Sdílet prostřednictvím

Vytváření a správa příjemců dat pro rozdílové sdílení

  • Článek

Tento článek vysvětluje, jak vytvářet a spravovat příjemce pro rozdílové sdílení.

Příjemce je pojmenovaný objekt, který představuje identitu uživatele nebo skupiny uživatelů v reálném světě, kteří využívají sdílená data. Způsob vytváření příjemců se liší v závislosti na tom, jestli má váš příjemce přístup k pracovnímu prostoru Databricks, který je povolený pro katalog Unity:

  • Pro příjemce s přístupem k pracovnímu prostoru Databricks, který je povolený pro Katalog Unity, můžete vytvořit objekt příjemce se zabezpečeným připojením spravovaným výhradně Databricks. Tento režim sdílení se nazývá Sdílení Databricks-to-Databricks.
  • Pro příjemce bez přístupu k pracovnímu prostoru Databricks, který je povolený pro katalog Unity, musíte použít otevřené sdílení se zabezpečeným připojením, které spravujete pomocí ověřování založeného na tokenech.

Další informace o těchto dvourežimch

Požadavky

Vytvoření příjemce:

  • Musíte být správcem metastoru nebo mít CREATE_RECIPIENT oprávnění k metastoru katalogu Unity, kde jsou zaregistrovaná data, která chcete sdílet.
  • Příjemce musíte vytvořit pomocí pracovního prostoru Azure Databricks s připojeným metastorem katalogu Unity.
  • Pokud k vytvoření příjemce použijete poznámkový blok Databricks, cluster musí používat Databricks Runtime 11.3 LTS nebo novější a buď sdílený, nebo režim přístupu ke clusteru s jedním uživatelem.

V případě jiných operací správy příjemců (například zobrazení, odstranění, aktualizace a udělení přístupu ke sdílené složce) najdete požadavky na oprávnění uvedené v částech tohoto článku pro konkrétní operace.

Vytvoření objektu příjemce pro uživatele, kteří mají přístup k Databricks (sdílení Databricks k Databricks)

Pokud má váš příjemce dat přístup k pracovnímu prostoru Databricks, který je povolený pro katalog Unity, můžete vytvořit objekt příjemce s typem DATABRICKSověřování .

Objekt příjemce s typem DATABRICKS ověřování představuje příjemce dat v určitém metastoru katalogu Unity identifikovaný v definici objektu příjemce řetězcem identifikátoru sdílení, který se skládá z cloudu, oblasti a UUID metastoru. K datům sdíleným s tímto příjemcem je možné přistupovat pouze v tomto metastoru.

Krok 1: Žádost o identifikátor sdílení příjemce

Požádejte uživatele příjemce, aby vám poslal identifikátor sdílení metastoru katalogu Unity, který je připojený k pracovním prostorům, kde bude uživatel příjemce nebo skupina uživatelů pracovat se sdílenými daty.

Identifikátor sdílení je řetězec skládající se z cloudu, oblasti a UUID metastoru (jedinečný identifikátor metastoru) ve formátu <cloud>:<region>:<uuid>.

Například na následujícím snímku obrazovky je aws:us-west-2:19a84bee-54bc-43a2-87de-023d0ec16016úplný řetězec identifikátoru sdílení .

příklad CURRENT_METASTORE

Příjemce může najít identifikátor pomocí Průzkumníka katalogu, rozhraní příkazového řádku katalogu Databricks Unity nebo výchozí funkce CURRENT_METASTORE SQL v poznámkovém bloku Databricks nebo dotazu SQL Databricks, který běží v clusteru podporujícím Unity-Catalog v pracovním prostoru, který má v úmyslu použít.

Průzkumník katalogu

Pokud chcete získat identifikátor sdílení pomocí Průzkumníka katalogu:

  1. V pracovním prostoru Azure Databricks klikněte na Ikona katalogu Katalog.

  2. V horní části podokna Katalog klikněte naIkona ozubeného kolečka ikonu ozubeného kola a vyberte Rozdílové sdílení.

    Případně na stránce Rychlý přístup klikněte na tlačítko Rozdílové sdílení>.

  3. Na kartě Sdílí se se mnou klikněte na název organizace sdílení Databricks v pravém horním rohu a vyberte Kopírovat identifikátor sdílení.

SQL

V poznámkovém bloku nebo editoru dotazů SQL Databricks spusťte následující příkaz:

SELECT CURRENT_METASTORE();

Rozhraní příkazového řádku

Pomocí rozhraní příkazového řádku Databricks spusťte následující příkaz. Identifikátor sdílení se vrátí jako global_metastore_id.

databricks metastores summary

Příjemci můžete pomoct odesláním kontaktních informací obsažených v tomto kroku nebo můžete nasměrovat na získání přístupu v modelu Databricks-to-Databricks.

