本文概述了 Lakeflow 声明性管道的标识、权限和特权。
Databricks 建议将 Unity Catalog 用于所有新的 Lakeflow 声明管道。 默认情况下,由配置了 Unity Catalog 的管道创建的具体化视图和流式处理表只能由管道所有者查询。 请参阅 将 Unity 目录与 Lakeflow 声明性管道配合使用。
如果管道将数据集发布到旧的 Hive 元存储,请参阅 将 Lakeflow 声明性管道与旧 Hive 元存储配合使用。
有关标识配置的一般最佳做法,请参阅 标识最佳做法。
哪种身份用于管道更新?
Lakeflow 声明性管道以管道所有者的身份处理更新。 分配新的管道所有者以更改运行管道所用的身份标识。
Databricks 建议将服务主体设置为管道所有者。 请参阅 服务主体。
谁可以执行管道更新?
管道更新可由具有 CAN RUN、CAN MANAGE 或 IS OWNER 权限的任何用户或服务主体运行。
配置管道权限
你必须在管道上拥有 CAN MANAGE 和 IS OWNER 权限才能管理权限。 管道使用访问控制列表(ACL)来控制权限。 有关权限的完整列表及其功能,请参阅 Lakeflow 声明性管道 ACL。
在侧边栏中,单击作业和管道。
选择管道 的名称 。
单击“共享”。 此时会显示 “权限设置” 对话框。
单击 “选择用户、组或服务主体...” ,然后选择用户、组或服务主体。
从“权限”下拉菜单中选择权限。
单击 添加。
单击“ 保存”。
允许非管理员用户从已启用 Unity 目录的管道查看驱动程序日志
默认情况下,只有管道所有者和工作区管理员可以从运行启用了 Unity 目录的管道的群集中查看驱动程序日志。 可以通过将以下 Spark 配置参数添加到管道设置中的对象,为具有 configuration的任何用户启用对驱动程序日志的访问权限:
{
"configuration": {
"spark.databricks.acl.needAdminPermissionToViewLogs": "false"
}
}