重要
此功能以 公共预览版提供。
本页介绍如何为 Unity 目录中的安全对象配置访问请求目标。 这些目标确定当用户请求访问数据对象时发送访问请求的位置。
什么是访问请求目标?
当用户请求访问 Unity 目录中的对象(例如表或视图)时,请求将发送到一个或多个配置的目标。 目标可以是以下任一项:
电子邮件地址
Slack 通道
Microsoft Teams 频道
Webhook 终结点
重定向 URL(指向组织的外部访问请求系统)
每个对象只能配置一个重定向 URL。 如果设置了 URL,则无法设置其他目标,用户将被重定向到该 URL,而不是看到产品内请求表单。
访问请求目标的工作原理
如果配置了访问请求目标,则用户可以请求对对象具有
BROWSE特权的对象或直接 URL 的权限。 当用户在笔记本、SQL 编辑器或其他创作工具中遇到权限被拒绝错误时,还可以请求权限。 请参阅 对象上的请求特权。提交请求时,用户可以请求访问一个或多个主体,包括自身、服务主体、其他用户或组。 请求将路由到配置的目标。
可以在元存储、目录、架构、存储凭据、服务凭据、外部位置和连接上配置目标。
目标由表和视图等子对象继承。
如果未配置目标,则用户无法请求访问对象。
默认情况下,不会在任何对象上配置任何目标。 为了确保始终传递访问请求,Databricks 建议启用默认电子邮件目标。
如果配置了多个目标,则会将请求发送到所有这些目标。
如果配置了重定向 URL,则用户将转到该 URL,并且看不到访问请求表单。
工作区管理员可以按照 “管理通知目标”中的说明配置外部目标。
启用默认电子邮件目标
Databricks 建议启用默认电子邮件目标。 这可确保即使未手动配置目标,也会传递访问请求。 启用后,目录对象的请求将发送到目录所有者的电子邮件地址,并向对象所有者的电子邮件地址发送对目录外部对象(如外部位置)的请求。
提示
启用默认电子邮件目标可确保即使未为对象手动配置任何目标,也会传递访问请求。 这是开始跨 Unity 目录元存储接收和响应请求的最快方法。
若要启用默认目标,必须同时是元存储管理员和工作区管理员。
- 在工作区右上角,单击个人资料照片,然后选择“设置”。
- 单击“ 通知”。
- 启用 在 UC 中请求访问的默认目标。
在对象上配置访问请求目标
若要为目录或架构配置目标,必须是元存储管理员或对象所有者。 若要在架构上配置访问请求目标,还必须对父目录具有 USE CATALOG 特权。
还可以使用 访问请求目标 API 配置访问请求目标。
在 Azure Databricks 工作区中,单击
目录。选择安全对象。
单击
菜单并选择“ 管理访问请求目标”。选择一个或多个电子邮件或外部目标,或配置重定向 URL。 如果选择 URL,则无法添加其他目标类型。
单击“ 更新”。
若要 禁用访问请求,请删除所有目标并关闭默认目标设置(如果已启用)。
访问请求示例
以下部分显示了发送到不同目标的访问请求的示例。
从中发送 noreply@databricks.com访问请求电子邮件。
Slack
Webhook (JSON)
{
"requesterName": "<first-name> <last-name> (<email>)",
"objectName": "<catalog>.<schema>.<table>",
"objectType": "Table",
"privileges": "SELECT",
"principalName": "<group-name>",
"onBehalfOf": "<group-name>",
"onBehalfOfType": "Group",
"comment": "My team needs access to run queries on this table.",
"databricksWorkspaceUrl": "https:/<account>.databricks.com/explore/data/<catalog>/<schema>/<table>?o=<table-id>&activeTab=permissions&showGrantModal=true&requestedPrivileges=SELECT&groupId=<group-id>"
}
有关如何将 Webhook 与常用工具集成的信息,请参阅以下内容:
批准访问请求
若要批准访问请求,请按照发送到访问请求通知的链接进行作。 该链接会在工作区中打开一个模式对话框,其中显示请求者、对象和请求的权限。
接下来,选择以下审批方法之一:
向组添加主体 ,将请求者添加到至少具有一个请求权限的一个或多个现有组。
向主体授予权限 ,使其直接访问对象。 还可以选择特权预设,例如 数据读取器 来向用户授予权限集合。
