Поделиться через

Управление идентификацией, разрешениями и привилегиями для конвейеров DLT

  • Статья

В этой статье представлен обзор идентификаторов, разрешений и привилегий для процессов DLT.

Databricks рекомендует использовать каталог Unity для всех новых конвейеров DLT. По умолчанию материализованные представления и потоковые таблицы, созданные конвейерами, настроенными в каталоге Unity, могут запрашиваться только владельцем конвейера. См. Используйте каталог Unity с вашими конвейерами DLT.

Если конвейеры публикуют наборы данных в устаревшем хранилище метаданных Hive, см. статью Использование конвейеров DLT с устаревшим хранилищем метаданных Hive.

Общие лучшие практики по настройкам идентификации см. в лучшие практики по идентификации.

Какая учетная запись используется для обновления процесса?

Конвейеры DLT обрабатывают обновления, используя удостоверение владельца конвейера. Назначьте новому владельцу конвейера изменение удостоверения, используемого для запуска конвейера.

Databricks рекомендует устанавливать служебный принципал в качестве владельца конвейера. См. управление служебными учетными записями.

Кто может запустить обновление конвейера?

Обновления конвейера могут выполняться любым пользователем или субъектом-службой с разрешениями CAN RUN, CAN MANAGE или IS OWNER.

Настройка разрешений конвейера

Для управления разрешениями конвейера необходимо иметь разрешение CAN MANAGE или IS OWNER. Конвейеры используют списки управления доступом (ACL) для управления разрешениями. Полный список разрешений и их возможностей см. в разделе ACLs конвейера DLT.

  1. На боковой панели щелкните DLT.
  2. Выберите имя конвейера.
  3. Щелкните Поделиться. Откроется диалоговое окно "Параметры разрешений ".
  4. Щелкните Выберите пользователя, группу или субъект-службу... и выберите пользователя, группу или субъект-службу.
  5. Выберите разрешение в раскрывающемся меню разрешений.
  6. Нажмите кнопку Добавить.
  7. Нажмите кнопку Сохранить.

Разрешить пользователям, не являющихся администраторами, просматривать журналы драйверов из конвейера с поддержкой каталога Unity

По умолчанию только администраторы конвейера и администраторы рабочей области могут просматривать журналы драйверов из кластера, на котором запущен конвейер с поддержкой каталога Unity. Вы можете включить доступ к журналам драйверов для любого пользователя с CAN MANAGE, CAN VIEW или CAN RUN разрешения, добавив следующий параметр конфигурации Spark в объект configuration в параметрах конвейера:

{
  "configuration": {
    "spark.databricks.acl.needAdminPermissionToViewLogs": "false"
  }
}