Condividi tramite

Configurare la condivisione Delta per l'account (per i provider)

  • Articolo

Questo articolo descrive in che modo i provider di dati (organizzazioni che vogliono usare la condivisione Delta per condividere i dati in modo sicuro) eseguono la configurazione iniziale della condivisione Delta in Azure Databricks.

Nota

Se si è un destinatario di dati (un'organizzazione che riceve dati condivisi tramite condivisione differenziale), vedere Leggere invece i dati condivisi con Databricks-to-Databricks Delta Sharing (per i destinatari).

Importante

Un provider che vuole usare il server di condivisione Delta integrato in Azure Databricks deve avere almeno un'area di lavoro abilitata per Unity Catalog. Non è necessario eseguire la migrazione di tutte le aree di lavoro a Unity Catalog. È possibile creare un'area di lavoro abilitata per il catalogo unity per la gestione delle condivisioni. In alcuni account, le nuove aree di lavoro vengono abilitate automaticamente per Unity Catalog. Consultare Abilitazione automatica di Unity Catalog.

Se la creazione di una nuova area di lavoro abilitata per Il catalogo unity non è un'opzione, è possibile usare il progetto di condivisione delta open source per distribuire il proprio server di condivisione Delta e usarlo per condividere tabelle Delta da qualsiasi piattaforma.

L'installazione iniziale del provider include i passaggi seguenti:

  1. Abilitare la condivisione differenziale in un metastore del catalogo Unity.
  2. (Facoltativo) Installare l'interfaccia della riga di comando di Unity Catalog.
  3. Configurare i controlli dell'attività di condivisione differenziale.

Requisiti

In qualità di provider di dati che configura l'account Azure Databricks per poter condividere i dati, è necessario disporre di:

  • Almeno un'area di lavoro di Azure Databricks abilitata per Unity Catalog.

    Non è necessario eseguire la migrazione di tutte le aree di lavoro a Unity Catalog per sfruttare il supporto di Databricks per i provider di condivisione Delta. Vedere Do I need Unity Catalog to use Delta Sharing?.See Do I need Unity Catalog to use Delta Sharing?.

    I destinatari non devono disporre di un'area di lavoro abilitata per il catalogo Unity.

  • Ruolo di amministratore dell'account per abilitare la condivisione differenziale per il metastore del catalogo Unity e abilitare la registrazione di controllo.

  • Ruolo di amministratore del metastore o privilegi CREATE SHARE e CREATE RECIPIENT . Vedere Ruoli di amministratore.

    Nota

    Se l'area di lavoro è stata abilitata automaticamente per Unity Catalog, potrebbe non essere disponibile un amministratore del metastore. Tuttavia, gli amministratori dell'area di lavoro in tali aree di lavoro hanno i CREATE SHARE privilegi e CREATE RECIPIENT nel metastore per impostazione predefinita. Per altre informazioni, vedere Abilitazione automatica dei privilegi di amministratore del catalogo unity e dell'area di lavoro quando le aree di lavoro sono abilitate automaticamente per il catalogo Unity.

Abilitare la condivisione delta in un metastore

Seguire questa procedura per ogni metastore del catalogo Unity che gestisce i dati che si prevede di condividere usando la condivisione differenziale.

Nota

Non è necessario abilitare la condivisione Delta nel metastore se si intende usare la condivisione Delta solo per condividere i dati con gli utenti in altri metastore di Unity Catalog nell'account. La condivisione da metastore a metastore all'interno di un singolo account Azure Databricks è abilitata per impostazione predefinita.

  1. Come amministratore dell'account Azure Databricks, accedere alla console dell'account.

  2. Nella barra laterale fare clic su Icona catalogo Catalogo.

  3. Fare clic sul nome di un metastore per aprire i relativi dettagli.

  4. Fare clic sulla casella di controllo accanto a Abilita condivisione Delta per consentire a un utente di Databricks di condividere i dati all'esterno dell'organizzazione.

  5. Configurare la durata del token del destinatario.

    Questa configurazione imposta il periodo di tempo dopo il quale tutti i token del destinatario scadono e devono essere rigenerati. I token dei destinatari vengono usati solo nel protocollo di condivisione aperto. Databricks consiglia di configurare una durata predefinita del token anziché consentire la durata illimitata dei token.

    Nota

    La durata del token del destinatario per i destinatari esistenti non viene aggiornata automaticamente quando si modifica la durata predefinita del token del destinatario per un metastore. Per applicare una nuova durata del token a un determinato destinatario, è necessario ruotare il token. Vedere Gestire i token dei destinatari (condivisione aperta).

