Tworzenie i zarządzanie danymi recipients dla Delta Sharing

W tym artykule wyjaśniono, jak tworzyć i zarządzać recipients dla Delta Sharing.

Odbiorca jest nazwanym obiektem reprezentującym tożsamość użytkownika lub grupy użytkowników w świecie rzeczywistym, którzy korzystają z udostępnionych danych. Sposób tworzenia recipients różni się w zależności od tego, czy odbiorca ma dostęp do obszaru roboczego Databricks, który jest włączony dla Unity Catalog:

• W przypadku recipients z dostępem do obszaru roboczego usługi Databricks, który jest włączony dla środowiska Unity Catalog, można utworzyć obiekt odbiorcy z bezpiecznym połączeniem zarządzanym w całości przez usługę Databricks. Ten tryb udostępniania jest nazywany udostępnianiem usługi Databricks do usługi Databricks.
• W przypadku recipients bez dostępu do obszaru roboczego Databricks z włączoną funkcją Unity Catalog, należy użyć otwartego udostępnianiaza pomocą bezpiecznego połączenia, które zarządzasz za pomocą uwierzytelniania opartego na tokenach.

Aby uzyskać więcej informacji na temat tych dwóch trybów udostępniania i kiedy wybrać, zobacz Otwieranie udostępniania i udostępnianie usługi Databricks-to-Databricks.

Wymagania

Aby utworzyć adresata:

• Musisz być administratorem magazynu metadanych lub mieć uprawnienia CREATE_RECIPIENT dla magazynu metadanych Unity Catalog, w którym zarejestrowane są dane where, które chcesz udostępnić.
• Musisz utworzyć odbiorcę przy użyciu obszaru roboczego usługi Azure Databricks, który ma dołączony magazyn metadanych Unity Catalog.
• Aby utworzyć odbiorcę w notesie Databricks, twój klaster musi korzystać ze środowiska Databricks Runtime w wersji 11.3 LTS lub nowszej oraz działać w trybie dostępu do klastra jako współdzielony lub dla pojedynczego użytkownika.

W przypadku innych operacji zarządzania adresatami (takich jak wyświetlanie, usuwanie, updatei grant dostęp adresata do udziału) zobacz wymagania dotyczące uprawnień wymienione w sekcjach artykułu dotyczących konkretnych operacji.

Tworzenie obiektu adresata dla użytkowników, którzy mają dostęp do usługi Databricks (udostępnianie danych w usłudze Databricks-to-Databricks)

Jeśli odbiorca danych ma dostęp do obszaru roboczego usługi Databricks, który został włączony dla środowiska Unity Catalog, możesz utworzyć obiekt odbiorcy z typem uwierzytelniania DATABRICKS.

Obiekt odbiorcy z typem uwierzytelniania DATABRICKS reprezentuje odbiorcę danych w określonym magazynie metadanych Unity Catalog. Jest on zidentyfikowany w definicji obiektu odbiorcy przez ciąg udostępniania identifier, który składa się z chmury, regionu i identyfikatora UUID magazynu metadanych. Dane udostępnione temu adresatowi mogą być dostępne tylko w tym magazynie metadanych.

Krok 1. Poproś adresata o udostępnienie identifier

Poproś użytkownika adresata o wysłanie identifier udostępniania dla magazynu metadanych Catalog Unity dołączonego do obszarów roboczych, where użytkownik lub grupa użytkowników będą pracować z udostępnionymi danymi.

identifier udostępniania to ciąg składający się z chmury, regionu i UUID (unikatowego identifier dla metastore), w formacie <cloud>:<region>:<uuid>.

Na przykład na poniższym zrzucie ekranu pełny ciąg udostępniania identifier to aws:us-west-2:19a84bee-54bc-43a2-87de-023d0ec16016.

Odbiorca może znaleźć identifier, używając eksploratora Catalog, CLI Unity od Databricks Catalog, lub domyślnej funkcji SQL CURRENT_METASTORE w notesie lub zapytaniu SQL Databricks, które są uruchamiane na klastrze obsługującym Unity-Catalogw obszarze roboczym, z którego zamierza korzystać.

Eksplorator Catalog

Aby get udostępnianie identifier przy użyciu Eksplorator Catalog:

1. W obszarze roboczym usługi Azure Databricks kliknij ikonę Catalog.

2. W górnej części okienka Catalog kliknij ikonę koła zębatego i selectDelta Sharing.

   Alternatywnie na stronie Szybki dostęp kliknij przycisk Udostępnianie > różnicowe.

3. Na karcie Udostępnione mi kliknij nazwę swojej organizacji udostępniającej Databricks w prawym górnym rogu, a następnie selectKopiuj udostępnianie identifier.

SQL

Uruchom następujące polecenie w notesie lub edytorze zapytań SQL usługi Databricks:

SELECT CURRENT_METASTORE();

CLI

Uruchom następujące polecenie przy użyciu interfejsu wiersza polecenia usługi Databricks. Element identifier jest zwracany jako global_metastore_id.

databricks metastores summary

Możesz pomóc adresatowi, wysyłając swojemu kontaktowi informacje zawarte w tym kroku lub wskazując im Get dostęp w modelu Databricks-to-Databricks.

