databricks catalogs update <my-catalog> \
   --isolation-mode ISOLATED \
   --profile <profile-name>
   

   isolation-mode Defaultnya adalah OPEN untuk semua ruang kerja yang dilampirkan ke metastore.

2. Gunakan perintah update-bindings grup perintah workspace-bindings untuk menetapkan ruang kerja ke katalog:

   databricks workspace-bindings update-bindings catalog <my-catalog> \
   --json '{
     "add": [{"workspace_id": <workspace-id>, "binding_type": <binding-type>}...],
     "remove": [{"workspace_id": <workspace-id>, "binding_type": "<binding-type>}...]
   }' --profile <profile-name>
   

   Gunakan properti "add" dan "remove" untuk menambahkan atau menghapus pengikatan ruang kerja. <binding-type> dapat berupa “BINDING_TYPE_READ_WRITE” (default) atau “BINDING_TYPE_READ_ONLY”.

Untuk mencantumkan semua penetapan ruang kerja dalam sebuah katalog, gunakan perintah get-bindings dari grup perintah workspace-bindings.

databricks workspace-bindings get-bindings catalog <my-catalog> \
--profile <profile-name>

Melepaskan katalog dari ruang kerja

Instruksi untuk mencabut akses ruang kerja ke katalog menggunakan Catalog Explorer atau grup perintah CLI workspace-bindings disertakan dalam Mengikat katalog ke satu atau beberapa ruang kerja.