Partilhar via


Configurar a Partilha Delta para a sua conta (para fornecedores)

Este artigo descreve como os provedores de dados (organizações que desejam usar o Compartilhamento Delta para compartilhar dados com segurança) executam a configuração inicial do Compartilhamento Delta no Azure Databricks.

Nota

Se você for um destinatário de dados (uma organização que recebe dados compartilhados usando o Compartilhamento Delta), consulte Ler dados compartilhados usando o Compartilhamento Delta de Databricks para Databricks (para destinatários).

Importante

Um provedor que deseja usar o servidor de Compartilhamento Delta incorporado ao Azure Databricks deve ter pelo menos um espaço de trabalho habilitado para o Catálogo Unity. Não é necessário migrar todos os espaços de trabalho para o Unity Catalog. Você pode criar um espaço de trabalho habilitado para Catálogo Unity para gerenciamento de compartilhamentos. Em algumas contas, as novas áreas de trabalho são ativadas automaticamente no Unity Catalog. Veja Ativação automática do Unity Catalog.

Se a criação de um novo espaço de trabalho habilitado para Catálogo Unity não for uma opção, você poderá usar o projeto de compartilhamento delta de código aberto para implantar seu próprio servidor de compartilhamento delta e usá-lo para compartilhar tabelas Delta de qualquer plataforma.

A configuração inicial do provedor inclui as seguintes etapas:

  1. Habilite o compartilhamento delta em um metastore do Unity Catalog.
  2. (Opcional) Instale a CLI do Unity Catalog.
  3. Configure auditorias da atividade de Compartilhamento Delta.

Requisitos

Como um provedor de dados que está configurando sua conta do Azure Databricks para poder compartilhar dados, você deve ter:

Habilitar o compartilhamento delta em um metastore

Siga estas etapas para cada metastore do Unity Catalog que gerencia dados que você planeja compartilhar usando o Delta Sharing.

Nota

Você não precisa habilitar o Compartilhamento Delta em seu metastore se pretende usar o Compartilhamento Delta apenas para compartilhar dados com usuários em outros metastores do Unity Catalog em sua conta. A partilha entre metastores numa única conta do Azure Databricks está ativada por predefinição.

  1. Como administrador de conta do Azure Databricks, inicie sessão na consola da conta.

  2. Na barra lateral, clique em Ícone do catálogo Catálogo.

  3. Clique no nome de um metastore para abrir seus detalhes.

  4. Clique na caixa de seleção ao lado de Habilitar compartilhamento delta para permitir que um usuário do Databricks compartilhe dados fora de sua organização.

  5. Configure o tempo de vida do token de destinatário.

    Essa configuração define o período de tempo após o qual todos os tokens de destinatário expiram e devem ser regenerados. Os tokens de destinatário são usados apenas no protocolo de compartilhamento aberto. O Databricks recomenda que você configure um tempo de vida de token padrão em vez de permitir que os tokens vivam indefinidamente.

    Nota

    O tempo de vida do token de destinatário para destinatários existentes não é atualizado automaticamente quando você altera o tempo de vida do token de destinatário padrão para um metastore. Para aplicar um novo tempo de vida do token a um determinado destinatário, você deve girar o token dele. Consulte Gerenciar tokens de destinatário (compartilhamento aberto).

    Para definir o tempo de vida do token de destinatário padrão:

    1. Confirme se Definir expiração está ativado (este é o padrão).

      Se você desmarcar essa caixa de seleção, os tokens nunca expirarão. O Databricks recomenda que você configure os tokens para expirar.

    2. Insira um número de segundos, minutos, horas ou dias e selecione a unidade de medida.

    3. Clique em Ativar.

    Para obter mais informações, consulte Considerações de segurança para tokens.

  6. Opcionalmente, insira um nome para sua organização que um destinatário possa usar para identificar quem está compartilhando com ele.

  7. Clique em Ativar.

(Opcional) Instalar a CLI do Unity Catalog

Para gerenciar compartilhamentos e destinatários, você pode usar o Gerenciador de Catálogos, comandos SQL ou a CLI do Catálogo Unity. A CLI é executada em seu ambiente local e não requer recursos de computação do Azure Databricks.

Para instalar a CLI, consulte O que é a CLI do Databricks?.

Habilitar o log de auditoria

Como administrador de conta do Azure Databricks, você deve habilitar o log de auditoria para capturar eventos de Compartilhamento Delta, como:

  • Quando alguém cria, modifica, atualiza ou exclui um compartilhamento ou um destinatário
  • Quando um destinatário acessa um link de ativação e baixa a credencial (somente compartilhamento aberto)
  • Quando um destinatário acessa dados
  • Quando a credencial de um destinatário é girada ou expira (somente compartilhamento aberto)

A atividade de compartilhamento delta é registrada no nível da conta.

Para habilitar o log de auditoria, siga as instruções em Referência do log de diagnóstico.

Importante

A atividade de compartilhamento delta é registrada no nível da conta. Ao configurar a entrega de log, não insira um valor para workspace_ids_filter.

Para obter informações detalhadas sobre como os eventos de Compartilhamento Delta são registrados, consulte Auditar e monitorar o compartilhamento de dados.

Conceder permissão para criar e gerenciar compartilhamentos e destinatários

Os administradores da Metastore têm o direito de criar e gerenciar compartilhamentos e destinatários, incluindo a concessão de compartilhamentos aos destinatários. Muitas tarefas do provedor podem ser delegadas por um administrador de metastore usando os seguintes privilégios:

Nota

Se seu espaço de trabalho foi habilitado para o Unity Catalog automaticamente, talvez você não tenha um administrador de metastore. No entanto, os administradores de espaço de trabalho nesses espaços de trabalho têm os CREATE SHARE privilégios e CREATE RECIPIENT no metastore por padrão. Para obter mais informações, consulte Ativação automática de privilégios de administrador do Unity Catalog e do Workspace quando os espaços de trabalho são habilitados para o Unity Catalog automaticamente.

  • CREATE SHARE no metastore concede a capacidade de criar compartilhamentos.
  • CREATE RECIPIENT no metastore concede a capacidade de criar destinatários.
  • USE RECIPIENT on concede a capacidade de listar e visualizar detalhes de todos os destinatários no metastore.
  • USE SHARE no metastore concede a capacidade de listar e visualizar detalhes de todos os compartilhamentos no metastore.
  • USE RECIPIENTSET SHARE PERMISSION e USE SHARE, combinadas dão a um usuário a capacidade de conceder acesso de compartilhamento aos destinatários.
  • USE SHARE e SET SHARE PERMISSION combinadas dão ao usuário a capacidade de transferir a propriedade de qualquer ação.
  • Os proprietários de compartilhamentos e destinatários podem atualizar esses objetos e conceder compartilhamentos aos destinatários. Os criadores de objetos recebem propriedade por padrão, mas a propriedade pode ser transferida.
  • Os proprietários de compartilhamentos podem adicionar tabelas e volumes aos compartilhamentos, desde que tenham SELECT acesso às tabelas e READ VOLUME aos volumes.

Para obter detalhes, consulte Privilégios do catálogo Unity e objetos protegíveis e as permissões listadas para cada tarefa descrita no guia de compartilhamento delta.