Udostępnij za pośrednictwem

Skonfiguruj Delta Sharing dla swojego konta (dla dostawców)

  • Artykuł

W tym artykule opisano, jak dostawcy danych (organizacje, które chcą używać Delta Sharing do bezpiecznego udostępniania danych) przeprowadzają początkową konfigurację Delta Sharing na platformie Azure Databricks.

Uwaga

Jeśli jesteś odbiorcą danych (organizacją, która odbiera dane udostępniane przy użyciu funkcji Delta Sharing), zobacz zamiast tego Odczyt danych udostępnionych przy użyciu funkcji Delta Sharing w ramach usługi Databricks do usługi Databricks (dla odbiorców).

Ważne

Dostawca, który chce korzystać z serwera Delta Sharing, wbudowanego w Azure Databricks, musi mieć co najmniej jeden obszar roboczy z włączonym Unity Catalog. Nie trzeba migrować wszystkich obszarów roboczych do katalogu Unity. Można utworzyć jeden obszar roboczy z funkcją Unity Catalog do zarządzania dostępem. Na niektórych kontach nowe obszary robocze są automatycznie włączane dla Unity Catalog. Zobacz Automatyczne uruchamianie Unity Catalog.

Jeśli tworzenie nowego obszaru roboczego z obsługą Unity Catalog nie jest opcją, możesz użyć projektu open source Delta Sharing , aby wdrożyć własny serwer Delta Sharing i użyć go do udostępniania tabel delta z dowolnej platformy.

Konfiguracja początkowego dostawcy obejmuje następujące kroki:

  1. Włącz Delta Sharing w metamagazynie Unity Catalog.
  2. (Opcjonalnie) Zainstaluj interfejs wiersza polecenia Unity Catalog.
  3. Konfigurowanie inspekcji działania udostępniania usługi Delta.

Wymagania

Jako dostawca danych, który konfiguruje konto usługi Azure Databricks, aby móc udostępniać dane, musisz mieć następujące elementy:

  • Co najmniej jeden obszar roboczy usługi Azure Databricks, dla którego włączono katalog Unity.

    Nie musisz migrować wszystkich obszarów roboczych do Unity Catalog, aby korzystać z obsługi Databricks dla Delta Sharing providers. Zobacz Czy potrzebuję Unity Catalog do korzystania z Delta Sharing?.

    Odbiorcy nie muszą mieć obszaru roboczego z włączoną funkcją Unity Catalog.

  • Rola administratora konta w celu włączenia Delta Sharing dla magazynu metadanych Unity Catalog oraz w celu włączenia rejestrowania audytu.

  • Rola administratora magazynu metadanych lub CREATE SHARE uprawnienia i CREATE RECIPIENT . Zobacz Role administratora.

    Uwaga

    Jeśli obszar roboczy został automatycznie włączony dla usługi Unity Catalog, być może nie masz administratora metastore. Jednak administratorzy obszarów roboczych w takich obszarach roboczych domyślnie mają uprawnienia CREATE SHARE i CREATE RECIPIENT w metastore. Aby uzyskać więcej informacji, zobacz Automatyczne włączanie Unity Catalog i uprawnienia administratora obszaru roboczego , gdy obszary robocze są automatycznie włączane dla Unity Catalog.

Włączanie udostępniania różnicowego w magazynie metadanych

Wykonaj następujące kroki dla każdego metastore Unity Catalog, który zarządza danymi, które planujesz udostępniać za pomocą Delta Sharing.

Uwaga

Nie musisz włączać funkcji Delta Sharing w swoim metastore, jeśli zamierzasz używać Delta Sharing tylko do udostępniania danych użytkownikom w innych metastore Unity Catalog na swoim koncie. Udostępnianie między magazynami metadanych w ramach jednego konta Azure Databricks jest włączone domyślnie.

  1. Jako administrator konta usługi Azure Databricks zaloguj się do konsoli konta.

  2. Na pasku bocznym kliknij ikonę katalogu.

  3. Kliknij nazwę magazynu metadanych, aby otworzyć jego szczegóły.

  4. Kliknij pole wyboru obok pozycji Włącz udostępnianie różnicowe, aby umożliwić użytkownikowi usługi Databricks udostępnianie danych poza organizacją.

  5. Skonfiguruj okres istnienia tokenu odbiorcy.

    Ta konfiguracja określa okres, po którym wszystkie tokeny adresata wygasają i muszą zostać ponownie wygenerowane. Tokeny adresatów są używane tylko w otwartym protokole udostępniania . Usługa Databricks zaleca skonfigurowanie domyślnego okresu istnienia tokenu, a nie zezwalanie na używanie tokenów na czas nieokreślony.

    Uwaga

    Okres istnienia tokenu odbiorcy dla istniejących adresatów nie jest aktualizowany automatycznie po zmianie domyślnego okresu istnienia tokenu odbiorcy dla magazynu metadanych. Aby zastosować nowy okres istnienia tokenu do danego adresata, należy obrócić token. Zobacz Zarządzanie tokenami adresatów (otwieranie udostępniania).

