Udostępnij za pośrednictwem


Tworzenie adresatów danych na potrzeby udostępniania różnicowego i zarządzanie nimi

W tym artykule wyjaśniono, jak tworzyć adresatów udostępniania różnicowego i zarządzać nimi.

Odbiorca jest nazwanym obiektem reprezentującym tożsamość użytkownika lub grupy użytkowników w świecie rzeczywistym, którzy korzystają z udostępnionych danych. Sposób tworzenia adresatów różni się w zależności od tego, czy odbiorca ma dostęp do obszaru roboczego usługi Databricks włączonego dla wykazu aparatu Unity:

  • W przypadku adresatów z dostępem do obszaru roboczego usługi Databricks, który jest włączony dla wykazu aparatu Unity, można utworzyć obiekt odbiorcy z bezpiecznym połączeniem zarządzanym w całości przez usługę Databricks. Ten tryb udostępniania jest nazywany udostępnianiem usługi Databricks do usługi Databricks.
  • W przypadku adresatów bez dostępu do obszaru roboczego usługi Databricks włączonego dla wykazu aparatu Unity należy użyć otwartego udostępniania z bezpiecznym połączeniem zarządzanym przy użyciu uwierzytelniania opartego na tokenach.

Aby uzyskać więcej informacji na temat tych dwóch trybów udostępniania i kiedy wybrać, zobacz Otwieranie udostępniania i udostępnianie usługi Databricks-to-Databricks.

Wymagania

Aby utworzyć adresata:

  • Musisz być administratorem magazynu metadanych lub mieć CREATE_RECIPIENT uprawnienia do magazynu metadanych wykazu aparatu Unity, w którym zarejestrowane są dane, które chcesz udostępnić.
  • Musisz utworzyć adresata przy użyciu obszaru roboczego usługi Azure Databricks, który ma dołączony magazyn metadanych wykazu aparatu Unity.
  • Jeśli używasz notesu usługi Databricks do utworzenia adresata, klaster musi używać środowiska Databricks Runtime 11.3 LTS lub nowszego oraz trybu dostępu do klastra współużytkowanego lub pojedynczego użytkownika.

W przypadku innych operacji zarządzania adresatami (takich jak wyświetlanie, usuwanie, aktualizowanie i udzielanie adresatowi dostępu do udziału) zobacz wymagania dotyczące uprawnień wymienione w sekcjach specyficznych dla operacji tego artykułu.

Tworzenie obiektu adresata dla użytkowników, którzy mają dostęp do usługi Databricks (udostępnianie danych w usłudze Databricks-to-Databricks)

Jeśli odbiorca danych ma dostęp do obszaru roboczego usługi Databricks, który został włączony dla wykazu aparatu Unity, możesz utworzyć obiekt odbiorcy z typem DATABRICKSuwierzytelniania .

Obiekt adresata DATABRICKS z typem uwierzytelniania reprezentuje adresata danych w określonym magazynie metadanych wykazu aparatu Unity, zidentyfikowanym w definicji obiektu adresata przez ciąg identyfikatora udostępniania składający się z chmury, regionu i identyfikatora UUID magazynu metadanych. Dane udostępnione temu adresatowi mogą być dostępne tylko w tym magazynie metadanych.

Krok 1. Żądanie identyfikatora udostępniania odbiorcy

Poproś użytkownika odbiorcy o wysłanie identyfikatora udostępniania magazynu metadanych wykazu aparatu Unity dołączonego do obszarów roboczych, w których odbiorca lub grupa użytkowników będą pracować z udostępnionymi danymi.

Identyfikator udostępniania to ciąg składający się z chmury, regionu i identyfikatora UUID magazynu metadanych (unikatowy identyfikator magazynu metadanych) w formacie <cloud>:<region>:<uuid>.

Na przykład na poniższym zrzucie ekranu pełny ciąg identyfikatora udostępniania to aws:us-west-2:19a84bee-54bc-43a2-87de-023d0ec16016.

przykład CURRENT_METASTORE

Odbiorca może znaleźć identyfikator przy użyciu Eksploratora wykazu usługi Databricks, interfejsu wiersza polecenia wykazu aparatu Unity lub domyślnej funkcji CURRENT_METASTORE SQL w notesie usługi Databricks lub zapytaniu SQL usługi Databricks, które działa w klastrze obsługującym wykaz aparatu Unity w obszarze roboczym, którego zamierza użyć.

Eksplorator wykazu

Aby uzyskać identyfikator udostępniania przy użyciu Eksploratora wykazu:

  1. W obszarze roboczym usługi Azure Databricks kliknij pozycję Ikona wykazu Wykaz.

  2. W górnej części okienka Wykaz kliknij ikonę Ikona koła zębatego koła zębatego i wybierz pozycję Udostępnianie różnicowe.

    Alternatywnie na stronie Szybki dostęp kliknij przycisk Udostępnianie > różnicowe.

  3. Na karcie Udostępnione mi kliknij nazwę organizacji udostępniania usługi Databricks w prawym górnym rogu i wybierz pozycję Kopiuj identyfikator udostępniania.