Krok 2. Tworzenie adresata

Aby utworzyć adresata do udostępniania usługi Databricks-to-Databricks, możesz użyć narzędzia Catalog Explorer, interfejsu wiersza polecenia platformy Unity usługi Databricks Catalog lub polecenia CREATE RECIPIENT SQL w notesie usługi Azure Databricks lub edytorze zapytań SQL usługi Databricks.

Uprawnienia wymagane: administrator magazynu metadanych lub użytkownik z uprawnieniami CREATE_RECIPIENT dla magazynu metadanych Catalog unity where dane, które chcesz udostępnić, są zarejestrowane.

Eksplorator Catalog

1. W obszarze roboczym usługi Azure Databricks kliknij ikonę Catalog.

2. Na górze okienka Catalog kliknij ikonę trybu , a następnie selectDelta Sharing.

   Alternatywnie na stronie Szybki dostęp kliknij przycisk Udostępnianie > różnicowe.

3. Na karcie Udostępnione przeze mnie kliknij pozycję Nowy adresat.

4. Wprowadź nazwę adresata i Sharing identifier.

   Użyj całego ciągu udostępniania identifier w formacie <cloud>:<region>:<uuid>. Na przykład aws:us-west-2:19a84bee-54bc-43a2-87de-023d0ec16016.

5. (Opcjonalnie) Wprowadź komentarz.

6. Kliknij pozycję Utwórz.

7. (Opcjonalnie) Utwórz niestandardowe właściwości adresata.

   Kliknij pozycję Edytuj właściwości > +Dodaj właściwość. Następnie dodaj nazwę właściwości (klucz) i wartość. Aby uzyskać szczegółowe informacje, zobacz Zarządzanie właściwościami adresatów.

SQL

Uruchom następujące polecenie w notesie lub edytorze zapytań SQL usługi Databricks:

CREATE RECIPIENT [IF NOT EXISTS] <recipient-name>
USING ID '<sharing-identifier>'
[COMMENT "<comment>"];

Użyj całego ciągu udostępniania identifier w formacie <cloud>:<region>:<uuid>. Na przykład aws:eu-west-1:g0c979c8-3e68-4cdf-94af-d05c120ed1ef.

Możesz również dodać właściwości niestandardowe dla adresata. Aby uzyskać szczegółowe informacje, zobacz Zarządzanie właściwościami adresatów.

CLI

Uruchom następujące polecenie przy użyciu interfejsu wiersza polecenia usługi Databricks. Zastąp symbol zastępczy values:

• <recipient-name>: nazwa adresata.
• <sharing-identifier>: cały ciąg znaków udostępnienia identifier w formacie <cloud>:<region>:<uuid>. Na przykład aws:eu-west-1:g0c979c8-3e68-4cdf-94af-d05c120ed1ef.
• <authentication-type>: Set do DATABRICKS, gdy podano ciąg identifier do udostępniania w formacie <cloud>:<region>:<uuid> dla <sharing-identifier>.

databricks recipients create <recipient-name> <authentication-type> --sharing-code <sharing-identifier>

Możesz również dodać właściwości niestandardowe dla adresata. Aby uzyskać szczegółowe informacje, zobacz Zarządzanie właściwościami adresatów.

Adresat jest tworzony za pomocą authentication_type polecenia DATABRICKS.

Tworzenie obiektu adresata dla wszystkich innych użytkowników (otwieranie udostępniania)

Jeśli chcesz udostępniać dane użytkownikom spoza obszaru roboczego usługi Azure Databricks, niezależnie od tego, czy korzystają z usługi Databricks samodzielnie, możesz bezpiecznie udostępniać dane za pomocą funkcji udostępniania różnicowego. Oto jak to działa:

1. Jako dostawca danych utworzysz obiekt odbiorcy w magazynie metadanych Catalog Unity.
2. Podczas tworzenia obiektu adresata usługa Azure Databricks generuje token, plik poświadczeń zawierający token i link aktywacji, który ma zostać udostępniony adresatowi. Obiekt adresata ma typ TOKENuwierzytelniania .
3. Odbiorca uzyskuje dostęp do linku aktywacji, pobiera plik poświadczeń i używa pliku poświadczeń do uwierzytelniania i get dostępu do odczytu do tables uwzględnionych w shares, do którego udzielasz im dostępu.

Krok 1. Tworzenie adresata

Aby utworzyć odbiorcę do publicznego udostępniania, możesz użyć eksploratora Catalog, interfejsu wiersza poleceń Databricks Unity Catalog lub komendy CREATE RECIPIENT SQL w notesie usługi Azure Databricks lub edytorze zapytań SQL usługi Databricks.

