Sdílet prostřednictvím

Vytvořte objekt příjemce pro uživatele, kteří nejsou uživateli Databricks, pomocí tokenů typu bearer (otevřené sdílení)

Tento článek popisuje, jak vytvořit příjemce Delta Sharing, kteří nemají přístup k pracovnímu prostoru Databricks s aktivovaným Unity Catalog, a udělit těmto příjemcům přístup k zabezpečeným sdíleným datům pomocí bearer tokenů. Tento tok ověřování spolu s federačním tokem tokenu OIDC se nazývá otevřené sdílení.

Jak to funguje:

  1. Jako poskytovatel dat vytvoříte objekt příjemce v metastoru katalogu Unity.

  2. Při vytváření objektu příjemce vyberete metodu nosných tokenů, Azure Databricks vygeneruje token, soubor přihlašovacích údajů, který obsahuje token, a aktivační odkaz, který můžete sdílet s příjemcem.

    Objekt příjemce má typ TOKENověřování . Token můžete podle potřeby aktualizovat a odvolat.

  3. Příjemce získá přístup k aktivačnímu odkazu, stáhne soubor přihlašovacích údajů a použije soubor přihlašovacích údajů k ověření a získání přístupu pro čtení k tabulkám, které zahrnete do sdílených složek, ke kterým jim udělíte přístup.

Federační tok OIDC je alternativou k toku nosný token popsaný v tomto článku. Má výhody zabezpečení a pohodlí ve srovnání s tokem nosného tokenu. Podrobnosti najdete v tématu Použití federace OIDC (Open ID Connect) k povolení ověřování u sdílených úložišť Delta (otevřené sdílení).

Důležité

Všechny otevřené tokeny příjemce sdílení vydané před 8. prosincem 2025 s datem vypršení platnosti po 8. prosinci 2026 nebo bez data vypršení platnosti automaticky vyprší 8. prosince 2026. Pokud aktuálně používáte tokeny příjemců s dlouhou nebo neomezenou životností, zkontrolujte integrace a obnovte tokeny podle potřeby, abyste se vyhnuli zásadním změnám po tomto datu.

Vytvoření příjemce

Pokud chcete vytvořit příjemce pro otevřené sdílení, můžete použít Průzkumníka katalogu, Rozhraní příkazového řádku katalogu Databricks Unity nebo CREATE RECIPIENT příkaz SQL v poznámkovém bloku Azure Databricks nebo editoru dotazů SQL Databricks.

Požadovaná oprávnění: Správce metastoru CREATE RECIPIENT nebo uživatel s oprávněním pro metastore katalogu Unity, kde jsou zaregistrovaná data, která chcete sdílet.

Průzkumník katalogu

  1. V pracovním prostoru Azure Databricks klikněte na ikonu Data.Katalog.

  2. V horní části podokna Katalog klikněte na ikonu ozubeného kola a vyberte Delta sdílení.

    Případně na stránce Rychlý přístup klikněte na tlačítko Delta Sharing>.

  3. Na kartě Sdílí se mnou klikněte na Tlačítko Nový příjemce.

  4. Zadejte jméno příjemce.

  5. Pro Typ příjemcevyberte Otevřít.

  6. Vyberte Token.

  7. (Volitelné) Nastavte dobu vypršení platnosti tokenu (v sekundách, minutách, hodinách nebo dnu od okamžiku vytvoření příjemce). Ponechte vybranou možnost Nastavit vypršení platnosti a nastavte čas vypršení platnosti. Tokeny jsou platné maximálně po dobu jednoho roku po vytvoření.

    Pokud vyberete Nastavit vypršení platnosti a necháte pole prázdné, doba života tokenu se ve výchozím nastavení nastaví na hodnotu životnosti tokenu příjemce nastavenou v konfiguraci metastoru. Viz Úprava životnosti tokenu příjemce. Informace o změně životnosti tokenů a obměně tokenů najdete v tématu Správa tokenů příjemců.

