Freigeben über

Aktivieren eines Arbeitsbereichs für Unity Catalog

  • Artikel

In diesem Artikel wird erklärt, wie Sie einen Arbeitsbereich durch das Zuweisen eines Unity Catalog-Metastores für Unity Catalog aktivieren können.

Wichtig

Am 9. November 2023 hat Databricks damit begonnen, neue Arbeitsbereiche für Unity Catalog automatisch zu aktivieren, wobei der Rollout schrittweise erfolgt. Wenn Ihr Arbeitsbereich für Unity Catalog automatisch aktiviert wurde, gilt dieser Artikel nicht für Sie.

Um festzustellen, ob Ihr Arbeitsbereich bereits für Unity Catalog aktiviert ist, lesen Sie Schritt 1: Überprüfen, ob Ihr Arbeitsbereich für Unity Catalog aktiviert ist.

Informationen zum Aktivieren von Arbeitsbereichen für Unity Catalog

Die Aktivierung von Unity Catalog für einen Arbeitsbereich bewirkt Folgendes:

  • Benutzer*innen in diesem Arbeitsbereich können potenziell auf dieselben Daten zugreifen, auf die auch Benutzer*innen in anderen Arbeitsbereichen Ihres Kontos zugreifen können. Außerdem können Data Stewards den Zugriff auf die Daten zentral für mehrere Arbeitsbereiche verwalten.
  • Der Zugriff auf Daten wird automatisch überwacht.
  • Der Identitätsverbund ist für den Arbeitsbereich aktiviert, sodass Administratoren Identitäten zentral mithilfe der Kontokonsole und anderen Schnittstellen auf Kontoebene verwalten können. Unter anderem können Sie Arbeitsbereichen Benutzer zuweisen.

Sie weisen den Arbeitsbereich einem Unity Catalog-Metastore zu, um einen Azure Databricks-Arbeitsbereich für Unity Catalog zu aktivieren. Ein Metastore ist der oberste Datencontainer in Unity Catalog. Jeder Metastore stellt einen 3-Level-Namespace (catalog.schematable) zur Verfügung, durch den Daten organisiert werden können.

Sie können einen einzelnen Metastore in einem Konto über mehrere Azure Databricks-Arbeitsbereiche hinweg freigeben. Jeder verknüpfte Arbeitsbereich hat dieselbe Ansicht der Daten im Metastore, und Sie können die Datenzugriffssteuerung über Arbeitsbereiche hinweg verwalten. Sie können einen Metastore pro Region erstellen und an eine beliebige Anzahl von Arbeitsbereichen in dieser Region anfügen.

Überlegungen vor der Aktivierung eines Arbeitsbereichs für Unity Catalog

Sie sollten Folgendes tun, bevor Sie einen Arbeitsbereich für Unity Catalog aktivieren:

  • Machen Sie sich mit den Berechtigungen der Administrator*innen von Arbeitsbereichen vertraut, die für Unity Catalog aktiviert sind. Überprüfen Sie Ihre vorhandenen Administratorzuweisungen für Arbeitsbereiche.

    „Arbeitsbereichsadministrator“ ist eine privilegierte Rolle, die Sie sorgfältig vergeben sollten.

    Arbeitsbereichsadministrator*innen können Vorgänge für ihren Arbeitsbereich verwalten und beispielsweise Benutzer*innen und Dienstprinzipale hinzufügen, Cluster erstellen und andere Benutzer*innen als Arbeitsbereichsadministrator*innen delegieren. Wenn Ihr Arbeitsbereich automatisch für Unity Catalog aktiviert wurde, verfügt der*die Arbeitsbereichsadministrator*in standardmäßig auch über eine Reihe zusätzlicher Berechtigungen, einschließlich der Möglichkeit, die meisten Unity Catalog-Objekttypen zu erstellen und Zugriff auf die von ihm*ihr erstellten Objekttypen zu gewähren. Siehe Administratorrechte im Unity Catalog.

    Wenn Ihr Arbeitsbereich nicht automatisch für Unity Catalog aktiviert wurde, haben Ihre Arbeitsbereichsadministrator*innen standardmäßig den gleichen Zugriff auf Unity Catalog-Objekte wie alle anderen Benutzer*innen, aber sie haben die Möglichkeit, Arbeitsbereichsverwaltungsaufgaben auszuführen, z. B. das Verwalten des Auftragsbesitzes und das Anzeigen von Notebooks, die indirekten Zugriff auf Daten gewähren können, die im Unity Catalog registriert sind.

    Kontoadministratoren können die Rechte von Arbeitsbereichsadministratoren mithilfe der Einstellung RestrictWorkspaceAdmins einschränken. Siehe Restrict workspace admins (Einschränken von Arbeitsbereichsadministratoren).

