取消
顯示的結果
而不是尋找
你的意思是:

總體安全/訪問權限的概念需要(合並表的訪問控製和憑據透傳),如何讓用戶兩個世界的好處

格哈德
新的貢獻者三世

我們有:

磚工作區溢價Azure

ADLS Gen2存儲原始數據,處理數據(表)和文件CSV、模型等。

我們要做的:

我們有用戶想研究磚來創建和使用Python的算法。我們有中央表是原始數據被攝入(工作)和用戶使用飼料的算法。

這些中央表維護的管理員和用戶隻能讀。在發展的過程中用戶還需要使用其他文件(例如CSV,模型文件等),因此需要一個存儲在ADLS訪問文件。

現在,用戶很喜歡SQL之間切換的能力,Python等等。提取所需的數據從中央表與SQL DF和轉換為熊貓做他們的東西,可能會把它帶回一個表。

主要的問題是,我不能把表訪問控製和憑據透傳(限製)。用戶應該一方麵能夠隻看到和查詢表訪問(不更新、刪除、刪除等),另一方麵,他們應該能夠自由地處理文件在另一個區域(ADLS容器)。

我已經花了不少時間在選項來限製訪問我的頭在工作區中以各自獨立的不同組的用戶和訪問。但是我還沒有找到理想的解決方案,。

這是我試過的。

訪問控製表

限製訪問某些表/視圖/等。但工作隻在HC集群和進一步訪問文件隻能掛載使用服務主體。所有其他用戶也將對數據的訪問。- >不是一種選擇

憑據透傳

工作和限製單個用戶的訪問在一個山以及直接(abfss: / /…)。我可以創建一個DB管理表,使用掛載位置。- >大但

工作不能模仿,因此山,因此表的訪問。我試圖添加一個服務主體用戶(scim-sp)和改變工作業主服務主體。但這並不奏效。我看到的唯一的選擇是直接創建表不是山,但位置abfss: / /……但理想我願與管理表使用一個山- >來源

問題是,用戶看到的數據庫和表,他們可能沒有訪問(ADLS)。更糟糕的是他們可以刪除表和DBs(不是底層數據)。,更糟糕的是更糟糕的是,他們可以用相同的名稱創建一個表,但在另一個位置,因此搞砸其他流程/工作運行數據的表。

JDBC / ODBC連接

供參考:表與憑證管理和位於山透傳不能通過JDBC訪問。他們必須位於abfss: / /和服務主體關鍵配置(見最佳實踐)必須配置集群中的火花。

這是我的情況,我錯過了一些選項。任何想法都是受歡迎的。

鏈接:

最佳實踐:https://docs.microsoft.com/en-us/azure/databricks/security/data-governance

表的訪問控製:https://docs.microsoft.com/en-us/azure/databricks/security/access-control/table-acls/

憑據透傳:https://docs.microsoft.com/en-us/azure/databricks/security/credential-passthrough/adls-passthrough

9回複9

RicksDB
因素二世

事實上,並沒有太多失蹤來滿足我們的安全需求。在我們的例子中,蜂巢也是我們的弱點。幸運的是,互動(憑證透傳)都包含在一個不同的工作空間所以沒有影響我們的“工作”如果有人刪除一個表的錯誤。工程/工作空間SDLC (dev /臨時/ prod環境)所以它減輕風險

這將是偉大的如果有人從磚可以確認是否統一目錄確實修複這些問題。

Alexander1
新的貢獻者三世

我們也有類似的問題。隻有兩個講話。你如何管理表在山嗎?我認為這些是有限的蜂巢metastore在默認位置。第二,你知道,你可以有一個和憑據透傳山嗎?這意味著一個廣告的用戶與訪問位置可以創建一個山和其他用戶隻能訪問(通過)如果他們的廣告標識也可以訪問這個位置。最大的缺點是訪問仍然是原始記錄是由越來越多的廣告賬戶這是不幸的。否則我們也等待統一。特別是磚SQL訪問目前基本上定期訪問控製,所以你需要兩個分開訪問控製的概念,是一種痛苦。

Hubert_Dudek1
尊敬的貢獻者三世

“你怎麼能成功掛載表?”這兩個數據庫和表可以設置位置。此外在蜂巢metastore是在Aws Rds Mysql數據庫——通常由磚(位置可以預覽日誌)。你也可以設置自己的蜂巢metastore磚在sql數據庫(瑪麗亞、postgres ms sql)和比可以放任何你想要的:slightly_smiling_face:

但回到問題是大問題,磚是意識到我們可以看到在視頻(推薦看)https://www.youtube.com/watch?v=aRMfxPZxnfc

VartikaNain
主持人
主持人

嘿@Gerhard砍伐樹木的人

希望你做得很好!

隻是想檢查如果你能解決你的問題或者你需要更多的幫助?我們很想聽到你的聲音。

謝謝!

格哈德
新的貢獻者三世

嘿@Vartika將近城門,

我們仍在同一情況如上所述。蜂巢Metastore是一個弱點。

我想有一個掛載的功能可以專注於一個給定的集群。

問候,格哈德

歡迎來到磚社區:讓學習、網絡和一起慶祝

加入我們的快速增長的數據專業人員和專家的80 k +社區成員,準備發現,幫助和合作而做出有意義的聯係。

點擊在這裏注冊今天,加入!

參與令人興奮的技術討論,加入一個組與你的同事和滿足我們的成員。

Baidu
map