Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Auf dieser Seite finden Sie eine Übersicht darüber, wie Anbieter das Open-Sharing-Protokoll für Delta Sharing verwenden können, um Daten aus Ihrem Unity-Katalog-fähigen Azure Databricks-Arbeitsbereich, mit jedem Benutzer auf jeder beliebigen Computerplattform zu teilen. Wenn Sie Datenempfänger*in sind (Benutzer*in oder Benutzergruppe, für den bzw. die Daten freigegeben werden), finden Sie stattdessen weitere Informationen unter Zugreifen auf Daten, die mithilfe von Delta Sharing für Sie freigegeben wurden (für Empfänger).
Von wem sollte das Delta Sharing-Protokoll für offene Freigaben verwendet werden?
Es gibt drei Möglichkeiten zum Freigeben von Daten mithilfe von Delta Sharing:
Mit dem Databricks-Protokoll für offene Freigaben, das in diesem Artikel behandelt wurde, können Sie Daten, die Sie in einem Unity Catalog-fähigen Databricks-Arbeitsbereich verwalten, für Benutzer*innen auf einer beliebigen Computerplattform freigeben.
Dieser Ansatz verwendet den Delta-Freigabeserver, der in Azure Databricks integriert ist und nützlich ist, wenn Sie Daten mithilfe von Unity Catalog verwalten und mit Benutzern teilen möchten, die Databricks nicht verwenden oder keinen Zugriff auf einen Unity-Katalog-fähigen Databricks-Arbeitsbereich haben. Die Integration in Unity Catalog auf der Anbieterseite vereinfacht die Einrichtung und Governance für Anbieter.
Eine kundenseitig verwaltete Implementierung des Open-Source-Delta Sharing-Servers macht die Freigabe zwischen beliebigen Plattformen (ganz gleich, ob Databricks oder nicht) möglich.
Das Databricks-zu-Databricks-Freigabeprotokolllässt Sie Daten aus Ihrem Unity Catalog-fähigen Arbeitsbereich für Benutzer*innen freigeben, die ebenfalls Zugriff auf einen Unity Catalog-fähigen Databricks-Arbeitsbereich haben.
Siehe Freigeben von Daten mithilfe des Databricks-zu-Databricks-Delta Sharing-Protokolls (für Anbieter).
Eine Einführung in Delta Sharing und weitere Informationen zu diesen drei Ansätzen finden Sie unter Was ist Delta Sharing?.
Workflow für die offene Delta Sharing-Freigabe
Dieser Abschnitt bietet eine allgemeine Übersicht über den Workflow für die offene Freigabe mit Links zu ausführlichen Dokumentationen für jeden Schritt.
Für das offene Delta Sharing-Freigabemodell gilt folgender Ablauf:
Der Datenanbieter erstellt einen Empfänger, d. h. ein benanntes Objekt, das einen Benutzer oder eine Benutzergruppe repräsentiert, für den bzw. die der Datenanbieter Daten freigeben möchte.
Wenn der Datenanbieter den Empfänger erstellt, richtet der Anbieter die Authentifizierung entweder mit einem Langzeit-Bearertoken oder einem OIDC-Verbund (Open ID Connect) ein. Wenn der Anbieter ein Bearertoken verwendet, generiert Azure Databricks eine Anmeldeinformationsdatei und einen Aktivierungslink, den der Datenanbieter an den Empfänger senden kann, um auf die Anmeldeinformationsdatei zuzugreifen. Im OIDC-Partnerverbundablauf verwaltet der IdP des Empfängers die Authentifizierung basierend auf einer vom Anbieter erstellten Richtlinie.
Ausführliche Informationen finden Sie unter Erstellen eines Empfängerobjekts für Nicht-Databricks-Benutzer, die Bearertoken (offene Freigabe) verwenden, und verwenden Sie den OIDC-Partnerverbund (Open ID Connect), um die Authentifizierung für Delta-Freigabefreigaben (offene Freigabe) zu aktivieren.