  8. (Volitelné) Zadejte komentář.

  9. Klikněte na Vytvořit.

  10. Zkopírujte aktivační odkaz.

    Případně můžete získat aktivační odkaz později. Viz Získání aktivačního odkazu.

  11. (Volitelné) Vytvořte vlastní vlastnosti příjemce.

    Na kartě Přehled klikněte na ikonu Upravit vedle vlastností příjemce. Pak přidejte název vlastnosti (klíč) a hodnotu. Podrobnosti najdete v tématu Správa vlastností příjemce.

SQL

V poznámkovém bloku nebo editoru dotazů SQL Databricks spusťte následující příkaz:

CREATE RECIPIENT [IF NOT EXISTS] <recipient-name>
[COMMENT "<comment>"];

Můžete také přidat vlastní vlastnosti příjemce. Podrobnosti najdete v tématu Správa vlastností příjemce.

CLI

Pomocí Databricks CLI spusťte následující příkaz.

databricks recipients create <recipient-name>

Můžete také přidat vlastní vlastnosti příjemce. Podrobnosti najdete v tématu Správa vlastností příjemce.

Výstup zahrnuje activation_url sdílení s příjemcem.

Příjemce je vytvořen pomocí authentication_type položky TOKEN.

Poznámka:

Při vytváření příjemce máte možnost omezit přístup příjemců k omezené sadě IP adres. Můžete také přidat přístupový seznam IP adres k existujícímu příjemci. Viz Omezení přístupu příjemců k Delta Sharing pomocí seznamů přístupu IP (otevřené sdílení).

Pokud chcete získat aktivační odkaz nového příjemce, můžete použít Průzkumník katalogu, Rozhraní příkazového řádku Databricks Unity Catalog nebo DESCRIBE RECIPIENT příkaz SQL v poznámkovém bloku Azure Databricks nebo editoru dotazů Databricks SQL.

Pokud si příjemce už stáhl soubor přihlašovacích údajů, aktivační odkaz se nevrátí ani nezobrazí.

Požadovaná oprávnění: správce metastoru USE RECIPIENT , uživatel s oprávněním nebo vlastník objektu příjemce.

Průzkumník katalogu

  1. V pracovním prostoru Azure Databricks klikněte na ikonu Data.Katalog.

  2. V horní části podokna Katalog klikněte na ikonu ozubeného kola a vyberte Delta sdílení.

    Případně na stránce Rychlý přístup klikněte na tlačítko Delta Sharing>.

  3. Na kartě Sdílí se mnou klikněte na Příjemci a vyberte příjemce.

  4. Na stránce s podrobnostmi o příjemci zkopírujte odkaz pro aktivaci.

SQL

V poznámkovém bloku nebo editoru dotazů SQL Databricks spusťte následující příkaz.

DESCRIBE RECIPIENT <recipient-name>;

Výstup zahrnuje .activation_link

CLI

Pomocí Databricks CLI spusťte následující příkaz.

databricks recipients get <recipient-name>

Výstup zahrnuje .activation_url

Udělení přístupu ke sdílené složce příjemci

Po vytvoření příjemce a vytvoření sdílených složek můžete příjemci udělit přístup k těmto sdíleným složkám.

Pokud chcete příjemcům udělit přístup ke sdílené složce, můžete použít Průzkumníka katalogu, rozhraní příkazového řádku katalogu Databricks Unity nebo GRANT ON SHARE příkaz SQL v poznámkovém bloku Azure Databricks nebo v editoru dotazů SQL Databricks.

Požadovaná oprávnění: Jedna z těchto možností:

  • Správce metastoru.
  • Delegovaná oprávnění nebo vlastnictví jak na sdílenou složku, tak i na objekty příjemce ((USE SHARE + SET SHARE PERMISSION) nebo vlastník sdílené složky) A (USE RECIPIENT nebo vlastník příjemce).

