Nota
O acceso a esta páxina require autorización. Pode tentar iniciar sesión ou modificar os directorios.
O acceso a esta páxina require autorización. Pode tentar modificar os directorios.
En esta página se describe la configuración inicial del catálogo de Unity para los administradores del área de trabajo en una nueva área de trabajo de Azure Databricks, entre las que se incluyen:
- Confirmación de que el área de trabajo está habilitada para el catálogo de Unity
- Gestión del acceso y las identidades del espacio de trabajo
- Creación de recursos de proceso compatibles con el catálogo de Unity
- Creación de un catálogo y un esquema para los datos
- Conceder a los usuarios los privilegios que necesitan
Antes de empezar
Antes de empezar, familiarícese con los siguientes conceptos del catálogo de Unity:
- Metastore: el contenedor de catálogo de Unity de nivel superior, cuyo ámbito es una sola región de nube. Contiene todos los objetos protegibles: catálogos, credenciales de almacenamiento, ubicaciones externas, etc. Consulte Metastore.
- Catálogo: el objeto contenedor de datos de nivel más alto dentro de un metastore. Los catálogos contienen esquemas, que a su vez contienen tablas, vistas, volúmenes y funciones. Consulte Catálogo.
- Roles de administrador: El catálogo de Unity tiene tres roles de administrador principales, administrador de cuentas, administrador del área de trabajo y administrador de metastore, cada uno con un ámbito y responsabilidades diferentes. Consulte Privilegios de administrador en Unity Catalog.
También necesitará lo siguiente:
- Área de trabajo de Azure Databricks en el plan Premium.
- Privilegios de administrador del área de trabajo. Es posible que necesite privilegios de administrador de cuentas en los casos siguientes:
- Si su área de trabajo aún no tiene recursos de cómputo, debe tener privilegios de administrador de cuenta para verificar que Unity Catalog esté habilitado mediante la consola de la cuenta, en Paso 1: Confirmar que el área de trabajo está habilitada para Unity Catalog.
- Si su espacio de trabajo no está vinculado a un metastore de Unity Catalog, necesita privilegios de administrador de cuenta para vincularlo.
- Si no existe un metastore, necesita privilegios de administrador de cuenta para crearlo.
Paso 1: Confirmar que el área de trabajo está habilitada para el catálogo de Unity
Use uno de los siguientes métodos para confirmar que su espacio de trabajo está asociado a un metastore de Unity Catalog.
Usa la consola de la cuenta
Este método requiere privilegios de administrador de cuentas.
- Como administrador de la cuenta de Azure Databricks, inicie sesión en la consola de la cuenta.
- Haga clic en
Áreas de trabajo. - Busque el área de trabajo y compruebe la columna Metastore. Si aparece un nombre de metastore, tu espacio de trabajo tiene habilitado Unity Catalog.
Ejecución de una consulta SQL
Este método no requiere privilegios de administrador, pero requiere un recurso de proceso compatible con el catálogo de Unity. Paso 3: Crear un proceso compatible con el catálogo de Unity le guía a través de la creación de recursos de proceso compatibles con UC.
Ejecute el siguiente comando en el editor de consultas SQL o en un cuaderno asociado a un recurso de proceso:
SELECT CURRENT_METASTORE();
Si la consulta devuelve un identificador de metastore, el área de trabajo está habilitada para el catálogo de Unity.
Si el área de trabajo no está habilitado para usar Unity Catalog, consulte Actualizar un área de trabajo de Azure Databricks a Unity Catalog.
Paso 2: Administración del acceso e identidades del área de trabajo
Los administradores del área de trabajo pueden agregar usuarios y grupos, asignar roles de administrador y administrar entidades de servicio.
Agregar usuarios
Agregue usuarios individuales que necesiten acceso a esta área de trabajo. Para obtener instrucciones, consulte Administración de usuarios.
Organización de usuarios en grupos
Databricks recomienda administrar el acceso a través de grupos en lugar de usuarios individuales. Conceder privilegios a un grupo los aplica a todos los miembros, lo que reduce la sobrecarga administrativa a medida que crece el equipo.
- Si su organización ya tiene grupos en un proveedor de identidades (IdP): sincronice para Azure Databricks mediante el aprovisionamiento automático de identity management o SCIM para que la pertenencia a grupos permanezca sincronizada automáticamente. Consulte Administración automática de identidades.
- Si aún no tiene grupos: como administrador del área de trabajo, cree grupos de nivel de cuenta; para ello, vaya a Configuración>Identidad y acceso>a Administrar junto a Grupos. Consulte Administración de grupos.
Asignar roles de administrador
Los administradores del área de trabajo pueden realizar la mayoría de las tareas administrativas diarias: agregar y quitar usuarios, administrar el proceso, configurar la configuración del área de trabajo y conceder acceso a los datos. Este rol es adecuado para los miembros de una plataforma de datos central o un equipo de TI responsables de mantener el área de trabajo. Sea selectivo sobre quién recibe este rol. Los administradores del área de trabajo tienen acceso amplio a los recursos y la configuración del área de trabajo.
