Condividi tramite

Abilitare l'accesso ai dati esterni a Unity Catalog

  • Articolo

Azure Databricks fornisce l'accesso alle tabelle del catalogo Unity usando l'API REST Unity e il catalogo REST Iceberg.

Un amministratore del metastore deve abilitare l'accesso ai dati esterni per ogni metastore a cui è necessario accedere esternamente. L'utente o l'entità servizio che configura la connessione deve avere il privilegio EXTERNAL USE SCHEMA per ogni schema contenente tabelle necessarie per la lettura esterna.

L'API REST di Unity supporta letture dirette per le tabelle Delta, mentre il catalogo REST di Iceberg supporta le letture delle tabelle abilitate per le letture Iceberg. Vedere Accedere ai dati di Databricks usando sistemi esterni.

Abilitare l'accesso ai dati esterni nel metastore

Per consentire ai motori esterni di accedere ai dati in un metastore, un amministratore del metastore deve abilitare l'accesso ai dati esterni per il metastore. Questa opzione è disabilitata per impostazione predefinita per impedire l'accesso esterno non autorizzato.

Per abilitare l'accesso ai dati esterni, eseguire le operazioni seguenti:

  1. In un'area di lavoro di Azure Databricks collegata al metastore, fai clic sull'icona Catalogo.
  2. Fare clic sull'icona a forma di ingranaggio nella parte superiore del riquadro Catalogo e selezionare Metastore .
  3. Nella scheda Dettagli, abilita Accesso ai dati esterni.

Nota

Queste opzioni vengono visualizzate solo per utenti con privilegi sufficienti. Se non vedi queste opzioni, non disponi delle autorizzazioni necessarie per abilitare l'accesso ai dati esterni per un metastore.

Concedere un principale EXTERNAL USE SCHEMA

I client esterni che si connettono ad Azure Databricks necessitano dell'autorizzazione da un'entità con privilegi sufficientemente elevati.

Azure Databricks supporta token di accesso personale e OAuth per l'autenticazione. Vedere Autorizzazione dell'accesso alle risorse di Azure Databricks.

Il responsabile che richiede le credenziali temporanee deve avere:

  • Privilegio EXTERNAL USE SCHEMA sullo schema contenitore o sul relativo catalogo padre.

    Questo privilegio deve essere sempre concesso in modo esplicito. Solo il proprietario del catalogo padre può concederlo. Per evitare l'esfiltrazione accidentale, ALL PRIVILEGES non include il privilegio EXTERNAL USE SCHEMA e i proprietari dello schema non dispongono di questo privilegio per impostazione predefinita.

  • SELECT l'autorizzazione per la tabella, USE CATALOG nel catalogo padre e USE SCHEMA nel schema padre.

La sintassi di esempio seguente illustra la concessione di EXTERNAL USE SCHEMA a un utente:

GRANT EXTERNAL USE SCHEMA ON SCHEMA catalog_name.schema_name TO `user@company.com`

Supponendo che l'utente disponga delle autorizzazioni per leggere tutte le tabelle desiderate nello schema, non sono necessarie autorizzazioni aggiuntive. Se è necessario concedere ulteriori autorizzazioni per la lettura delle tabelle, consultare privilegi del catalogo Unity e gli oggetti securabili.