Partager via


Activer un espace de travail pour Unity Catalog

Cet article explique comment activer un espace de travail pour Unity Catalog en attribuant un metastore Unity Catalog.

Important

Le 9 novembre 2023, Databricks a commencé à activer automatiquement de nouveaux espaces de travail pour le catalogue Unity, avec un déploiement progressif. Si Unity Catalog a été activé de façon automatique dans votre espace de travail, cet article ne vous concerne pas.

Pour déterminer si votre espace de travail est déjà activé pour le catalogue Unity, consultez Étape 1 : vérifiez que votre espace de travail est activé pour le catalogue Unity.

À propos de l’activation des espaces de travail pour Unity Catalog

L’activation d’Unity Catalog pour un espace de travail signifie que :

  • Les utilisateurs de cet espace de travail peuvent potentiellement accéder aux mêmes données que celles auxquelles les utilisateurs d’autres espaces de travail de votre compte peuvent accéder, et les gestionnaires de données peuvent gérer cet accès aux données de manière centralisée, entre les espaces de travail
  • L’accès aux données est audité automatiquement
  • La fédération d’identités est activée pour l’espace de travail, ce qui permet aux administrateurs de gérer les identités de manière centralisée à l’aide de la console de compte et d’autres interfaces au niveau du compte. Cela inclut l’attribution d’utilisateurs à des espaces de travail.

Pour activer un espace de travail Azure Databricks pour Unity Catalog, vous attribuez l’espace de travail à un metastore Unity Catalog. Un metastore est le conteneur de niveau supérieur pour des données dans Unity Catalog. Chaque metastore expose un espace de noms de 3 niveaux (catalog.schema.table) avec lequel les données peuvent être organisées.

Vous pouvez partager un même metastore entre plusieurs espaces de travail Azure Databricks associés à un compte. Chaque espace de travail lié présente le même affichage des données dans le metastore, et vous pouvez gérer le contrôle d’accès aux données dans les différents espaces de travail. Vous pouvez créer un metastore par région et l’attacher à un nombre quelconque d’espaces de travail de cette région.

Points à prendre en compte avant d’activer un espace de travail pour Unity Catalog

Avant d’activer un espace de travail pour Unity Catalog, vous devez :

  • Comprendre les privilèges des administrateurs d’espace de travail dans les espaces de travail activés pour Unity Catalog et passer en revue vos attributions d’administrateur d’espace de travail existantes.

    Le rôle d’administrateur d’espace de travail est un rôle privilégié que vous devez distribuer avec soin.

    Les administrateurs d’espace de travail peuvent gérer les opérations de leur espace de travail, notamment ajouter des utilisateurs et des principaux de service, créer des clusters et déléguer le rôle d’administrateur d’espace de travail à d’autres utilisateurs. Si votre espace de travail a été activé automatiquement pour Unity Catalog, l’administrateur de l’espace de travail dispose également d’un certain nombre de privilèges supplémentaires par défaut, notamment la possibilité de créer la plupart des types d’objets Unity Catalog et d'accorder l'accès à ceux qu'ils ont créés. Consultez Privilèges Administrateur dans Unity Catalog.

    Si votre espace de travail n’a pas été activé automatiquement pour Unity Catalog, les administrateurs de votre espace de travail n’ont pas plus accès aux objets Unity Catalog par défaut que n’importe quel autre utilisateur. Toutefois, ils ont la possibilité d’effectuer des tâches de gestion de l’espace de travail telles que la gestion de la propriété des travaux et l’affichage des notebooks, ce qui peut donner un accès indirect aux données inscrites dans Unity Catalog.

    Les administrateurs de compte peuvent restreindre les privilèges d’administration de l’espace de travail en utilisant le paramètre RestrictWorkspaceAdmins. Consultez Restreindre les administrateurs d’espace de travail.

