Bagikan melalui

Membuat objek penerima untuk pengguna non-Databricks menggunakan token pembawa (berbagi terbuka)

Artikel ini menjelaskan cara membuat penerima Delta Sharing yang tidak memiliki akses ke ruang kerja Databricks yang memiliki Katalog Unity dan memberikan akses penerima ke data yang dibagikan dengan aman menggunakan token otorisasi. Alur autentikasi ini, bersama dengan alur autentikasi federasi token OIDC, disebut berbagi terbuka.

Berikut cara kerjanya:

  1. Sebagai penyedia data, Anda membuat objek penerima di metastore Unity Catalog Anda.

  2. Saat Anda membuat objek penerima, Anda memilih metode token pembawa, Azure Databricks menghasilkan token, file kredensial yang menyertakan token, dan tautan aktivasi untuk Anda bagikan dengan penerima.

    Objek penerima memiliki jenis autentikasi berupa TOKEN. Anda dapat me-refresh dan mencabut token sesuai kebutuhan.

  3. Penerima mengakses tautan aktivasi, mengunduh file kredensial, dan menggunakan file kredensial untuk mengautentikasi dan mendapatkan akses baca ke tabel yang Anda sertakan dalam berbagi yang Anda beri akses kepada mereka.

Alur federasi OIDC adalah alternatif untuk alur token pembawa yang dijelaskan dalam artikel ini. Ini memiliki keuntungan keamanan dan kenyamanan dibandingkan dengan aliran token bearer. Untuk lebih jelasnya, lihat Menggunakan federasi Open ID Connect (OIDC) untuk mengaktifkan autentikasi ke Delta Sharing (pembagian terbuka).

Penting

Semua token penerima berbagi terbuka yang dikeluarkan sebelum 8 Desember 2025, dengan tanggal kedaluwarsa setelah 8 Desember 2026, atau tanpa tanggal kedaluwarsa, secara otomatis kedaluwarsa pada 8 Desember 2026. Jika saat ini Anda menggunakan token penerima dengan masa pakai yang panjang atau tidak terbatas, tinjau integrasi Anda dan perbarui token sesuai kebutuhan untuk menghindari perubahan yang signifikan setelah tanggal ini.

Buat penerima

Untuk membuat penerima untuk berbagi terbuka, Anda bisa menggunakan Catalog Explorer, Databricks Unity Catalog CLI, atau CREATE RECIPIENT perintah SQL di buku catatan Azure Databricks atau editor kueri Databricks SQL.

Izin diperlukan: Admin atau pengguna Metastore dengan CREATE RECIPIENT hak istimewa untuk metastore Unity Catalog tempat data yang ingin Anda bagikan terdaftar.

Eksplorer Katalog

  1. Di ruang kerja Azure Databricks Anda, klik Ikon data.Katalog.

  2. Di bagian atas panel Katalog , klik ikon Gerigi. ikon gerigi dan pilih Berbagi Delta.

    Atau, dari Halaman Akses Cepat, klik tombol Delta Sharing >.

  3. Pada tab Dibagikan oleh saya , klik Penerima baru.

  4. Masukkan Nama penerima

  5. Untuk Jenis penerima, pilih Buka.

  6. Pilih Token.

  7. (Opsional) Atur waktu kedaluwarsa masa pakai Token (dalam detik, menit, jam, atau hari dari waktu pembuatan penerima). Biarkan Atur kedaluwarsa dipilih untuk mengatur waktu kedaluwarsa. Token berlaku selama maksimal satu tahun setelah pembuatan.

    Jika Anda memilih Atur kedaluwarsa dan membiarkan bidang kosong, masa berlaku token akan secara default ke nilai masa berlaku token penerima yang diatur dalam konfigurasi metastore. Lihat Mengubah masa berlaku token penerima. Untuk informasi tentang mengubah masa pakai token dan memutar token, lihat Mengelola token penerima.

  8. (Opsional) Masukkan komentar.

  9. Klik Buat.

  10. Salin tautan aktivasi.

    Atau, Anda bisa mendapatkan tautan aktivasi nanti. Lihat Mendapatkan tautan aktivasi.

  11. (Opsional) Buat properti Penerima kustom.

    Klik ikon di tab Edit iconGambaran Umum penerima di samping Properti Penerima. Kemudian tambahkan nama properti (Kunci) dan Nilai. Untuk detailnya, lihat Mengelola properti penerima.

SQL

Jalankan perintah berikut ini di buku catatan atau editor kueri Databricks SQL:

CREATE RECIPIENT [IF NOT EXISTS] <recipient-name>
[COMMENT "<comment>"];

Anda juga dapat menambahkan properti kustom untuk penerima. Untuk detailnya, lihat Mengelola properti penerima.

antarmuka baris perintah (CLI)

Jalankan perintah berikut menggunakan Databricks CLI.

databricks recipients create <recipient-name>

Anda juga dapat menambahkan properti kustom untuk penerima. Untuk detailnya, lihat Mengelola properti penerima.

