Share via

Konfigurowanie udostępniania różnicowego dla konta (dla dostawców)

  • Artykuł

W tym artykule opisano, jak dostawcy danych (organizacje, które chcą używać funkcji Delta Sharing do bezpiecznego udostępniania danych) wykonują początkową konfigurację udostępniania różnicowego w usłudze Azure Databricks.

Uwaga

Jeśli jesteś adresatem danych (organizacja, która odbiera dane udostępniane przy użyciu funkcji udostępniania różnicowego), zobacz zamiast tego Odczyt danych udostępnionych przy użyciu funkcji udostępniania różnicowego usługi Databricks do usługi Databricks (dla adresatów).

Ważne

Dostawca, który chce korzystać z serwera udostępniania różnicowego wbudowanego w usługę Azure Databricks, musi mieć co najmniej jeden obszar roboczy, który jest włączony dla wykazu aparatu Unity. Nie trzeba migrować wszystkich obszarów roboczych do wykazu aparatu Unity. Na potrzeby zarządzania udziałami można utworzyć jeden obszar roboczy z obsługą wykazu aparatu Unity. Na niektórych kontach nowe obszary robocze są automatycznie włączone dla wykazu aparatu Unity. Zobacz Automatyczne włączanie wykazu aparatu Unity.

Jeśli tworzenie nowego obszaru roboczego z obsługą wykazu aparatu Unity nie jest opcją, możesz użyć projektu udostępniania różnicowego typu open source, aby wdrożyć własny serwer udostępniania różnicowego i użyć go do udostępniania tabel delta z dowolnej platformy.

Konfiguracja początkowego dostawcy obejmuje następujące kroki:

  1. Włącz udostępnianie różnicowe w magazynie metadanych wykazu aparatu Unity.
  2. (Opcjonalnie) Zainstaluj interfejs wiersza polecenia wykazu aparatu Unity.
  3. Konfigurowanie inspekcji działania udostępniania usługi Delta.

Wymagania

Jako dostawca danych, który konfiguruje konto usługi Azure Databricks, aby móc udostępniać dane, musisz mieć następujące elementy:

Włączanie udostępniania różnicowego w magazynie metadanych

Wykonaj następujące kroki dla każdego magazynu metadanych wykazu aparatu Unity, który zarządza danymi, które mają być udostępniane przy użyciu funkcji udostępniania różnicowego.

Uwaga

Nie musisz włączać udostępniania różnicowego w magazynie metadanych, jeśli zamierzasz używać funkcji Udostępniania różnicowego tylko do udostępniania danych użytkownikom w innych magazynach metadanych wykazu aparatu Unity na twoim koncie. Udostępnianie między magazynami metadanych w ramach jednego konta Azure Databricks jest włączone domyślnie.

  1. Jako administrator konta usługi Azure Databricks zaloguj się do konsoli konta.

  2. Na pasku bocznym kliknij pozycję Ikona wykazuWykaz.

  3. Kliknij nazwę magazynu metadanych, aby otworzyć jego szczegóły.

  4. Kliknij pole wyboru obok pozycji Włącz udostępnianie różnicowe, aby umożliwić użytkownikowi usługi Databricks udostępnianie danych poza organizacją.

  5. Skonfiguruj okres istnienia tokenu odbiorcy.

    Ta konfiguracja określa okres, po którym wszystkie tokeny adresata wygasają i muszą zostać ponownie wygenerowane. Tokeny adresatów są używane tylko w otwartym protokole udostępniania . Usługa Databricks zaleca skonfigurowanie domyślnego okresu istnienia tokenu, a nie zezwalanie na używanie tokenów na czas nieokreślony.

    Uwaga

    Okres istnienia tokenu odbiorcy dla istniejących adresatów nie jest aktualizowany automatycznie po zmianie domyślnego okresu istnienia tokenu odbiorcy dla magazynu metadanych. Aby zastosować nowy okres istnienia tokenu do danego adresata, należy obrócić token. Zobacz Zarządzanie tokenami adresatów (otwieranie udostępniania).

    Aby ustawić domyślny okres istnienia tokenu odbiorcy:

    1. Upewnij się, że opcja Ustaw wygaśnięcie jest włączona (jest to ustawienie domyślne).

      Jeśli to pole wyboru zostanie usunięte, tokeny nigdy nie wygasną. Usługa Databricks zaleca skonfigurowanie tokenów do wygaśnięcia.

