Blog

Danh mục Unity (Unity Catalog) – Mô hình đặc quyền dữ liệu và kiểm soát truy cập

databricks

Hiểu rõ về mô hình truy cập đối tượng là điều cần thiết khi sử dụng Databricks. Mục đích là để triển khai quản trị dữ liệu ở quy mô lớn bằng Unity Catalog. Hơn nữa, nếu bạn đã triển khai mô hình Table ACL. Hoặc bạn đang muốn nâng cấp lên Unity Catalog để tận dụng tất cả các tính năng mới nhất. Chẳng hạn như hỗ trợ đa ngôn ngữ, kiểm soát truy cập tập trung và dòng dữ liệu . Ngoài ra bài viết còn cung cấp thêm thông tin để bạn hiểu rõ hơn về danh mục Unity.

Mô hình truy cập danh mục Axioms of Unity

Các đặc quyền của Danh mục Unity được xác định tại metastore 

Các quyền của Danh mục Unity luôn đề cập đến các danh tính cấp tài khoản. Trong khi các quyền TACL được xác định trong danh mục hive_metastore. Chúng luôn đề cập đến các danh tính cục bộ trong không gian làm việc

Kế thừa đặc quyền 

Các đối tượng trong Unity Catalog được phân cấp và các đặc quyền được kế thừa từ dưới lên. Đối tượng cấp cao nhất mà các đặc quyền được kế thừa là danh mục

Quyền sở hữu đối tượng là quan trọng 

Đặc quyền chỉ có thể được cấp bởi quản trị viên metastore. Chủ sở hữu đối tượng hoặc chủ sở hữu danh mục hoặc lược đồ chứa đối tượng. Chỉ chủ sở hữu của một đối tượng hoặc chủ sở hữu của danh mục hoặc lược đồ chứa nó mới có thể bỏ đối tượng.

Sủ dụng đặc quyền cho các ranh giới 

SỬ DỤNG CATALOG/SCHEMA là cần thiết để tương tác với các đối tượng trong một danh mục/lược đồ. Tuy nhiên, đặc quyền SỬ DỤNG không cho phép một người duyệt siêu dữ liệu đối tượng. Nó nằm trong danh mục/lược đồ

Quyền trên các đối tượng dẫn xuất được đơn giản hóa 

Danh mục Unity chỉ yêu cầu chủ sở hữu của chế độ xem có đặc quyền CHỌN. Nó cùng với SỬ DỤNG SCHEMA trên lược đồ mẹ của chế độ xem và SỬ DỤNG CATALOG trên danh mục mẹ. Ngược lại với TACL. Chủ sở hữu của chế độ xem cần phải là chủ sở hữu của tất cả các bảng và chế độ xem được tham chiếu

Một số tiên đề phức tạp hơn

Bảo mật theo mặc định 

Chỉ các cụm có chế độ truy cập cụ thể Danh mục Unity (dùng chung hoặc một người dùng) mới có thể truy cập dữ liệu Danh mục Unity. Với TACL, tất cả người dùng đều có quyền truy cập vào tất cả dữ liệu trên các cụm không dùng chung.

Hạn chế của cụm người dùng đơn lẻ 

Cụm người dùng đơn lẻ không hỗ trợ chế độ xem động. Người dùng phải CHỌN trên tất cả các bảng, dạng. Ngoài ra người dùng cần xem được tham chiếu để đọc từ một dạng xem.

Không hỗ trợ BẤT KỲ TỆP TỆP hoặc CHỨC NĂNG NÀO BẤT KỲ 

Danh mục Unity không hỗ trợ các quyền này. Vì chúng có thể được sử dụng để phá vỡ các hạn chế kiểm soát truy cập bằng cách cho phép người dùng không có đặc quyền chạy mã đặc quyền

Các mẫu thú vị

Có nhiều mẫu quản trị có thể đạt được bằng cách sử dụng mô hình truy cập Danh mục Unity.

Ví dụ 1 – Các quyền nhất quán trên các không gian làm việc

Tiên đề 1 cho phép nhóm sản phẩm xác định các quyền đối với sản phẩm dữ liệu của họ. Nó xảy ra trong không gian làm việc của riêng họ. Họ có những quyền đó được phản ánh và thực thi trên tất cả các không gian làm việc khác. Bất kể người tiêu dùng của họ đến từ đâu.

