Nastavení Delta Sharing pro váš účet (pro poskytovatele)

Tato stránka popisuje, jak nastavit Delta Sharing na Azure Databricks pro poskytující organizace (organizace, které chtějí používat Delta Sharing k bezpečnému sdílení dat).

Pokud jste příjemcem dat (organizace, která přijímá data sdílená pomocí Delta Sharing), přečtěte si, jak číst data sdílená pomocí Databricks-to-Databricks Delta Sharing (pro příjemce).

Important

Delta Sharing vyžaduje pracovní prostor s povoleným katalogem Unity. Pro správu sdílených složek můžete vytvořit jeden pracovní prostor s podporou katalogu Unity. V některých účtech jsou nové pracovní prostory pro Unity Catalog povolené automaticky. Viz Automatické povolení katalogu Unity.

Pokud není možné vytvořit nový pracovní prostor s podporou katalogu Unity, můžete pomocí opensourcového projektu Delta Sharing nasadit vlastní server Pro sdílení delta pro sdílení tabulek Delta z libovolné platformy.

Počáteční nastavení zprostředkovatele zahrnuje následující kroky:

1. Povolení rozdílového sdílení v metastoru katalogu Unity
2. (Volitelné) Nainstalujte rozhraní příkazového řádku katalogu Unity.
3. Udělte oprávnění k vytváření a správě sdílených složek a příjemců.
4. Konfigurujte audity aktivity Delta Sharing.
5. Nakonfigurujte hodnotu TTL (Time to Live) materializace dat.
6. Nakonfigurujte přístup k síti úložiště.

Requirements

Jako poskytovatel dat, který nastavuje váš účet Azure Databricks tak, aby mohl sdílet data, musíte mít:

• Alespoň jeden pracovní prostor Azure Databricks, který je konfigurovaný pro Unity Catalog.

  Abyste mohli využívat podporu Databricks pro poskytovatele Delta sdílení, nemusíte migrovat všechna pracovní prostředí do katalogu Unity. Přečtěte si Potřebuji katalog Unity k použití Delta Sharing?.

  Příjemci nemusí mít pracovní prostor s podporou katalogu Unity.

• Role správce účtu k povolení Delta Sharing pro váš Unity Catalog metastore a k povolení auditního protokolování.

• Role správce metastoru CREATE SHARE nebo oprávnění.CREATE RECIPIENT Viz role správce.

  Note

  Pokud byl váš pracovní prostor pro katalog Unity povolen automaticky, možná nemáte správce metastoru. Správci pracovních prostorů v těchto pracovních prostorech však mají ve výchozím nastavení oprávnění CREATE SHARE a CREATE RECIPIENT.

  Další informace najdete v tématu Automatické povolení katalogu Unity a oprávnění správce pracovního prostoru, pokud jsou pracovní prostory povoleny pro katalog Unity automaticky.

• Konfigurace cloudového úložiště, která umožňuje přístup k síti od příjemce.

Povolení rozdílového sdílení v metastoru

Pokud máte v úmyslu sdílet data jenom s uživateli v jiných metastorech katalogu Unity ve vašem účtu, není nutné povolit funkci Sdílení delta ve vašem metastoru. Sdílení Metastore-to-metastore v rámci jednoho účtu služby Azure Databricks je ve výchozím nastavení povolené.

Jinak postupujte podle těchto kroků pro každý metastore katalogu Unity, který spravuje data, která chcete sdílet pomocí Delta Sharing.

1. Jako správce účtu Azure Databricks se přihlaste ke konzole účtu.

2. Na bočním panelu klikněte na Katalog.

3. Kliknutím na název metastoru otevřete jeho podrobnosti.

4. Klikněte na zaškrtávací políčko vedle možnosti Povolit rozdílové sdílení se stranami mimo vaši organizaci.

5. Nakonfigurujte životnost tokenu příjemce.

   Tato konfigurace nastaví dobu, po které vyprší platnost všech tokenů příjemců a musí se znovu vygenerovat. Tokeny příjemců se používají jenom v otevřeném protokolu sdílení . Tokeny jsou platné maximálně po dobu jednoho roku po vytvoření.

   Note

   Životnost tokenu příjemce pro existující příjemce se neaktualizuje automaticky, když změníte výchozí životnost tokenu příjemce pro metastor. Pokud chcete pro daného příjemce použít novou životnost tokenu, musíte jeho token otočit. Viz Správa tokenů příjemců.

   Nastavení výchozí životnosti tokenu příjemce:

   1. Ověřte, že je povolené nastavení vypršení platnosti (výchozí nastavení).
   2. Zadejte počet sekund, minuty, hodiny nebo dny a vyberte měrnou jednotku. Tokeny jsou platné maximálně po dobu jednoho roku po vytvoření.
   3. Klikněte na Povolit.

   Další informace najdete v tématu Aspekty zabezpečení pro tokeny.