    Si vous utilisez des espaces de travail pour isoler l’accès aux données utilisateur, vous pouvez utiliser des liaisons espace de travail-catalogue. Les liaisons espace de travail-catalogue vous permettent de limiter l’accès au catalogue par des limites d’espace de travail. Par exemple, vous pouvez vous assurer que les administrateurs et les utilisateurs de l’espace de travail peuvent uniquement accéder aux données de production dans prod_catalog à partir d’un environnement d’espace de travail de production, prod_workspace. La valeur par défaut consiste à partager le catalogue avec tous les espaces de travail attachés au metastore actuel. De même, vous pouvez lier l’accès à des emplacements externes afin qu’ils soient accessibles uniquement à partir d’espaces de travail spécifiés. Consultez Limiter l’accès au catalogue à des espaces de travail spécifiques et (Facultatif) Affecter un emplacement externe à des espaces de travail spécifiques.

  • Mettre à jour toute automatisation qui a été configurée pour gérer les utilisateurs, les groupes et les principaux de service, tels que les connecteurs de provisionnement SCIM et l’automatisation Terraform, afin qu’ils fassent référence aux points de terminaison de compte plutôt qu’aux points de terminaison d’espace de travail. Consultez Approvisionnement SCIM au niveau du compte et de l’espace de travail.

  • Sachez que si vous activez un espace de travail pour Unity Catalog, vous ne pouvez pas revenir en arrière. Une fois que vous avez activé l’espace de travail, vous gérez les utilisateurs, les groupes et les principaux de service pour cet espace de travail à l’aide d’interfaces au niveau du compte.

Spécifications

Avant de pouvoir activer votre espace de travail pour Unity Catalog, vous devez disposer d’un metastore Unity Catalog configuré pour votre compte Azure Databricks. Consultez Créer un metastore Unity Catalog.

Activer Unity Catalog dans votre espace de travail

Quand vous créez un metastore, vous êtes invité à attribuer des espaces de travail à ce metastore, ce qui active Unity Catalog dans ces espaces de travail. Vous pouvez également revenir à la console de compte pour activer un espace de travail pour le catalogue Unity à tout moment.

Pour activer un espace de travail existant pour le catalogue Unity à l’aide de la console de compte :

  1. En tant qu’administrateur de compte, connectez-vous à la console de compte.
  2. Cliquez sur Icône Catalogue Catalogue.
  3. Cliquez sur le nom du metastore.
  4. Cliquez sur l’onglet Workspaces.
  5. Cliquez sur Attribuer à l’espace de travail.
  6. Sélectionnez un ou plusieurs espaces de travail. Vous pouvez taper une partie du nom de l’espace de travail pour filtrer la liste.
  7. Faites défiler jusqu’au bas de la boîte de dialogue, puis cliquez sur Affecter.
  8. Dans la boîte de dialogue de confirmation, cliquez sur Activer.

Une fois l’attribution terminée, l’espace de travail s’affiche sous l’onglet Espaces de travail du metastore, et celui-ci s’affiche sous l’onglet Configuration de l’espace de travail.

Étapes suivantes

Pour supprimer l’accès aux données d’un metastore accordé à un espace de travail, vous pouvez dissocier le metastore de l’espace de travail.

Avertissement

Si vous rompez le lien entre un espace de travail et un metastore Unity Catalog :

  • Les utilisateurs de l’espace de travail ne pourront plus accéder aux données du metastore.
  • Vous cassez l’ensemble des notebooks, requêtes ou travaux qui référencent les données gérées dans le metastore.
  1. En tant qu’administrateur de compte, connectez-vous à la console de compte.
  2. Cliquez sur Icône Catalogue Catalogue.
  3. Cliquez sur le nom du metastore.
  4. Sous l’onglet Espaces de travail, recherchez l’espace de travail que vous souhaitez supprimer du metastore.
  5. Cliquez sur le menu à trois boutons tout à droite de la ligne de l’espace de travail, puis sélectionnez Supprimer de ce metastore.
  6. Dans la boîte de dialogue de confirmation, cliquez sur Annuler l’attribution.

Lorsque la suppression est terminée, l’espace de travail n’apparaît plus sous l’onglet Espaces de travail du metastore.