重要
此功能目前以公共预览版提供。
本页介绍如何为 Unity 目录中的安全对象配置访问请求目标。 这些目标确定当用户请求访问数据对象时发送访问请求的位置。
什么是访问请求目标?
当用户请求访问 Unity 目录中的对象(例如表或视图)时,请求将发送到一个或多个配置的目标。 目标可以是以下任一项:
电子邮件地址
Microsoft Teams 频道
Webhook 终结点
重定向 URL(指向组织的外部访问请求系统)
每个对象只能配置一个重定向 URL。 如果设置了 URL,则无法设置其他目标,用户将被重定向到该 URL,而不是看到产品内请求表单。
访问请求目标的工作原理
如果配置了访问请求目标,则用户可以请求对对象具有
BROWSE
特权的对象或直接 URL 的权限。 当用户在笔记本、SQL 编辑器或其他创作工具中遇到权限被拒绝错误时,还可以请求权限。提交请求时,用户可以请求访问一个或多个主体,包括自身、服务主体、其他用户或组。 请求将路由到配置的目标。
可以在元存储、目录、架构、存储凭据、服务凭据、外部位置和连接上配置目标。
目标由表和视图等子对象继承。
如果未配置目标,则用户无法请求访问对象。
默认情况下,不会在任何对象上配置任何目标。 为了确保始终传递访问请求,Databricks 建议启用默认电子邮件目标。
如果配置了多个目标,则会将请求发送到所有这些目标。
如果配置了重定向 URL,则用户将转到该 URL,并且看不到访问请求表单。
工作区管理员可以按照 “管理通知目标”中的说明配置外部目标。
启用默认电子邮件目标
Databricks 建议启用默认电子邮件目标。 这可确保即使未手动配置目标,也会传递访问请求。 启用后,目录对象的请求将发送到目录所有者的电子邮件地址,并向对象所有者的电子邮件地址发送对目录外部对象(如外部位置)的请求。
小窍门
启用默认电子邮件目标可确保即使未为对象手动配置任何目标,也会传递访问请求。 这是开始跨 Unity 目录元存储接收和响应请求的最快方法。
若要启用默认目标,必须同时是元存储管理员和工作区管理员。
在工作区右上角,单击个人资料照片,然后选择“设置”。
单击“ 通知”。
启用 在 UC 中请求访问的默认目标。
在对象上配置访问请求目标
若要为目录或架构配置目标,必须是元存储管理员或对象所有者。 若要在架构上配置访问请求目标,还必须对父目录具有 USE CATALOG
特权。
还可以使用 访问请求目标 API 配置访问请求目标。
在 Azure Databricks 工作区中,单击
目录。
选择安全对象。
单击
菜单并选择“ 管理访问请求目标”。
选择一个或多个电子邮件或外部目标,或配置重定向 URL。
如果选择 URL,则无法添加其他目标类型。
单击“更新” 。
若要 禁用访问请求,请删除所有目标并关闭默认目标设置(如果已启用)。
访问请求示例
以下部分显示了发送到不同目标的访问请求的示例。
从中发送 noreply@databricks.com
访问请求电子邮件。
Webhook (JSON)
{
"requesterName": "<first-name> <last-name> (<email>)",
"objectName": "<catalog>.<schema>.<table>",
"objectType": "Table",
"privileges": "SELECT",
"principalName": "<group-name>",
"onBehalfOf": "<group-name>",
"onBehalfOfType": "Group",
"comment": "My team needs access to run queries on this table.",
"databricksWorkspaceUrl": "https:/<account>.databricks.com/explore/data/<catalog>/<schema>/<table>?o=<table-id>&activeTab=permissions&showGrantModal=true&requestedPrivileges=SELECT&groupId=<group-id>"
}
有关如何将 Webhook 与常用工具集成的信息,请参阅以下内容:
批准访问请求
若要批准访问请求,请按照发送到访问请求通知的链接进行作。 该链接会在工作区中打开一个模式对话框,其中显示请求者、对象和请求的权限。
接下来,选择以下审批方法之一:
向组添加主体 ,将请求者添加到至少具有一个请求权限的一个或多个现有组。
向主体授予权限 ,使其直接访问对象。 还可以选择特权预设,例如 数据读取器 来向用户授予权限集合。