Krok 2: Vytvoření příjemce

Pokud chcete vytvořit příjemce pro sdílení Databricks-to-Databricks, můžete použít Průzkumníka katalogu, rozhraní příkazového řádku katalogu Databricks Unity nebo CREATE RECIPIENT příkaz SQL v poznámkovém bloku Azure Databricks nebo editoru dotazů SQL Databricks.

Požadovaná oprávnění: Správce metastoru CREATE_RECIPIENT nebo uživatel s oprávněním pro metastore katalogu Unity, kde jsou zaregistrovaná data, která chcete sdílet.

Průzkumník katalogu

  1. V pracovním prostoru Azure Databricks klikněte na Ikona katalogu Katalog.

  2. V horní části podokna Katalog klikněte naIkona ozubeného kolečka ikonu ozubeného kola a vyberte Rozdílové sdílení.

    Případně na stránce Rychlý přístup klikněte na tlačítko Rozdílové sdílení>.

  3. Na kartě Sdílí se mnou klikněte na Tlačítko Nový příjemce.

  4. Zadejte jméno příjemce a identifikátor sdílení.

    Použijte celý řetězec identifikátoru sdílení ve formátu <cloud>:<region>:<uuid>. Například aws:us-west-2:19a84bee-54bc-43a2-87de-023d0ec16016.

  5. (Volitelné) Zadejte komentář.

  6. Klikněte na Vytvořit.

  7. (Volitelné) Vytvořte vlastní vlastnosti příjemce.

    Klikněte na Upravit vlastnosti > + Přidat vlastnost. Pak přidejte název vlastnosti (klíč) a hodnotu. Podrobnosti najdete v tématu Správa vlastností příjemce.

SQL

V poznámkovém bloku nebo editoru dotazů SQL Databricks spusťte následující příkaz:

CREATE RECIPIENT [IF NOT EXISTS] <recipient-name>
USING ID '<sharing-identifier>'
[COMMENT "<comment>"];

Použijte celý řetězec identifikátoru sdílení ve formátu <cloud>:<region>:<uuid>. Například aws:eu-west-1:g0c979c8-3e68-4cdf-94af-d05c120ed1ef.

Můžete také přidat vlastní vlastnosti příjemce. Podrobnosti najdete v tématu Správa vlastností příjemce.

Rozhraní příkazového řádku

Pomocí rozhraní příkazového řádku Databricks spusťte následující příkaz. Nahraďte zástupné hodnoty:

  • <recipient-name>: Jméno příjemce.
  • <sharing-identifier>: Celý řetězec identifikátoru sdílení ve formátu <cloud>:<region>:<uuid>. Například aws:eu-west-1:g0c979c8-3e68-4cdf-94af-d05c120ed1ef.
  • <authentication-type>: Nastaveno naDATABRICKS, pokud je k dispozici <sharing-identifier>řetězec identifikátoru sdílení ve formátu <cloud>:<region>:<uuid> .
databricks recipients create <recipient-name> <authentication-type> --sharing-code <sharing-identifier>

Můžete také přidat vlastní vlastnosti příjemce. Podrobnosti najdete v tématu Správa vlastností příjemce.

Příjemce je vytvořen pomocí authentication_type položky DATABRICKS.

Vytvoření objektu příjemce pro všechny ostatní uživatele (otevřené sdílení)

Pokud chcete sdílet data s uživateli mimo váš pracovní prostor Azure Databricks bez ohledu na to, jestli data používají sami, můžete k bezpečnému sdílení dat použít funkci Delta Sharing. Jak to funguje:

  1. Jako poskytovatel dat vytvoříte objekt příjemce v metastoru katalogu Unity.
  2. Když vytvoříte objekt příjemce, Azure Databricks vygeneruje token, soubor přihlašovacích údajů, který obsahuje token, a aktivační odkaz, který můžete sdílet s příjemcem. Objekt příjemce má typ TOKENověřování .
  3. Příjemce získá přístup k aktivačnímu odkazu, stáhne soubor přihlašovacích údajů a použije soubor přihlašovacích údajů k ověření a získání přístupu pro čtení k tabulkám, které zahrnete do sdílených složek, ke které jim udělíte přístup.

Krok 1: Vytvoření příjemce

Pokud chcete vytvořit příjemce pro otevřené sdílení, můžete použít Průzkumníka katalogu, Rozhraní příkazového řádku katalogu Databricks Unity nebo CREATE RECIPIENT příkaz SQL v poznámkovém bloku Azure Databricks nebo editoru dotazů SQL Databricks.

Požadovaná oprávnění: Správce metastoru CREATE_RECIPIENT nebo uživatel s oprávněním pro metastore katalogu Unity, kde jsou zaregistrovaná data, která chcete sdílet.