    Wenn Sie Arbeitsbereiche verwenden, um den Benutzerdatenzugriff zu isolieren, empfiehlt sich die Verwendung von Bindungen zwischen Arbeitsbereichen und Katalogen. Mithilfe von Bindungen zwischen Arbeitsbereichen und Katalogen können Sie den Zugriff auf Kataloge durch Arbeitsbereichsgrenzen einschränken. So können Sie beispielsweise sicherstellen, dass Arbeitsbereichsadministrator*innen und Benutzer*innen nur aus einer Produktionsarbeitsbereichsumgebung (prod_workspace) auf Produktionsdaten in prod_catalog zugreifen können. Standardmäßig wird der Katalog für alle Arbeitsbereiche freigegeben, die an den aktuellen Metastore angefügt sind. Ebenso können Sie den Zugriff auf externe Speicherorte so binden, dass nur von bestimmten Arbeitsbereichen aus darauf zugegriffen werden kann. Weitere Informationen finden Sie unter Beschränkter Katalogzugriff auf bestimmte Arbeitsbereiche und (Optional) Zuweisen eines Katalogs zu bestimmten Arbeitsbereichen.

  • Aktualisieren Sie alle Automatisierungen, die zur Verwaltung von Benutzern, Gruppen und Dienstprinzipalen konfiguriert wurde (z. B. SCIM-Bereitstellungsconnectors und Terraform-Automatisierungen), damit sie auf Kontoendpunkte anstelle von Arbeitsbereichsendpunkten verweisen. Siehe SCIM-Bereitstellung auf Konto- und Arbeitsbereichsebene.

  • Beachten Sie, dass das Aktivieren eines Arbeitsbereichs für Unity Catalog nicht rückgängig gemacht werden kann. Sobald Sie den Arbeitsbereich aktivieren, verwalten Sie Benutzer, Gruppen und Dienstprinzipale für diesen Arbeitsbereich über die Benutzeroberflächen des Kontos.

Anforderungen

Bevor Sie den Arbeitsbereich für Unity Catalog aktivieren können, müssen Sie einen Unity Catalog-Metastore für Ihr Azure Databricks-Konto konfigurieren. Weitere Informationen finden Sie unter Erstellen eines Unity Catalog-Metastores.

Aktivieren Ihres Arbeitsbereichs für Unity Catalog

Bei der Erstellung eines Metastore werden Sie dazu aufgefordert, diesem Metastore Arbeitsbereiche zuzuweisen, wodurch diese Arbeitsbereiche für Unity Catalog aktiviert werden. Sie können auch jederzeit zur Kontokonsole zurückkehren, um einen Arbeitsbereich für Unity Catalog zu aktivieren.

So aktivieren Sie einen vorhandenen Arbeitsbereich für Unity Catalog mithilfe der Kontokonsole

  1. Melden Sie sich als Kontoadministrator*in bei der Kontokonsole an.
  2. Klicken Sie auf Katalogsymbol Katalog.
  3. Klicken Sie auf den Namen des Metastores.
  4. Klicken Sie auf die Registerkarte Arbeitsbereiche.
  5. Wählen Sie Arbeitsbereichen zuweisen aus.
  6. Wählen Sie einen oder mehrere Arbeitsbereiche aus. Sie können einen Teil des Arbeitsbereichsnamens eingeben, um die Liste zu filtern.
  7. Scrollen Sie zum Ende des Dialogfelds, und wählen Sie Zuweisen aus.
  8. Klicken Sie im Bestätigungsdialogfeld auf Aktivieren.

Nach Abschluss der Zuweisung wird der Arbeitsbereich auf der Registerkarte Arbeitsbereiche des Metastores angezeigt, und der Metastore erscheint auf der Registerkarte Konfiguration des Arbeitsbereichs.

Nächste Schritte

Wenn Sie den Zugriff eines Arbeitsbereichs auf Daten in einem Metastore entfernen möchten, können Sie die Verknüpfung des Metastores mit dem Arbeitsbereich aufheben.

Warnung

Wenn Sie die Verknüpfung zwischen einem Arbeitsbereich und einem Unity Catalog-Metastore unterbrechen, geschieht Folgendes:

  • Benutzer*innen in dem Arbeitsbereich können nicht mehr auf Daten im Metastore zugreifen.
  • Sie beschädigen jedes Notebook, jede Abfrage und jeden Auftrag, der auf im Metastore gespeicherte Daten verweist.
  1. Melden Sie sich als Kontoadministrator*in bei der Kontokonsole an.
  2. Klicken Sie auf Katalogsymbol Katalog.
  3. Klicken Sie auf den Namen des Metastores.
  4. Suchen Sie auf der Registerkarte Arbeitsbereiche den Arbeitsbereich, den Sie aus dem Metastore entfernen möchten.
  5. Klicken Sie auf das Menü mit den drei Schaltflächen rechts neben der Arbeitsbereichszeile, und wählen Sie Remove from this metastore (Aus diesem Metastore entfernen) aus.
  6. Klicken Sie im Bestätigungsdialogfeld auf Zuweisung aufheben.

Nach Abschluss der Entfernung wird der Arbeitsbereich nicht mehr auf der Registerkarte Arbeitsbereiche im Metastore angezeigt.