Hiểu rõ về mô hình truy cập đối tượng là điều cần thiết khi sử dụng Databricks. Mục đích là để triển khai quản trị dữ liệu ở quy mô lớn bằng Unity Catalog. Hơn nữa, nếu bạn đã triển khai mô hình Table ACL. Hoặc bạn đang muốn nâng cấp lên Unity Catalog để tận dụng tất cả các tính năng mới nhất. Chẳng hạn như hỗ trợ đa ngôn ngữ, kiểm soát truy cập tập trung và dòng dữ liệu . Ngoài ra bài viết còn cung cấp thêm thông tin để bạn hiểu rõ hơn về danh mục Unity.
Mục lục
Mô hình truy cập danh mục Axioms of Unity
Các đặc quyền của Danh mục Unity được xác định tại metastore
Các quyền của Danh mục Unity luôn đề cập đến các danh tính cấp tài khoản. Trong khi các quyền TACL được xác định trong danh mục hive_metastore. Chúng luôn đề cập đến các danh tính cục bộ trong không gian làm việc
Kế thừa đặc quyền
Các đối tượng trong Unity Catalog được phân cấp và các đặc quyền được kế thừa từ dưới lên. Đối tượng cấp cao nhất mà các đặc quyền được kế thừa là danh mục
Quyền sở hữu đối tượng là quan trọng
Đặc quyền chỉ có thể được cấp bởi quản trị viên metastore. Chủ sở hữu đối tượng hoặc chủ sở hữu danh mục hoặc lược đồ chứa đối tượng. Chỉ chủ sở hữu của một đối tượng hoặc chủ sở hữu của danh mục hoặc lược đồ chứa nó mới có thể bỏ đối tượng.
Sủ dụng đặc quyền cho các ranh giới
SỬ DỤNG CATALOG/SCHEMA là cần thiết để tương tác với các đối tượng trong một danh mục/lược đồ. Tuy nhiên, đặc quyền SỬ DỤNG không cho phép một người duyệt siêu dữ liệu đối tượng. Nó nằm trong danh mục/lược đồ
Quyền trên các đối tượng dẫn xuất được đơn giản hóa
Danh mục Unity chỉ yêu cầu chủ sở hữu của chế độ xem có đặc quyền CHỌN. Nó cùng với SỬ DỤNG SCHEMA trên lược đồ mẹ của chế độ xem và SỬ DỤNG CATALOG trên danh mục mẹ. Ngược lại với TACL. Chủ sở hữu của chế độ xem cần phải là chủ sở hữu của tất cả các bảng và chế độ xem được tham chiếu
Một số tiên đề phức tạp hơn
Bảo mật theo mặc định
Chỉ các cụm có chế độ truy cập cụ thể Danh mục Unity (dùng chung hoặc một người dùng) mới có thể truy cập dữ liệu Danh mục Unity. Với TACL, tất cả người dùng đều có quyền truy cập vào tất cả dữ liệu trên các cụm không dùng chung.
Hạn chế của cụm người dùng đơn lẻ
Cụm người dùng đơn lẻ không hỗ trợ chế độ xem động. Người dùng phải CHỌN trên tất cả các bảng, dạng. Ngoài ra người dùng cần xem được tham chiếu để đọc từ một dạng xem.
Không hỗ trợ BẤT KỲ TỆP TỆP hoặc CHỨC NĂNG NÀO BẤT KỲ
Danh mục Unity không hỗ trợ các quyền này. Vì chúng có thể được sử dụng để phá vỡ các hạn chế kiểm soát truy cập bằng cách cho phép người dùng không có đặc quyền chạy mã đặc quyền
Các mẫu thú vị
Có nhiều mẫu quản trị có thể đạt được bằng cách sử dụng mô hình truy cập Danh mục Unity.
Ví dụ 1 – Các quyền nhất quán trên các không gian làm việc
Tiên đề 1 cho phép nhóm sản phẩm xác định các quyền đối với sản phẩm dữ liệu của họ. Nó xảy ra trong không gian làm việc của riêng họ. Họ có những quyền đó được phản ánh và thực thi trên tất cả các không gian làm việc khác. Bất kể người tiêu dùng của họ đến từ đâu.
Ví dụ 2 – Đặt ranh giới để chia sẻ dữ liệu
Tiên đề 2 cho phép chủ sở hữu danh mục/lược đồ. Từ đó, thiết lập quy tắc truy cập mặc định cho dữ liệu của họ. Ví dụ: các lệnh sau cho phép nhóm học máy tạo các bảng trong lược đồ và đọc các bảng của nhau:
Thú vị hơn, tiên đề 4 giờ đây cho phép chủ sở hữu danh mục/lược đồ giới hạn khoảng cách. Cái mà các chủ sở hữu bảng và lược đồ riêng lẻ có thể chia sẻ dữ liệu mà họ tạo ra. Chủ sở hữu bảng cấp CHỌN cho người dùng khác không cho phép người dùng đó đọc quyền truy cập vào bảng. Trừ khi họ cũng đã được cấp các đặc quyền SỬ DỤNG DANH MỤC Unity trên danh mục mẹ. Cũng như các đặc quyền SỬ DỤNG SCHEMA trên lược đồ mẹ của nó.
Trong ví dụ dưới đây, sample_catalog thuộc sở hữu của người dùng A, người dùng B đã tạo một lược đồ sample_schema và bảng 42. Mặc dù quyền USE SCHEMA và SELECT được cấp cho nhóm phân tích. nhưng họ vẫn không thể truy vấn bảng do ranh giới quyền được đặt bởi người dùng A.
Ví dụ 3 – Chia sẻ logic kinh doanh dễ dàng hơn
Người tiêu dùng dữ liệu có nhu cầu chia sẻ logic hoạt động và chuyển đổi của họ. Cách thực hiện tái sử dụng là tạo và chia sẻ chế độ xem cho người tiêu dùng khác.
Axiom 5 mở ra khả năng cho người tiêu dùng dữ liệu thực hiện việc này một cách liền mạch mà không yêu cầu trao đổi qua lại thủ công với chủ sở hữu bảng.
Ví dụ 4 – Không còn rò rỉ dữ liệu
Nhờ tiên đề 6, chủ sở hữu dữ liệu có thể chắc chắn rằng sẽ không có truy cập trái phép vào dữ liệu của họ. Nguyên nhân do cấu hình sai của cụm. Bất kỳ cụm nào không được định cấu hình với chế độ truy cập chính xác sẽ không thể truy cập dữ liệu trong Danh mục thống nhất.
Người dùng có thể kiểm tra xem các cụm của họ có thể truy cập dữ liệu Danh mục Unity hay không. Tất cả nhờ chú giải công cụ hữu ích này trên trang Tạo cụm.
Giờ đây, chủ sở hữu có thể hiểu mô hình đặc quyền dữ liệu và kiểm soát quyền truy cập. Họ có thể tận dụng Danh mục Unity để đơn giản hóa việc quản lý quyền truy cập trên quy mô lớn.
Các tính năng mới sẽ trao quyền nhiều hơn cho quản trị viên và chủ sở hữu dữ liệu. Mục đích để tạo ra chính sách truy cập phức tạp hơn:
- Lọc hàng và mặt nạ cột : Sử dụng các hàm SQL tiêu chuẩn để xác định bộ lọc hàng và mặt nạ cột, cho phép kiểm soát truy cập chi tiết trên các hàng và cột.
- Kiểm soát truy cập dựa trên thuộc tính : Xác định chính sách truy cập dựa trên các thẻ (thuộc tính) của nội dung dữ liệu của bạn.
Nguồn: Internet