Uprawnienia wymagane: administrator magazynu metadanych lub użytkownik z uprawnieniami CREATE_RECIPIENT dla magazynu metadanych Catalog unity where dane, które chcesz udostępnić, są zarejestrowane.

Eksplorator Catalog

1. W obszarze roboczym usługi Azure Databricks kliknij ikonę Catalog.

2. W górnej części okienka Catalog kliknij ikonę koła zębatego , a następnie selectDelta Sharing.

   Alternatywnie na stronie Szybki dostęp kliknij przycisk Udostępnianie > różnicowe.

3. Na karcie Udostępnione przeze mnie kliknij pozycję Nowy adresat.

4. Wprowadź nazwę adresata

5. (Opcjonalnie) Wprowadź komentarz.

6. Kliknij pozycję Utwórz.

   Nie używasz funkcji identifier do otwartego udostępniania recipients.

7. Skopiuj link aktywacji.

   Alternatywnie możesz później get link aktywacyjny. Sprawdź Krok 2: Get link aktywacyjny.

8. (Opcjonalnie) Utwórz niestandardowe właściwości adresata.

   Na karcie Szczegóły adresata kliknij pozycję Edytuj właściwości > +Dodaj właściwość. Następnie dodaj nazwę właściwości (klucz) i wartość. Aby uzyskać szczegółowe informacje, zobacz Zarządzanie właściwościami adresatów.

SQL

Uruchom następujące polecenie w notesie lub edytorze zapytań SQL usługi Databricks:

CREATE RECIPIENT [IF NOT EXISTS] <recipient-name>
[COMMENT "<comment>"];

Możesz również dodać właściwości niestandardowe dla adresata. Aby uzyskać szczegółowe informacje, zobacz Zarządzanie właściwościami adresatów.

CLI

Uruchom następujące polecenie przy użyciu interfejsu wiersza polecenia usługi Databricks.

databricks recipients create <recipient-name>

Możesz również dodać właściwości niestandardowe dla adresata. Aby uzyskać szczegółowe informacje, zobacz Zarządzanie właściwościami adresatów.

Dane wyjściowe obejmują activation_url udostępnione adresatowi.

Adresat jest tworzony za pomocą authentication_type polecenia TOKEN.

Uwaga

Podczas tworzenia adresata masz możliwość ustawienia limit dostępu odbiorcy do ograniczonego set adresów IP. Możesz również dodać dostęp do adresu IP list do istniejącego adresata. Zobacz Ograniczanie dostępu adresata do udostępniania różnicowego przy użyciu list dostępu do adresów IP (otwieranie udostępniania).

Krok 2: Get link aktywacji

Aby get link aktywacji nowego odbiorcy, możesz użyć Eksploratora Catalog, interfejsu wiersza polecenia (CLI) Unity platformy Databricks Catalog lub polecenia DESCRIBE RECIPIENT SQL w notesie usługi Azure Databricks albo edytorze zapytań SQL usługi Databricks.

Jeśli odbiorca pobrał już plik poświadczeń, link aktywacji nie zostanie zwrócony ani wyświetlony.

Wymagane uprawnienia: administrator magazynu metadanych, użytkownik z USE RECIPIENT uprawnieniami lub właściciel obiektu adresata.

Eksplorator Catalog

1. W obszarze roboczym usługi Azure Databricks kliknij ikonę Catalog.

2. W górnej części okienka Catalog kliknij ikonę koła zębatego i selectDelta Sharing.

   Alternatywnie na stronie Szybki dostęp kliknij przycisk Udostępnianie > różnicowe.

3. Na karcie Udostępnione przeze mnie kliknij Recipientsi wybierz select adresata.

4. Na stronie szczegółów adresata skopiuj link Aktywacja.

SQL

Uruchom następujące polecenie w notesie lub edytorze zapytań SQL usługi Databricks.

DESCRIBE RECIPIENT <recipient-name>;

Dane wyjściowe obejmują element activation_link.

CLI

Uruchom następujące polecenie przy użyciu interfejsu wiersza polecenia usługi Databricks.

databricks recipients get <recipient-name>

Dane wyjściowe obejmują element activation_url.

Grant dostęp odbiorcy do udostępnionego elementu

Po utworzeniu adresata i utworzeniu sharesmożesz grant dostęp odbiorcy do tych shares.

Aby grant udostępnić dostęp do recipients, możesz użyć eksploratora Catalog, interfejsu wiersza polecenia Catalog aparatu Unity usługi Databricks lub polecenia GRANT ON SHARE SQL w notesie usługi Azure Databricks lub edytorze zapytań SQL usługi Databricks.

Wymagane uprawnienia: jeden z następujących elementów:

• Administrator magazynu metadanych.
• Delegowane uprawnienia lub własność zarówno udziału, jak i obiektów adresata ((USE SHARE + SET SHARE PERMISSION) lub właściciela udziału) AND (USE RECIPIENT lub właściciela adresata).

Aby uzyskać instrukcje, zobacz Zarządzenie dostępem do danych Delta Sharing shares (dla providers).

