Freigeben über

Einrichten von Delta Sharing für Ihr Konto (für Anbieter)

  • Artikel

In diesem Artikel wird beschrieben, wie Datenanbieter (Organisationen, die Delta Sharing zum sicheren Freigeben von Daten verwenden möchten) die Ersteinrichtung von Delta Sharing in Azure Databricks durchführen.

Hinweis

Wenn Sie ein Datenempfänger sind (eine Organisation, die Daten empfängt, die mithilfe von Delta Sharing freigegeben werden), lesen Sie stattdessen Lesen von per Databricks-zu-Databricks Delta Sharing freigegebenen Daten (für Empfänger).

Wichtig

Ein Anbieter, der den mit Azure Databricks integrierten Delta Sharing-Server verwenden möchte, muss mindestens über einen Arbeitsbereich verfügen, der Unity Catalog-fähig ist. Sie müssen nicht alle Ihre Arbeitsbereiche zu Unity Catalog migrieren. Sie können einen Unity Catalog-fähigen Arbeitsbereich für die Freigabeverwaltung erstellen. In einigen Konten werden neue Arbeitsbereiche automatisch für Unity Catalog aktiviert. Siehe Automatische Aktivierung des Unity Catalog.

Wenn die Erstellung eines neuen Unity Catalog-fähigen Arbeitsbereichs keine Option ist, können Sie das Open-Source-Projekt Delta Sharing verwenden, um Ihren eigenen Delta Sharing-Server einzurichten und diesen für die gemeinsame Nutzung von Delta-Tabellen von jeder Plattform aus zu verwenden.

Die Ersteinrichtung für Anbieter umfasst die folgenden Schritte:

  1. Aktivieren Sie Delta Sharing für einen Unity Catalog-Metastore.
  2. (Optional) Installieren Sie die Unity Catalog-CLI.
  3. Konfigurieren Sie Überwachungen der Delta Sharing-Aktivität.

Anforderungen

Als Datenanbieter, der Ihr Azure Databricks-Konto einrichtet, um Daten freigeben zu können, müssen Sie über Folgendes verfügen:

Aktivieren von Delta Sharing für einen Metastore

Führen Sie die folgenden Schritte für jeden Unity Catalog-Metastore aus, der Daten verwaltet, die Sie mithilfe von Delta Sharing freigeben möchten.

Hinweis

Sie müssen Delta Sharing in Ihrem Metastore nicht aktivieren, wenn Sie die Lösung nur zum Freigeben von Daten für Benutzer in anderen Unity Catalog-Metastores in Ihrem Konto verwenden möchten. Die Freigabe von Metastore zu Metastore innerhalb eines einzelnen Azure Databricks-Kontos ist standardmäßig aktiviert.

  1. Melden Sie sich bei der Kontokonsole als Azure Databricks-Kontoadministrator an.

  2. Klicken Sie auf der Seitenleiste auf Katalogsymbol Katalog.

  3. Klicken Sie auf den Namen eines Metastores, um die zugehörigen Details zu öffnen.

  4. Aktivieren Sie das Kontrollkästchen neben Delta Sharing aktivieren und Databricks-Benutzern das Freigeben von Daten außerhalb ihrer Organisation genehmigen.

  5. Konfigurieren Sie die Lebensdauer des Empfängertokens.

    Diese Konfiguration legt die Zeitspanne fest, nach der alle Empfängertokens ablaufen und neu generiert werden müssen. Empfängertoken werden nur im Protokoll für offene Freigaben verwendet. Databricks empfiehlt, eine Standardtokengültigkeit zu konfigurieren, statt eine unbegrenzte Gültigkeit für Token festzulegen.

    Hinweis

    Wenn Sie die Standardgültigkeitsdauer eines Empfängertokens für einen Metastore ändern, wird die Gültigkeitsdauer des Empfängertokens für bereits vorhandene Empfänger nicht automatisch aktualisiert. Um eine neue Tokengültigkeitsdauer auf einen bestimmten Empfänger anzuwenden, müssen Sie dessen Token rotieren. Weitere Informationen finden Sie unter Verwalten von Empfängertoken (offene Freigabe).

    Führen Sie die folgenden Schritte aus, um die Standardgültigkeitsdauer eines Empfängertokens festzulegen:

    1. Vergewissern Sie sich, dass Ablaufdatum festlegen aktiviert ist (dies ist die Standardeinstellung).

      Wenn Sie dieses Kontrollkästchen deaktivieren, laufen Token nie ab. Databricks empfiehlt, Token so zu konfigurieren, dass sie ablaufen.