Průzkumník katalogu

  1. V pracovním prostoru Azure Databricks klikněte na Ikona katalogu Katalog.

  2. V horní části podokna Katalog klikněte naIkona ozubeného kolečka ikonu ozubeného kola a vyberte Rozdílové sdílení.

    Případně na stránce Rychlý přístup klikněte na tlačítko Rozdílové sdílení>.

  3. Na kartě Sdílí se mnou klikněte na Tlačítko Nový příjemce.

  4. Zadejte jméno příjemce .

  5. (Volitelné) Zadejte komentář.

  6. Klikněte na Vytvořit.

    Identifikátor sdílení nepoužíváte pro otevřené příjemce sdílení.

  7. Zkopírujte aktivační odkaz.

    Případně můžete získat aktivační odkaz později. Viz krok 2: Získání aktivačního odkazu.

  8. (Volitelné) Vytvořte vlastní vlastnosti příjemce.

    Na kartě Podrobnosti příjemce klikněte na Upravit vlastnosti > + Přidat vlastnost. Pak přidejte název vlastnosti (klíč) a hodnotu. Podrobnosti najdete v tématu Správa vlastností příjemce.

SQL

V poznámkovém bloku nebo editoru dotazů SQL Databricks spusťte následující příkaz:

CREATE RECIPIENT [IF NOT EXISTS] <recipient-name>
[COMMENT "<comment>"];

Můžete také přidat vlastní vlastnosti příjemce. Podrobnosti najdete v tématu Správa vlastností příjemce.

Rozhraní příkazového řádku

Pomocí rozhraní příkazového řádku Databricks spusťte následující příkaz.

databricks recipients create <recipient-name>

Můžete také přidat vlastní vlastnosti příjemce. Podrobnosti najdete v tématu Správa vlastností příjemce.

Výstup zahrnuje activation_url sdílení s příjemcem.

Příjemce je vytvořen pomocí authentication_type položky TOKEN.

Poznámka:

Při vytváření příjemce máte možnost omezit přístup příjemců k omezené sadě IP adres. Můžete také přidat přístupový seznam IP adres k existujícímu příjemci. Viz Omezení přístupu příjemců pro rozdílové sdílení pomocí přístupových seznamů IP adres (otevřené sdílení).

Pokud chcete získat aktivační odkaz nového příjemce, můžete použít Průzkumníka katalogu, Rozhraní příkazového řádku katalogu Databricks Unity nebo DESCRIBE RECIPIENT příkaz SQL v poznámkovém bloku Azure Databricks nebo editoru dotazů SQL Databricks.

Pokud si příjemce už stáhl soubor přihlašovacích údajů, aktivační odkaz se nevrátí ani nezobrazí.

Požadovaná oprávnění: správce metastoru USE RECIPIENT , uživatel s oprávněním nebo vlastník objektu příjemce.

Průzkumník katalogu

  1. V pracovním prostoru Azure Databricks klikněte na Ikona katalogu Katalog.

  2. V horní části podokna Katalog klikněte naIkona ozubeného kolečka ikonu ozubeného kola a vyberte Rozdílové sdílení.

    Případně na stránce Rychlý přístup klikněte na tlačítko Rozdílové sdílení>.

  3. Na kartě Sdílí se mnou klikněte na Příjemci a vyberte příjemce.

  4. Na stránce s podrobnostmi o příjemci zkopírujte odkaz pro aktivaci.

SQL

V poznámkovém bloku nebo editoru dotazů SQL Databricks spusťte následující příkaz.

DESCRIBE RECIPIENT <recipient-name>;

Výstup zahrnuje .activation_link

Rozhraní příkazového řádku

Pomocí rozhraní příkazového řádku Databricks spusťte následující příkaz.

databricks recipients get <recipient-name>

Výstup zahrnuje .activation_url

Udělení přístupu ke sdílené složce příjemci

Po vytvoření příjemce a vytvoření sdílených složek můžete příjemci udělit přístup k těmto sdíleným složkám.

Pokud chcete příjemcům udělit přístup ke sdílené složce, můžete použít Průzkumníka katalogu, rozhraní příkazového řádku katalogu Databricks Unity nebo GRANT ON SHARE příkaz SQL v poznámkovém bloku Azure Databricks nebo v editoru dotazů SQL Databricks.

Požadovaná oprávnění: Jedna z těchto možností:

  • Správce metastoru.
  • Delegovaná oprávnění nebo vlastnictví sdílené složky i objektů příjemců ((USE SHARE + SET SHARE PERMISSION) nebo vlastníka sdílené složky) AND (USE RECIPIENT nebo vlastníka příjemce).

Pokyny najdete v tématu Správa přístupu ke sdíleným složkám dat Delta (pro poskytovatele).

Odeslání informací o připojení příjemce

Příjemci musíte dát vědět, jak získat přístup k datům, která s nimi sdílíte. Informace, které sdílíte s příjemcem, závisí na tom, jestli používáte sdílení Databricks do Databricks nebo otevřené sdílení:

  • Pro sdílení Databricks-to-Databricks odešlete odkaz na pokyny pro přístup k datům, která sdílíte.