    Per impostare la durata predefinita del token del destinatario:

    1. Verificare che l'opzione Imposta scadenza sia abilitata (impostazione predefinita).

      Se si deseleziona questa casella di controllo, i token non scadono mai. Databricks consiglia di configurare i token per la scadenza.

    2. Immettere un numero di secondi, minuti, ore o giorni e selezionare l'unità di misura.

    3. Fare clic su Abilita.

    Per altre informazioni, vedere Considerazioni sulla sicurezza per i token.

  6. Facoltativamente, immettere un nome per l'organizzazione che un destinatario può usare per identificare chi condivide con loro.

  7. Fare clic su Abilita.

(Facoltativo) Installare l'interfaccia della riga di comando di Unity Catalog

Per gestire condivisioni e destinatari, è possibile usare Esplora cataloghi, comandi SQL o l'interfaccia della riga di comando di Unity Catalog. L'interfaccia della riga di comando viene eseguita nell'ambiente locale e non richiede risorse di calcolo di Azure Databricks.

Per installare l'interfaccia della riga di comando, vedere Che cos'è l'interfaccia della riga di comando di Databricks?

Abilitare la registrazione di controllo

In qualità di amministratore dell'account Azure Databricks, è necessario abilitare la registrazione di controllo per acquisire eventi di condivisione delta, ad esempio:

  • Quando un utente crea, modifica, aggiorna o elimina una condivisione o un destinatario
  • Quando un destinatario accede a un collegamento di attivazione e scarica le credenziali (solo condivisione aperta)
  • Quando un destinatario accede ai dati
  • Quando la credenziale di un destinatario viene ruotata o scade (solo condivisione aperta)

L'attività di condivisione differenziale viene registrata a livello di account.

Per abilitare la registrazione di controllo, seguire le istruzioni riportate in Informazioni di riferimento sul log di diagnostica.

Importante

L'attività di condivisione differenziale viene registrata a livello di account. Quando si configura il recapito dei log, non immettere un valore per workspace_ids_filter.

Per informazioni dettagliate sulla registrazione degli eventi di condivisione differenziale, vedere Controllare e monitorare la condivisione dei dati.

Concedere l'autorizzazione per creare e gestire condivisioni e destinatari

Gli amministratori metastore hanno il diritto di creare e gestire condivisioni e destinatari, inclusa la concessione di condivisioni ai destinatari. Molte attività del provider possono essere delegate da un amministratore del metastore usando i privilegi seguenti:

Nota

Se l'area di lavoro è stata abilitata automaticamente per Unity Catalog, potrebbe non essere disponibile un amministratore del metastore. Tuttavia, gli amministratori dell'area di lavoro in tali aree di lavoro hanno i CREATE SHARE privilegi e CREATE RECIPIENT nel metastore per impostazione predefinita. Per altre informazioni, vedere Abilitazione automatica dei privilegi di amministratore del catalogo unity e dell'area di lavoro quando le aree di lavoro sono abilitate automaticamente per il catalogo Unity.

  • CREATE SHARE nel metastore concede la possibilità di creare condivisioni.
  • CREATE RECIPIENT nel metastore concede la possibilità di creare destinatari.
  • USE RECIPIENT in concede la possibilità di elencare e visualizzare i dettagli per tutti i destinatari nel metastore.
  • USE SHARE nel metastore concede la possibilità di elencare e visualizzare i dettagli per tutte le condivisioni nel metastore.
  • USE RECIPIENTe USE SHARE, SET SHARE PERMISSION offrono a un utente la possibilità di concedere l'accesso condiviso ai destinatari.
  • USE SHARE e SET SHARE PERMISSION combinate offrono a un utente la possibilità di trasferire la proprietà di qualsiasi condivisione.
  • I proprietari di condivisione e destinatari possono aggiornare tali oggetti e concedere condivisioni ai destinatari. Gli autori di oggetti vengono concessi la proprietà per impostazione predefinita, ma la proprietà può essere trasferita.
  • I proprietari della condivisione possono aggiungere tabelle e volumi alle condivisioni, purché abbiano SELECT accesso alle tabelle e READ VOLUME l'accesso ai volumi.

Per informazioni dettagliate, vedere Privilegi e oggetti a protezione diretta di Unity e le autorizzazioni elencate per ogni attività descritta nella Guida alla condivisione differenziale.