Last updated on January 21st, 2026 at 03:54 pm
Hiểu rõ về mô hình truy cập đối tượng là điều cần thiết khi sử dụng Databricks. Mục đích là để triển khai quản trị dữ liệu ở quy mô lớn bằng Unity Catalog. Hơn nữa, nếu bạn đã triển khai mô hình Table ACL. Hoặc bạn đang muốn nâng cấp lên Unity Catalog để tận dụng tất cả các tính năng mới nhất. Chẳng hạn như hỗ trợ đa ngôn ngữ, kiểm soát truy cập tập trung và dòng dữ liệu . Ngoài ra bài viết còn cung cấp thêm thông tin để bạn hiểu rõ hơn về danh mục Unity.
Mục lục
Mô hình truy cập danh mục Axioms of Unity
Các đặc quyền của Danh mục Unity được xác định tại metastore
Các quyền của Danh mục Unity luôn đề cập đến các danh tính cấp tài khoản. Trong khi các quyền TACL được xác định trong danh mục hive_metastore. Chúng luôn đề cập đến các danh tính cục bộ trong không gian làm việc
Kế thừa đặc quyền
Các đối tượng trong Unity Catalog được phân cấp và các đặc quyền được kế thừa từ dưới lên. Đối tượng cấp cao nhất mà các đặc quyền được kế thừa là danh mục
Quyền sở hữu đối tượng là quan trọng
Đặc quyền chỉ có thể được cấp bởi quản trị viên metastore. Chủ sở hữu đối tượng hoặc chủ sở hữu danh mục hoặc lược đồ chứa đối tượng. Chỉ chủ sở hữu của một đối tượng hoặc chủ sở hữu của danh mục hoặc lược đồ chứa nó mới có thể bỏ đối tượng.
Sủ dụng đặc quyền cho các ranh giới
SỬ DỤNG CATALOG/SCHEMA là cần thiết để tương tác với các đối tượng trong một danh mục/lược đồ. Tuy nhiên, đặc quyền SỬ DỤNG không cho phép một người duyệt siêu dữ liệu đối tượng. Nó nằm trong danh mục/lược đồ
Quyền trên các đối tượng dẫn xuất được đơn giản hóa
Danh mục Unity chỉ yêu cầu chủ sở hữu của chế độ xem có đặc quyền CHỌN. Nó cùng với SỬ DỤNG SCHEMA trên lược đồ mẹ của chế độ xem và SỬ DỤNG CATALOG trên danh mục mẹ. Ngược lại với TACL. Chủ sở hữu của chế độ xem cần phải là chủ sở hữu của tất cả các bảng và chế độ xem được tham chiếu
Một số tiên đề phức tạp hơn
Bảo mật theo mặc định
Chỉ các cụm có chế độ truy cập cụ thể Danh mục Unity (dùng chung hoặc một người dùng) mới có thể truy cập dữ liệu Danh mục Unity. Với TACL, tất cả người dùng đều có quyền truy cập vào tất cả dữ liệu trên các cụm không dùng chung.
Hạn chế của cụm người dùng đơn lẻ
Cụm người dùng đơn lẻ không hỗ trợ chế độ xem động. Người dùng phải CHỌN trên tất cả các bảng, dạng. Ngoài ra người dùng cần xem được tham chiếu để đọc từ một dạng xem.
Không hỗ trợ BẤT KỲ TỆP TỆP hoặc CHỨC NĂNG NÀO BẤT KỲ
Danh mục Unity không hỗ trợ các quyền này. Vì chúng có thể được sử dụng để phá vỡ các hạn chế kiểm soát truy cập bằng cách cho phép người dùng không có đặc quyền chạy mã đặc quyền
Các mẫu thú vị
Có nhiều mẫu quản trị có thể đạt được bằng cách sử dụng mô hình truy cập Danh mục Unity.
Ví dụ 1 – Các quyền nhất quán trên các không gian làm việc
Tiên đề 1 cho phép nhóm sản phẩm xác định các quyền đối với sản phẩm dữ liệu của họ. Nó xảy ra trong không gian làm việc của riêng họ. Họ có những quyền đó được phản ánh và thực thi trên tất cả các không gian làm việc khác. Bất kể người tiêu dùng của họ đến từ đâu.