Output tersebut mencakup activation_url yang Anda bagikan dengan penerima.

Penerima dibuat dengan menggunakan authentication_type dari TOKEN.

Nota

Saat membuat penerima, Anda memiliki opsi untuk membatasi akses penerima ke sekumpulan alamat IP terbatas. Anda juga dapat menambahkan daftar akses IP ke penerima yang sudah ada. Lihat Membatasi akses penerima Berbagi Delta menggunakan daftar akses IP (berbagi terbuka).

Untuk mendapatkan tautan aktivasi penerima baru, Anda bisa menggunakan Catalog Explorer, Databricks Unity Catalog CLI, atau DESCRIBE RECIPIENT perintah SQL di buku catatan Azure Databricks atau editor kueri Databricks SQL.

Jika penerima telah mengunduh file kredensial, tautan aktivasi tidak dikembalikan atau ditampilkan.

Izin diperlukan: Admin metastore, pengguna dengan USE RECIPIENT hak istimewa, atau pemilik objek penerima.

Eksplorer Katalog

  1. Di ruang kerja Azure Databricks Anda, klik Ikon data.Katalog.

  2. Di bagian atas panel Katalog , klik ikon Gerigi. ikon gerigi dan pilih Berbagi Delta.

    Atau, dari Halaman Akses Cepat, klik tombol Delta Sharing >.

  3. Pada tab Dibagikan oleh saya , klik Penerima, dan pilih penerima.

  4. Pada halaman detail penerima, salin tautan Aktivasi.

SQL

Jalankan perintah berikut ini di buku catatan atau editor kueri Databricks SQL.

DESCRIBE RECIPIENT <recipient-name>;

Output mencakup activation_link.

antarmuka baris perintah (CLI)

Jalankan perintah berikut menggunakan Databricks CLI.

databricks recipients get <recipient-name>

Output mencakup activation_url.

Memberikan akses penerima ke bagian yang dibagikan

Setelah membuat penerima dan membuat berbagi, Anda dapat memberikan akses penerima ke berbagi tersebut.

Untuk memberikan akses berbagi ke penerima, Anda dapat menggunakan Catalog Explorer, Databricks Unity Catalog CLI, atau GRANT ON SHARE perintah SQL di buku catatan Azure Databricks atau editor kueri Databricks SQL.

Izin diperlukan: Salah satu hal berikut ini:

  • Admin Metastore.
  • Izin atau kepemilikan yang didelegasikan pada berkas berbagi dan objek penerima ((USE SHARE + SET SHARE PERMISSION) atau pemilik berbagi) DAN (USE RECIPIENT atau pemilik penerima).

Untuk instruksi, lihat Mengelola akses ke berbagi data Delta Sharing (untuk penyedia).

Mengirim informasi koneksi mereka kepada penerima

Anda harus memberi tahu penerima cara mengakses data yang Anda bagikan dengan mereka. Gunakan saluran aman untuk berbagi tautan aktivasi dan tautan ke instruksi untuk menggunakannya.

Anda hanya dapat mengunduh file kredensial sekali. Penerima harus memperlakukan kredensial yang diunduh sebagai rahasia dan tidak boleh membagikannya di luar organisasi mereka. Jika Anda memiliki kekhawatiran bahwa kredensial mungkin telah ditangani dengan tidak aman, Anda dapat memutar kredensial penerima kapan saja. Untuk informasi selengkapnya tentang mengelola kredensial untuk memastikan akses penerima yang aman, lihat Pertimbangan keamanan untuk token.

Mengelola token penerima

Jika Anda berbagi data dengan penerima menggunakan alur token pembawa berbagi terbuka, Anda mungkin perlu memutar token penerima tersebut. Memutar token terdiri dari pengaturan token yang ada untuk kedaluwarsa dan menggantinya dengan token baru dan URL aktivasi.

Anda harus memutar token penerima dan membuat URL aktivasi baru dalam keadaan berikut:

  • Ketika token penerima yang ada akan kedaluwarsa.
  • Jika penerima kehilangan URL aktivasinya atau jika url tersebut disusupi.
  • Jika kredensial rusak, hilang, atau disusupi setelah diunduh oleh penerima.
  • Saat Anda mengubah masa berlaku token penerima untuk metastore. Lihat Mengubah masa berlaku token penerima.

Pertimbangan keamanan untuk token

Pada waktu tertentu, penerima dapat memiliki paling banyak dua token: token aktif dan token yang diputar. Token yang diganti adalah token yang telah diatur untuk kedaluwarsa dan digantikan oleh token aktif. Sampai token yang diputar kedaluwarsa, mencoba memutar token lagi menghasilkan kesalahan.

Saat memutar token penerima, Anda dapat secara opsional mengatur --existing-token-expire-in-seconds ke jumlah detik sebelum token penerima yang ada—yaitu, token yang akan diputar—kedaluwarsa. Jika Anda menetapkan nilai ke 0, token penerima yang ada segera kedaluwarsa.

