vinculação de catálogo de espaço de trabalho

No Unity Catalog, todos os catálogos são acessíveis por default a partir de qualquer workspace conectado ao mesmo metastore. A vinculação de catálogo de espaço de trabalho permite que você substitua esse default para restringir um catálogo a um ou mais espaços de trabalho específicos. O acesso a partir de um workspace não vinculado é negado, mesmo para usuários com concessões de privilégios explícitas no catálogo.

Por que usar a vinculação de catálogo workspace ?

Os requisitos organizacionais e compliance frequentemente especificam que determinados dados devem permanecer acessíveis apenas em ambientes designados. Você também pode precisar de:

• Isolar os dados de produção dos ambientes de desenvolvimento ou teste.
• Impedir que determinados domínios de dados sejam unidos.
• Garanta que os dados sensíveis só possam ser processados em um espaço de trabalho específico.

No Databricks, o workspace é o principal ambiente de processamento de dados, e o catálogo é o principal domínio de dados. A vinculação espaço de trabalho-catálogo conecta esses dois conceitos, permitindo que os proprietários do catálogo e os usuários com o privilégio MANAGE definam qual espaço de trabalho pode acessar quais catálogos.

Como funciona a vinculação entre workspacee catálogo

Ao associar um catálogo a um espaço de trabalho específico, somente o espaço de trabalho atribuído poderá acessar o catálogo. Qualquer workspace que não esteja na lista atribuída gera um erro quando os usuários tentam acessar o catálogo, anulando quaisquer privilégios individuais concedidos a esses usuários.

Neste diagrama, prod_catalog está vinculado a dois espaços de trabalho de produção. Mesmo que um usuário possua uma concessão SELECT em uma tabela em prod_catalog, ele não poderá acessar essa tabela a partir do workspace Dev.

Acesso somente leitura

Ao vincular um catálogo a um workspace, você pode, opcionalmente, restringir o acesso desse workspace a somente leitura. Todas as operações de escrita desse workspace para o catálogo estão bloqueadas.

comportamento padrão do catálogo workspace

A exceção ao comportamento default de abertura é o catálogo workspace default criado automaticamente para todos os novos espaços de trabalho. Por default, este catálogo de workspace está vinculado apenas ao seu próprio workspace . Se você desvincular este catálogo ou estender o acesso a outros espaços de trabalho, deverá conceder manualmente todas as permissões necessárias, pois o grupo de administradores workspace é local workspacee não pode ser usado em outros espaços de trabalho.

Aplicação em toda a plataforma

As associações entre espaço de trabalho e catálogo são aplicadas de forma consistente em toda a plataforma:

• As consultas ao esquema de informações retornam apenas os catálogos acessíveis no workspace atual.
• A linhagem de dados e o Catalog Explorer mostram apenas os catálogos que estão atribuídos ao workspace atual.

O que pode ser vinculado ao espaço de trabalho?

A vinculação de espaço de trabalho aplica-se além dos catálogos. Você também pode vincular:

• Locais externos : restrinja quais espaços de trabalho podem acessar caminhos específicos de armazenamento cloud . Consulte Atribuir um local externo a um espaço de trabalho específico.

• Credenciais de armazenamento : restrinja qual espaço de trabalho pode usar credenciais específicas cloud . Consulte Atribuir uma credencial de armazenamento a um espaço de trabalho específico.

• Credenciais de serviço : restringem qual espaço de trabalho pode usar credenciais específicas de serviços cloud . Consulte (Opcional) Atribuir uma credencial de serviço a um espaço de trabalho específico.

Vídeo explicativo

Este vídeo demonstra como limitar o acesso ao catálogo a um espaço de trabalho específico (5 minutos).

Vincule um catálogo a um ou mais espaços de trabalho.

Para atribuir um catálogo a um espaço de trabalho específico, você pode usar o Catalog Explorer ou a CLI Databricks .

