提供统一目录新员工培训的底漆

介绍

这个博客是我们管理的一部分要素系列中,我们将关注这些话题重要砖环境的管理和维护。看到我们以前的博客工作空间组织,工作空间管理,成本管理最佳实践!

周围的任何数据平台是一个大问题的数据和用户管理、平衡bob体育客户端下载需要协作的前提下安全。以前的博客讨论的各种策略管理员角色使用数据隔离在工作区管理工作区和最佳实践,并介绍了一些核心管理员角色。

怀旧之旅,on-prem数据中心托管集群,被视为珍贵的商品,正确设置,持久。移动到云,随意创建集群的能力,以适应不同的用例需求成为一个简单的练习导致临时性集群的崛起——期间创建的集群工作负载的需求。

一个工作空间是一个逻辑边界业务线(LOB) /业务单元(BU),用例,或团队协作和隔离函数提供了一个平衡。多亏了自动化、工作区创建已被简化为几分钟!用户可以属于不同的工作区根据各种用例他们做出贡献。更重要的是,他们的权限数据资产,无论他们属于的工作区,保持不变。这允许组织采用集中式控制模型,该模型允许将数据访问定义在一个中央位置和用户本身应该是免费的从工作区被分配和未赋值的,这也可以创建并溶解。这提供了机会来管理复杂性减少工作空间的扩散/集群作为一种机制来隔离数据。

在这个博客中,我们想要展示一个简单的客户组织新员工培训之旅统一目录(加州大学)和联合身份验证为了解决这个问题需要集中的用户和权限管理。我们想要开一个简单的配方帮助这一进程。这道菜可以自动使用API,CLI,或起程拓殖rinse-repeat和规模。

参考食谱小册子工作表跟随。

介绍了厨师

让我们首先介绍厨师在厨房里。任何基于saas产品不能生活在孤立,需要整合现有的工具和角色在你的组织中。云管理和身份管理角色存在外砖,需要密切合作与账户管理角色(砖内存在的一个角色),实现特定目标的初始设置。稍后我们将讨论这些角色如何一起工作。

Non-Databricks角色

云管理	云管理员可以管理和控制云资源,统一编目杠杆:存储账户/桶,我角色/服务主体身份管理。
身份管理	身份在国内流离失所者,管理员可以管理用户和组的身份提供账户的水平。SCIM连接器和SSO身份管理的需要设置身份提供商。

现在让我们关注厨师在砖或角色管理资源。除了核心中我们介绍了admin角色工作空间管理博客,我们将添加额外的角色称为目录管理,模式管理和计算管理。有些组织可能会选择去更细粒度的管理员和创建模式。美丽的特权的继承模型是,你可以根据需要去广泛或好适合您的组织的需要。

砖的帽子——管理员角色

角色	砖的内置角色?	自定义组推荐吗?
账户管理	Y	Y
Metastore管理	Y	Y
目录管理	N	Y
模式管理	N	Y
工作空间管理	Y	Y
计算管理	N	Y

您会注意到,我们建议创建一个自定义组,即使有一个内置的角色。这是一个一般的最佳实践鼓励使用组规模,这使得它更容易在跨业务单元管理权利,环境和工作空间。你也可以重用这些团体可能已经存在于你的国内流离失所者和同步数据砖,允许集中的集团组织的同时仍保留在砖帐户创建组织的能力水平进行更细粒度的访问。另一个非常重要的概念是,创建一个可获得的对象变成了最初的主要所有者,和所有权的转移到适当的组可获得的对象,在任何水平,是可能的,推荐。

原料和工具

在本节中,我们将执行UC的器具和工具列表配方。

指的是原料和工具页表的详细定义。

要用的东西都

接下来,我们将会在一个清单,以确保足够的基础已经完成和适当的人员排列在加州大学新员工培训做准备。

与身份管理; 识别管理角色
任务	角色
建立SCIM从国内流离失所者	账户管理(+身份管理)
建立了SSO
识别核心管理角色 (帐户、Metastore工作区)
确定推荐管理角色 (目录、计算模式)

与云协作管理; 创建云资源
任务	角色
创建根斗	账户管理(+云管理)
创建我的角色(AWS) 创建访问连接器Id (Azure)

劳动分工

提供有营养的饭,加州大学需要密切合作和多个管理员之间的传递。一旦理解食谱,烹饪的步骤可以被利用的自动化。
指的是劳动分工页表来了解谁扮演什么角色在管理平台的共同责任模型的一部分。bob体育客户端下载