Normalmente, el rol de administrador del área de trabajo es el único rol de administrador que necesita asignar. Opcionalmente, puede asignar administradores de metastore para casos de uso especiales. Por ejemplo, puede asignar este rol a un equipo de gobernanza de datos dedicado o a un pequeño grupo de ingenieros de plataforma sénior si necesita:
- Delegar la creación del catálogo en administradores que no son del área de trabajo.
- Administre el script de inicialización y la lista de permitidos de JAR.
- Recibir datos compartidos a través de Delta Sharing.
- Transferir la propiedad del objeto cuando un miembro del equipo sale.
Para obtener instrucciones sobre cómo asignar estos roles, consulte Privilegios de administrador en el catálogo de Unity.
Paso 3: Creación de un proceso compatible con el catálogo de Unity
Para ejecutar cargas de trabajo del catálogo de Unity, los recursos de proceso deben cumplir los requisitos de seguridad del catálogo de Unity. La siguiente tabla muestra qué tipos de computación cumplen los requisitos:
| Tipo de cálculo | Compatible con UC |
|---|---|
| Almacén de SQL | Sí |
| Computación sin servidor (cuadernos, trabajos, canalizaciones) | Sí |
| Clúster: modo de acceso de usuario único | Sí |
| Clúster: modo de acceso compartido | Sí |
| Clúster — modo de acceso compartido sin aislamiento | No |
Para crear computación compatible con UC:
- SQL Warehouse: consulte Creación de una instancia de SQL Warehouse.
- Proceso sin servidor: consulte Conexión al proceso sin servidor.
- Clúster: al configurar un clúster, seleccione Usuario único o Compartido como modo de acceso. Consulte Modos de acceso.
Como administrador del área de trabajo, puede restringir la creación de clústeres solo a los administradores o usar directivas de clúster para permitir que los usuarios creen sus propios clústeres compatibles con el catálogo de Unity. Vea permisos de proceso y Creación y administración de directivas de proceso.
Paso 4: Crear catálogos y esquemas
Los catálogos son la unidad principal de aislamiento de datos en el catálogo de Unity. Todos los esquemas, tablas, volúmenes, vistas y funciones residen en catálogos.
Cuándo crear un nuevo catálogo
Las nuevas áreas de trabajo se provisionan automáticamente con un catálogo del área de trabajo; de forma predeterminada, este catálogo recibe el nombre del área de trabajo. Para comprobar si tiene un catálogo de áreas de trabajo, haga clic en 
Cataloge en la barra lateral y busque un catálogo que coincida con el nombre del área de trabajo. Si existe, es posible que no necesite crear catálogos adicionales de inmediato.
Con el tiempo, considere crear nuevos catálogos a medida que aumente su uso, organizados en torno a límites lógicos, como:
- Equipos o unidades de negocio: catálogos independientes para ingeniería, finanzas y marketing
-
Entornos:
devcatálogos separados,stagingyprodpara aislar los datos de desarrollo de los de producción - Proyectos: un catálogo dedicado por producto o iniciativa de datos principales
Si los límites de datos de la organización ya están bien definidos, puede crear catálogos ahora.
Crear un catálogo
Para crear un catálogo, ejecute el siguiente código SQL.
CREATE CATALOG IF NOT EXISTS <catalog-name>;
Note
Los datos administrados de este catálogo se almacenan en la ubicación de almacenamiento administrada predeterminada del metastore. Para usar una ubicación diferente, especifique un MANAGED LOCATION. Consulte Conexión al almacenamiento de objetos en la nube mediante el catálogo de Unity.
A continuación, cree un esquema para organizar las tablas y otros objetos de datos:
CREATE SCHEMA IF NOT EXISTS <catalog-name>.<schema-name>;
Para obtener instrucciones detalladas y cómo usar el Explorador de catálogos, consulte Creación de catálogos y Creación de esquemas.
Paso 5: Conceder privilegios a los usuarios
En el Catálogo de Unity, los usuarios no tienen acceso a los datos de forma predeterminada. Los administradores del área de trabajo pueden conceder privilegios a objetos protegibles en todo el área de trabajo. Databricks recomienda conceder privilegios a grupos en lugar de usuarios individuales. Esto facilita la administración del acceso a medida que crece el equipo.
Habilitación de la detección de datos
Azure Databricks recomienda conceder el privilegio BROWSE en todos los catálogos al grupo All account users.
BROWSE permite a los usuarios ver que existen objetos y ver sus metadatos en el Explorador de catálogos sin conceder acceso a los datos subyacentes. Esto permite a los usuarios detectar datos y solicitar acceso sin necesidad de que los administradores concedan permisos de forma preventiva.