    Objekt zprostředkovatele, který vypíše seznam dostupných sdílených složek, se automaticky vytvoří v metastoru příjemce. Příjemci nemusí nic dělat, ale zobrazit a vybrat sdílené složky, které chtějí použít. Viz Čtení dat sdílených pomocí Sdílení Databricks-to-Databricks Delta (pro příjemce).

  • Pro otevřené sdílení použijete zabezpečený kanál ke sdílení aktivačního odkazu a odkazu na pokyny k jeho použití.

    Soubor s přihlašovacími údaji si můžete stáhnout jenom jednou. Příjemci by měli s staženými přihlašovacími údaji zacházet jako s tajným kódem a nesmí je sdílet mimo svou organizaci. Pokud máte obavy, že přihlašovací údaje mohly být zpracovány nezabezpečeně, můžete přihlašovací údaje příjemce kdykoliv otočit. Další informace o správě přihlašovacích údajů pro zajištění zabezpečeného přístupu příjemce najdete v tématu Důležité informace o zabezpečení tokenů.

Zobrazit příjemce

Pokud chcete zobrazit seznam příjemců, můžete použít Průzkumníka katalogu, rozhraní příkazového řádku katalogu Databricks Unity nebo SHOW RECIPIENTS příkaz SQL v poznámkovém bloku Azure Databricks nebo v editoru dotazů SQL Databricks.

Požadovaná oprávnění: Musíte být správcem metastoru nebo mít USE RECIPIENT oprávnění k zobrazení všech příjemců v metastoru. Jiní uživatelé mají přístup pouze k příjemcům, kteří vlastní.

Průzkumník katalogu

  1. V pracovním prostoru Azure Databricks klikněte na Ikona katalogu Katalog.

  2. V horní části podokna Katalog klikněte naIkona ozubeného kolečka ikonu ozubeného kola a vyberte Rozdílové sdílení.

    Případně na stránce Rychlý přístup klikněte na tlačítko Rozdílové sdílení>.

  3. Na kartě Sdílí se mnou klikněte na Příjemci.

SQL

V poznámkovém bloku nebo editoru dotazů SQL Databricks spusťte následující příkaz. Volitelně můžete nahradit <pattern> predikátemLIKE.

SHOW RECIPIENTS [LIKE <pattern>];

Rozhraní příkazového řádku

Pomocí rozhraní příkazového řádku Databricks spusťte následující příkaz.

databricks recipients list

Zobrazení podrobností o příjemci

Pokud chcete zobrazit podrobnosti o příjemci, můžete použít Průzkumníka katalogu, rozhraní příkazového řádku katalogu Databricks Unity nebo DESCRIBE RECIPIENT příkaz SQL v poznámkovém bloku Azure Databricks nebo v editoru dotazů SQL Databricks.

Požadovaná oprávnění: správce metastoru USE RECIPIENT , uživatel s oprávněním nebo vlastník objektu příjemce.

Mezi podrobnosti patří:

  • Autor příjemce, časové razítko vytvoření, komentáře a typ ověřování (TOKEN nebo DATABRICKS).
  • Pokud příjemce používá otevřené sdílení: životnost tokenu, aktivační odkaz, stav aktivace (jestli se přihlašovací údaje stáhly) a seznamy přístupu IP, pokud jsou přiřazené.
  • Pokud příjemce používá sdílení Databricks-to-Databricks: cloud, oblast a ID metastoru metastoru katalogu Unity příjemce a stav aktivace.
  • Vlastnosti příjemce, včetně vlastních vlastností. Viz Správa vlastností příjemce.

Průzkumník katalogu

  1. V pracovním prostoru Azure Databricks klikněte na Ikona katalogu Katalog.

  2. V horní části podokna Katalog klikněte naIkona ozubeného kolečka ikonu ozubeného kola a vyberte Rozdílové sdílení.

    Případně na stránce Rychlý přístup klikněte na tlačítko Rozdílové sdílení>.

  3. Na kartě Sdílí se mnou klikněte na Příjemci a vyberte příjemce.

SQL

V poznámkovém bloku nebo editoru dotazů SQL Databricks spusťte následující příkaz.

DESCRIBE RECIPIENT <recipient-name>;

Rozhraní příkazového řádku

Pomocí rozhraní příkazového řádku Databricks spusťte následující příkaz.

databricks recipients get <recipient-name>

Zobrazení oprávnění ke sdílení příjemce

Pokud chcete zobrazit seznam sdílených složek, ke kterým má příjemce udělený přístup, můžete použít Průzkumníka katalogu, rozhraní příkazového řádku Databricks nebo SHOW GRANTS TO RECIPIENT příkaz SQL v poznámkovém bloku Azure Databricks nebo editoru dotazů SQL Databricks.