Databricks merekomendasikan agar Anda mengatur --existing-token-expire-in-seconds ke periode yang relatif singkat yang memberi waktu kepada organisasi penerima untuk mengakses URL aktivasi baru sambil meminimalkan jumlah waktu penerima memiliki dua token aktif. Jika Anda menduga bahwa token penerima yang ada disusupi, Databricks menyarankan agar Anda memaksanya untuk segera kedaluwarsa.

Jika URL aktivasi penerima yang ada belum pernah diakses, memutar token yang ada membatalkan URL aktivasi tersebut dan menggantinya dengan yang baru.

Jika semua token penerima telah kedaluwarsa, memutar token akan menggantiKAN URL aktivasi yang ada dengan yang baru. Databricks merekomendasikan agar Anda segera mengganti atau menghapus penerima yang tokennya telah kedaluwarsa.

Jika URL aktivasi penerima secara tidak sengaja dikirim ke orang yang salah atau dikirim melalui saluran yang tidak aman, Databricks menyarankan Agar Anda:

  1. Cabut akses penerima ke berbagi.
  2. Putar penerima dan atur --existing-token-expire-in-seconds ke 0.
  3. Bagikan URL aktivasi baru dengan penerima yang dimaksudkan melalui saluran aman.
  4. Setelah URL aktivasi diakses, berikan akses penerima ke berbagi lagi.

Dalam situasi ekstrem, alih-alih memutar token penerima, Anda dapat menghilangkan dan membuat ulang penerima.

Memutar token penerima

Untuk memutar token penerima, Anda dapat menggunakan Catalog Explorer atau Databricks Unity Catalog CLI.

Izin diperlukan: Pemilik objek penerima.

Eksplorer Katalog

  1. Di ruang kerja Azure Databricks Anda, klik Ikon data.Katalog.

  2. Di panel kiri, perluas menu Berbagi Delta dan pilih Dibagikan oleh saya.

  3. Di bagian atas panel Katalog , klik ikon Gerigi. ikon gerigi dan pilih Berbagi Delta.

    Atau, dari Halaman Akses Cepat, klik tombol Delta Sharing >.

  4. Pada tab Dibagikan oleh saya , klik Penerima, dan pilih penerima.

  5. Pada tab Detail , di bawah Kedaluwarsa Token, klik Putar.

  6. Pada dialog Putar token, atur token untuk segera kedaluwarsa atau untuk jangka waktu yang ditetapkan. Untuk saran tentang kapan harus kedaluwarsa token yang ada, lihat Pertimbangan keamanan untuk token.

  7. Klik Putar.

  8. Pada tab Detail, salin tautan Aktivasi baru dan bagikan dengan penerima melalui saluran aman. Lihat Mendapatkan tautan aktivasi.

antarmuka baris perintah (CLI)

  1. Jalankan perintah berikut menggunakan Databricks CLI. Ganti nilai placeholder ini:

    • <recipient-name>: nama penerima.
    • <expiration-seconds>: Jumlah detik hingga token penerima yang ada harus kedaluwarsa. Selama periode ini, token yang ada akan terus berfungsi. Nilai 0 berarti token yang ada segera kedaluwarsa. Untuk saran tentang kapan harus kedaluwarsa token yang ada, lihat Pertimbangan keamanan untuk token.
    databricks recipients rotate-token \
<recipient-name> \
<expiration-seconds>

  2. Dapatkan tautan aktivasi baru penerima dan bagikan dengan penerima melalui saluran aman. Lihat Mendapatkan tautan aktivasi.

Mengubah masa pakai token penerima

Jika Anda perlu mengubah masa pakai token penerima default untuk metastore Unity Catalog, Anda dapat menggunakan Catalog Explorer atau Databricks Unity Catalog CLI.

Nota

Masa pakai token penerima untuk penerima yang ada tidak diperbarui secara otomatis saat Anda mengubah masa pakai token penerima default untuk metastore. Untuk menerapkan masa pakai token baru ke penerima tertentu, Anda harus memutar token mereka. Lihat Mengelola token penerima.

Izin diperlukan: Admin akun.

Eksplorer Katalog

  1. Masuk ke konsol akun.
  2. Di bar samping, klik ikon Data.Katalog.
  3. Klik nama metastore.
  4. Di bawah Masa Berlaku token penerima Delta Sharing, klik Edit.
  5. Aktifkan Atur kedaluwarsa.
  6. Masukkan beberapa detik, menit, jam, atau hari, dan pilih satuan ukuran. Token berlaku selama maksimal satu tahun setelah pembuatan.
  7. Kliklah Simpan.

antarmuka baris perintah (CLI)

Jalankan perintah berikut menggunakan Databricks CLI. Ganti 12a345b6-7890-1cd2-3456-e789f0a12b34 dengan metastore UUID, dan ganti 86400 dengan jumlah detik sebelum token penerima kedaluwarsa. Token berlaku selama maksimal satu tahun setelah pembuatan.

databricks metastores update \
12a345b6-7890-1cd2-3456-e789f0a12b34 \
--delta-sharing-recipient-token-lifetime-in-seconds 86400
  • Last updated on