Nastavení Delta Sharing pro váš účet (pro poskytovatele)

Tento článek popisuje, jak poskytovatelé dat (organizace, které chtějí pomocí Delta Sharing bezpečně sdílet data) provádějí počáteční nastavení Delta Sharing na Azure Databricks.

Poznámka:

Pokud jste příjemcem dat (organizace, která přijímá data sdílená pomocí Delta Sharing), viz místo toho Čtení dat sdílených pomocí Databricks-to-Databricks Delta Sharing (pro příjemce).

Důležité

Poskytovatel, který chce použít server Delta Sharing integrovaný do Azure Databricks, musí mít alespoň jeden pracovní prostor, který je povolený pro Unity Catalog. Nemusíte migrovat všechny pracovní prostory do katalogu Unity. Pro správu sdílených složek můžete vytvořit jeden pracovní prostor s podporou katalogu Unity. V některých účtech jsou nové pracovní prostory pro Unity Catalog povolené automaticky. Viz Automatické povolení katalogu Unity.

Pokud není možné vytvořit nový pracovní prostor s podporou katalogu Unity, můžete použít opensourcový projekt Delta Sharing k nasazení vlastního serveru Delta Sharing a použít ho ke sdílení tabulek Delta z libovolné platformy.

Počáteční nastavení zprostředkovatele zahrnuje následující kroky:

1. Povolení rozdílového sdílení v metastoru katalogu Unity
2. (Volitelné) Nainstalujte rozhraní příkazového řádku katalogu Unity.
3. Konfigurace auditů aktivity rozdílového sdílení

Požadavky

Jako poskytovatel dat, který nastavuje váš účet Azure Databricks tak, aby mohl sdílet data, musíte mít:

• Alespoň jeden pracovní prostor Azure Databricks, který je povolený proKatalogu Unity .

  Abyste mohli využívat podporu Databricks pro poskytovatele Delta sdílení, nemusíte migrovat všechna pracovní prostředí do katalogu Unity. Přečtěte si téma Je k používání Delta Sharing potřeba katalog Unity?.

  Příjemci nemusí mít pracovní prostor s podporou katalogu Unity.

• Role správce účtu k povolení Delta Sharing pro váš Unity Catalog metastore a k povolení auditního protokolování.

• Role správce metastoru CREATE SHARE nebo oprávnění.CREATE RECIPIENT Viz role správce.

  Poznámka:

  Pokud byl váš pracovní prostor pro katalog Unity povolen automaticky, možná nemáte správce metastoru. Správci pracovních prostorů v těchto pracovních prostorech však mají ve výchozím nastavení oprávnění CREATE SHARE a CREATE RECIPIENT. Další informace najdete v tématu Automatické povolení katalogu Unity a oprávnění správce pracovního prostoru, pokud jsou pracovní prostory pro katalog Unity povoleny automaticky.

Povolení rozdílového sdílení v metastoru

Postupujte podle těchto kroků pro každý metastore katalogu Unity, který spravuje data, jež plánujete sdílet pomocí Delta Sharing.

Poznámka:

Pokud máte v úmyslu sdílet data jenom s uživateli v jiných metastorech katalogu Unity ve vašem účtu, není nutné povolit funkci Sdílení delta ve vašem metastoru. Sdílení Metastore-to-metastore v rámci jednoho účtu služby Azure Databricks je ve výchozím nastavení povolené.

1. Jako správce účtu Azure Databricks se přihlaste ke konzole účtu.

2. Na bočním panelu klikněte na ikonu Katalog .

3. Kliknutím na název metastoru otevřete jeho podrobnosti.

4. Kliknutím na zaškrtávací políčko vedle možnosti Povolit rozdílové sdílení povolíte uživateli Databricks sdílet data mimo svoji organizaci.

5. Nakonfigurujte životnost tokenu příjemce.

   Tato konfigurace nastaví dobu, po které vyprší platnost všech tokenů příjemců a musí se znovu vygenerovat. Tokeny příjemců se používají jenom v otevřeném protokolu sdílení . Databricks doporučuje, abyste nakonfigurovali výchozí dobu životnosti tokenů, a nevolovali tak, aby se tokeny mohly natrvalo používat.

   Poznámka:

   Životnost tokenu příjemce pro existující příjemce se neaktualizuje automaticky, když změníte výchozí životnost tokenu příjemce pro metastor. Pokud chcete pro daného příjemce použít novou životnost tokenu, musíte jeho token otočit. Viz Správa tokenů příjemců (otevřené sdílení).