Permissões necessárias : Administrador do Metastore, proprietário do catálogo ou MANAGE e USE CATALOG no catálogo.

nota

Independentemente de um catálogo estar atribuído ao workspace atual, os administradores do metastore podem ver todos os catálogos em um metastore, e os proprietários de catálogos podem ver todos os catálogos que possuem em um metastore. Catálogos que não estão atribuídos ao workspace aparecem acinzentados, e nenhum objeto filho é visível ou consultável.

Catalog Explorer

1. Efetue login em um workspace vinculado ao metastore.

2. Clique Catálogo .

3. No painel Catálogo , à esquerda, clique no nome do catálogo.

   O painel principal do Explorador de Catálogos exibe por padrão a lista de Catálogos . Você também pode selecionar o catálogo lá.

4. Na guia Workspaces , desmarque a caixa de seleção Todos os workspaces têm acesso .

   Se o seu catálogo já estiver vinculado a um ou mais espaços de trabalho, esta caixa de seleção já estará desmarcada.

5. Clique em Atribuir a workspaces e digite ou localize os workspaces que deseja atribuir.

6. (Opcional) Limitar o acesso workspace a somente leitura.

   No menu Nível de acesso , selecione Alterar acesso para somente leitura .

   Você pode reverter essa seleção a qualquer momento editando o catálogo e selecionando Alterar acesso para leitura e gravação .

Para revogar o acesso, vá para a tab Workspaces , selecione o workspace e clique em Revogar .

CLI

São necessários dois grupos de comandos CLIDatabricks e duas etapas do sistema operacional para atribuir um catálogo a um workspace.

Nos exemplos a seguir, substitua <profile-name> pelo nome do seu perfil de configuração de autenticação do Databricks. Deve incluir o valor de um access token pessoal, além do nome da instância workspace e do ID do workspace workspace onde você gerou o access token pessoal. Consulte Autenticação access token pessoal (legado).

1. Use o comando update do grupo de comandos catalogs para definir o isolation mode do catálogo para ISOLATED:

   Bash

   databricks catalogs update <my-catalog> \
   --isolation-mode ISOLATED \
   --profile <profile-name>

   O padrão isolation-mode é OPEN para todos os workspaces anexados ao metastore.

2. Use o comando update-bindings do grupo de comandos workspace-bindings para atribuir o espaço de trabalho ao catálogo:

   Bash

   databricks workspace-bindings update-bindings catalog <my-catalog> \
   --json '{
     "add": [{"workspace_id": <workspace-id>, "binding_type": <binding-type>}...],
     "remove": [{"workspace_id": <workspace-id>, "binding_type": "<binding-type>}...]
   }' --profile <profile-name>

   Use as propriedades "add" e "remove" para adicionar ou remover associações de workspace . O <binding-type> pode ser "BINDING_TYPE_READ_WRITE" (default) ou "BINDING_TYPE_READ_ONLY".

Para listar todas as atribuições de workspace para um catálogo, use o comando get-bindings do grupo de comandos workspace-bindings :

Bash

databricks workspace-bindings get-bindings catalog <my-catalog> \
--profile <profile-name>

Desvincular um catálogo de um workspace

As instruções para revogar o acesso workspace a um catálogo usando o Catalog Explorer ou o grupo de comandos CLI workspace-bindings estão incluídas em Vincular um catálogo a um ou mais espaços de trabalho.

importante

Se o seu workspace foi habilitado automaticamente para Unity Catalog e você possui um catálogo workspace default , os administradores workspace são os proprietários desse catálogo e têm todas as permissões apenas para ele no workspace . Se você desvincular esse catálogo ou vinculá-lo a outros catálogos, deverá conceder manualmente todas as permissões necessárias aos membros do grupo de administradores do workspace como usuários individuais ou usando grupos em nível account , pois o grupo de administradores workspace é um grupo local workspace . Para obter mais informações sobre grupos account versus grupos locais workspace , consulte Fontes de grupo.