Der Datenanbieter erstellt eine Freigabe, die ein benanntes Objekt ist, das eine Auflistung von Tabellen enthält, die in einem Unity Catalog-Metastore im Konto des Anbieters registriert sind.
Ausführliche Informationen finden Sie unter Erstellen und Verwalten von Freigaben für Delta Sharing.
Der Datenanbieter gewährt dem Empfänger Zugriff auf die Freigabe.
Weitere Informationen finden Sie unter Verwalten des Zugriffs auf Delta Sharing-Datenfreigaben (für Anbieter).
Im Bearer-Token-Flow sendet der Datenanbieter den Aktivierungslink über einen sicheren Kanal an den Empfänger zusammen mit Anweisungen zur Verwendung des Links, um die Anmeldedatei herunterzuladen. Der Empfänger wird diese Datei nutzen, um eine sichere Verbindung mit dem Datenanbieter herzustellen, um die freigegebenen Daten zu empfangen.
Ausführliche Informationen finden Sie unter "Abrufen des Aktivierungslinks".
Im OIDC-Föderationsablauf melden sich die Empfänger über ihren IdP an. Weitere Informationen finden Sie unter Verwenden des OIDC-Partnerverbunds (Open ID Connect), um die Authentifizierung für Delta Sharing-Freigaben (offenes Sharing) zu aktivieren.
Im Bearertokenfluss folgt der Datenempfänger dem Aktivierungslink zum Herunterladen der Anmeldeinformationsdatei und verwendet dann die Anmeldeinformationsdatei, um auf die freigegebenen Daten zuzugreifen.
Freigegebene Daten können nur gelesen werden. Benutzer können über eine Plattform oder einem Tool ihrer Wahl auf die Daten zugreifen. Einzelheiten finden Sie unter Lesen von Daten, die über offene Delta Sharing-Freigaben mit Bearertoken (für Empfänger) freigegeben wurden.
Im OIDC-Föderationsablauf melden sich die Empfänger über ihren IdP an. Weitere Informationen finden Sie unter Verwenden des OIDC-Partnerverbunds (Open ID Connect), um die Authentifizierung für Delta Sharing-Freigaben (offenes Sharing) zu aktivieren.
Anbieterspezifische Konfigurationen
Viele Anbieter verfügen über eigene Delta Sharing-Netzwerke. Sie finden spezifische Freigabeanweisungen beispielsweise unter:
Überlegungen zur Anbietereinrichtung und Sicherheit für das offene Teilen
Wenn Sie das offene Freigabemodell verwenden, ist eine gute Tokenverwaltung entscheidend für die sichere Freigabe von Daten:
- Datenanbieter in Azure Databricks, die die offene Freigabe verwenden möchten, wenn sie Freigaben bereitstellen, müssen die Standardlebensdauer des Empfängertokens konfigurieren, wenn sie die Delta-Freigabe für ihren Unity-Katalog-Metastore aktivieren. Databricks empfiehlt, Token so zu konfigurieren, dass sie ablaufen. Weitere Informationen finden Sie unter Aktivieren von Delta Sharing für einen Metastore.
- Wenn Sie die Standardlebensdauer des Tokens ändern müssen, lesen Sie Ändern der Lebensdauer des Empfängertokens.
- Fordern Sie die Empfänger auf, die heruntergeladene Datei mit den Anmeldeinformationen sicher zu verwalten.
- Weitere Informationen zur Tokenverwaltung und zur offenen Freigabesicherheit finden Sie unter Verwalten von Empfängertoken.
- Die offene Freigabe wird zwischen Cloudumgebungstypen unterstützt, z. B. von kommerziellen AWS-Clouds zu AWS GovCloud oder Azure China.
Datenanbieter können für zusätzliche Sicherheit sorgen, indem sie IP-Zugriffslisten zuweisen, um den Empfängerzugriff auf bestimmte Netzwerkstandorte zu beschränken. Weitere Informationen finden Sie unter Einschränken des Zugriffs von Delta Sharing-Empfangenden mithilfe von IP-Zugriffslisten (offene Freigabe).