Biblioteca Allowlist e script de inicialização em compute com modo de acesso padrão (anteriormente modo de acesso compartilhado)
Em Databricks Runtime 13.3 LTS e acima, o senhor pode adicionar biblioteca e script de inicialização ao allowlist em Unity Catalog. Isso permite que os usuários aproveitem esses artefatos no site compute configurado com o modo de acesso padrão.
Você pode listar um diretório ou caminho de arquivo na lista de permissões antes que esse diretório ou arquivo exista. Consulte Fazer upload de arquivos para um volume do Unity Catalog.
Você deve ser administrador da metastore ou ter o privilégio MANAGE ALLOWLIST para modificar a lista de permissões. Consulte gerenciar ALLOWLIST.
As bibliotecas usadas como drivers JDBC ou fontes de dados personalizadas Spark no padrão habilitado para o Unity Catalog compute exigem permissões ANY FILE.
Algumas bibliotecas instaladas armazenam os dados de todos os usuários em um diretório temporário comum. Essas bibliotecas podem comprometer o isolamento do usuário.
Como adicionar itens à lista de permissões
O senhor pode adicionar itens ao site allowlist com o Catalog Explorer ou com a API REST.
Para abrir a caixa de diálogo para adicionar itens à lista de permissões no Catalog Explorer, faça o seguinte:
- Em seu site Databricks workspace, clique em
Catalog . - Clique
para abrir a interface de usuário de detalhes e permissões do metastore. - Selecione Allowed JARs/init script .
- Clique em Adicionar .
Essa opção só é exibida para usuários suficientemente privilegiados. Se não for possível acessar a interface do usuário da lista de permissões, entre em contato com o administrador da metastore para obter assistência na lista de permissões da biblioteca e no script de inicialização.
Adicionar um init script à lista de permissões
Conclua as etapas a seguir na caixa de diálogo da lista de permissões para adicionar um init script à lista de permissões:
- Em Type , selecione init script .
- Em Tipo de origem , selecione Volume ou o protocolo de armazenamento de objetos.
- Especifique o caminho de origem a ser adicionado à lista de permissões. Consulte Como as permissões nos caminhos são aplicadas na lista de permissões? .
Adicionar um JAR à lista de permissões
Conclua as etapas a seguir na caixa de diálogo da lista de permissões para adicionar um JAR à lista de permissões:
- Para Type , selecione JAR .
- Em Tipo de origem , selecione Volume ou o protocolo de armazenamento de objetos.
- Especifique o caminho de origem a ser adicionado à lista de permissões. Consulte Como as permissões nos caminhos são aplicadas na lista de permissões? .
Adicionar coordenadas do Maven à lista de permissões
Conclua as etapas a seguir na caixa de diálogo da lista de permissões para adicionar as coordenadas do Maven à lista de permissões:
- Para Type , selecione Maven .
- Em Tipo de origem , selecione Coordenadas .
- Insira as coordenadas no seguinte formato:
groudId:artifactId:version.- O senhor pode incluir todas as versões de uma biblioteca, permitindo o seguinte formato:
groudId:artifactId. - Você pode incluir todos os artefatos em um grupo listando o seguinte formato:
groupId.
- O senhor pode incluir todas as versões de uma biblioteca, permitindo o seguinte formato:
Como as permissões nos caminhos são aplicadas na lista de permissões?
O senhor pode usar a lista de permissões para conceder acesso a JARs ou scripts de inicialização armazenados nos volumes Unity Catalog e no armazenamento de objetos. Se você adicionar um caminho para um diretório em vez de um arquivo, as permissões da lista de permissões se propagarão para os arquivos e diretórios contidos.
A correspondência de prefixos é usada para todos os artefatos armazenados nos volumes do Unity Catalog ou no armazenamento de objetos. Para evitar a correspondência de prefixos em um determinado nível de diretório, inclua uma barra final (/). Por exemplo, /Volumes/prod-libraries/ não realizará a correspondência de prefixo para arquivos com prefixo prod-libraries. Em vez disso, todos os arquivos e diretórios em /Volumes/prod-libraries/ são adicionados à lista de permissões.
Você pode definir permissões nos seguintes níveis:
- O caminho base para o volume ou contêiner de armazenamento.
- Um diretório aninhado em qualquer profundidade do caminho base.
- Um único arquivo.
Adicionar um caminho à lista de permissões significa apenas que o caminho pode ser usado para o script de inicialização ou para a instalação do JAR. O Databricks ainda verifica as permissões de acesso aos dados no local especificado.
O principal usado deve ter permissões READ VOLUME no volume especificado. Consulte VOLUME DE LEITURA.
No modo de acesso dedicado (antigo modo de acesso de usuário único), a identidade do principal atribuído (um usuário ou grupo) é usada.
No modo de acesso padrão:
- biblioteca use a identidade do instalador da biblioteca.
- O script init usa a identidade do proprietário do clustering.
O modo de acesso compartilhado sem isolamento não suporta volumes, mas usa a mesma atribuição de identidade do modo de acesso padrão.
Databricks recomenda a configuração de todos os privilégios de armazenamento de objetos relacionados ao script de inicialização e à biblioteca com permissões somente leitura. Os usuários com permissões de gravação nesses locais podem potencialmente modificar o código nos arquivos do biblioteca ou no script de inicialização.
Databricks Recomenda-se usar o perfil de instância para gerenciar o acesso a JARs ou ao script de inicialização armazenado em S3. Use a documentação a seguir no link de referência cruzada para concluir essa configuração:
- Crie um IAM role com permissões de leitura e lista em seus buckets desejados. Veja o tutorial: Configurar o acesso S3 com um instance profile.
- Inicie um clustering com o endereço instance profile. Veja o perfil da instância.
As permissões de lista de permissão para JARs e script de inicialização são gerenciadas separadamente. Se você usar o mesmo local para armazenar os dois tipos de objetos, deverá adicionar o local à lista de permissões de cada um.