SQL

Uruchom następujące polecenie w notesie lub edytorze zapytań SQL usługi Databricks:

SELECT CURRENT_METASTORE();

CLI

Uruchom następujące polecenie przy użyciu interfejsu wiersza polecenia usługi Databricks. Identyfikator udostępniania jest zwracany jako .global_metastore_id

databricks metastores summary

Możesz pomóc adresatowi, wysyłając informacje kontaktowe zawarte w tym kroku. Możesz też wskazać im pozycję Uzyskaj dostęp w modelu databricks-to-Databricks.

Krok 2. Tworzenie adresata

Aby utworzyć adresata do udostępniania usługi Databricks-to-Databricks, możesz użyć Eksploratora katalogów, interfejsu wiersza polecenia wykazu aparatu Unity usługi Databricks lub CREATE RECIPIENT polecenia SQL w notesie usługi Azure Databricks lub edytorze zapytań SQL usługi Databricks.

Wymagane uprawnienia: administrator magazynu metadanych lub użytkownik z CREATE_RECIPIENT uprawnieniami do magazynu metadanych wykazu aparatu Unity, w którym zarejestrowano dane, które chcesz udostępnić.

Eksplorator wykazu

  1. W obszarze roboczym usługi Azure Databricks kliknij pozycję Ikona wykazu Wykaz.

  2. W górnej części okienka Wykaz kliknij ikonę Ikona koła zębatego koła zębatego i wybierz pozycję Udostępnianie różnicowe.

    Alternatywnie na stronie Szybki dostęp kliknij przycisk Udostępnianie > różnicowe.

  3. Na karcie Udostępnione przeze mnie kliknij pozycję Nowy adresat.

  4. Wprowadź nazwę adresata i identyfikator udostępniania.

    Użyj całego ciągu identyfikatora udostępniania w formacie <cloud>:<region>:<uuid>. Na przykład aws:us-west-2:19a84bee-54bc-43a2-87de-023d0ec16016.

  5. (Opcjonalnie) Wprowadź komentarz.

  6. Kliknij pozycję Utwórz.

  7. (Opcjonalnie) Utwórz niestandardowe właściwości adresata.

    Kliknij pozycję Edytuj właściwości > +Dodaj właściwość. Następnie dodaj nazwę właściwości (klucz) i wartość. Aby uzyskać szczegółowe informacje, zobacz Zarządzanie właściwościami adresatów.

SQL

Uruchom następujące polecenie w notesie lub edytorze zapytań SQL usługi Databricks:

CREATE RECIPIENT [IF NOT EXISTS] <recipient-name>
USING ID '<sharing-identifier>'
[COMMENT "<comment>"];

Użyj całego ciągu identyfikatora udostępniania w formacie <cloud>:<region>:<uuid>. Na przykład aws:eu-west-1:g0c979c8-3e68-4cdf-94af-d05c120ed1ef.

Możesz również dodać właściwości niestandardowe dla adresata. Aby uzyskać szczegółowe informacje, zobacz Zarządzanie właściwościami adresatów.

CLI

Uruchom następujące polecenie przy użyciu interfejsu wiersza polecenia usługi Databricks. Zastąp wartości symboli zastępczych:

  • <recipient-name>: nazwa adresata.
  • <sharing-identifier>: cały ciąg identyfikatora udostępniania w formacie <cloud>:<region>:<uuid>. Na przykład aws:eu-west-1:g0c979c8-3e68-4cdf-94af-d05c120ed1ef.
  • <authentication-type>: ustaw wartość na DATABRICKS wartość , gdy parametr identyfikatora udostępniania w formacie <cloud>:<region>:<uuid> jest podany dla elementu <sharing-identifier>.
databricks recipients create <recipient-name> <authentication-type> --sharing-code <sharing-identifier>

Możesz również dodać właściwości niestandardowe dla adresata. Aby uzyskać szczegółowe informacje, zobacz Zarządzanie właściwościami adresatów.

Adresat jest tworzony za pomocą authentication_type polecenia DATABRICKS.

Tworzenie obiektu adresata dla wszystkich innych użytkowników (otwieranie udostępniania)

Jeśli chcesz udostępniać dane użytkownikom spoza obszaru roboczego usługi Azure Databricks, niezależnie od tego, czy korzystają z usługi Databricks samodzielnie, możesz bezpiecznie udostępniać dane za pomocą funkcji udostępniania różnicowego. Oto jak to działa:

  1. Jako dostawca danych utworzysz obiekt odbiorcy w magazynie metadanych wykazu aparatu Unity.
  2. Podczas tworzenia obiektu adresata usługa Azure Databricks generuje token, plik poświadczeń zawierający token i link aktywacji, który ma zostać udostępniony adresatowi. Obiekt adresata ma typ TOKENuwierzytelniania .
  3. Odbiorca uzyskuje dostęp do linku aktywacji, pobiera plik poświadczeń i używa pliku poświadczeń do uwierzytelniania i uzyskiwania dostępu do odczytu do tabel uwzględnionych w udziałach, do których uzyskujesz dostęp.

