gerenciar destinos de solicitações de acesso
Visualização
Este recurso está em pré-visualização pública.
Esta página explica como configurar destinos de solicitação de acesso para objetos protegidos no Unity Catalog. Esses destinos determinam para onde as solicitações de acesso são enviadas quando os usuários solicitam acesso aos objetos de dados.
O que são destinos de solicitação de acesso?
Quando os usuários solicitam acesso a um objeto em Unity Catalog (como uma tabela ou view), a solicitação é enviada para um ou mais destinos configurados. Os destinos podem ser qualquer um dos seguintes:
-
endereços de e-mail
-
Canal do Slack
-
Microsoft Canal de equipes
-
Ponto final do Webhook
-
Um URL de redirecionamento (para o sistema de solicitação de acesso externo da sua organização)
Somente um URL de redirecionamento pode ser configurado por objeto. Se um URL estiver definido, nenhum outro destino poderá ser definido e os usuários serão redirecionados para esse URL em vez de visualizar o formulário de solicitação no produto.
Como funcionam os destinos de solicitação de acesso
-
Se os destinos da solicitação de acesso estiverem configurados, os usuários poderão solicitar privilégios em objetos nos quais tenham o privilégio
BROWSEou uma URL direta para o objeto. Os usuários também podem solicitar privilégios quando encontrarem erros de permissão negada no Notebook, no editor de documentos do SQL ou em outras ferramentas de criação. -
Ao enviar uma solicitação, os usuários podem solicitar acesso para um ou mais principais, incluindo a si mesmos, a entidade de serviço, outros usuários ou grupos. A solicitação é roteada para os destinos configurados.
-
Os destinos podem ser configurados em metastores, catálogos, esquemas, credenciais de armazenamento, credenciais de serviço, locais externos e conexões.
-
Os destinos são herdados por objetos filhos, como tabelas e visualizações.
-
Se nenhum destino estiver configurado, os usuários não poderão solicitar acesso ao objeto.
Por default, nenhum destino está configurado em nenhum objeto. Para garantir que as solicitações de acesso sejam sempre entregues, a Databricks recomenda que você habilite default email destinos.
-
Se vários destinos estiverem configurados, a solicitação será enviada para todos eles.
-
Se um URL de redirecionamento estiver configurado, os usuários serão direcionados para o URL e não verão o formulário de solicitação de acesso.
-
Os administradores do espaço de trabalho podem configurar destinos externos seguindo as instruções em gerenciar destinos de notificação.
Habilite destinos default email
Databricks Recomenda-se habilitar destinos default email . Isso garante que as solicitações de acesso sejam entregues mesmo quando nenhum destino é configurado manualmente. Quando ativado, as solicitações de objetos do catálogo são enviadas para o endereço email do proprietário do catálogo, e as solicitações de objetos fora de um catálogo, como locais externos, são enviadas para o endereço email do proprietário do objeto.
A ativação de destinos default email garante que as solicitações de acesso sejam entregues mesmo quando nenhum destino estiver configurado manualmente para um objeto. Esta é a maneira mais rápida de começar a receber e responder a solicitações em toda a sua metastore do Unity Catalog.
Para habilitar destinos de default, é necessário ser administrador do metastore e administrador d workspace.
- No canto superior direito da sua página inicial do workspace, clique na sua foto de perfil e selecione Configurações .
- Clique em Notificações .
- Ative a opção “Habilitar destinos default para solicitações de acesso no UC ”.
Configurar destinos de solicitação de acesso em um objeto
Para configurar destinos para um catálogo ou esquema, você precisa ser administrador da metastore ou proprietário do objeto. Para configurar um destino de solicitação de acesso em um esquema, você também deve ter o privilégio USE CATALOG no catálogo principal.
Também é possível configurar destinos de solicitações de acesso utilizando a API Destinos de solicitações de acesso.
-
Em Databricks workspace, clique em
Catalog . -
Selecione um objeto protegível.
-
Clique no menu kebab “
” e selecione “gerenciar destinos de solicitações de acesso ”. -
Selecione um ou mais destinos email ou externos, ou configure um URL de redirecionamento. Se um URL for selecionado, nenhum outro tipo de destino poderá ser adicionado.
-
Clique em Atualizar .
Para desativar as solicitações de acesso , remova todos os destinos e desative a configuração de destino “ default ” (se estiver ativada).
Exemplos de solicitações de acesso
A seção a seguir mostra exemplos de solicitações de acesso enviadas para destinos diferentes.
e-mail
Os e-mails de solicitação de acesso são enviados a partir do endereço noreply@databricks.com.
Slack
Webhook (JSON)
{
"requesterName": "<first-name> <last-name> (<email>)",
"objectName": "<catalog>.<schema>.<table>",
"objectType": "Table",
"privileges": "SELECT",
"principalName": "<group-name>",
"onBehalfOf": "<group-name>",
"onBehalfOfType": "Group",
"comment": "My team needs access to run queries on this table.",
"databricksWorkspaceUrl": "https:/<account>.databricks.com/explore/data/<catalog>/<schema>/<table>?o=<table-id>&activeTab=permissions&showGrantModal=true&requestedPrivileges=SELECT&groupId=<group-id>"
}
Para obter informações sobre como integrar webhooks com ferramentas comuns, consulte o seguinte:
Aprovar uma solicitação de acesso
Para aprovar uma solicitação de acesso, siga o link enviado para sua notificação de solicitação de acesso. O link abre uma caixa de diálogo modal no seu workspace que exibe o solicitante, o objeto e os privilégios solicitados.
Em seguida, selecione um dos seguintes métodos de aprovação:
-
Adicione o principal ao (s) grupo (s) para adicionar o solicitante a um ou mais grupos existentes que tenham pelo menos um dos privilégios solicitados.
-
Conceda privilégios ao diretor para permitir que eles acessem o objeto diretamente. Você também pode selecionar predefinições de privilégios, como Data Reader , para conceder a um usuário uma coleção de privilégios.