Požadovaná oprávnění: správce metastoru USE RECIPIENT , uživatel s oprávněním nebo vlastník objektu příjemce.

Průzkumník katalogu

  1. V pracovním prostoru Azure Databricks klikněte na Ikona katalogu Katalog.

  2. V horní části podokna Katalog klikněte naIkona ozubeného kolečka ikonu ozubeného kola a vyberte Rozdílové sdílení.

    Případně na stránce Rychlý přístup klikněte na tlačítko Rozdílové sdílení>.

  3. Na kartě Sdílí se mnou klikněte na Příjemci a vyberte příjemce.

  4. Přejděte na kartu Sdílené složky a zobrazte seznam sdílených složek s příjemcem.

SQL

V poznámkovém bloku nebo editoru dotazů SQL Databricks spusťte následující příkaz.

SHOW GRANTS TO RECIPIENT <recipient-name>;

Rozhraní příkazového řádku

Pomocí rozhraní příkazového řádku Databricks spusťte následující příkaz.

databricks recipients share-permissions <recipient-name>

Aktualizace příjemce

Pokud chcete aktualizovat příjemce, můžete použít Průzkumníka katalogu, rozhraní příkazového řádku katalogu Unity Databricks nebo ALTER RECIPIENT příkaz SQL v poznámkovém bloku Azure Databricks nebo editoru dotazů SQL Databricks.

Mezi vlastnosti, které můžete aktualizovat, patří jméno příjemce, vlastník, komentář a vlastní vlastnosti.

Požadovaná oprávnění: Pokud chcete aktualizovat vlastníka, musíte být správcem metastoru nebo vlastníkem objektu příjemce. Abyste mohli aktualizovat jméno, musíte být správcem metastoru CREATE_RECIPIENT (nebo uživatelem s oprávněním) a vlastníkem. Pokud chcete aktualizovat komentář nebo vlastní vlastnosti, musíte být vlastníkem.

Průzkumník katalogu

  1. V pracovním prostoru Azure Databricks klikněte na Ikona katalogu Katalog.

  2. V horní části podokna Katalog klikněte naIkona ozubeného kolečka ikonu ozubeného kola a vyberte Rozdílové sdílení.

    Případně na stránce Rychlý přístup klikněte na tlačítko Rozdílové sdílení>.

  3. Na kartě Sdílí se mnou klikněte na Příjemci a vyberte příjemce.

  4. Na stránce s podrobnostmi o příjemci:

    • Aktualizujte vlastníka.

    • Upravte nebo přidejte komentář.

    • Přejmenujte příjemce.

      Klikněte na Nabídka Kebab nabídku kebab a vyberte Přejmenovat.

    • Umožňuje upravit, odebrat nebo přidat vlastní vlastnosti příjemce.

      Klikněte na Upravit vlastnosti. Pokud chcete přidat vlastnost, klikněte na +Přidat vlastnost a zadejte název vlastnosti (klíč) a hodnotu. Podrobnosti najdete v tématu Správa vlastností příjemce.

SQL

V poznámkovém bloku nebo editoru dotazů SQL Databricks spusťte jeden nebo několik následujících příkazů.

ALTER RECIPIENT <recipient-name> RENAME TO <new-recipient-name>;

ALTER RECIPIENT <recipient-name> OWNER TO <new-owner>;

COMMENT ON RECIPIENT <recipient-name> IS "<new-comment>";

ALTER RECIPIENT <recipient-name> SET PROPERTIES ( <property-key>  =  property_value [, ...] )

ALTER RECIPIENT <recipient-name> UNSET PROPERTIES ( <property-key> [, ...] )

Další informace o vlastnostech naleznete v tématu Správa vlastností příjemce.

Rozhraní příkazového řádku

Vytvořte soubor JSON, který obsahuje aktualizaci jména příjemce, komentáře, vlastníka, přístupového seznamu IP adres nebo vlastních vlastností.

{
    "name": "new-recipient-name",
    "owner": "someone-else@example.com",
    "comment": "something new",
    "ip_access_list": {
            "allowed_ip_addresses": ["8.8.8.8", "8.8.8.4/10"]
    },
    "property": {
            "country": "us",
            "id": "001"
    }
}

Pak pomocí rozhraní příkazového řádku Databricks spusťte následující příkaz. Nahraďte aktuálním jménem příjemce a nahraďte <recipient-name> update-recipient-settings.json názvem souboru JSON.

databricks recipients update --json-file update-recipient-settings.json

Další informace o vlastnostech naleznete v tématu Správa vlastností příjemce.

Správa tokenů příjemců (otevřené sdílení)

Pokud sdílíte data s příjemcem pomocí otevřeného sdílení, možná budete muset token příjemce otočit. Obměně tokenu se skládá z nastavení existujícího tokenu, jehož platnost vyprší, a jeho nahrazení novým tokenem a adresou URL aktivace.