Krok 1. Tworzenie adresata

Aby utworzyć adresata do otwierania udostępniania, możesz użyć Eksploratora katalogów, interfejsu wiersza polecenia wykazu aparatu Unity usługi Databricks lub CREATE RECIPIENT polecenia SQL w notesie usługi Azure Databricks lub edytorze zapytań SQL usługi Databricks.

Wymagane uprawnienia: administrator magazynu metadanych lub użytkownik z CREATE_RECIPIENT uprawnieniami do magazynu metadanych wykazu aparatu Unity, w którym zarejestrowano dane, które chcesz udostępnić.

Eksplorator wykazu

  1. W obszarze roboczym usługi Azure Databricks kliknij pozycję Ikona wykazu Wykaz.

  2. W górnej części okienka Wykaz kliknij ikonę Ikona koła zębatego koła zębatego i wybierz pozycję Udostępnianie różnicowe.

    Alternatywnie na stronie Szybki dostęp kliknij przycisk Udostępnianie > różnicowe.

  3. Na karcie Udostępnione przeze mnie kliknij pozycję Nowy adresat.

  4. Wprowadź nazwę adresata

  5. (Opcjonalnie) Wprowadź komentarz.

  6. Kliknij pozycję Utwórz.

    Nie używasz identyfikatora udostępniania dla adresatów otwierania udostępniania.

  7. Skopiuj link aktywacji.

    Alternatywnie możesz uzyskać link aktywacji później. Zobacz Krok 2. Uzyskiwanie linku aktywacji.

  8. (Opcjonalnie) Utwórz niestandardowe właściwości adresata.

    Na karcie Szczegóły adresata kliknij pozycję Edytuj właściwości > +Dodaj właściwość. Następnie dodaj nazwę właściwości (klucz) i wartość. Aby uzyskać szczegółowe informacje, zobacz Zarządzanie właściwościami adresatów.

SQL

Uruchom następujące polecenie w notesie lub edytorze zapytań SQL usługi Databricks:

CREATE RECIPIENT [IF NOT EXISTS] <recipient-name>
[COMMENT "<comment>"];

Możesz również dodać właściwości niestandardowe dla adresata. Aby uzyskać szczegółowe informacje, zobacz Zarządzanie właściwościami adresatów.

CLI

Uruchom następujące polecenie przy użyciu interfejsu wiersza polecenia usługi Databricks.

databricks recipients create <recipient-name>

Możesz również dodać właściwości niestandardowe dla adresata. Aby uzyskać szczegółowe informacje, zobacz Zarządzanie właściwościami adresatów.

Dane wyjściowe obejmują activation_url udostępnione adresatowi.

Adresat jest tworzony za pomocą authentication_type polecenia TOKEN.

Uwaga

Podczas tworzenia adresata możesz ograniczyć dostęp adresata do ograniczonego zestawu adresów IP. Możesz również dodać listę dostępu ip do istniejącego adresata. Zobacz Ograniczanie dostępu adresata do udostępniania różnicowego przy użyciu list dostępu do adresów IP (otwieranie udostępniania).

Aby uzyskać link aktywacji nowego adresata, możesz użyć Eksploratora wykazu, interfejsu wiersza polecenia wykazu aparatu Unity usługi Databricks lub DESCRIBE RECIPIENT polecenia SQL w notesie usługi Azure Databricks lub edytorze zapytań SQL usługi Databricks.

Jeśli odbiorca pobrał już plik poświadczeń, link aktywacji nie zostanie zwrócony ani wyświetlony.

Wymagane uprawnienia: administrator magazynu metadanych, użytkownik z USE RECIPIENT uprawnieniami lub właściciel obiektu adresata.

Eksplorator wykazu

  1. W obszarze roboczym usługi Azure Databricks kliknij pozycję Ikona wykazu Wykaz.

  2. W górnej części okienka Wykaz kliknij ikonę Ikona koła zębatego koła zębatego i wybierz pozycję Udostępnianie różnicowe.

    Alternatywnie na stronie Szybki dostęp kliknij przycisk Udostępnianie > różnicowe.

  3. Na karcie Udostępnione przeze mnie kliknij pozycję Adresaci i wybierz adresata.

  4. Na stronie szczegółów adresata skopiuj link Aktywacja.

SQL

Uruchom następujące polecenie w notesie lub edytorze zapytań SQL usługi Databricks.

DESCRIBE RECIPIENT <recipient-name>;

Dane wyjściowe obejmują element activation_link.

CLI

Uruchom następujące polecenie przy użyciu interfejsu wiersza polecenia usługi Databricks.

databricks recipients get <recipient-name>

Dane wyjściowe obejmują element activation_url.

Udzielanie adresatowi dostępu do udziału

Po utworzeniu adresata i utworzeniu udziałów możesz udzielić adresatowi dostępu do tych udziałów.

Aby udzielić dostępu do udziału adresatom, możesz użyć Eksploratora katalogów, interfejsu wiersza polecenia wykazu aparatu Unity usługi Databricks lub GRANT ON SHARE polecenia SQL w notesie usługi Azure Databricks lub edytorze zapytań SQL usługi Databricks.

