如果你有合適的政策在地方人們無法創建集群,集群與表啟用訪問控製可用然後是的,你本質上是由掛載點隻適用於那些可以使用它們訪問集群,或管理員。這將是類似於禁用坐騎,隻有通過會話作用域憑據訪問外部數據表示和管理訪問憑證通過訪問控製列表。
這兩種方法的差異歸結為我們可用來管理訪問的對象。訪問控製列表,或管理員角色+表訪問控製集群。
越來越多的天性使得每個人都訪問任何集群,可以看到掛載點。的方法,正如你所說,隻有表啟用訪問控製和離開隻有管理員能夠訪問文件級數據。但是你需要促進主要管理員能夠訪問文件數據,這可能是不必要的。
不安裝,隻有通過會話作用域憑據訪問文件數據允許您使用任何集群類型。然後您可以創建一個秘密範圍與訪問控製列表和指定哪些用戶/組訪問範圍,控製誰有權訪問文件數據最少特權的方式。
雲提供商指出:
- Azure磚工作區中的所有用戶能夠訪問安裝ADLS Gen2帳戶。您所使用的服務主體訪問ADLS Gen2賬戶應該隻被授予訪問ADLS Gen2賬戶;它不應該被授予訪問其他Azure資源。
- 當您創建一個掛載點通過一個集群,集群用戶可以立即訪問掛載點。使用掛載點運行在另一個集群,您必須運行dbutils.fs.refreshMounts(),運行集群使用新創建的掛載點。
- 卸載掛載點工作是運行時可能會導致錯誤。確保生產工作不會卸載存儲的一部分處理。
- 使用秘密是不會自動刷新的掛載點。如果安裝存儲依賴一個秘密旋轉,期滿,或被刪除,會發生錯誤,比如
- 401未授權。解決這樣一個錯誤,你必須卸載並重新安裝存儲。