Token příjemce byste měli otočit a vygenerovat novou adresu URL aktivace za následujících okolností:

  • Když platnost existujícího tokenu příjemce brzy vyprší.
  • Pokud příjemce ztratí svoji adresu URL aktivace nebo dojde k ohrožení zabezpečení.
  • Pokud jsou přihlašovací údaje poškozené, ztracené nebo ohrožené po stažení příjemcem.
  • Při úpravě životnosti tokenu příjemce pro metastore. Viz Úprava životnosti tokenu příjemce.

Aspekty zabezpečení pro tokeny

V každém okamžiku může mít příjemce maximálně dva tokeny: aktivní token a otočený token. Otočený token je ten, který je nastavený na vypršení platnosti a je nahrazen aktivním tokenem. Dokud nevyprší platnost otočeného tokenu, při pokusu o opětovné otočení tokenu dojde k chybě.

Při obměně tokenu příjemce můžete volitelně nastavit --existing-token-expire-in-seconds počet sekund před vypršením platnosti existujícího tokenu příjemce ( tj. ten, který se má otočit). Pokud nastavíte hodnotu na 0, platnost existujícího tokenu příjemce vyprší okamžitě.

Databricks doporučuje nastavit --existing-token-expire-in-seconds relativně krátkou dobu, která dává organizaci příjemce čas pro přístup k nové aktivační adrese URL a současně minimalizuje dobu, po kterou má příjemce dva aktivní tokeny. Pokud máte podezření, že stávající token příjemce je ohrožený, databricks doporučuje, abyste ho okamžitě vynutili vypršení platnosti.

Pokud se k existující adrese URL aktivace příjemce nikdy nepřistupuje, obměna existujícího tokenu zneplatní adresu URL aktivace a nahradí ji novou.

Pokud platnost všech tokenů příjemců vypršela, obměna tokenu nahradí stávající adresu URL aktivace novou. Databricks doporučuje, abyste příjemce, jehož token vypršel, rychle otočíte nebo vyhodíte.

Pokud je aktivační adresa URL příjemce neúmyslně odeslána nesprávné osobě nebo je odeslána přes nezabezpečený kanál, Databricks doporučuje, abyste:

  1. Odvolá přístup příjemce ke sdílené složce.
  2. Otočte příjemce a nastavte --existing-token-expire-in-seconds na 0hodnotu .
  3. Sdílejte novou adresu URL aktivace se zamýšleným příjemcem přes zabezpečený kanál.
  4. Po získání přístupu k aktivační adrese URL udělte příjemci přístup ke sdílené složce znovu.

V extrémních situacích můžete místo obměně tokenu příjemce vypustit a znovu vytvořit příjemce.

Otočení tokenu příjemce

Pokud chcete obměňovat token příjemce, můžete použít Průzkumníka katalogu nebo rozhraní příkazového řádku katalogu Unity Databricks.

Požadovaná oprávnění: Vlastník objektu příjemce.

Průzkumník katalogu

  1. V pracovním prostoru Azure Databricks klikněte na Ikona katalogu Katalog.

  2. V levém podokně rozbalte nabídku Rozdílové sdílení a vyberte Možnost Sdílí se mnou.

  3. V horní části podokna Katalog klikněte naIkona ozubeného kolečka ikonu ozubeného kola a vyberte Rozdílové sdílení.

    Případně na stránce Rychlý přístup klikněte na tlačítko Rozdílové sdílení>.

  4. Na kartě Sdílí se mnou klikněte na Příjemci a vyberte příjemce.

  5. Na kartě Podrobnosti v části Vypršení platnosti tokenu klikněte na Otočit.

  6. V dialogovém okně Otočit token nastavte, aby platnost tokenu vypršela okamžitě nebo po nastavenou dobu. Informace o tom, kdy platnost existujících tokenů vyprší, najdete v tématu Aspekty zabezpečení pro tokeny.

  7. Klikněte na Otočit.

  8. Na kartě Podrobnosti zkopírujte nový odkaz aktivace a sdílejte ho s příjemcem přes zabezpečený kanál. Viz krok 2: Získání aktivačního odkazu.

Rozhraní příkazového řádku

  1. Pomocí rozhraní příkazového řádku Databricks spusťte následující příkaz. Nahraďte zástupné hodnoty:

    • <recipient-name>: jméno příjemce.
    • <expiration-seconds>: Počet sekund, dokud nevyprší platnost existujícího tokenu příjemce. Během tohoto období bude stávající token nadále fungovat. Hodnota znamená, že platnost existujícího 0 tokenu vyprší okamžitě. Informace o tom, kdy platnost existujících tokenů vyprší, najdete v tématu Aspekty zabezpečení pro tokeny.
    databricks recipients rotate-token \
<recipient-name> \
<expiration-seconds>

  2. Získejte nový aktivační odkaz příjemce a sdílejte ho s příjemcem přes zabezpečený kanál. Viz krok 2: Získání aktivačního odkazu.