Wymagane uprawnienia: jeden z następujących elementów:

  • Administrator magazynu metadanych.
  • Delegowane uprawnienia lub własność zarówno udziału, jak i obiektów adresata ((USE SHARE + SET SHARE PERMISSION) lub właściciela udziału) AND (USE RECIPIENT lub właściciela adresata).

Aby uzyskać instrukcje, zobacz Zarządzanie dostępem do udziałów danych usługi Delta Sharing (dla dostawców).

Wyślij adresatowi informacje o połączeniu

Musisz poinformować adresata, jak uzyskać dostęp do udostępnianych im danych. Informacje udostępniane adresatowi zależą od tego, czy używasz usługi Databricks-to-Databricks sharing, czy otwartego udostępniania:

Wyświetlanie adresatów

Aby wyświetlić listę adresatów, możesz użyć Eksploratora katalogów, interfejsu wiersza polecenia wykazu aparatu Unity usługi Databricks lub SHOW RECIPIENTS polecenia SQL w notesie usługi Azure Databricks lub edytorze zapytań SQL usługi Databricks.

Wymagane uprawnienia: musisz być administratorem magazynu metadanych lub mieć USE RECIPIENT uprawnienia do wyświetlania wszystkich adresatów w magazynie metadanych. Inni użytkownicy mają dostęp tylko do własnych adresatów.

Eksplorator wykazu

  1. W obszarze roboczym usługi Azure Databricks kliknij pozycję Ikona wykazu Wykaz.

  2. W górnej części okienka Wykaz kliknij ikonę Ikona koła zębatego koła zębatego i wybierz pozycję Udostępnianie różnicowe.

    Alternatywnie na stronie Szybki dostęp kliknij przycisk Udostępnianie > różnicowe.

  3. Na karcie Udostępnione przeze mnie kliknij pozycję Adresaci.

SQL

Uruchom następujące polecenie w notesie lub edytorze zapytań SQL usługi Databricks. Opcjonalnie zastąp element <pattern> predykatemLIKE.

SHOW RECIPIENTS [LIKE <pattern>];

CLI

Uruchom następujące polecenie przy użyciu interfejsu wiersza polecenia usługi Databricks.

databricks recipients list

Wyświetlanie szczegółów adresata

Aby wyświetlić szczegółowe informacje o odbiorcy, możesz użyć Eksploratora katalogu, interfejsu wiersza polecenia wykazu aparatu Unity usługi Databricks lub DESCRIBE RECIPIENT polecenia SQL w notesie usługi Azure Databricks lub edytorze zapytań SQL usługi Databricks.

Wymagane uprawnienia: administrator magazynu metadanych, użytkownik z USE RECIPIENT uprawnieniami lub właściciel obiektu adresata.

Szczegóły obejmują:

  • Twórca adresata, sygnatura czasowa tworzenia, komentarze i typ uwierzytelniania (TOKEN lub DATABRICKS).
  • Jeśli odbiorca używa otwartego udostępniania: okres istnienia tokenu, link aktywacji, stan aktywacji (czy poświadczenie zostało pobrane) i listy dostępu ip, jeśli przypisano.
  • Jeśli adresat korzysta z udostępniania usługi Databricks-to-Databricks: identyfikator chmury, regionu i magazynu metadanych magazynu metadanych magazynu metadanych wykazu aparatu Unity odbiorcy, a także stanu aktywacji.
  • Właściwości adresata, w tym właściwości niestandardowe. Zobacz Zarządzanie właściwościami adresatów.

Eksplorator wykazu

  1. W obszarze roboczym usługi Azure Databricks kliknij pozycję Ikona wykazu Wykaz.

  2. W górnej części okienka Wykaz kliknij ikonę Ikona koła zębatego koła zębatego i wybierz pozycję Udostępnianie różnicowe.

    Alternatywnie na stronie Szybki dostęp kliknij przycisk Udostępnianie > różnicowe.

  3. Na karcie Udostępnione przeze mnie kliknij pozycję Adresaci i wybierz adresata.

SQL

Uruchom następujące polecenie w notesie lub edytorze zapytań SQL usługi Databricks.

DESCRIBE RECIPIENT <recipient-name>;

CLI

Uruchom następujące polecenie przy użyciu interfejsu wiersza polecenia usługi Databricks.

databricks recipients get <recipient-name>

Wyświetlanie uprawnień do udziału adresata

Aby wyświetlić listę udziałów, do których udzielono adresatowi dostępu, możesz użyć Eksploratora wykazu, interfejsu wiersza polecenia usługi Databricks lub SHOW GRANTS TO RECIPIENT polecenia SQL w notesie usługi Azure Databricks lub edytorze zapytań SQL usługi Databricks.

Wymagane uprawnienia: administrator magazynu metadanych, użytkownik z USE RECIPIENT uprawnieniami lub właściciel obiektu adresata.