Wyślij adresatowi informacje o połączeniu

Musisz poinformować adresata, jak uzyskać dostęp do udostępnianych im danych. Informacje udostępniane adresatowi zależą od tego, czy używasz usługi Databricks-to-Databricks sharing, czy otwartego udostępniania:

• W przypadku udostępniania usługi Databricks-to-Databricks możesz wysłać link do instrukcji dotyczących uzyskiwania dostępu do udostępnianych danych.

  Obiekt dostawcy, który wyświetla listę dostępnych shares, jest automatycznie tworzony w magazynie metadanych odbiorcy. Recipients nie muszą wykonywać żadnych czynności, ale wyświetlać i selectshares, których chcą użyć. Zobacz Odczyt danych udostępnionych za pomocą funkcji Databricks-to-Databricks Delta Sharing (dla recipients).

• Aby otworzyć udostępnianie, użyj bezpiecznego kanału, aby udostępnić link aktywacji i link do instrukcji dotyczących korzystania z niego.

  Plik poświadczeń można pobrać tylko raz. Recipients powinno traktować pobrane poświadczenie jako tajemnicę i nie może udostępniać go poza organizacją. Jeśli masz obawy, że poświadczenie mogło zostać obsłużone w sposób niezabezpieczony, możesz w dowolnym momencie obrócić poświadczenie odbiorcy. Aby uzyskać więcej informacji na temat zarządzania credentials w celu zapewnienia bezpiecznego dostępu adresata, zobacz Zagadnienia dotyczące zabezpieczeń dotyczące tokenów.

Widok recipients

Aby wyświetlić listrecipients, możesz użyć eksploratora Catalog, interfejsu wiersza poleceń Databricks Unity Catalog lub polecenia SHOW RECIPIENTS SQL w notesie Azure Databricks lub edytorze zapytań SQL Databricks.

Uprawnienia wymagane: musisz być administratorem magazynu metadanych lub mieć uprawnienia USE RECIPIENT, aby wyświetlić wszystkie recipients w magazynie metadanych. Inni użytkownicy mają dostęp tylko do recipients, które posiadają.

Eksplorator Catalog

1. W obszarze roboczym usługi Azure Databricks kliknij ikonę Catalog.

2. W górnej części okienka Catalog kliknij ikonę koła zębatego oraz selectDelta Sharing.

   Alternatywnie na stronie Szybki dostęp kliknij przycisk Udostępnianie > różnicowe.

3. Na karcie Udostępnione przeze mnie kliknij Recipients.

SQL

Uruchom następujące polecenie w notesie lub edytorze zapytań SQL usługi Databricks. Opcjonalnie zastąp element <pattern> predykatemLIKE.

SHOW RECIPIENTS [LIKE <pattern>];

CLI

Uruchom następujące polecenie przy użyciu interfejsu wiersza polecenia usługi Databricks.

databricks recipients list

Wyświetlanie szczegółów adresata

Aby wyświetlić szczegółowe informacje o odbiorcy, możesz użyć eksploratora Catalog, interfejsu wiersza polecenia platformy Unity usługi Databricks Catalog lub polecenia DESCRIBE RECIPIENT SQL w notesie usługi Azure Databricks lub edytorze zapytań SQL usługi Databricks.

Wymagane uprawnienia: administrator magazynu metadanych, użytkownik z USE RECIPIENT uprawnieniami lub właściciel obiektu adresata.

Szczegóły obejmują:

• Twórca adresata, sygnatura czasowa tworzenia, komentarze i typ uwierzytelniania (TOKEN lub DATABRICKS).
• Jeśli odbiorca używa otwartego udostępniania: okres istnienia tokenu, link aktywacji, stan aktywacji (czy poświadczenie zostało pobrane) i listy dostępu ip, jeśli przypisano.
• Jeśli odbiorca korzysta z udostępniania Databricks-to-Databricks: chmura, region i identyfikator magazynu metadanych dla magazynu metadanych Unity Catalog odbiorcy, a także jego stan aktywacji.
• Właściwości adresata, w tym właściwości niestandardowe. Zobacz Zarządzanie właściwościami adresatów.

Eksplorator Catalog

1. W obszarze roboczym usługi Azure Databricks kliknij ikonę Catalog.

2. Na górze okienka Catalog kliknij ikonę koła zębatego oraz Delta Sharing select.

   Alternatywnie na stronie Szybki dostęp kliknij przycisk Udostępnianie > różnicowe.

3. Na karcie Udostępnione przeze mnie kliknij Recipientsi select adresata.

SQL

Uruchom następujące polecenie w notesie lub edytorze zapytań SQL usługi Databricks.

DESCRIBE RECIPIENT <recipient-name>;

CLI

Uruchom następujące polecenie przy użyciu interfejsu wiersza polecenia usługi Databricks.

databricks recipients get <recipient-name>

Wyświetlanie uprawnień do udziału adresata

Aby wyświetlić listshares, do których adresat uzyskał dostęp, możesz użyć Eksploratora Catalog, interfejsu wiersza poleceń Databricks lub polecenia SQL SHOW GRANTS TO RECIPIENT w notesie Azure Databricks lub w edytorze zapytań SQL Databricks.

