Mengaktifkan akses data eksternal ke Unity Catalog
Azure Databricks menyediakan akses ke tabel Unity Catalog menggunakan katalog Unity REST API dan Iceberg REST.
Admin metastore harus mengaktifkan akses data eksternal untuk setiap metastore yang perlu Anda akses secara eksternal. Pengguna atau perwakilan layanan yang mengonfigurasi koneksi harus memiliki hak istimewa EXTERNAL USE SCHEMA
untuk setiap skema yang berisi tabel yang perlu Anda baca secara eksternal.
Unity REST API mendukung pembacaan langsung untuk tabel Delta, sementara katalog Iceberg REST mendukung pembacaan pada tabel yang diaktifkan untuk pembacaan Iceberg. Lihat Mengakses data Databricks menggunakan sistem eksternal.
Mengaktifkan akses data eksternal di metastore
Untuk mengizinkan mesin eksternal mengakses data di metastore, admin metastore harus mengaktifkan akses data eksternal untuk metastore. Opsi ini dinonaktifkan secara default untuk mencegah akses eksternal yang tidak sah.
Untuk mengaktifkan akses data eksternal, lakukan hal berikut:
- Di ruang kerja Azure Databricks yang terhubung ke metastore, klik ikon Katalog
Katalog.
- Klik ikon roda gigi
ikon roda gigi di bagian atas panel Katalogdan pilihMetastore . - Pada tab Detail, aktifkan Akses data eksternal.
Nota
Opsi ini hanya ditampilkan untuk pengguna dengan hak istimewa yang cukup. Jika Anda tidak melihat opsi ini, Anda tidak memiliki izin untuk mengaktifkan akses data eksternal untuk metastore.
Memberikan seorang kepala sekolah EXTERNAL USE SCHEMA
Klien eksternal yang terhubung ke Azure Databricks memerlukan otorisasi dari prinsipal yang cukup istimewa.
Azure Databricks mendukung OAuth dan token akses pribadi (PAT) untuk autentikasi. Lihat Mengotorisasi akses ke sumber daya Azure Databricks.
Prinsipal yang meminta kredensial sementara harus memiliki:
Hak akses
EXTERNAL USE SCHEMA
pada skema yang mengandung atau katalog induknya.Hak istimewa ini harus selalu diberikan secara eksplisit. Hanya pemilik katalog induk yang dapat memberikannya. Untuk menghindari eksfiltrasi yang tidak disengaja,
ALL PRIVILEGES
tidak menyertakan hak istimewaEXTERNAL USE SCHEMA
, dan pemilik skema tidak memiliki hak istimewa ini secara default.SELECT
hak akses pada tabel,USE CATALOG
hak akses pada katalog induknya, danUSE SCHEMA
hak akses pada skema induknya.
Contoh sintaks berikut menunjukkan pemberian EXTERNAL USE SCHEMA
kepada pengguna:
GRANT EXTERNAL USE SCHEMA ON SCHEMA catalog_name.schema_name TO `user@company.com`
Dengan asumsi pengguna memiliki izin untuk membaca semua tabel yang diinginkan dalam skema, tidak ada izin tambahan yang diperlukan. Jika Anda perlu memberikan izin untuk tambahan membaca tabel, lihat hak istimewa Katalog Unity dan objek yang bisa diatur keamanannya.