    2. Geben Sie die Anzahl der Sekunden, Minuten, Stunden oder Tage ein, und wählen Sie eine Maßeinheit aus.

    3. Klicken Sie auf Aktivieren.

    Weitere Informationen finden Sie unter Sicherheitsüberlegungen für Token.

  6. Geben Sie optional einen Namen für Ihre Organisation ein, über den ein Empfänger identifizieren kann, wer die Freigabe für ihn durchführt.

  7. Klicken Sie auf Aktivieren.

(Optional) Installieren der Unity Catalog-CLI

Zum Verwalten von Freigaben und Empfängern können Sie den Katalog-Explorer, SQL-Befehle oder die Unity Catalog-CLI verwenden. Die CLI wird in Ihrer lokalen Umgebung ausgeführt und erfordert keine Azure Databricks-Computeressourcen.

Informationen zum Installieren der CLI finden Sie unter Was ist die Databricks CLI?.

Aktivieren der Überwachungsprotokollierung

Als Azure Databricks-Kontoadministrator sollten Sie die Überwachungsprotokollierung aktivieren, um Delta Sharing-Ereignisse zu erfassen, z. B.:

  • Wenn jemand eine Freigabe oder einen Empfänger erstellt, ändert, aktualisiert oder löscht
  • Wenn ein Empfänger auf einen Aktivierungslink zugreift und die Anmeldeinformationen herunterlädt (nur offene Freigabe)
  • Wenn ein Empfänger auf Daten zugreift
  • Wenn die Anmeldeinformationen eines Empfängers rotiert werden oder ablaufen (nur offene Freigabe)

Delta Sharing-Aktivitäten werden auf Kontoebene protokolliert.

Befolgen Sie zum Aktivieren der Überwachungsprotokollierung die Anweisungen unter Diagnoseprotokollierung.

Wichtig

Delta Sharing-Aktivitäten werden auf Kontoebene protokolliert. Geben Sie beim Konfigurieren der Protokollübermittlung keinen Wert für workspace_ids_filter ein.

Ausführliche Informationen dazu, wie Delta-Freigabeereignisse protokolliert werden, finden Sie unter Überwachen der Datenfreigabe.

Erteilen der Berechtigung zum Erstellen und Verwalten von Freigaben und Empfängern

Metastore-Administratoren haben das Recht, Freigaben und Empfänger zu erstellen und zu verwalten, einschließlich der Gewährung von Freigaben an Empfänger. Viele Anbieteraufgaben können von einem Metastore-Administrator mit den folgenden Berechtigungen delegiert werden:

Hinweis

Wenn Ihr Arbeitsbereich automatisch für Unity Catalog aktiviert wurde, verfügen Sie möglicherweise nicht über einen Metastore-Administrator. Arbeitsbereichsadministratoren in solchen Arbeitsbereichen verfügen jedoch standardmäßig über die CREATE SHARE- und CREATE RECIPIENT -Berechtigungen für den Metastore. Weitere Informationen finden Sie unter Automatische Aktivierung von Unity Catalog und Arbeitsbereich-Administratorrechten, wenn Arbeitsbereiche automatisch für Unity Catalog aktiviert sind.

  • CREATE SHARE im Metastore gewährt das Recht, Freigaben zu erstellen.
  • CREATE RECIPIENT im Metastore gewährt das Recht, Empfänger zu erstellen.
  • USE RECIPIENT im Metastore gewährt das Recht zum Auflisten und Anzeigen von Details für alle Empfänger im Metastore.
  • USE SHARE im Metastore gewährt das Recht zum Auflisten und Anzeigen von Details für alle Freigaben im Metastore.
  • USE RECIPIENT, USE SHARE, und SET SHARE PERMISSION geben zusammen einem Benutzer das Recht, Empfängern Freigabezugriff zu gewähren.
  • USE SHARE und SET SHARE PERMISSION geben zusammen einem Benutzer das Recht, den Besitz einer beliebigen Freigabe zu übertragen.
  • Freigabe- und Empfängerbesitzer können diese Objekte aktualisieren und Empfängern Freigaben gewähren. Objekterstellern wird standardmäßig der Besitz gewährt, aber der Besitz kann übertragen werden.
  • Freigabebesitzer können Tabellen zu Freigaben hinzufügen, solange sie SELECT Zugriff auf die Tabellen und READ VOLUME Zugriff zu den Volumes haben.

Weitere Informationen finden Sie unter Unity Catalog-Berechtigungen und sicherungsfähige Objekte und den Berechtigungen für die einzelnen im Delta Sharing-Leitfaden beschriebenen Aufgaben.