Ví dụ 2 – Đặt ranh giới để chia sẻ dữ liệu
Tiên đề 2 cho phép chủ sở hữu danh mục/lược đồ. Từ đó, thiết lập quy tắc truy cập mặc định cho dữ liệu của họ. Ví dụ: các lệnh sau cho phép nhóm học máy tạo các bảng trong lược đồ và đọc các bảng của nhau:
Thú vị hơn, tiên đề 4 giờ đây cho phép chủ sở hữu danh mục/lược đồ giới hạn khoảng cách. Cái mà các chủ sở hữu bảng và lược đồ riêng lẻ có thể chia sẻ dữ liệu mà họ tạo ra. Chủ sở hữu bảng cấp CHỌN cho người dùng khác không cho phép người dùng đó đọc quyền truy cập vào bảng. Trừ khi họ cũng đã được cấp các đặc quyền SỬ DỤNG DANH MỤC Unity trên danh mục mẹ. Cũng như các đặc quyền SỬ DỤNG SCHEMA trên lược đồ mẹ của nó.
Trong ví dụ dưới đây, sample_catalog thuộc sở hữu của người dùng A, người dùng B đã tạo một lược đồ sample_schema và bảng 42. Mặc dù quyền USE SCHEMA và SELECT được cấp cho nhóm phân tích. nhưng họ vẫn không thể truy vấn bảng do ranh giới quyền được đặt bởi người dùng A.
Ví dụ 3 – Chia sẻ logic kinh doanh dễ dàng hơn
Người tiêu dùng dữ liệu có nhu cầu chia sẻ logic hoạt động và chuyển đổi của họ. Cách thực hiện tái sử dụng là tạo và chia sẻ chế độ xem cho người tiêu dùng khác.
Axiom 5 mở ra khả năng cho người tiêu dùng dữ liệu thực hiện việc này một cách liền mạch mà không yêu cầu trao đổi qua lại thủ công với chủ sở hữu bảng.
Ví dụ 4 – Không còn rò rỉ dữ liệu
Nhờ tiên đề 6, chủ sở hữu dữ liệu có thể chắc chắn rằng sẽ không có truy cập trái phép vào dữ liệu của họ. Nguyên nhân do cấu hình sai của cụm. Bất kỳ cụm nào không được định cấu hình với chế độ truy cập chính xác sẽ không thể truy cập dữ liệu trong Danh mục thống nhất.
Người dùng có thể kiểm tra xem các cụm của họ có thể truy cập dữ liệu Danh mục Unity hay không. Tất cả nhờ chú giải công cụ hữu ích này trên trang Tạo cụm.
Giờ đây, chủ sở hữu có thể hiểu mô hình đặc quyền dữ liệu và kiểm soát quyền truy cập. Họ có thể tận dụng Danh mục Unity để đơn giản hóa việc quản lý quyền truy cập trên quy mô lớn.
Các tính năng mới sẽ trao quyền nhiều hơn cho quản trị viên và chủ sở hữu dữ liệu. Mục đích để tạo ra chính sách truy cập phức tạp hơn:
- Lọc hàng và mặt nạ cột : Sử dụng các hàm SQL tiêu chuẩn để xác định bộ lọc hàng và mặt nạ cột, cho phép kiểm soát truy cập chi tiết trên các hàng và cột.
- Kiểm soát truy cập dựa trên thuộc tính : Xác định chính sách truy cập dựa trên các thẻ (thuộc tính) của nội dung dữ liệu của bạn.
Xu hướng và cập nhật mới nhất về Databricks Unity Catalog
1. Unity Catalog là nền tảng quản trị dữ liệu & AI thống nhất
Unity Catalog đã phát triển thành giải pháp thống nhất quản lý dữ liệu và AI trên nền tảng Databricks, không chỉ dừng lại ở kiểm soát truy cập mà còn cung cấp lineage, auditing, metadata và governance toàn diện cho dữ liệu mọi định dạng và công cụ tính toán khác nhau. Đây là bước tiến vượt bậc so với các hệ thống catalog truyền thống chỉ gắn với một engine hoặc một nguồn dữ liệu duy nhất.
2. Hỗ trợ đa định dạng & đa công cụ — thúc đẩy interoperability
Unity Catalog hiện hỗ trợ cả định dạng Delta Lake và Apache Iceberg, giúp các tổ chức không bị khóa vào một định dạng dữ liệu duy nhất. Việc hỗ trợ chuẩn Iceberg REST Catalog API cho phép các engine và hệ thống khác đọc/ghi bảng dưới governance của Unity Catalog — điều không nhiều catalog khác trên thị trường làm được.