Pokyny najdete v tématu Správa přístupu ke sdíleným složkám dat Delta (pro poskytovatele).

Odeslání informací o připojení příjemce

Příjemci musíte dát vědět, jak získat přístup k datům, která s nimi sdílíte. Pomocí zabezpečeného kanálu můžete sdílet aktivační odkaz a odkaz na pokyny k jeho použití.

Soubor s přihlašovacími údaji si můžete stáhnout jenom jednou. Příjemci by měli s staženými přihlašovacími údaji zacházet jako s tajným kódem a nesmí je sdílet mimo svou organizaci. Pokud máte obavy, že přihlašovací údaje mohly být zpracovány nezabezpečeně, můžete přihlašovací údaje příjemce kdykoliv otočit . Další informace o správě přihlašovacích údajů pro zajištění zabezpečeného přístupu příjemce najdete v tématu Důležité informace o zabezpečení tokenů.

Správa tokenů příjemců

Pokud sdílíte data s příjemcem pomocí toku otevřeného sdílení nosiče tokenu, možná budete muset token daného příjemce obnovit. Obměně tokenu se skládá z nastavení existujícího tokenu, jehož platnost vyprší, a jeho nahrazení novým tokenem a adresou URL aktivace.

Token příjemce byste měli otočit a vygenerovat novou adresu URL aktivace za následujících okolností:

  • Když platnost existujícího tokenu příjemce brzy vyprší.
  • Pokud příjemce ztratí svoji adresu URL aktivace nebo dojde k ohrožení zabezpečení.
  • Pokud jsou přihlašovací údaje poškozené, ztracené nebo ohrožené po stažení příjemcem.
  • Při úpravě životnosti tokenu příjemce pro metastore. Viz Úprava životnosti tokenu příjemce.

Aspekty zabezpečení pro tokeny

V každém okamžiku může mít příjemce maximálně dva tokeny: aktivní token a otočený token. Otočený token je ten, který je nastavený na vypršení platnosti a je nahrazen aktivním tokenem. Dokud nevyprší platnost otočeného tokenu, při pokusu o opětovné otočení tokenu dojde k chybě.

Při obměně tokenu příjemce můžete volitelně nastavit --existing-token-expire-in-seconds počet sekund před vypršením platnosti existujícího tokenu příjemce ( tj. ten, který se má otočit). Pokud nastavíte hodnotu na 0, platnost existujícího tokenu příjemce vyprší okamžitě.

Databricks doporučuje nastavit --existing-token-expire-in-seconds relativně krátkou dobu, která dává organizaci příjemce čas pro přístup k nové aktivační adrese URL a současně minimalizuje dobu, po kterou má příjemce dva aktivní tokeny. Pokud máte podezření, že stávající token příjemce je ohrožený, databricks doporučuje, abyste ho okamžitě vynutili vypršení platnosti.

Pokud nebyla adresa URL aktivace příjemce nikdy použita, obměna existujícího tokenu tuto adresu zneplatní a nahradí ji novou.

Pokud platnost všech tokenů příjemců vypršela, obměna tokenu nahradí stávající adresu URL aktivace novou. Databricks doporučuje, abyste příjemce, jehož token vypršel, rychle otočíte nebo vyhodíte.

Pokud je aktivační adresa URL příjemce neúmyslně odeslána nesprávné osobě nebo je odeslána přes nezabezpečený kanál, Databricks doporučuje, abyste:

  1. Odvolá přístup příjemce ke sdílené složce.
  2. Otočte příjemce a nastavte --existing-token-expire-in-seconds na 0hodnotu .
  3. Sdílejte novou adresu URL aktivace se zamýšleným příjemcem přes zabezpečený kanál.
  4. Po získání přístupu k aktivační adrese URL udělte příjemci přístup ke sdílené složce znovu.

V extrémních situacích můžete místo rotace tokenu příjemce vypustit a znovu vytvořit příjemce.