Eksplorator wykazu

  1. W obszarze roboczym usługi Azure Databricks kliknij pozycję Ikona wykazu Wykaz.

  2. W górnej części okienka Wykaz kliknij ikonę Ikona koła zębatego koła zębatego i wybierz pozycję Udostępnianie różnicowe.

    Alternatywnie na stronie Szybki dostęp kliknij przycisk Udostępnianie > różnicowe.

  3. Na karcie Udostępnione przeze mnie kliknij pozycję Adresaci i wybierz adresata.

  4. Przejdź do karty Udziały, aby wyświetlić listę udziałów udostępnionych adresatowi.

SQL

Uruchom następujące polecenie w notesie lub edytorze zapytań SQL usługi Databricks.

SHOW GRANTS TO RECIPIENT <recipient-name>;

CLI

Uruchom następujące polecenie przy użyciu interfejsu wiersza polecenia usługi Databricks.

databricks recipients share-permissions <recipient-name>

Aktualizowanie adresata

Aby zaktualizować adresata, możesz użyć Eksploratora katalogu, interfejsu wiersza polecenia wykazu aparatu Unity usługi Databricks lub ALTER RECIPIENT polecenia SQL w notesie usługi Azure Databricks lub edytorze zapytań SQL usługi Databricks.

Właściwości, które można zaktualizować, obejmują nazwę adresata, właściciela, komentarz i właściwości niestandardowe.

Wymagane uprawnienia: aby zaktualizować właściciela, musisz być administratorem magazynu metadanych lub właścicielem obiektu adresata. Aby zaktualizować nazwę, musisz być administratorem magazynu metadanych (lub użytkownikiem z CREATE_RECIPIENT uprawnieniami). Aby zaktualizować komentarz lub właściwości niestandardowe, musisz być właścicielem.

Eksplorator wykazu

  1. W obszarze roboczym usługi Azure Databricks kliknij pozycję Ikona wykazu Wykaz.

  2. W górnej części okienka Wykaz kliknij ikonę Ikona koła zębatego koła zębatego i wybierz pozycję Udostępnianie różnicowe.

    Alternatywnie na stronie Szybki dostęp kliknij przycisk Udostępnianie > różnicowe.

  3. Na karcie Udostępnione przeze mnie kliknij pozycję Adresaci i wybierz adresata.

  4. Na stronie szczegółów adresata:

    • Zaktualizuj właściciela.

    • Edytuj lub dodaj komentarz.

    • Zmień nazwę adresata.

      Menu Kebab Kliknij menu kebab i wybierz pozycję Zmień nazwę.

    • Edytuj, usuń lub dodaj niestandardowe właściwości adresata.

      Kliknij pozycję Edytuj właściwości. Aby dodać właściwość, kliknij pozycję +Dodaj właściwość i wprowadź nazwę właściwości (klucz) i wartość. Aby uzyskać szczegółowe informacje, zobacz Zarządzanie właściwościami adresatów.

SQL

Uruchom co najmniej jedno z następujących poleceń w notesie lub edytorze zapytań SQL usługi Databricks.

ALTER RECIPIENT <recipient-name> RENAME TO <new-recipient-name>;

ALTER RECIPIENT <recipient-name> OWNER TO <new-owner>;

COMMENT ON RECIPIENT <recipient-name> IS "<new-comment>";

ALTER RECIPIENT <recipient-name> SET PROPERTIES ( <property-key>  =  property_value [, ...] )

ALTER RECIPIENT <recipient-name> UNSET PROPERTIES ( <property-key> [, ...] )

Aby uzyskać więcej informacji o właściwościach, zobacz Zarządzanie właściwościami adresatów.

CLI

Utwórz plik JSON zawierający aktualizację nazwy adresata, komentarza, właściciela, listy dostępu ip lub właściwości niestandardowych.

{
    "name": "new-recipient-name",
    "owner": "someone-else@example.com",
    "comment": "something new",
    "ip_access_list": {
            "allowed_ip_addresses": ["8.8.8.8", "8.8.8.4/10"]
    },
    "property": {
            "country": "us",
            "id": "001"
    }
}

Następnie uruchom następujące polecenie przy użyciu interfejsu wiersza polecenia usługi Databricks. Zastąp <recipient-name> ciąg bieżącą nazwą adresata i zastąp update-recipient-settings.json ciąg nazwą pliku JSON.

databricks recipients update --json-file update-recipient-settings.json

Aby uzyskać więcej informacji o właściwościach, zobacz Zarządzanie właściwościami adresatów.

Zarządzanie tokenami adresatów (otwieranie udostępniania)

Jeśli udostępniasz dane adresatowi przy użyciu otwartego udostępniania, może być konieczne obracanie tokenu tego adresata. Rotacja tokenu polega na ustawieniu istniejącego tokenu do wygaśnięcia i zastąpieniu go nowym tokenem i adresem URL aktywacji.

Należy obrócić token odbiorcy i wygenerować nowy adres URL aktywacji w następujących okolicznościach:

  • Gdy istniejący token odbiorcy wkrótce wygaśnie.
  • Jeśli odbiorca utraci adres URL aktywacji lub jeśli zostanie naruszony.
  • Jeśli poświadczenie jest uszkodzone, utracone lub naruszone po jego pobraniu przez odbiorcę.
  • Podczas modyfikowania okresu istnienia tokenu odbiorcy dla magazynu metadanych. Zobacz Modyfikowanie okresu istnienia tokenu odbiorcy.

