Condividi tramite


Abilitare un'area di lavoro per il catalogo Unity

Questo articolo illustra come abilitare un'area di lavoro per il catalogo Unity assegnando un metastore del catalogo Unity.

Importante

Il 9 novembre 2023 Databricks ha iniziato ad abilitare automaticamente nuove aree di lavoro per Unity Catalog, con un'implementazione graduale. Se l'area di lavoro è stata abilitata automaticamente per Unity Catalog, questo articolo non si applica all'utente.

Per determinare se l'area di lavoro è già abilitata per il catalogo unity, vedere Passaggio 1: Verificare che l'area di lavoro sia abilitata per Il catalogo unity.

Informazioni sull'abilitazione delle aree di lavoro per il catalogo unity

L'abilitazione del catalogo Unity per un'area di lavoro significa che:

  • Gli utenti dell'area di lavoro possono accedere potenzialmente agli stessi dati a cui gli utenti di altre aree di lavoro nell'account possono accedere e gli amministratori dei dati possono gestire l'accesso ai dati in modo centralizzato, tra aree di lavoro
  • L'accesso ai dati viene controllato automaticamente
  • La federazione delle identità è abilitata per l'area di lavoro, consentendo agli amministratori di gestire le identità centralmente tramite la console dell'account e altre interfacce a livello di account. Ciò include l'assegnazione di utenti alle aree di lavoro.

Per abilitare un'area di lavoro di Azure Databricks per Unity Catalog, assegnare l'area di lavoro a un metastore di Unity Catalog. Un metastore è il contenitore di primo livello per i dati in Unity Catalog. Ogni metastore espone uno spazio dei nomi a 3 livelli (catalog.schema.table) in base al quale è possibile organizzare i dati.

È possibile condividere un singolo metastore tra più aree di lavoro di Azure Databricks in un account. Ogni area di lavoro collegata ha la stessa visualizzazione dei dati nel metastore ed è possibile gestire il controllo di accesso ai dati tra aree di lavoro. È possibile creare un metastore per area e collegarlo a un numero qualsiasi di aree di lavoro in tale area.

Considerazioni prima di abilitare un'area di lavoro per il catalogo unity

Prima di abilitare un'area di lavoro per Unity Catalog, è necessario:

  • Comprendere i privilegi degli amministratori dell'area di lavoro nelle aree di lavoro abilitate per Unity Catalog ed esaminare le assegnazioni di amministratore dell'area di lavoro esistenti.

    Quello di amministratore dell’area di lavoro è un ruolo privilegiato che deve essere distribuito con cautela.

    Gli amministratori dell'area di lavoro possono gestire le operazioni per l'area di lavoro, tra cui l'aggiunta di utenti e entità servizio, la creazione di cluster e la delega di altri utenti come amministratori dell'area di lavoro. Se l'area di lavoro è stata abilitata automaticamente per Unity Catalog, l'amministratore dell'area di lavoro dispone anche di numerosi privilegi aggiuntivi per impostazione predefinita, inclusa la possibilità di creare la maggior parte dei tipi di oggetti del catalogo Unity e concedere l'accesso a quelli creati. Vedere Privilegi di amministratore nel catalogo unity.

    Se l'area di lavoro non è stata abilitata automaticamente per Unity Catalog, gli amministratori dell'area di lavoro non hanno più accesso agli oggetti catalogo Unity per impostazione predefinita di qualsiasi altro utente, ma hanno la possibilità di eseguire attività di gestione dell'area di lavoro, ad esempio la gestione della proprietà dei processi e la visualizzazione dei notebook, che possono concedere l'accesso indiretto ai dati registrati in Unity Catalog.

    Gli amministratori dell'account possono limitare i privilegi di amministratore dell'area di lavoro usando l'impostazione RestrictWorkspaceAdmins. Vedere Limitare gli amministratori dell'area di lavoro.