6. Při sdílení s příjemcem Azure Databricks, který není ve vašem účtu, zadejte název organizace.

   Note

   Zadání čitelného názvu organizace pomáhá příjemcům identifikovat zprostředkovatele sdílených složek a odpovídající objekty zprostředkovatele v seznamu poskytovatelů příjemce.

7. Klikněte na Povolit.

(volitelné) Nainstalujte rozhraní příkazového řádku katalogu Unity

Pro správu akcií a příjemců můžete použít Catalog Explorer, SQL příkazy nebo Unity Catalog CLI. Rozhraní příkazového řádku běží ve vašem místním prostředí a nevyžaduje žádné výpočetní prostředky od Azure Databricks.

Pokud chcete rozhraní příkazového řádku nainstalovat, přečtěte si téma Co je Rozhraní příkazového řádku Databricks?

Udělení oprávnění k vytváření a správě sdílených složek a příjemců

Správci metastoru mají možnost vytvářet a spravovat sdílené složky a příjemce, včetně udělení sdílených složek příjemcům. Správce metastoru může delegovat mnoho úloh poskytovatele pomocí následujících oprávnění:

• CREATE SHARE v metastoru umožňuje vytvářet sdílené složky.
• CREATE RECIPIENT v metastoru umožňuje vytvářet příjemce.
• USE RECIPIENT udělí možnost vypsat a zobrazit podrobnosti pro všechny příjemce v metastoru.
• USE SHARE v metastoru umožňuje vypsat a zobrazit podrobnosti pro všechny sdílené položky v metastoru.
• USE RECIPIENT, USE SHARE, a SET SHARE PERMISSION kombinované umožňují uživateli udělit přístup ke sdílení příjemcům.
• Správce metastoru má možnost převést vlastnictví jakékoli sdílené složky.
• Vlastníci sdílení a vlastníci příjemců mohou tyto objekty aktualizovat a poskytovat sdílení příjemcům. Tvůrci objektů mají ve výchozím nastavení udělené vlastnictví, ale vlastnictví je možné převést.
• Vlastníci sdílených složek mohou do sdílených složek přidávat tabulky a svazky, pokud mají SELECT přístup k tabulkám a READ VOLUME přístup ke svazkům.

Podrobnosti naleznete v tématu Oprávnění katalogu Unity a zabezpečitelné objekty a oprávnění popsaná pro úlohy Delta Sharing.

Povolení protokolování auditu

Jako správce účtu Azure Databricks byste měli povolit auditování pro zaznamenání událostí Delta Sharing, například:

• Když někdo vytvoří, upraví, aktualizuje nebo odstraní sdílenou složku nebo příjemce.
• Když příjemce přistupuje k aktivačnímu odkazu a stáhne přihlašovací údaje (jenom otevřené sdílení)
• Když příjemce přistupuje k datům
• Při obměně přihlašovacích údajů příjemce nebo vypršení jeho platnosti (jenom otevřené sdílení)

Important

Aktivita Delta Sharing se protokoluje na úrovni účtu. Při konfiguraci doručování protokolů nezadávejte hodnotu pro workspace_ids_filter.

Pokud chcete povolit protokolování auditu, postupujte podle pokynů v referenčních informacích k diagnostickým protokolům.

Podrobné informace o protokolování událostí v rámci Delta Sharing najdete v tématu Auditování a monitorování sdílení dat.

Konfigurace TTL pro materializaci dat

Jako účet Azure Databricks nebo správce metastoru můžete nakonfigurovat hodnotu TTL materializace dat, která určuje, jak dlouho se materializovaný výsledek ukládá do mezipaměti. Materializace nastane, když příjemce dotazuje sdílená dynamická zobrazení, materializovaná zobrazení, streamované tabulky a cizí tabulky. Ve výchozím nastavení je hodnota TTL osm hodin. Samotná mezipaměť se po dalších třech hodinách vyřadí materializací a poskytne tak další čas pro dokončení stávajících dotazů.

Pokud chcete tuto hodnotu změnit, postupujte takto:

1. V pracovním prostoru Azure Databricks klikněte na Klikněte na Katalog pro otevření Průzkumníka katalogu.

2. V horní části podokna Katalog klikněte na a vyberte Sdílení Delta.

   Případně na stránce Rychlý přístup klikněte na tlačítko Delta Sharing>.

3. Na kartě Sdílí se se mnou klikněte v pravém horním rohu na název vaší organizace.

4. Klikněte na Zobrazit nastavení Delta Sharing.

5. Jako hodnotu TTL materializace zadejte požadovanou hodnotu TTL.

Povolit síťový přístup k úložišti

Pokud je vaše základní cloudové úložiště nakonfigurované pomocí řízení přístupu, přidejte síť příjemce do seznamu povolených, aby mohli číst sdílené tabulky.

Podrobnosti najdete v tématu Konfigurace bran firewall služby Azure Storage a virtuálních sítí a konfigurace brány firewall pro bezserverový výpočetní přístup.