Zagadnienia dotyczące zabezpieczeń tokenów

W danym momencie odbiorca może mieć co najwyżej dwa tokeny: aktywny token i obracany token. Obracany token to token, który został ustawiony na wygaśnięcie i zostanie zastąpiony przez aktywny token. Dopóki rotowany token nie wygaśnie, próba rotacji tokenu ponownie spowoduje wystąpienie błędu.

W przypadku rotacji tokenu adresata można opcjonalnie ustawić --existing-token-expire-in-seconds liczbę sekund przed wygaśnięciem istniejącego tokenu adresata , który ma zostać obracany. Jeśli ustawisz wartość na 0, istniejący token odbiorcy wygaśnie natychmiast.

Usługa Databricks zaleca ustawienie --existing-token-expire-in-seconds na stosunkowo krótki okres, który daje organizacji odbiorcy czas dostępu do nowego adresu URL aktywacji, jednocześnie minimalizując czas, przez jaki odbiorca ma dwa aktywne tokeny. Jeśli podejrzewasz, że istniejący token odbiorcy zostanie naruszony, usługa Databricks zaleca natychmiastowe wymusie jego wygaśnięcie.

Jeśli istniejący adres URL aktywacji odbiorcy nigdy nie został uzyskany, rotacja istniejącego tokenu unieważnia ten adres URL aktywacji i zastępuje go nowym.

Jeśli wszystkie tokeny adresatów wygasły, rotacja tokenu zastępuje istniejący adres URL aktywacji nowym. Usługa Databricks zaleca szybkie obracanie lub usuwanie adresata, którego token wygasł.

Jeśli adres URL aktywacji odbiorcy jest przypadkowo wysyłany do niewłaściwej osoby lub jest wysyłany przez niezabezpieczony kanał, usługa Databricks zaleca:

  1. Odwoływanie dostępu adresata do udziału.
  2. Obróć adresata i ustaw wartość --existing-token-expire-in-seconds 0.
  3. Udostępnij nowy adres URL aktywacji zamierzonemu adresatowi za pośrednictwem bezpiecznego kanału.
  4. Po dokonaniu dostępu do adresu URL aktywacji ponownie przyznaj adresatowi dostęp do udziału.

W skrajnych sytuacjach, zamiast obracać token odbiorcy, możesz usunąć i ponownie utworzyć adresata.

Obracanie tokenu odbiorcy

Aby obrócić token odbiorcy, możesz użyć Eksploratora wykazu lub interfejsu wiersza polecenia wykazu aparatu Unity usługi Databricks.

Wymagane uprawnienia: właściciel obiektu adresata.

Eksplorator wykazu

  1. W obszarze roboczym usługi Azure Databricks kliknij pozycję Ikona wykazu Wykaz.

  2. W okienku po lewej stronie rozwiń menu Udostępnianie różnicowe i wybierz pozycję Udostępnione przeze mnie.

  3. W górnej części okienka Wykaz kliknij ikonę Ikona koła zębatego koła zębatego i wybierz pozycję Udostępnianie różnicowe.

    Alternatywnie na stronie Szybki dostęp kliknij przycisk Udostępnianie > różnicowe.

  4. Na karcie Udostępnione przeze mnie kliknij pozycję Adresaci i wybierz adresata.

  5. Na karcie Szczegóły w obszarze Wygaśnięcie tokenu kliknij pozycję Obróć.

  6. W oknie dialogowym Obracanie tokenu ustaw token na wygaśnięcie natychmiast lub przez określony czas. Aby uzyskać porady dotyczące wygasania istniejących tokenów, zobacz Zagadnienia dotyczące zabezpieczeń tokenów.

  7. Kliknij pozycję Obróć.

  8. Na karcie Szczegóły skopiuj nowy link Aktywacja i udostępnij go odbiorcy za pośrednictwem bezpiecznego kanału. Zobacz Krok 2. Uzyskiwanie linku aktywacji.

CLI

  1. Uruchom następujące polecenie przy użyciu interfejsu wiersza polecenia usługi Databricks. Zastąp wartości symboli zastępczych:

    • <recipient-name>: nazwa adresata.
    • <expiration-seconds>: liczba sekund do wygaśnięcia istniejącego tokenu odbiorcy. W tym okresie istniejący token będzie nadal działać. Wartość 0 oznacza, że istniejący token wygasa natychmiast. Aby uzyskać porady dotyczące wygasania istniejących tokenów, zobacz Zagadnienia dotyczące zabezpieczeń tokenów.
    databricks recipients rotate-token \
    <recipient-name> \
    <expiration-seconds>
    
  2. Pobierz nowy link aktywacji odbiorcy i udostępnij go odbiorcy za pośrednictwem bezpiecznego kanału. Zobacz Krok 2. Uzyskiwanie linku aktywacji.