   Nastavení výchozí životnosti tokenu příjemce:

   1. Ověřte, že je povoleno Nastavení vypršení (což je výchozí nastavení).

      Pokud zaškrtnutí tohoto políčka zrušíte, platnost tokenů nikdy nevyprší. Databricks doporučuje nakonfigurovat tokeny tak, aby platnost vypršela.

   2. Zadejte počet sekund, minuty, hodiny nebo dny a vyberte měrnou jednotku.

   3. Klikněte na Povolit.

   Další informace najdete v tématu Aspekty zabezpečení pro tokeny.

6. Volitelně můžete zadat název vaší organizace, který může příjemce použít k identifikaci toho, kdo s nimi sdílí.

7. Klikněte na Povolit.

(volitelné) Nainstalujte rozhraní příkazového řádku katalogu Unity

Pro správu akcií a příjemců můžete použít Catalog Explorer, SQL příkazy nebo Unity Catalog CLI. Rozhraní příkazového řádku běží ve vašem místním prostředí a nevyžaduje výpočetní prostředky Azure Databricks.

Pokud chcete rozhraní příkazového řádku nainstalovat, přečtěte si téma Co je Rozhraní příkazového řádku Databricks?

Povolení protokolování auditu

Jako správce účtu Azure Databricks byste měli povolit protokolování auditu pro zaznamenání událostí rozdílového sdílení, například:

• Když někdo vytvoří, upraví, aktualizuje nebo odstraní sdílenou složku nebo příjemce.
• Když příjemce přistupuje k aktivačnímu odkazu a stáhne přihlašovací údaje (jenom otevřené sdílení)
• Když příjemce přistupuje k datům
• Při obměně přihlašovacích údajů příjemce nebo vypršení jeho platnosti (jenom otevřené sdílení)

Aktivita rozdílového sdílení se protokoluje na úrovni účtu.

Pokud chcete povolit protokolování auditu, postupujte podle pokynů v referenčních informacích k diagnostickým protokolům.

Důležité

Aktivita rozdílového sdílení se protokoluje na úrovni účtu. Při konfiguraci doručování protokolů nezadávejte hodnotu pro workspace_ids_filter.

Podrobné informace o protokolování událostí rozdílového sdílení najdete v tématu Auditování a monitorování sdílení dat.

Udělení oprávnění k vytváření a správě sdílených složek a příjemců

Správci metastoru mají právo vytvářet a spravovat sdílené složky a příjemce, včetně udělení sdílených složek příjemcům. Správce metastoru může delegovat mnoho úloh poskytovatele pomocí následujících oprávnění:

Poznámka:

Pokud byl váš pracovní prostor pro katalog Unity povolen automaticky, možná nemáte správce metastoru. Správci pracovních prostorů v těchto pracovních prostorech však mají ve výchozím nastavení oprávnění CREATE SHARE a CREATE RECIPIENT. Další informace najdete v tématu Automatické povolení katalogu Unity a ve výsadách správce pracovního prostoru , pokud jsou pracovní prostory automaticky povoleny pro Katalog Unity.

• CREATE SHARE v metastoru umožňuje vytvářet sdílené složky.
• CREATE RECIPIENT v metastoru umožňuje vytvářet příjemce.
• USE RECIPIENT udělí možnost vypsat a zobrazit podrobnosti pro všechny příjemce v metastoru.
• USE SHARE v metastoru umožňuje vypsat a zobrazit podrobnosti pro všechny sdílené položky v metastoru.
• USE RECIPIENT, USE SHARE, a SET SHARE PERMISSION kombinované umožňují uživateli udělit přístup ke sdílení příjemcům.
• USE SHARE a SET SHARE PERMISSION kombinované dává uživateli možnost převést vlastnictví jakékoli sdílené složky.
• Vlastníci sdílení a vlastníci příjemců mohou tyto objekty aktualizovat a poskytovat sdílení příjemcům. Tvůrci objektů mají ve výchozím nastavení udělené vlastnictví, ale vlastnictví je možné převést.
• Vlastníci sdílených složek mohou do sdílených složek přidávat tabulky a svazky, pokud mají SELECT přístup k tabulkám a READ VOLUME přístup ke svazkům.

Podrobnosti najdete v části oprávnění Katalogu Unity a zabezpečené objekty a oprávnění uvedená pro každou úlohu popsanou v Průvodci sdílením Delta.