Wymagane uprawnienia: administrator magazynu metadanych, użytkownik z USE RECIPIENT uprawnieniami lub właściciel obiektu adresata.

Eksplorator Catalog

1. W obszarze roboczym usługi Azure Databricks kliknij ikonę Catalog.

2. W górnej części okienka Catalog kliknij ikonę koła zębatego i selectDelta Sharing.

   Alternatywnie na stronie Szybki dostęp kliknij przycisk Udostępnianie > różnicowe.

3. Na karcie Udostępnione przeze mnie kliknij Recipientsi wybierz select adresata.

4. Przejdź do karty Shares, aby wyświetlić listshares udostępnione adresatowi.

SQL

Uruchom następujące polecenie w notesie lub edytorze zapytań SQL usługi Databricks.

SHOW GRANTS TO RECIPIENT <recipient-name>;

CLI

Uruchom następujące polecenie przy użyciu interfejsu wiersza polecenia usługi Databricks.

databricks recipients share-permissions <recipient-name>

Update adresata

Aby update adresata, możesz użyć Eksploratora Catalog, wiersza poleceń Unity usługi Databricks Catalog, lub polecenia ALTER RECIPIENT SQL w notesie usługi Azure Databricks albo edytorze zapytań SQL usługi Databricks.

Możesz update uwzględnić właściwości takie jak nazwa adresata, właściciela, komentarz i właściwości niestandardowe.

Wymagane uprawnienia: musisz być administratorem magazynu metadanych lub właścicielem obiektu adresata, aby update być właścicielem. Musisz być administratorem magazynu metadanych (lub użytkownikiem z uprawnieniami CREATE_RECIPIENT), i oraz właścicielem, aby update nazwę. Musisz być właścicielem, aby móc update komentarz lub właściwości niestandardowe.

Eksplorator Catalog

1. W obszarze roboczym usługi Azure Databricks kliknij ikonę Catalog.

2. W górnej części okienka Catalog kliknij ikonę koła zębatego koła zębatego i selectudostępnianie różnicowe.

   Alternatywnie na stronie Szybki dostęp kliknij przycisk Udostępnianie > różnicowe.

3. Na karcie Udostępnione przeze mnie kliknij Recipients, a następnie oznacz select adresata.

4. Na stronie szczegółów adresata:

   • Update właściciela.

   • Edytuj lub dodaj komentarz.

   • Zmień nazwę adresata.

     Kliknij menu kebab, a następnie selectZmień nazwę.

   • Edytuj, remove, lub dodaj niestandardowe właściwości odbiorcy .

     Kliknij pozycję Edytuj właściwości. Aby dodać właściwość, kliknij pozycję +Dodaj właściwość i wprowadź nazwę właściwości (klucz) i wartość. Aby uzyskać szczegółowe informacje, zobacz Zarządzanie właściwościami adresatów.

SQL

Uruchom co najmniej jedno z następujących poleceń w notesie lub edytorze zapytań SQL usługi Databricks.

ALTER RECIPIENT <recipient-name> RENAME TO <new-recipient-name>;

ALTER RECIPIENT <recipient-name> OWNER TO <new-owner>;

COMMENT ON RECIPIENT <recipient-name> IS "<new-comment>";

ALTER RECIPIENT <recipient-name> SET PROPERTIES ( <property-key>  =  property_value [, ...] )

ALTER RECIPIENT <recipient-name> UNSET PROPERTIES ( <property-key> [, ...] )

Aby uzyskać więcej informacji o właściwościach, zobacz Zarządzanie właściwościami adresatów.

CLI

Utwórz plik JSON, który zawiera update dla nazwy adresata, komentarza, właściciela, dostęp do adresu IP listlub niestandardowych właściwości.

{
    "name": "new-recipient-name",
    "owner": "someone-else@example.com",
    "comment": "something new",
    "ip_access_list": {
            "allowed_ip_addresses": ["8.8.8.8", "8.8.8.4/10"]
    },
    "property": {
            "country": "us",
            "id": "001"
    }
}

Następnie uruchom następujące polecenie przy użyciu interfejsu wiersza polecenia usługi Databricks. Zastąp <recipient-name> ciąg bieżącą nazwą adresata i zastąp update-recipient-settings.json ciąg nazwą pliku JSON.

databricks recipients update --json-file update-recipient-settings.json

Aby uzyskać więcej informacji o właściwościach, zobacz Zarządzanie właściwościami adresatów.

Zarządzanie tokenami adresatów (otwieranie udostępniania)

Jeśli udostępniasz dane adresatowi przy użyciu otwartego udostępniania, może być konieczne obracanie tokenu tego adresata. Rotacja tokenu polega na ustawieniu istniejącego tokenu do wygaśnięcia i zastąpieniu go nowym tokenem i adresem URL aktywacji.