Modyfikowanie okresu istnienia tokenu odbiorcy

Jeśli musisz zmodyfikować domyślny okres istnienia tokenu adresata dla magazynu metadanych wykazu aparatu Unity, możesz użyć Eksploratora wykazu lub interfejsu wiersza polecenia wykazu aparatu Unity usługi Databricks.

Uwaga

Okres istnienia tokenu odbiorcy dla istniejących adresatów nie jest aktualizowany automatycznie po zmianie domyślnego okresu istnienia tokenu odbiorcy dla magazynu metadanych. Aby zastosować nowy okres istnienia tokenu do danego adresata, należy obrócić token. Zobacz Zarządzanie tokenami adresatów (otwieranie udostępniania).

Wymagane uprawnienia: administrator konta.

Eksplorator wykazu

  1. Zaloguj się do konsoli konta.
  2. Na pasku bocznym kliknij pozycję Ikona wykazu Wykaz.
  3. Kliknij nazwę magazynu metadanych.
  4. W obszarze Okres istnienia tokenu adresata funkcji Delta Sharing kliknij pozycję Edytuj.
  5. Włącz opcję Ustaw wygaśnięcie.
  6. Wprowadź liczbę sekund, minut, godzin lub dni i wybierz jednostkę miary.
  7. Kliknij przycisk Zapisz.

Jeśli wyłączysz opcję Ustaw wygaśnięcie, tokeny adresatów nie wygasają. Usługa Databricks zaleca skonfigurowanie tokenów do wygaśnięcia.

CLI

Uruchom następujące polecenie przy użyciu interfejsu wiersza polecenia usługi Databricks. Zastąp 12a345b6-7890-1cd2-3456-e789f0a12b34 ciąg identyfikatorem UUID magazynu metadanych i zastąp ciąg 86400 liczbą sekund przed wygaśnięciem tokenu odbiorcy. Jeśli ustawisz tę wartość na 0, tokeny adresatów nie wygasają. Usługa Databricks zaleca skonfigurowanie tokenów do wygaśnięcia.

databricks metastores update \
12a345b6-7890-1cd2-3456-e789f0a12b34 \
--delta-sharing-recipient-token-lifetime-in-seconds 86400

(Opcjonalnie) Ograniczanie dostępu adresatów przy użyciu list dostępu

Podczas konfigurowania obiektu adresata można ograniczyć dostęp do ograniczonego zestawu adresów IP. Zobacz Ograniczanie dostępu adresata do udostępniania różnicowego przy użyciu list dostępu do adresów IP (otwieranie udostępniania).

Zarządzanie właściwościami adresatów

Obiekty adresatów zawierają wstępnie zdefiniowane właściwości, których można użyć do uściślenia dostępu do udostępniania danych. Można na przykład użyć ich do wykonania następujących czynności:

  • Udostępniaj różne partycje tabeli innym adresatom, umożliwiając używanie tych samych udziałów z wieloma adresatami przy zachowaniu granic danych między nimi.
  • Udostępnianie dynamicznych widoków, które ograniczają dostęp adresata do danych tabeli na poziomie wiersza lub kolumny na podstawie właściwości adresata.

Można również utworzyć właściwości niestandardowe.

Wstępnie zdefiniowane właściwości zaczynają się od databricks. i zawierają następujące elementy:

  • databricks.accountId: konto usługi Azure Databricks, do którego należy odbiorca danych (tylko udostępnianie usługi Databricks-to-Databricks).
  • databricks.metastoreId: magazyn metadanych wykazu aparatu Unity, do którego należy odbiorca danych (tylko udostępnianie danych w usłudze Databricks-to-Databricks).
  • databricks.name: nazwa adresata danych.

Właściwości niestandardowe, które mogą zawierać wartość, na przykład country. Jeśli na przykład dołączysz właściwość 'country' = 'us' niestandardową do adresata, możesz podzielić dane tabeli na partycje według kraju i udostępnić tylko wiersze, które mają dane usa adresatom, którym przypisano tę właściwość. Możesz również udostępnić widok dynamiczny, który ogranicza dostęp do wierszy lub kolumn na podstawie właściwości adresata. Aby uzyskać bardziej szczegółowe przykłady, zobacz Filtrowanie partycji przy użyciu właściwości adresata i Dodawanie widoków dynamicznych do udziału w celu filtrowania wierszy i kolumn.

Wymagania

Właściwości adresatów są obsługiwane w środowisku Databricks Runtime 12.2 lub nowszym.

Dodawanie właściwości podczas tworzenia lub aktualizowania adresata

Właściwości można dodawać podczas tworzenia adresata lub aktualizowania ich dla istniejącego adresata. Eksplorator wykazu, interfejs wiersza polecenia wykazu usługi Databricks Unity lub polecenia SQL można używać w notesie usługi Azure Databricks lub edytorze zapytań SQL usługi Databricks.

Wymagane uprawnienia: administrator magazynu metadanych lub użytkownik z CREATE RECIPIENT uprawnieniami do magazynu metadanych wykazu aparatu Unity.