    Aby ustawić domyślny okres istnienia tokenu odbiorcy:

    1. Upewnij się, że ustaw wygasania jest włączona (jest to ustawienie domyślne).

      Jeśli to pole wyboru zostanie usunięte, tokeny nigdy nie wygasną. Usługa Databricks zaleca skonfigurowanie tokenów do wygaśnięcia.

    2. Wprowadź liczbę sekund, minut, godzin lub dni i wybierz jednostkę miary.

    3. Kliknij przycisk Włącz.

    Aby uzyskać więcej informacji, zobacz Zagadnienia dotyczące zabezpieczeń tokenów.

  6. Opcjonalnie wprowadź nazwę organizacji, za pomocą którego odbiorca może określić, kto jest z nimi udostępniany.

  7. Kliknij przycisk Włącz.

(opcjonalnie) Zainstalować Unity Catalog CLI

Aby zarządzać udziałami i odbiorcami, możesz użyć Eksploratora Katalogu, poleceń SQL lub interfejsu wiersza poleceń Unity Catalog CLI. Interfejs wiersza polecenia działa w środowisku lokalnym i nie wymaga zasobów obliczeniowych usługi Azure Databricks.

Aby zainstalować interfejs wiersza polecenia, zobacz Co to jest interfejs wiersza polecenia usługi Databricks?.

Włączanie rejestrowania inspekcji

Jako administrator konta usługi Azure Databricks należy włączyć rejestrowanie inspekcji w celu przechwytywania zdarzeń udostępniania różnicowego, takich jak:

  • Gdy ktoś tworzy, modyfikuje, aktualizuje lub usuwa udział lub adresata
  • Gdy odbiorca uzyskuje dostęp do linku aktywacji i pobiera poświadczenia (tylko otwieranie udostępniania)
  • Gdy odbiorca uzyskuje dostęp do danych
  • Po obróceniu lub wygaśnięciu poświadczeń odbiorcy (tylko otwieranie udostępniania)

Działanie udostępniania różnicowego jest rejestrowane na poziomie konta.

Aby włączyć rejestrowanie inspekcji, postępuj zgodnie z instrukcjami w dokumentacji dziennika diagnostycznego.

Ważne

Działanie udostępniania różnicowego jest rejestrowane na poziomie konta. Podczas konfigurowania dostarczania dziennika nie należy wprowadzać wartości dla elementu workspace_ids_filter.

Aby uzyskać szczegółowe informacje na temat rejestrowania zdarzeń usługi Delta Sharing, zobacz Inspekcja i monitorowanie udostępniania danych.

Udzielanie uprawnień do tworzenia udziałów i adresatów oraz zarządzania nimi

Administratorzy magazynu metadanych mają prawo do tworzenia udziałów i adresatów oraz zarządzania nimi, w tym udzielania udziałów adresatom. Wiele zadań dostawcy może być delegowanych przez administratora magazynu metadanych przy użyciu następujących uprawnień:

Uwaga

Jeśli obszar roboczy został automatycznie włączony dla Unity Catalog, być może nie masz administratora magazynu metadanych. Jednak administratorzy obszarów roboczych w takich przypadkach domyślnie mają uprawnienia CREATE SHARE i CREATE RECIPIENT w magazynie metadanych. Aby uzyskać więcej informacji, zobacz Automatyczne włączanie Katalogu Unity oraz Uprawnienia administratora obszaru roboczego, gdy obszary robocze są automatycznie włączane dla Katalogu Unity.

  • CREATE SHARE w metastore daje możliwość tworzenia udziałów.
  • CREATE RECIPIENT w magazynie metadanych umożliwia tworzenie adresatów.
  • USE RECIPIENT umożliwia wyświetlanie listy i szczegółów wszystkich odbiorców w metastore.
  • USE SHARE w magazynie metadanych umożliwia wyświetlanie listy i szczegółów wszystkich udziałów w magazynie metadanych.
  • USE RECIPIENT, USE SHARE, i SET SHARE PERMISSION połączone zapewniają użytkownikowi możliwość udzielania dostępu do udziału adresatom.
  • USE SHARE i SET SHARE PERMISSION połączone dają użytkownikowi możliwość przeniesienia własności dowolnego udziału.
  • Właściciele udziałów i adresatów mogą aktualizować te obiekty i udzielać udziałów adresatom. Twórcy obiektów domyślnie otrzymują własność, ale własność może zostać przeniesiona.
  • Właściciele udziałów mogą dodawać tabele i woluminy do udziałów, o ile mają SELECT dostęp do tabel i READ VOLUME dostęp do woluminów.

Aby uzyskać szczegółowe informacje, zobacz uprawnienia katalogu Unity i obiektu zabezpieczanego oraz uprawnienia wymienione dla każdego zadania opisanego w przewodniku Delta Sharing.