Należy obrócić token odbiorcy i generate nowy adres URL aktywacji w następujących okolicznościach:

• Gdy istniejący token odbiorcy wkrótce wygaśnie.
• Jeśli odbiorca utraci adres URL aktywacji lub jeśli zostanie naruszony.
• Jeśli poświadczenie jest uszkodzone, utracone lub naruszone po jego pobraniu przez odbiorcę.
• Podczas modyfikowania okresu istnienia tokenu odbiorcy dla magazynu metadanych. Zobacz Modyfikowanie okresu istnienia tokenu odbiorcy.

Zagadnienia dotyczące zabezpieczeń tokenów

W danym momencie odbiorca może mieć co najwyżej dwa tokeny: aktywny token i obracany token. Obracany token to token, który został set wygasnąć i zostać zastąpiony przez aktywny token. Dopóki rotowany token nie wygaśnie, próba rotacji tokenu ponownie spowoduje wystąpienie błędu.

W przypadku rotacji tokenu odbiorcy można opcjonalnie set--existing-token-expire-in-seconds do liczby sekund przed wygaśnięciem istniejącego tokenu odbiorcy, czyli tego, który ma zostać obrócony, wygasa. Jeśli set wartość do 0, istniejący token odbiorcy wygaśnie natychmiast.

Databricks zaleca set--existing-token-expire-in-seconds w taki sposób, aby okres był stosunkowo krótki, co daje organizacji odbiorczej czas na dostęp do nowego adresu URL aktywacji, a jednocześnie minimalizuje czas, przez jaki odbiorca ma dwa aktywne tokeny. Jeśli podejrzewasz, że istniejący token odbiorcy zostanie naruszony, usługa Databricks zaleca natychmiastowe wymusie jego wygaśnięcie.

Jeśli istniejący adres URL aktywacji odbiorcy nigdy nie został uzyskany, rotacja istniejącego tokenu unieważnia ten adres URL aktywacji i zastępuje go nowym.

Jeśli wszystkie tokeny adresatów wygasły, rotacja tokenu zastępuje istniejący adres URL aktywacji nowym. Usługa Databricks zaleca szybkie obracanie lub usuwanie adresata, którego token wygasł.

Jeśli adres URL aktywacji odbiorcy jest przypadkowo wysyłany do niewłaściwej osoby lub jest wysyłany przez niezabezpieczony kanał, usługa Databricks zaleca:

1. Revoke dostęp odbiorcy do udziału.
2. Obróć odbiorcę i set--existing-token-expire-in-seconds na 0.
3. Udostępnij nowy adres URL aktywacji zamierzonemu adresatowi za pośrednictwem bezpiecznego kanału.
4. Po dokonaniu dostępu do adresu URL aktywacji grant ponownie dostęp odbiorcy do udziału.

W skrajnych sytuacjach, zamiast obracać token odbiorcy, możesz usunąć i ponownie utworzyć adresata.

Obracanie tokenu odbiorcy

Aby obrócić token odbiorcy, możesz użyć Eksploratora Catalog lub interfejsu wiersza polecenia usługi Databricks Unity Catalog.

Wymagane uprawnienia: właściciel obiektu adresata.

Eksplorator Catalog

1. W obszarze roboczym usługi Azure Databricks kliknij ikonę Catalog.

2. W okienku po lewej stronie rozwiń menu udostępniania różnicowego i Udostępnione przeze mnie.

3. W górnej części okienka Catalog kliknij ikonę koła zębatego oraz selectUdostępnianie Różnicowe.

   Alternatywnie na stronie Szybki dostęp kliknij przycisk Udostępnianie > różnicowe.

4. Na karcie Udostępnione przeze mnie kliknij Recipientsi wybierz select adresata.

5. Na karcie Szczegóły w obszarze Wygaśnięcie tokenu kliknij pozycję Obróć.

6. W oknie dialogowym Obróć tokenset zmień czas wygaśnięcia tokenu, aby wygasał natychmiast lub na określony okres set. Aby uzyskać porady dotyczące wygasania istniejących tokenów, zobacz Zagadnienia dotyczące zabezpieczeń tokenów.

7. Kliknij pozycję Obróć.

8. Na karcie Szczegóły skopiuj nowy link Aktywacja i udostępnij go odbiorcy za pośrednictwem bezpiecznego kanału. Zobacz Krok 2: Get link aktywacyjny.

CLI

1. Uruchom następujące polecenie przy użyciu interfejsu wiersza polecenia usługi Databricks. Zastąp symbol zastępczy values:

   • <recipient-name>: nazwa adresata.
   • <expiration-seconds>: liczba sekund do wygaśnięcia istniejącego tokenu odbiorcy. W tym okresie istniejący token będzie nadal działać. Wartość 0 oznacza, że istniejący token wygasa natychmiast. Aby uzyskać porady dotyczące wygasania istniejących tokenów, zobacz Zagadnienia dotyczące zabezpieczeń tokenów.

   databricks recipients rotate-token \
   <recipient-name> \
   <expiration-seconds>
   

2. Get nowy link aktywacyjny dla odbiorcy i udostępnij go za pomocą bezpiecznego kanału. Zobacz Krok 2: Get link aktywacji.