Ví dụ 2 – Đặt ranh giới để chia sẻ dữ liệu

Tiên đề 2 cho phép chủ sở hữu danh mục/lược đồ. Từ đó, thiết lập quy tắc truy cập mặc định cho dữ liệu của họ. Ví dụ: các lệnh sau cho phép nhóm học máy tạo các bảng trong lược đồ và đọc các bảng của nhau:

Thú vị hơn, tiên đề 4 giờ đây cho phép chủ sở hữu danh mục/lược đồ giới hạn khoảng cách. Cái mà các chủ sở hữu bảng và lược đồ riêng lẻ có thể chia sẻ dữ liệu mà họ tạo ra. Chủ sở hữu bảng cấp CHỌN cho người dùng khác không cho phép người dùng đó đọc quyền truy cập vào bảng. Trừ khi họ cũng đã được cấp các đặc quyền SỬ DỤNG DANH MỤC Unity trên danh mục mẹ. Cũng như các đặc quyền SỬ DỤNG SCHEMA trên lược đồ mẹ của nó.

Trong ví dụ dưới đây, sample_catalog thuộc sở hữu của người dùng A, người dùng B đã tạo một lược đồ sample_schema và bảng 42. Mặc dù quyền USE SCHEMA và SELECT được cấp cho nhóm phân tích. nhưng họ vẫn không thể truy vấn bảng do ranh giới quyền được đặt bởi người dùng A.

Danh mục Unity
Trang quyền hiển thị nhóm nhà phân tích có quyền CHỌN và SỬ DỤNG SCHEMA trên sample_catalog.sample_schema
Danh mục Unity
Trang truy vấn có thông báo lỗi

Ví dụ 3 – Chia sẻ logic kinh doanh dễ dàng hơn

Người tiêu dùng dữ liệu có nhu cầu chia sẻ logic hoạt động và chuyển đổi của họ. Cách thực hiện tái sử dụng là tạo và chia sẻ chế độ xem cho người tiêu dùng khác.

Axiom 5 mở ra khả năng cho người tiêu dùng dữ liệu thực hiện việc này một cách liền mạch mà không yêu cầu trao đổi qua lại thủ công với chủ sở hữu bảng.

Danh mục Unity
Định nghĩa của chế độ xem
Danh mục Unity
Quyền sở hữu của bảng
Trang quyền hiển thị chế độ xem thuộc sở hữu của nhóm nhà phân tích và nhóm người dùng tài khoản có quyền CHỌN
Trang quyền hiển thị chế độ xem thuộc sở hữu của nhóm nhà phân tích và nhóm người dùng tài khoản có quyền CHỌN
Trang truy vấn hiển thị kết quả của câu trả lời cho mọi thứ
Trang truy vấn hiển thị kết quả của câu trả lời cho mọi thứ

Ví dụ 4 – Không còn rò rỉ dữ liệu

Nhờ tiên đề 6, chủ sở hữu dữ liệu có thể chắc chắn rằng sẽ không có truy cập trái phép vào dữ liệu của họ. Nguyên nhân do cấu hình sai của cụm. Bất kỳ cụm nào không được định cấu hình với chế độ truy cập chính xác sẽ không thể truy cập dữ liệu trong Danh mục thống nhất.

Người dùng có thể kiểm tra xem các cụm của họ có thể truy cập dữ liệu Danh mục Unity hay không. Tất cả nhờ chú giải công cụ hữu ích này trên trang Tạo cụm.

Giờ đây, chủ sở hữu có thể hiểu mô hình đặc quyền dữ liệu và kiểm soát quyền truy cập. Họ có thể tận dụng Danh mục Unity để đơn giản hóa việc quản lý quyền truy cập trên quy mô lớn.

Các tính năng mới sẽ trao quyền nhiều hơn cho quản trị viên và chủ sở hữu dữ liệu. Mục đích để tạo ra chính sách truy cập phức tạp hơn:

  • Lọc hàng và mặt nạ cột : Sử dụng các hàm SQL tiêu chuẩn để xác định bộ lọc hàng và mặt nạ cột, cho phép kiểm soát truy cập chi tiết trên các hàng và cột.
  • Kiểm soát truy cập dựa trên thuộc tính : Xác định chính sách truy cập dựa trên các thẻ (thuộc tính) của nội dung dữ liệu của bạn.

Nguồn: Internet

>>Tìm hiểu thêm các khóa học tại đây!

Leave a Reply

Your email address will not be published. Required fields are marked *