Partilhar via

Set o Delta Sharing para a sua conta (para providers)

  • Artigo

Este artigo descreve como as organizações providers (aquelas que desejam usar o Compartilhamento Delta para compartilhar dados com segurança) realizam a configuração inicial do Compartilhamento Delta no Azure Databricks.

Nota

Se for um destinatário de dados (uma organização que recebe dados compartilhados através do Compartilhamento Delta), consulte Ler dados compartilhados usando o Compartilhamento Delta de Databricks para Databricks (para recipients).

Importante

Um provedor que deseja usar o servidor de Compartilhamento Delta integrado ao Azure Databricks deve ter pelo menos um espaço de trabalho habilitado para o Unity Catalog. Você não precisa migrar todos os seus espaços de trabalho para o Unity Catalog. Você pode criar um espaço de trabalho habilitado para Unity Catalogpara gerenciamento de compartilhamentos. Em algumas contas, novos espaços de trabalho são habilitados para o Unity Catalog automaticamente. Consulte Ativação automática do Unity Catalog.

Se a criação de um novo espaço de trabalho habilitado para Unity Catalognão for uma opção, pode usar o projeto Delta Sharing de código aberto para implantar o seu próprio servidor Delta Sharing e utilizá-lo para partilhar Delta tables a partir de qualquer plataforma.

A configuração inicial do provedor inclui as seguintes etapas:

  1. Ative a partilha Delta num metastore Unity Catalog.
  2. (Opcional) Instale o Unity Catalog CLI.
  3. Configure auditorias da atividade de Compartilhamento Delta.

Requisitos

Como um provedor de dados que está configurando sua conta do Azure Databricks para poder compartilhar dados, você deve ter:

Habilitar o compartilhamento delta em um metastore

Siga estas etapas para cada metastore Unity Catalog que gerencia dados que você planeja compartilhar usando o Delta Sharing.

Nota

Você não precisa ativar o Delta Sharing no seu metastore se tiver a intenção de usar o Delta Sharing apenas para partilhar dados com utilizadores de outros Unity Catalogmetastores na sua conta. A partilha entre metastores numa única conta do Azure Databricks está ativada por predefinição.

  1. Como administrador de conta do Azure Databricks, inicie sessão na consola da conta.

  2. Na barra lateral, clique no ícone CatalogCatalog.

  3. Clique no nome de um metastore para abrir seus detalhes.

  4. Clique na caixa de seleção ao lado de Habilitar compartilhamento delta para permitir que um usuário do Databricks compartilhe dados fora de sua organização.

  5. Configure o tempo de vida do token de destinatário.

    Essa configuração define o período de tempo após o qual todos os tokens de destinatário expiram e devem ser regenerados. Os tokens de destinatário são usados apenas no protocolo de compartilhamento aberto. O Databricks recomenda que você configure um tempo de vida de token padrão em vez de permitir que os tokens vivam indefinidamente.

    Nota

    O tempo de vida do token de destinatário para os recipients existentes não é atualizado automaticamente quando se altera o tempo de vida padrão do token de destinatário para um metastore. Para aplicar um novo tempo de vida do token a um determinado destinatário, você deve girar o token dele. Consulte Gerenciar tokens de destinatário (compartilhamento aberto).

    Para set a duração padrão do token de destinatário:

    1. Confirme que a expiração de Set está ativada (este é o padrão).

      Se você desmarcar essa caixa de seleção, os tokens nunca expirarão. O Databricks recomenda que você configure os tokens para expirar.

    2. Insira um número de segundos, minutos, horas ou dias e select a unidade de medida.

    3. Clique em Ativar.

    Para obter mais informações, consulte Considerações de segurança para tokens.

  6. Opcionalmente, insira um nome para sua organização que um destinatário possa usar para identificar quem está compartilhando com ele.

  7. Clique em Ativar.

(opcional) Instalar a CLI do Unity Catalog

Para gerenciar shares e recipients, você pode usar o Catalog Explorer, comandos SQL ou a CLI do Unity Catalog. A CLI é executada em seu ambiente local e não requer recursos de computação do Azure Databricks.

Para instalar a CLI, consulte O que é a CLI do Databricks?.

Habilitar o log de auditoria

Como administrador de conta do Azure Databricks, você deve habilitar o log de auditoria para capturar eventos de Compartilhamento Delta, como:

  • Quando alguém cria, modifica, atualiza ou exclui um compartilhamento ou um destinatário
  • Quando um destinatário acessa um link de ativação e baixa a credencial (somente compartilhamento aberto)
  • Quando um destinatário acessa dados
  • Quando a credencial de um destinatário é girada ou expira (somente compartilhamento aberto)

A atividade de compartilhamento delta é registrada no nível da conta.

Para habilitar o log de auditoria, siga as instruções em Referência do log de diagnóstico.

Importante

A atividade de compartilhamento delta é registrada no nível da conta. Ao configurar a entrega de log, não insira um valor para workspace_ids_filter.

Para obter informações detalhadas sobre como os eventos de Compartilhamento Delta são registrados, consulte Auditar e monitorar o compartilhamento de dados.

Grant permissão para criar e gerenciar shares e recipients

Os administradores da Metastore têm o direito de criar e gerenciar shares e recipients, incluindo a concessão de shares para recipients. Muitas tarefas do provedor podem ser delegadas por um administrador de metastore usando os seguintes privilégios:

Nota

Se seu espaço de trabalho foi habilitado para o Unity Catalog automaticamente, talvez você não tenha um administrador de metastore. No entanto, os administradores de espaço de trabalho nesses espaços de trabalho têm os privilégios de CREATE SHARE e CREATE RECIPIENT no metastore por padrão. Para obter mais informações, consulte Ativação automática do Unity Catalog e privilégios de administrador do espaço de trabalho quando os espaços de trabalho estão habilitados para o Unity Catalog automaticamente.

  • CREATE SHARE no metastore concede a capacidade de criar shares.
  • CREATE RECIPIENT no metastore concede a capacidade de criar recipients.
  • USE RECIPIENT on concede a capacidade de list e visualizar detalhes de todos os recipients no metastore.
  • USE SHARE no metastore concede a capacidade de list e visualizar detalhes de todos os shares no metastore.
  • USE RECIPIENT, USE SHARE, e SET SHARE PERMISSION combinados dão ao usuário a capacidade de grant compartilhar acesso a recipients.
  • USE SHARE e SET SHARE PERMISSION combinadas dão ao usuário a capacidade de transferir a propriedade de qualquer ação.
  • Os proprietários de compartilhamento e destinatários podem update esses objetos e grantshares para recipients. Os criadores de objetos recebem propriedade por padrão, mas a propriedade pode ser transferida.
  • Os acionistas podem adicionar tables e volumes ao shares, desde que tenham acesso SELECT ao tables e acesso READ VOLUME ao volumes.

Para obter detalhes, consulte Unity Catalog privilégios e objetos protegíveis e as permissões listadas para cada tarefa descrita no guia de Delta Sharing.