Úprava životnosti tokenu příjemce

Pokud potřebujete změnit výchozí životnost tokenu příjemce pro metastore katalogu Unity, můžete použít Průzkumníka katalogu nebo rozhraní příkazového řádku katalogu Databricks Unity.

Poznámka:

Životnost tokenu příjemce pro existující příjemce se neaktualizuje automaticky, když změníte výchozí životnost tokenu příjemce pro metastor. Pokud chcete pro daného příjemce použít životnost nového tokenu, musíte jeho token otočit. Viz Správa tokenů příjemců (otevřené sdílení).

Požadovaná oprávnění: Správce účtu.

Průzkumník katalogu

  1. Přihlaste se ke konzole účtu.
  2. Na bočním panelu klikněte na Ikona katalogu Katalog.
  3. Klikněte na název metastoru.
  4. V části Doba životnosti tokenu příjemce rozdílového sdílení klikněte na Upravit.
  5. Povolte vypršení platnosti nastavení.
  6. Zadejte počet sekund, minuty, hodiny nebo dny a vyberte měrnou jednotku.
  7. Klikněte na Uložit.

Pokud zakážete nastavit vypršení platnosti, platnost tokenů příjemců nevyprší. Databricks doporučuje nakonfigurovat tokeny tak, aby platnost vypršela.

Rozhraní příkazového řádku

Pomocí rozhraní příkazového řádku Databricks spusťte následující příkaz. Nahraďte UUID metastoru a nahraďte 12a345b6-7890-1cd2-3456-e789f0a12b34 86400 počtem sekund před vypršením platnosti tokenu příjemce. Pokud tuto hodnotu nastavíte na 0, platnost tokenů příjemců nevyprší. Databricks doporučuje nakonfigurovat tokeny tak, aby platnost vypršela.

databricks metastores update \
12a345b6-7890-1cd2-3456-e789f0a12b34 \
--delta-sharing-recipient-token-lifetime-in-seconds 86400

(Volitelné) Omezení přístupu příjemců pomocí přístupových seznamů

Při konfiguraci objektu příjemce můžete omezit přístup příjemců k omezené sadě IP adres. Viz Omezení přístupu příjemců pro rozdílové sdílení pomocí přístupových seznamů IP adres (otevřené sdílení).

Správa vlastností příjemce

Objekty příjemce obsahují předdefinované vlastnosti, které můžete použít k upřesnění přístupu ke sdílení dat. Můžete je například použít k provedení následujících kroků:

  • Sdílejte různé oddíly tabulky s různými příjemci, abyste mohli používat stejné sdílené složky s více příjemci a současně udržovat hranice dat mezi nimi.
  • Umožňuje sdílet dynamická zobrazení, která omezují přístup příjemců k datům tabulky na úrovni řádku nebo sloupce na základě vlastností příjemce.

Můžete také vytvořit vlastní vlastnosti.

Předdefinované vlastnosti začínají databricks. a zahrnují následující:

  • databricks.accountId: Účet Azure Databricks, do kterého patří příjemce dat (pouze sdílení Databricks do Databricks).
  • databricks.metastoreId: Metastore katalogu Unity, do kterého patří příjemce dat (pouze sdílení Databricks do Databricks).
  • databricks.name: Jméno příjemce dat.

Vlastní vlastnosti, které mohou mít hodnotu, mohou zahrnovat například country. Pokud například připojíte vlastní vlastnost 'country' = 'us' k příjemci, můžete data tabulky rozdělit podle země a sdílet pouze řádky, které mají data v USA s příjemci, kteří mají přiřazenou vlastnost. Můžete také sdílet dynamické zobrazení, které omezuje přístup k řádkům nebo sloupcům na základě vlastností příjemce. Podrobnější příklady najdete v tématu Použití vlastností příjemce k filtrování oddílů a přidání dynamických zobrazení do sdílené složky pro filtrování řádků a sloupců.

Požadavky

Vlastnosti příjemce jsou podporovány v Databricks Runtime 12.2 a vyšší.

Přidání vlastností při vytváření nebo aktualizaci příjemce

Vlastnosti můžete přidat, když vytvoříte příjemce nebo ho aktualizujete pro existujícího příjemce. V poznámkovém bloku Azure Databricks nebo editoru dotazů SQL můžete použít Průzkumníka katalogu Databricks, Rozhraní příkazového řádku katalogu Unity Databricks nebo příkazy SQL Databricks.

Požadovaná oprávnění: Správce metastoru CREATE RECIPIENT nebo uživatel s oprávněním pro metastore katalogu Unity.