Modyfikowanie okresu istnienia tokenu odbiorcy

Jeśli musisz zmodyfikować domyślny okres ważności tokenu odbiorcy w magazynie metadanych Unity Catalog, możesz użyć narzędzia Catalog Explorer lub interfejsu CLI usługi Databricks Unity Catalog.

Uwaga

Okres istnienia tokenu odbiorcy dla istniejących recipients nie jest aktualizowany automatycznie po zmianie domyślnego okresu istnienia tokenu odbiorcy dla magazynu metadanych. Aby zastosować nowy okres istnienia tokenu do danego adresata, należy obrócić token. Zobacz Zarządzanie tokenami adresatów (otwieranie udostępniania).

Wymagane uprawnienia: administrator konta.

Eksplorator Catalog

1. Zaloguj się do konsoli konta.
2. Na pasku bocznym kliknij ikonę Catalog.
3. Kliknij nazwę magazynu metadanych.
4. W obszarze Okres istnienia tokenu adresata funkcji Delta Sharing kliknij pozycję Edytuj.
5. Włącz Set wygasanie.
6. Wprowadź liczbę sekund, minut, godzin lub dni i select jednostkę miary.
7. Kliknij przycisk Zapisz.

Jeśli wyłączysz wygaszanie Set, tokeny adresatów nie wygasają. Usługa Databricks zaleca skonfigurowanie tokenów do wygaśnięcia.

CLI

Uruchom następujące polecenie przy użyciu interfejsu wiersza polecenia usługi Databricks. Zastąp 12a345b6-7890-1cd2-3456-e789f0a12b34 ciąg identyfikatorem UUID magazynu metadanych i zastąp ciąg 86400 liczbą sekund przed wygaśnięciem tokenu odbiorcy. Jeśli set tej wartości do 0, tokeny adresatów nie wygasają. Usługa Databricks zaleca skonfigurowanie tokenów do wygaśnięcia.

databricks metastores update \
12a345b6-7890-1cd2-3456-e789f0a12b34 \
--delta-sharing-recipient-token-lifetime-in-seconds 86400

(Opcjonalnie) Ograniczanie dostępu adresatów przy użyciu list dostępu

Podczas konfigurowania obiektu adresata można limit dostępu do ograniczonego set adresów IP. Zobacz Ograniczanie dostępu adresata do udostępniania różnicowego przy użyciu list dostępu do adresów IP (otwieranie udostępniania).

Zarządzanie właściwościami adresatów

Obiekty adresatów zawierają wstępnie zdefiniowane właściwości, których można użyć do uściślenia dostępu do udostępniania danych. Można na przykład użyć ich do wykonania następujących czynności:

• Współużytkuj różne partycje table z różnymi recipients, umożliwiając używanie tych samych shares z wieloma recipients przy zachowaniu granic danych między nimi.
• Udostępnij dynamiczne views, do których limit dostęp adresata do table danych na poziomie wiersza lub column na podstawie właściwości adresata.

Można również utworzyć właściwości niestandardowe.

Wstępnie zdefiniowane właściwości zaczynają się od databricks. i zawierają następujące elementy:

• databricks.accountId: konto usługi Azure Databricks, do którego należy odbiorca danych (tylko udostępnianie usługi Databricks-to-Databricks).
• databricks.metastoreId: magazyn metadanych Unity Catalog, do którego należy odbiorca danych (tylko udostępnianie Databricks-to-Databricks).
• databricks.name: nazwa adresata danych.

Właściwości niestandardowe, które mogą zawierać wartość, na przykład country. Jeśli na przykład dołączysz właściwość niestandardową 'country' = 'us' do adresata, możesz partitiontable dane według kraju i udostępnić wyłącznie wiersze, które mają dane dla USA z odbiorcami recipients, do których przypisano tę właściwość. Możesz również udostępnić widok dynamiczny, który ogranicza dostęp do wierszy lub column na podstawie właściwości adresata. Aby uzyskać bardziej szczegółowe przykłady, zobacz Użyj właściwości odbiorcy, aby wykonać partition filtrowanie i Dodaj dynamiczne views do udziału, aby filtrować wiersze i columns.

Wymagania

Właściwości adresatów są obsługiwane w środowisku Databricks Runtime 12.2 lub nowszym.

Dodaj właściwości podczas tworzenia lub update adresata

Właściwości można dodawać podczas tworzenia adresata lub update dla istniejącego adresata. Możesz użyć Catalog Explorer, interfejsu CLI Databricks Unity Catalog, lub poleceń SQL w notesie Azure Databricks albo w edytorze zapytań SQL usługi Databricks.