Eksplorator wykazu

Podczas tworzenia lub aktualizowania adresata przy użyciu Eksploratora wykazu dodaj lub zaktualizuj właściwości niestandardowe, wykonując następujące czynności:

  1. Przejdź do strony Szczegóły odbiorcy.

    Jeśli tworzysz nowego adresata, znajdziesz się na tej stronie po kliknięciu przycisku Utwórz. Jeśli aktualizujesz istniejącego adresata, przejdź do tej strony, klikając Ikona koła zębatego ikonę > koła zębatego Udostępnianie > różnicowe udostępnione przez adresatów i > wybierając adresata.

  2. Kliknij pozycję Edytuj właściwości > +Dodaj właściwość.

  3. Wprowadź nazwę właściwości (klucz) i wartość.

    Jeśli na przykład chcesz filtrować udostępnione dane według kraju i udostępniać tylko dane usa temu adresatowi, możesz utworzyć klucz o nazwie "country" z wartością "US".

  4. Kliknij przycisk Zapisz.

SQL

Aby dodać właściwość niestandardową podczas tworzenia adresata, uruchom następujące polecenie w notesie lub edytorze zapytań SQL usługi Databricks:

CREATE RECIPIENT [IF NOT EXISTS] <recipient-name>
[USING ID '<sharing-identifier>'] /* Skip this if you are using open sharing */
[COMMENT "<comment>"]
PROPERTIES ( '<property-key>' = '<property-value>' [, ...] );

<property-key> może być literałem ciągu lub identyfikatorem. <property-value> musi być literałem ciągu.

Na przykład:

CREATE RECIPIENT acme PROPERTIES ('country' = 'us', 'partner_id' = '001');

Aby dodać, edytować lub usunąć właściwości niestandardowe dla istniejącego adresata, uruchom jedną z następujących czynności:

ALTER RECIPIENT <recipient-name> SET PROPERTIES ( '<property-key>' = '<property-value>' [, ...] );

ALTER RECIPIENT <recipient-name> UNSET PROPERTIES ( '<property-key>' );

CLI

Aby dodać właściwości niestandardowe podczas tworzenia adresata, uruchom następujące polecenie przy użyciu interfejsu wiersza polecenia usługi Databricks. Zastąp wartości symboli zastępczych:

  • <recipient-name>: nazwa adresata.
  • <property-key> może być literałem ciągu lub identyfikatorem.
  • <property-value> musi być literałem ciągu.
databricks recipients create \
--json='{
  "name": "<recipient-name>",
  "properties_kvpairs": {
    "properties": {
      "<property-key>": "<property-value>",
    }
  }
}'

Na przykład:

databricks recipients create \
--json='{
  "name": "<recipient-name>",
  "properties_kvpairs": {
    "properties": {
      "country": "us",
      "partner_id":"001"
    }
  }
}'

Aby dodać lub edytować właściwości niestandardowe dla istniejącego adresata, użyj polecenia update zamiast create:

databricks recipients update \
--json='{
  "name": "<recipient-name>",
  "properties_kvpairs": {
    "properties": {
      "country": "us",
      "partner_id":"001"
    }
  }
}'

Wyświetlanie właściwości adresata

Aby wyświetlić właściwości adresata, postępuj zgodnie z instrukcjami w temacie Wyświetlanie szczegółów adresata.

Usuwanie adresata

Aby usunąć adresata, możesz użyć Eksploratora katalogów, interfejsu wiersza polecenia wykazu aparatu Unity usługi Databricks lub DROP RECIPIENT polecenia SQL w notesie usługi Azure Databricks lub edytorze zapytań SQL usługi Databricks. Aby usunąć adresata, musisz być właścicielem obiektu adresata.

Po usunięciu adresata użytkownicy reprezentowani przez adresata nie będą już mogli uzyskiwać dostępu do udostępnionych danych. Tokeny używane przez adresatów w scenariuszu udostępniania otwartego są unieważniane.

Wymagane uprawnienia: właściciel obiektu adresata.

Eksplorator wykazu

  1. W obszarze roboczym usługi Azure Databricks kliknij pozycję Ikona wykazu Wykaz.

  2. W górnej części okienka Wykaz kliknij ikonę Ikona koła zębatego koła zębatego i wybierz pozycję Udostępnianie różnicowe.

    Alternatywnie na stronie Szybki dostęp kliknij przycisk Udostępnianie > różnicowe.

  3. Na karcie Udostępnione przeze mnie kliknij pozycję Adresaci i wybierz adresata.

  4. Na karcie Adresaci znajdź i wybierz adresata.

  5. Menu Kebab Kliknij menu kebab i wybierz pozycję Usuń.

  6. W oknie dialogowym potwierdzenia kliknij pozycję Usuń.

SQL

Uruchom następujące polecenie w notesie lub edytorze zapytań SQL usługi Databricks.

DROP RECIPIENT [IF EXISTS] <recipient-name>;

CLI

Uruchom następujące polecenie przy użyciu interfejsu wiersza polecenia usługi Databricks.

databricks recipients delete <recipient-name>