    Se si usano aree di lavoro per isolare l'accesso ai dati utente, è possibile usare associazioni del catalogo dell'area di lavoro. Le associazioni del catalogo dell'area di lavoro consentono di limitare l'accesso al catalogo in base ai limiti dell'area di lavoro. Ad esempio, è possibile assicurarsi che gli amministratori e gli utenti dell'area di lavoro possano accedere solo ai dati di produzione in prod_catalog da un ambiente dell'area di lavoro di produzione, prod_workspace. L'impostazione predefinita consiste nel condividere il catalogo con tutte le aree di lavoro collegate al metastore corrente. Analogamente, è possibile associare l'accesso a posizioni esterne in modo che siano accessibili solo dalle aree di lavoro specificate. Vedere Limitare l'accesso al catalogo a aree di lavoro specifiche e (facoltativo) Assegnare una posizione esterna a aree di lavoro specifiche.

  • Aggiornare qualsiasi automazione configurata per gestire utenti, gruppi e entità servizio, ad esempio connettori di provisioning SCIM e automazione Terraform, in modo che facciano riferimento agli endpoint dell'account anziché agli endpoint dell'area di lavoro. Vedere Provisioning SCIM a livello di account e a livello di area di lavoro.

  • Tenere presente che l'abilitazione di un'area di lavoro per Unity Catalog non può essere annullata. Dopo aver abilitato l'area di lavoro, sarà possibile gestire utenti, gruppi e entità servizio per questa area di lavoro usando interfacce a livello di account.

Requisiti

Prima di poter abilitare l'area di lavoro per Unity Catalog, è necessario avere un metastore del catalogo Unity configurato per l'account Azure Databricks. Vedere Creare un metastore del catalogo Unity.

Abilitare l'area di lavoro per il catalogo unity

Quando si crea un metastore, viene richiesto di assegnare aree di lavoro a tale metastore, che abilita tali aree di lavoro per il catalogo unity. È anche possibile tornare alla console dell'account per abilitare un'area di lavoro per Unity Catalog in qualsiasi momento.

Per abilitare un'area di lavoro esistente per Il catalogo Unity usando la console dell'account:

  1. Come amministratore dell'account, accedere alla console dell'account.
  2. Fare clic su Icona catalogo Catalogo.
  3. Fare clic sul nome del metastore.
  4. Fare clic sulla scheda Aree di lavoro .
  5. Fare clic su Assegna all'area di lavoro.
  6. Selezionare una o più aree di lavoro. È possibile digitare parte del nome dell'area di lavoro per filtrare l'elenco.
  7. Scorrere fino alla fine della finestra di dialogo e fare clic su Assegna.
  8. Nella finestra di dialogo di conferma fare clic su Abilita.

Al termine dell'assegnazione, l'area di lavoro viene visualizzata nella scheda Aree di lavoro del metastore e il metastore viene visualizzato nella scheda Configurazione dell'area di lavoro.

Passaggi successivi

Per rimuovere l'accesso di un'area di lavoro ai dati in un metastore, è possibile scollegare il metastore dall'area di lavoro.

Avviso

Se si interrompe il collegamento tra un'area di lavoro e un metastore del catalogo Unity:

  • Gli utenti nell'area di lavoro non potranno più accedere ai dati nel metastore.
  • Si interromperà qualsiasi notebook, query o processo che fa riferimento ai dati gestiti nel metastore.
  1. Come amministratore dell'account, accedere alla console dell'account.
  2. Fare clic su Icona catalogo Catalogo.
  3. Fare clic sul nome del metastore.
  4. Nella scheda Aree di lavoro individuare l'area di lavoro da rimuovere dal metastore.
  5. Fare clic sul menu a tre pulsanti all'estrema destra della riga dell'area di lavoro e selezionare Rimuovi da questo metastore.
  6. Nella finestra di dialogo di conferma fare clic su Annulla assegnazione.

Al termine della rimozione, l'area di lavoro non viene più visualizzata nella scheda Aree di lavoro del metastore.