Obnovení tokenu příjemce

Pokud chcete obměňovat token příjemce, můžete použít Průzkumníka katalogu nebo rozhraní příkazového řádku katalogu Unity Databricks.

Jsou vyžadována oprávnění: Vlastník objektu příjemce.

Průzkumník katalogu

  1. V pracovním prostoru Azure Databricks klikněte na ikonu Data.Katalog.

  2. V levém podokně rozbalte nabídku Rozdílové sdílení a vyberte Možnost Sdílí se mnou.

  3. V horní části podokna Katalog klikněte na ikonu ozubeného kola a vyberte Delta sdílení.

    Případně na stránce Rychlý přístup klikněte na tlačítko Delta Sharing>.

  4. Na kartě Sdílí se mnou klikněte na Příjemci a vyberte příjemce.

  5. Na kartě Podrobnosti v části Vypršení platnosti tokenu klikněte na Otočit.

  6. V dialogovém okně Otočit token nastavte, aby platnost tokenu vypršela okamžitě nebo po nastavenou dobu. Informace o tom, kdy platnost existujících tokenů vyprší, najdete v tématu Aspekty zabezpečení pro tokeny.

  7. Klikněte na Otočit.

  8. Na kartě Podrobnosti zkopírujte nový odkaz aktivace a sdílejte ho s příjemcem přes zabezpečený kanál. Viz Získání aktivačního odkazu.

CLI

  1. Pomocí Databricks CLI spusťte následující příkaz. Nahraďte zástupné hodnoty:

    • <recipient-name>: jméno příjemce.
    • <expiration-seconds>: Počet sekund, dokud nevyprší platnost existujícího tokenu příjemce. Během tohoto období bude stávající token nadále fungovat. Hodnota znamená, že platnost existujícího 0 tokenu vyprší okamžitě. Informace o tom, kdy platnost existujících tokenů vyprší, najdete v tématu Aspekty zabezpečení pro tokeny.
    databricks recipients rotate-token \
<recipient-name> \
<expiration-seconds>

  2. Získejte nový aktivační odkaz příjemce a sdílejte ho s příjemcem přes zabezpečený kanál. Viz Získání aktivačního odkazu.

Úprava životnosti tokenu příjemce

Pokud potřebujete změnit výchozí životnost tokenu příjemce pro metastore katalogu Unity, můžete použít Průzkumníka katalogu nebo rozhraní příkazového řádku katalogu Databricks Unity.

Poznámka:

Životnost tokenu příjemce pro existující příjemce se neaktualizuje automaticky, když změníte výchozí životnost tokenu příjemce pro metastor. Pokud chcete pro daného příjemce použít životnost nového tokenu, musíte jeho token otočit. Viz Správa tokenů příjemců.

Požadovaná oprávnění: Správce účtu.

Průzkumník katalogu

  1. Přihlaste se ke konzole účtu.
  2. Na bočním panelu klikněte na ikonu Data.Katalog.
  3. Klikněte na název metastoru.
  4. V části Doba životnosti tokenu příjemce rozdílového sdílení klikněte na Upravit.
  5. Povolte vypršení platnosti nastavení.
  6. Zadejte počet sekund, minuty, hodiny nebo dny a vyberte měrnou jednotku. Tokeny jsou platné maximálně po dobu jednoho roku po vytvoření.
  7. Klikněte na Uložit.

CLI

Pomocí Databricks CLI spusťte následující příkaz. Nahraďte UUID metastoru a nahraďte 12a345b6-7890-1cd2-3456-e789f0a12b3486400 počtem sekund před vypršením platnosti tokenu příjemce. Tokeny jsou platné maximálně po dobu jednoho roku po vytvoření.

databricks metastores update \
12a345b6-7890-1cd2-3456-e789f0a12b34 \
--delta-sharing-recipient-token-lifetime-in-seconds 86400
  • Last updated on