Habilitación de un área de trabajo para Unity Catalog

En este artículo se explica cómo habilitar un área de trabajo para Unity Catalog mediante la asignación de un metastore de Unity Catalog.

Importante

El 9 de noviembre de 2023, Databricks comenzó a habilitar automáticamente nuevas áreas de trabajo para Unity Catalog, con un proceso de lanzamiento gradual. Si el área de trabajo se ha habilitado automáticamente para el catálogo de Unity, este artículo no se aplica a usted.

Para determinar si el área de trabajo ya está habilitada para Unity Catalog, consulte Paso 1: Confirmar que el área de trabajo está habilitada para Unity Catalog.

Acerca de la habilitación de áreas de trabajo para Unity Catalog

Habilitar Unity Catalog para un área de trabajo significa que:

• Los usuarios de esa área de trabajo pueden acceder potencialmente a los mismos datos a los que pueden acceder los usuarios de otras áreas de trabajo de su cuenta, y los administradores de datos pueden administrar ese acceso a los datos de forma centralizada, entre áreas de trabajo.
• El acceso a datos se audita automáticamente
• La federación de identidades está habilitada para el área de trabajo, lo que permite a los administradores administrar identidades de forma centralizada mediante la consola de la cuenta y otras interfaces de nivel de cuenta. Esto incluye la asignación de usuarios a áreas de trabajo.

Para habilitar un área de trabajo de Azure Databricks para Unity Catalog, asigne el área de trabajo a un metastore de Unity Catalog. Un metastore es el contenedor de nivel superior de los datos de Unity Catalog. Cada metastore expone un espacio de nombres de 3 niveles (catalog.schema.table) mediante el que se pueden organizar los datos.

Puede compartir un único metastore entre varias áreas de trabajo de Azure Databricks que pertenezcan a la misma cuenta. Cada área de trabajo vinculada tendrá la misma vista de los datos del metastore, y el control de acceso a datos se puede administrar para todas las áreas de trabajo. Puede crear un metastore por región y asociarlo a cualquier cantidad de áreas de trabajo de esa región.

Consideraciones antes de habilitar un área de trabajo para Unity Catalog

Antes de habilitar un área de trabajo para Unity Catalog, debe hacer lo siguiente:

• Comprender los privilegios de los administradores de áreas de trabajo en áreas de trabajo habilitadas para Unity Catalog y revisar las asignaciones de administrador de área de trabajo existentes.

  El administrador del área de trabajo es un rol con privilegios que debe distribuir con cuidado.

  Los administradores del área de trabajo pueden administrar las operaciones de su área de trabajo, incluida la adición de usuarios y entidades de servicio, la creación de clústeres y la delegación de otros usuarios para que sean administradores del área de trabajo. Si el área de trabajo se ha habilitado automáticamente para Unity Catalog, el administrador del área de trabajo también tiene una serie de privilegios adicionales de forma predeterminada, incluida la capacidad de crear la mayoría de los tipos de objetos de Unity Catalog y conceder acceso a los que crean. Consulte Privilegios de administrador en Unity Catalog.

  Si el área de trabajo no se ha habilitado automáticamente para Unity Catalog, los administradores del área de trabajo no tienen más acceso a los objetos de Unity Catalog de manera predeterminada, pero tienen la capacidad de realizar tareas de administración del área de trabajo, como administrar la propiedad del trabajo y ver cuadernos, lo que puede dar acceso indirecto a los datos registrados en Unity Catalog.

  Los administradores de cuentas pueden restringir los privilegios de administrador del área de trabajo mediante el valor RestrictWorkspaceAdmins. Consulte Restringir administradores de áreas de trabajo.

  Si usa áreas de trabajo para aislar el acceso a datos de usuario, es posible que desee usar enlaces de catálogo de áreas de trabajo. Los enlaces de catálogo de áreas de trabajo permiten limitar el acceso al catálogo por límites del área de trabajo. Por ejemplo, puede asegurarse de que los administradores del área de trabajo y los usuarios solo pueden acceder a los datos de producción desde un prod_catalog entorno de área de trabajo de producción, prod_workspace. El valor predeterminado es compartir el catálogo con todas las áreas de trabajo asociadas al metastore actual. Consulte (Opcional) Asignar un catálogo a áreas de trabajo específicas.

• Actualizar cualquier automatización que se haya configurado para administrar usuarios, grupos y entidades de servicio, como conectores de aprovisionamiento SCIM y automatización de Terraform, de modo que hagan referencia a puntos de conexión de cuenta en lugar de puntos de conexión de área de trabajo. Consulte Aprovisionamiento SCIM de nivel de cuenta y de nivel de área de trabajo.

• Tenga en cuenta que la operación de revertir un área de trabajo para Unity Catalog no se puede revertir. Una vez que habilite el área de trabajo, administrará usuarios, grupos y entidades de servicio para esta área de trabajo mediante interfaces de nivel de cuenta.

Requisitos

Para poder habilitar el área de trabajo para Unity Catalog, debe tener un metastore de Unity Catalog configurado para la cuenta de Azure Databricks. Consulte Creación de un metastore de Unity Catalog.

Habilitación del área de trabajo para Unity Catalog

Al crear una metastore, se le pedirá que le asigne áreas de trabajo, lo que habilita esa área de trabajo para Unity Catalog. También puede volver a la consola de la cuenta para habilitar un área de trabajo para Unity Catalog en cualquier momento.

Para habilitar un área de trabajo existente para Unity Catalog mediante la consola de la cuenta:

1. Como administrador de la cuenta, inicie sesión en la consola de la cuenta.
2. Haga clic en el Catálogo.
3. Haga clic en el nombre del metastore.
4. Haga clic en la pestaña Áreas de trabajo.
5. Haga clic en Asignar al área de trabajo.
6. Seleccione una o varias áreas de trabajo. Puede escribir parte del nombre del área de trabajo para filtrar la lista.
7. Desplácese hasta la parte inferior del cuadro de diálogo y haga clic en Asignar.
8. En el cuadro de diálogo de confirmación, haga clic en Quitar.

Una vez completada la asignación, el área de trabajo aparece en la pestaña Áreas de trabajo del metastore y el metastore aparece en la pestaña Configuración del área de trabajo.

Pasos siguientes

• Creación y administración de catálogos
• Creación y administración de esquemas (bases de datos)
• Creación de tablas en el catálogo de Unity
• Obtenga más información sobre Unity Catalog: ¿Qué Unity Catalog?

Eliminación del vínculo de metastore de un área de trabajo

Para quitar el acceso de un área de trabajo a los datos de un metastore, puede desvincular el metastore del área de trabajo.

Advertencia

Si interrumpe el vínculo entre un área de trabajo y un metastore de Unity Catalog:

• Los usuarios del área de trabajo ya no podrán acceder a los datos del metastore.
• Interrumpirá los cuadernos, consultas o trabajos que hagan referencia a los datos administrados en el metastore.

1. Como administrador de la cuenta, inicie sesión en la consola de la cuenta.
2. Haga clic en el Catálogo.
3. Haga clic en el nombre del metastore.
4. En la pestaña Áreas de trabajo, busque el área de trabajo que quiere quitar del metastore.
5. Haga clic en el menú de tres botones situado en el extremo derecho de la fila del área de trabajo y seleccione Quitar de este metastore.
6. En el cuadro de diálogo de confirmación, haga clic en Desasignar.

Una vez completada la eliminación, el área de trabajo deja de aparecer en la pestaña Áreas de trabajo del metastore.