GRANT BROWSE ON CATALOG <catalog-name> TO `account users`;
Concesión de acceso a datos
Para acceder a los datos en el Catálogo de Unity, los usuarios suelen necesitar el privilegio específico para la operación (por SELECT ejemplo, para leer una tabla) y los privilegios de uso adecuados (como USE CATALOG en el catálogo primario y USE SCHEMA en el esquema primario). Consulte Conceptos del modelo de permisos de Unity Catalog.
Conceda estos privilegios solo a los usuarios y grupos que necesitan acceso a catálogos y esquemas específicos. Por ejemplo, para conceder acceso de solo lectura a un esquema, use el siguiente código SQL:
GRANT USE CATALOG ON CATALOG <catalog-name> TO `<group-name>`;
GRANT USE SCHEMA ON SCHEMA <catalog-name>.<schema-name> TO `<group-name>`;
GRANT SELECT ON SCHEMA <catalog-name>.<schema-name> TO `<group-name>`;
Para acceso de lectura y escritura:
GRANT USE CATALOG ON CATALOG <catalog-name> TO `<group-name>`;
GRANT USE SCHEMA ON SCHEMA <catalog-name>.<schema-name> TO `<group-name>`;
GRANT SELECT, MODIFY ON SCHEMA <catalog-name>.<schema-name> TO `<group-name>`;
Los patrones de acceso cambian con el tiempo. Use las páginas siguientes como referencia al administrar privilegios en el catálogo de Unity:
- Conceptos del modelo de permisos del catálogo de Unity: explica la jerarquía de objetos, la propiedad, la herencia de privilegios y cómo funciona el modelo de permisos del catálogo de Unity.
- Referencia de privilegios del catálogo de Unity: enumera todos los privilegios del catálogo de Unity, a qué objetos protegibles se aplica y a lo que permite.
- Administrar privilegios en el catálogo de Unity: explica cómo conceder, revocar e inspeccionar privilegios en objetos protegibles mediante EL Explorador de catálogos o SQL.
Lista de comprobación de configuración
Si ha completado los cinco pasos, Unity Catalog se configura en el área de trabajo y los usuarios pueden empezar a trabajar con datos. Use la siguiente lista de comprobación para confirmar que todo está en su lugar:
- [ ] El catálogo de Unity está habilitado, lo que significa que se adjunta un metastore de catálogo de Unity al área de trabajo. Consulte Paso 1: Confirmar que el área de trabajo está habilitada para Unity Catalog.
- [ ] Los usuarios se agregan al área de trabajo y tienen los roles adecuados. Consulte Paso 2: Administrar el acceso al área de trabajo y las identidades.
- [ ] La capacidad de cómputo compatible con Unity Catalog está disponible. Consulte Paso 3: Creación de un proceso compatible con el catálogo de Unity.
- [ ] Se crean catálogos y esquemas para organizar los datos. Consulte Paso 4: Crear catálogos y esquemas.
- [ ] Los usuarios pueden acceder a los catálogos previstos. Consulte Paso 5: Conceder privilegios a los usuarios.
Pasos siguientes
Con la configuración del catálogo de Unity, puede empezar a aplicar funcionalidades de gobernanza más avanzadas al área de trabajo.
Control de acceso basado en atributos
El control de acceso basado en atributos (ABAC) permite definir directivas de acceso dinámicas y específicas basadas en atributos de los datos y el usuario que accede a ellos. En lugar de administrar la tabla de permisos por tabla, se escriben directivas que aplican automáticamente el filtrado de nivel de fila y el enmascaramiento de nivel de columna. Por ejemplo, puede ocultar columnas confidenciales de usuarios externos a una región específica o enmascarar PII para roles sin privilegios.
Clasificación de los datos
La clasificación de datos usa un agente de IA para examinar automáticamente el catálogo y etiquetar datos confidenciales, como PII, información financiera y credenciales. Después de la clasificación, las etiquetas se pueden integrar directamente con las directivas de ABAC, lo que permite aplicar controles de gobernanza en función de lo que los datos contienen realmente en lugar de administrar el objeto de acceso por objeto.
Supervisión de la calidad de los datos
La supervisión de la calidad de los datos proporciona detección de anomalías en todas las tablas de un esquema y la generación de perfiles de datos en el nivel de tabla. La detección de anomalías supervisa automáticamente la actualidad y la completitud de los datos a partir de patrones históricos, detectando incidencias sin necesidad de configuración manual. La generación de perfiles de datos captura distribuciones estadísticas a lo largo del tiempo, lo que le permite realizar un seguimiento de la integridad de los datos y establecer alertas para cambios inesperados.
Gobernanza de inteligencia artificial con Unity AI Gateway
Unity AI Gateway amplía la gobernanza del catálogo de Unity a la inteligencia artificial. Proporciona gobernanza empresarial para endpoints, agentes y servidores MCP para LLM, lo que permite implementar control de acceso, registro de auditoría y observabilidad en todas las interacciones de IA desde una interfaz de usuario unificada.