烹饪的步骤

以下核心步骤需要几个admin角色的协作与不同的角色和职责,需要在以下规定的顺序执行。

	主清单——烹饪步骤
	任务	笔记
1	创建一个Metastore	创建1 metastore /地区/砖帐户
2	创建存储凭证	(可选) 需要,如果你想访问现有的云存储与云我角色位置/管理身份创建外部表
2 b	创建外部位置	(可选) 需要如果你有现有的云存储位置你想注册UC存储外部表
3	创建工作区	(可选) 如果你没有需要现有的工作空间
3 b	分配Metastore工作区	这一步打开联合身份验证功能
3 c	分配主体的工作区	这一步是联合身份验证是如何执行的。主体存在集中,“分配”到工作区
4	创建目录	创建目录/ SDLC布鲁里溃疡和/或需要数据分离
5	分配权限的目录	使用特权的继承模型管理资金很容易从目录到较低的水平
6	分配份额Metastore上的特权	(可选) 这是一部分δ共享管理它使用加州大学管理数据共享的权限吗

指的是烹饪的步骤页表详细的执行步骤。

食谱以匹配您的客人的口味

我们会在几个示例场景来演示用户如何在工作区和相同的用户如何无缝的协作他们有权访问数据,从不同的工作区。业务线(LOB) /业务单元(BU)经常被用作隔离边界。另一个常用的划分是通过为开发/沙箱环境,登台和生产。

场景	问题陈述
LOB # 1	主机单独开发工作区,刺激和共享的沙箱环境 每个人都有一个单独的目录。底层数据可以使用托管存储或外部存储位置。 开发工作量提升为刺激通过允许计算集群作为集群自动引用相关的目录配置参数,可以通过集群执行政策。这些metastore可获得的不同,可以有不同的权限在dev /刺激范围
LOB # 2	主机一个沙箱环境,可以访问一些资产从LOB # 1沙箱。这涉及到一些用户也存在于LOB # 1和一些新的。
LOB # 3	主机一个刺激环境,使用一些资产LOB # 1刺激创建派生产品
LOB # 4	驻留在不同的地区/云,希望访问一些数据由LOB # 1

指的是场景示例页表的详细步骤。

提供的菜

统一目录简化了管理员的工作(包括账户和工作区层次)通过集中定义,监控,整个metastore和可发现性的数据,使它容易安全地共享数据无关的工作空间的数量。利用定义一次,安全无处不在模型还会带来额外的好处,避免意外数据暴露无意歪曲的用户的特权的场景在一个工作区可以给他们一个后门去的数据并不是用于消费。所有这些可以很容易地利用来完成帐户级别身份和管理权限。加州大学审计日志记录允许全面了解所有行动在所有可获得的各级负责人。

额外的建议

这些是我们的建议更美味的体验!

• 组织你的厨师
  • 设置SCIM & SSO账户层面
  • 创建目录由SDLC环境范围,由业务单元,或两者兼而有之。
  • 由业务单位/数据团队设计团体,并将它们分配给适当的工作区(概念上短暂的工作空间)
  • 考虑所需的成员数量在每个管理组
• 委托你的助理厨师
  • 确保账户管理,Metastore管理、目录管理,和适合他们的角色模式管理理解的责任
  • 的老板总是让组织,而不是个人,可到手的,尤其是Metastore (s)目录(s)和模式(s)
  • 结合的力量特权的继承模型有能力“过户”民主化数据所有权
  • 治理良好的平台涉及到一个共享的行bob体育客户端下载政负担在这些不同的角色和自动化是建立一个可重复的模式同时也保留关键控制
• 自动化保持厨房行移动
  • 我们提供了一个简单的配方新员工培训过程中,但是当你扩展到更多用户,组,工作区,和目录、自动化成为当务之急。包括过多的选项API,CLI或者我们提供的端到端导起程拓殖提供者(AWS,Azure)
• 迁移一个更复杂的口感
  • 使用外部表升级从HMS到加州大学,允许你采用集中式控制模型,而不用担心数据移动
  • 使用同步让你对象从HMS同步到加州大学。
• 审计保持厨房干净
  • 绝对设置审计日志交付
  • 建立一个仪表板审核日志数据,分析定期,构建警报重要行动通过砖SQL的仪表板

烹饪的快乐!

P。S:希望我们的这个权利。感恩节快乐。