Průzkumník katalogu

Když vytváříte nebo aktualizujete příjemce pomocí Průzkumníka katalogu, přidejte nebo aktualizujte vlastní vlastnosti následujícím způsobem:

  1. Přejděte na stránku s podrobnostmi o příjemci.

    Pokud vytváříte nového příjemce, dostanete se na tuto stránku po kliknutí na tlačítko Vytvořit. Pokud aktualizujete existujícího příjemce, přejděte na tuto stránku tak, že kliknete na Ikona ozubeného kolečka ikonu > ozubeného kola Delta Sdílení > sdílí se mnou > Příjemci a vyberete příjemce.

  2. Klikněte na Upravit vlastnosti > + Přidat vlastnost.

  3. Zadejte název vlastnosti (klíč) a hodnotu.

    Pokud například chcete filtrovat sdílená data podle země a sdílet s tímto příjemcem jenom data v USA, můžete vytvořit klíč s názvem "země" s hodnotou "USA".

  4. Klikněte na Uložit.

SQL

Pokud chcete přidat vlastní vlastnost při vytváření příjemce, spusťte v poznámkovém bloku nebo editoru dotazů SQL Databricks následující příkaz:

CREATE RECIPIENT [IF NOT EXISTS] <recipient-name>
[USING ID '<sharing-identifier>'] /* Skip this if you are using open sharing */
[COMMENT "<comment>"]
PROPERTIES ( '<property-key>' = '<property-value>' [, ...] );

<property-key> může být řetězcový literál nebo identifikátor. <property-value> musí být řetězcový literál.

Příklad:

CREATE RECIPIENT acme PROPERTIES ('country' = 'us', 'partner_id' = '001');

Pokud chcete přidat, upravit nebo odstranit vlastní vlastnosti existujícího příjemce, spusťte jednu z následujících možností:

ALTER RECIPIENT <recipient-name> SET PROPERTIES ( '<property-key>' = '<property-value>' [, ...] );

ALTER RECIPIENT <recipient-name> UNSET PROPERTIES ( '<property-key>' );

Rozhraní příkazového řádku

Pokud chcete při vytváření příjemce přidat vlastní vlastnosti, spusťte následující příkaz pomocí rozhraní příkazového řádku Databricks. Nahraďte zástupné hodnoty:

  • <recipient-name>: Jméno příjemce.
  • <property-key> může být řetězcový literál nebo identifikátor.
  • <property-value> musí být řetězcový literál.
databricks recipients create \
--json='{
  "name": "<recipient-name>",
  "properties_kvpairs": {
    "properties": {
      "<property-key>": "<property-value>",
    }
  }
}'

Příklad:

databricks recipients create \
--json='{
  "name": "<recipient-name>",
  "properties_kvpairs": {
    "properties": {
      "country": "us",
      "partner_id":"001"
    }
  }
}'

Pokud chcete přidat nebo upravit vlastní vlastnosti pro existujícího příjemce, použijte update místo create:

databricks recipients update \
--json='{
  "name": "<recipient-name>",
  "properties_kvpairs": {
    "properties": {
      "country": "us",
      "partner_id":"001"
    }
  }
}'

Zobrazení vlastností příjemce

Pokud chcete zobrazit vlastnosti příjemce, postupujte podle pokynů v části Zobrazit podrobnosti o příjemci.

Odstranění příjemce

K odstranění příjemce můžete použít Průzkumníka katalogu, rozhraní příkazového řádku katalogu Databricks Unity nebo DROP RECIPIENT příkaz SQL v poznámkovém bloku Azure Databricks nebo editoru dotazů SQL Databricks. Pokud chcete příjemce odstranit, musíte být vlastníkem objektu příjemce.

Když odstraníte příjemce, uživatelé reprezentovaní příjemcem už nebudou mít přístup ke sdíleným datům. Tokeny, které příjemci používají ve scénáři otevřeného sdílení, jsou neplatné.

Požadovaná oprávnění: Vlastník objektu příjemce.

Průzkumník katalogu

  1. V pracovním prostoru Azure Databricks klikněte na Ikona katalogu Katalog.

  2. V horní části podokna Katalog klikněte naIkona ozubeného kolečka ikonu ozubeného kola a vyberte Rozdílové sdílení.

    Případně na stránce Rychlý přístup klikněte na tlačítko Rozdílové sdílení>.

  3. Na kartě Sdílí se mnou klikněte na Příjemci a vyberte příjemce.

  4. Na kartě Příjemci vyhledejte a vyberte příjemce.

  5. Klikněte na Nabídka Kebab nabídku kebab a vyberte Odstranit.

  6. V potvrzovací dialogovém okně klikněte na Odstranit.

SQL

V poznámkovém bloku nebo editoru dotazů SQL Databricks spusťte následující příkaz.

DROP RECIPIENT [IF EXISTS] <recipient-name>;

Rozhraní příkazového řádku

Pomocí rozhraní příkazového řádku Databricks spusťte následující příkaz.

databricks recipients delete <recipient-name>