Uprawnienia wymagane: administrator magazynu metadanych lub użytkownik z uprawnieniami CREATE RECIPIENT dla magazynu metadanych Catalog Unity.

Eksplorator Catalog

Podczas tworzenia lub update adresata przy użyciu eksploratora Catalog dodaj lub update właściwości niestandardowe, wykonując następujące czynności:

1. Przejdź do strony Szczegóły odbiorcy.

   Jeśli tworzysz nowego adresata, znajdziesz się na tej stronie po kliknięciu przycisku Utwórz. Jeśli aktualizujesz istniejącego adresata, przejdź do tej strony, klikając ikonę koła zębatego ikonę koła zębatego > Delta Sharing > udostępnione przeze mnie >Recipients i wybierając adresata.

2. Kliknij pozycję Edytuj właściwości > +Dodaj właściwość.

3. Wprowadź nazwę właściwości (klucz) i wartość.

   Jeśli na przykład chcesz filtrować udostępnione dane według kraju i udostępniać tylko dane usa temu adresatowi, możesz utworzyć klucz o nazwie "country" z wartością "US".

4. Kliknij przycisk Zapisz.

SQL

Aby dodać właściwość niestandardową podczas tworzenia adresata, uruchom następujące polecenie w notesie lub edytorze zapytań SQL usługi Databricks:

CREATE RECIPIENT [IF NOT EXISTS] <recipient-name>
[USING ID '<sharing-identifier>'] /* Skip this if you are using open sharing */
[COMMENT "<comment>"]
PROPERTIES ( '<property-key>' = '<property-value>' [, ...] );

<property-key> może być literałem ciągu znaków lub identifier. <property-value> musi być literałem ciągu.

Na przykład:

CREATE RECIPIENT acme PROPERTIES ('country' = 'us', 'partner_id' = '001');

Aby dodać, edytować lub usunąć właściwości niestandardowe dla istniejącego adresata, uruchom jedną z następujących czynności:

ALTER RECIPIENT <recipient-name> SET PROPERTIES ( '<property-key>' = '<property-value>' [, ...] );

ALTER RECIPIENT <recipient-name> UNSET PROPERTIES ( '<property-key>' );

CLI

Aby dodać właściwości niestandardowe podczas tworzenia adresata, uruchom następujące polecenie przy użyciu interfejsu wiersza polecenia usługi Databricks. Zastąp symbol zastępczy values:

• <recipient-name>: nazwa adresata.
• <property-key> może być stałym ciągiem znaków lub identifier.
• <property-value> musi być literałem ciągu.

databricks recipients create \
--json='{
  "name": "<recipient-name>",
  "properties_kvpairs": {
    "properties": {
      "<property-key>": "<property-value>",
    }
  }
}'

Na przykład:

databricks recipients create \
--json='{
  "name": "<recipient-name>",
  "properties_kvpairs": {
    "properties": {
      "country": "us",
      "partner_id":"001"
    }
  }
}'

Aby dodać lub edytować właściwości niestandardowe dla istniejącego adresata, użyj polecenia update zamiast create:

databricks recipients update \
--json='{
  "name": "<recipient-name>",
  "properties_kvpairs": {
    "properties": {
      "country": "us",
      "partner_id":"001"
    }
  }
}'

Wyświetlanie właściwości adresata

Aby wyświetlić właściwości adresata, postępuj zgodnie z instrukcjami w temacie Wyświetlanie szczegółów adresata.

Usuwanie adresata

Aby usunąć adresata, możesz użyć eksploratora Catalog, interfejsu wiersza polecenia usługi Databricks Unity Catalog lub polecenia DROP RECIPIENT SQL w notesie usługi Azure Databricks lub edytorze zapytań SQL usługi Databricks. Aby usunąć adresata, musisz być właścicielem obiektu adresata.

Po usunięciu adresata użytkownicy reprezentowani przez adresata nie będą już mogli uzyskiwać dostępu do udostępnionych danych. Tokeny, które recipients używać w scenariuszu udostępniania otwartego, są unieważniane.

Wymagane uprawnienia: właściciel obiektu adresata.

Eksplorator Catalog

1. W obszarze roboczym usługi Azure Databricks kliknij ikonę Catalog.

2. Na górze okienka Catalog kliknij ikonę koła zębatego oraz Delta Sharing select.

   Alternatywnie na stronie Szybki dostęp kliknij przycisk Udostępnianie > różnicowe.

3. Na karcie Udostępnione przeze mnie kliknij Recipientsi wybierz select adresata.

4. Na karcie Recipients znajdź i select adresata.

5. Kliknij menu menu kebab i selectUsuń.

6. W oknie dialogowym potwierdzenia kliknij pozycję Usuń.

SQL

Uruchom następujące polecenie w notesie lub edytorze zapytań SQL usługi Databricks.

DROP RECIPIENT [IF EXISTS] <recipient-name>;

CLI

Uruchom następujące polecenie przy użyciu interfejsu wiersza polecenia usługi Databricks.

databricks recipients delete <recipient-name>