    2. Wprowadź liczbę sekund, minut, godzin lub dni i wybierz jednostkę miary.

    3. Kliknij przycisk Włącz.

    Aby uzyskać więcej informacji, zobacz Zagadnienia dotyczące zabezpieczeń tokenów.

  6. Opcjonalnie wprowadź nazwę organizacji, za pomocą którego odbiorca może określić, kto jest z nimi udostępniany.

  7. Kliknij przycisk Włącz.

(Opcjonalnie) Instalowanie interfejsu wiersza polecenia wykazu aparatu Unity

Aby zarządzać udziałami i adresatami, możesz użyć Eksploratora wykazu, poleceń SQL lub interfejsu wiersza polecenia wykazu aparatu Unity. Interfejs wiersza polecenia działa w środowisku lokalnym i nie wymaga zasobów obliczeniowych usługi Azure Databricks.

Aby zainstalować interfejs wiersza polecenia, zobacz Co to jest interfejs wiersza polecenia usługi Databricks?.

Włączanie rejestrowania inspekcji

Jako administrator konta usługi Azure Databricks należy włączyć rejestrowanie inspekcji w celu przechwytywania zdarzeń udostępniania różnicowego, takich jak:

  • Gdy ktoś tworzy, modyfikuje, aktualizuje lub usuwa udział lub adresata
  • Gdy odbiorca uzyskuje dostęp do linku aktywacji i pobiera poświadczenia (tylko otwieranie udostępniania)
  • Gdy odbiorca uzyskuje dostęp do danych
  • Po obróceniu lub wygaśnięciu poświadczeń odbiorcy (tylko otwieranie udostępniania)

Działanie udostępniania różnicowego jest rejestrowane na poziomie konta.

Aby włączyć rejestrowanie inspekcji, postępuj zgodnie z instrukcjami w dokumentacji dziennika diagnostycznego.

Ważne

Działanie udostępniania różnicowego jest rejestrowane na poziomie konta. Podczas konfigurowania dostarczania dziennika nie należy wprowadzać wartości dla elementu workspace_ids_filter.

Aby uzyskać szczegółowe informacje na temat rejestrowania zdarzeń usługi Delta Sharing, zobacz Inspekcja i monitorowanie udostępniania danych.

Udzielanie uprawnień do tworzenia udziałów i adresatów oraz zarządzania nimi

Administratorzy magazynu metadanych mają prawo do tworzenia udziałów i adresatów oraz zarządzania nimi, w tym udzielania udziałów adresatom. Wiele zadań dostawcy może być delegowanych przez administratora magazynu metadanych przy użyciu następujących uprawnień:

Uwaga

Jeśli obszar roboczy został automatycznie włączony dla wykazu aparatu Unity, być może nie masz administratora magazynu metadanych. Jednak administratorzy obszaru roboczego w takich obszarach roboczych mają CREATE SHARE domyślnie uprawnienia i CREATE RECIPIENT w magazynie metadanych. Aby uzyskać więcej informacji, zobacz Automatyczne włączanie wykazu aparatu Unity i uprawnień administratora obszaru roboczego, gdy obszary robocze są włączone dla wykazu aparatu Unity automatycznie.

  • CREATE SHARE w magazynie metadanych daje możliwość tworzenia udziałów.
  • CREATE RECIPIENT w magazynie metadanych daje możliwość tworzenia adresatów.
  • USE RECIPIENT w przypadku przyznania możliwości wyświetlania listy i wyświetlania szczegółów dla wszystkich adresatów w magazynie metadanych.
  • USE SHARE w magazynie metadanych przyznaje możliwość wyświetlania listy i wyświetlania szczegółów wszystkich udziałów w magazynie metadanych.
  • USE RECIPIENTi USE SHARE,SET SHARE PERMISSION połączone zapewniają użytkownikowi możliwość udzielenia dostępu do udziału adresatom.
  • USE SHARE i SET SHARE PERMISSION połączone dają użytkownikowi możliwość przeniesienia własności dowolnego udziału.
  • Właściciele udziałów i adresatów mogą aktualizować te obiekty i udzielać udziałów adresatom. Twórcy obiektów domyślnie otrzymują własność, ale własność może zostać przeniesiona.
  • Właściciele udziałów mogą dodawać tabele i woluminy do udziałów, o ile mają SELECT dostęp do tabel i READ VOLUME dostępu do woluminów.

Aby uzyskać szczegółowe informacje, zobacz Uprawnienia wykazu aparatu Unity i zabezpieczane obiekty oraz uprawnienia wymienione dla każdego zadania opisanego w przewodniku udostępniania różnicowego.