Việc này giúp:
- Thống nhất governance trên nhiều định dạng dữ liệu
- Tránh phân mảnh metadata
- Tăng khả năng tương tác giữa Snowflake, Trino, EMR, v.v.
3. Trải nghiệm tìm kiếm & discovery “thông minh”
Unity Catalog đang mở rộng chức năng discovery để phục vụ tốt hơn người dùng business (không phải kỹ thuật):
- Trình khám phá dữ liệu có gợi ý AI/metadata
- Certifications & Deprecation Tags giúp người dùng hiểu dữ liệu nào “đáng tin cậy” và dữ liệu nào “sắp bị ngừng sử dụng”
- Tự động recommend assets dựa trên usage/quality signals
Điều này giúp tăng hiệu quả tìm kiếm và sử dụng dữ liệu trong tổ chức.
4. Kiểm soát truy cập tinh vi & theo thẻ (Attribute-Based Access Control – ABAC)
Unity Catalog hiện cung cấp Attribute-Based Access Control (ABAC), cho phép định nghĩa chính sách truy cập dựa trên thuộc tính của dữ liệu thay vì chỉ dựa trên đặc quyền cố định. Điều này mở ra cơ hội:
- Quyền truy cập linh hoạt hơn với tag-driven policies
- Áp dụng thống nhất chính sách truy cập trên nhiều bảng/schemas
- Hỗ trợ filtering, masking dữ liệu nhạy cảm theo ngữ cảnh
ABAC cho thấy hướng đi governance quy mô lớn cho các tổ chức phức tạp.
5. Federation & quản lý dữ liệu phân tán
Databricks đang mở rộng khả năng federation (liên kết dữ liệu đa nguồn) để Unity Catalog không chỉ quản lý dữ liệu trong hệ thống của mình mà cả dữ liệu ở các nền tảng khác như MySQL, PostgreSQL, Snowflake, Redshift, Synapse và BigQuery. Khi tính năng này phổ biến, Unity Catalog sẽ trở thành điểm governance tập trung cho dữ liệu đa nền tảng, giảm thiểu việc duy trì nhiều chính sách riêng lẻ và tăng hiệu quả quản lý dữ liệu.
6. Quản trị và truy cập dễ dàng hơn nhờ tính năng mới
Một số yêu cầu thường gặp trong deployment Unity Catalog đang được cải tiến:
- Request for Access cho người dùng business trực tiếp gửi yêu cầu quyền truy cập ngay trong catalog
- Governed Tags (chính sách tag) đang trong Public Preview để đảm bảo thống nhất cách gán metadata cho dữ liệu, giúp giảm xung đột tag không nhất quán trong tổ chức.
7. Tích hợp multi-cloud & tuân thủ bảo mật
Unity Catalog được hỗ trợ trên AWS, Azure và Google Cloud, giúp các tổ chức triển khai theo kiến trúc multi-cloud với chính sách governance nhất quán, giảm chi phí vận hành và nâng cao khả năng tuân thủ pháp lý (privacy, audit).
Nguồn: Internet
INDA Academy tự hào là đơn vị tiên phong trong việc đào tạo phân tích dữ liệu và AI chuyên sâu, đặc biệt cho khối ngành Ngân hàng – Tài chính – Bảo hiểm tại Việt Nam. Sau hơn 12 năm “thực chiến” cùng những dòng chảy dữ liệu khổng lồ, chúng tôi đã xây dựng nên một hệ sinh thái đào tạo toàn diện, giúp hàng nghìn học viên chuyển mình từ người mới bắt đầu trở thành những chuyên gia lành nghề, sẵn sàng đáp ứng tiêu chuẩn khắt khe của các doanh nghiệp lớn.
Điểm khác biệt lớn nhất tại INDA chính là triết lý đào tạo dựa trên các dự án thực tế (Project-based) và lộ trình cá nhân hóa nhờ ứng dụng AI. Chúng tôi không chỉ dạy bạn cách sử dụng công cụ, mà còn truyền tải tư duy khai phá giá trị từ dữ liệu để đưa ra quyết định kinh doanh chính xác.
Tìm hiểu thêm về các khóa học TẠI ĐÂY:
Lộ trình đào tạo Data Engineer
Lộ trình đào tạo Data Analyst
Lộ trình đào tạo Tester
Khóa học Data Engineer nâng cao – Thực chiến 5 dự án doanh nghiệp
Khóa học Data Analyst nâng cao – Thực chiến 5 dự án doanh nghiệp
