Unity Catalog と従来の Hive メタストアの使用

  • [アーティクル]

この記事では、Unity Catalog に対して Azure Databricks ワークスペースが有効な場合に、ワークスペースごとの Hive メタストアを使う方法について説明します。

Unity Catalog が有効になる前にワークスペースがサービスに入っていた場合は、引き続き使用するデータを含む Hive メタストアが存在する可能性があります。 Databricks では、Hive メタストアによって管理されるテーブルを Unity Catalog メタストアに移行することをお勧めしますが、移行しない場合は、両方のメタストアによって管理されるデータを操作する方法について説明します。

Unity Catalog で Hive メタストアに対してクエリを実行する

Unity Catalog メタストアは追加式のものです。つまり、Azure Databricks でワークスペースごとの Hive メタストアと一緒に使用できます。 Hive メタストアは、3 つのレベルの名前空間で hive_metastore というトップレベルのカタログとして表示されます。

たとえば、次の表記を使用すると、従来の Hive メタストアの sales スキーマで sales_raw というテーブルを参照できます。

SQL

SELECT * from hive_metastore.sales.sales_raw;

Python

display(spark.table("hive_metastore.sales.sales_raw"))

R

library(SparkR)

display(tableToDF("hive_metastore.sales.sales_raw"))

Scala

display(spark.table("hive_metastore.sales.sales_raw"))

USE ステートメントを使用して、カタログやスキーマを指定することもできます。

SQL

USE hive_metastore.sales;
SELECT * from sales_raw;

Python

spark.sql("USE hive_metastore.sales")
display(spark.table("sales_raw"))

R

library(SparkR)

sql("USE hive_metastore.sales")
display(tableToDF("sales_raw"))

Scala

spark.sql("USE hive_metastore.sales")
display(spark.table("sales_raw"))

Unity Catalog と Hive メタストアでのアクセス制御

Hive メタストアでテーブルのアクセスの制御を構成した場合、Databricks は、共有アクセス モードで実行されているクラスターの hive_metastore カタログのデータに対するこれらのアクセス制御を引き続き適用します。 Unity カタログ アクセス モデルは、従来のアクセス制御とは少し異なります (DENY ステートメントがないなど)。 Hive メタストアはワークスペース レベルのオブジェクトです。 hive_metastore カタログ内で定義されているアクセス許可は、常にワークスペース内のローカル ユーザーとグループを参照します。 「テーブル アクセス制御との違い」を参照してください。

テーブル アクセス制御との違い

Unity Catalog には、各ワークスペースの従来の Hive メタストアでテーブル アクセス制御を使用する場合と主に次のような違いがあります。

Unity Catalog のアクセス制御モデルには、テーブル アクセス制御とは次の違いがあります。

  • アカウントグループ: Unity Catalog のアクセスの制御ポリシーは、アカウントグループに適用されます。一方、Hive メタストアのアクセスの制御ポリシーは、ワークスペースのローカルグループに適用されます。 アカウント グループとワークスペースローカル グループの違いを参照してください。
  • カタログまたはスキーマ内のオブジェクトに対するすべての操作には、カタログとスキーマに対するUSE CATALOGUSE SCHEMA の権限が必要です:テーブルに対するプリンシパルの権限に関係なく、プリンシパルには USE CATALOG、スキーマにアクセスするための親カタログに対する権限と USE SCHEMAスキーマ内のオブジェクトにアクセスする権限も必要です。 一方、ワークスペースレベルのテーブル アクセス制御では、ルー トカタログに USAGE を付与すると、すべてのデータベースに自動的に USAGE が付与されますが、ルート カタログに USAGE は必要ありません。
  • ビュー: Unity Catalog では、ビューの所有者はビューの参照先のテーブルおよびビューの所有者である必要はありません。 SELECT 権限と、ビューの親スキーマに対するUSE SCHEMA および 親カタログに対するUSE CATALOGがあれば十分です。 ワークスペースレベルのテーブル アクセス制御では、ビューの所有者が参照先のすべてのテーブルとビューの所有者である必要があります。
  • ANY FILE または ANONYMOUS FUNCTION のサポートなし: Unity カタログには、特権のないユーザーが特権コードを実行できる可能性がある ANY FILE やセキュリティ保護可能な ANONYMOUS FUNCTION の概念はありません。
  • READ_METADATA 特権なし: Unity カタログは、メタデータを別の方法で表示するためのアクセスを管理します。 「Unity Catalog の権限とセキュリティ保護可能なオブジェクト」を参照してください。

Unity Catalog オブジェクトと Hive メタストア オブジェクト間の結合

3 つのレベルの名前空間表記を使用することで、従来の Hive メタストアのデータで Unity Catalog メタストアのデータを結合できます。

注意

従来の Hive メタストアのデータとの結合は、そのデータが存在するワークスペースでのみ機能します。 このような結合を別のワークスペースで実行しようとすると、エラーになります。 Azure Databricks では、従来のテーブルとビューを Unity Catalog にアップグレードすることをお勧めしています。

次に、order_id フィールドが等しい場合に、従来の Hive メタストアの sales_current テーブルと、Unity Catalog メタストアの sales_historical テーブルを結合した結果の例を示します。

SQL

SELECT * FROM hive_metastore.sales.sales_current
JOIN main.shared_sales.sales_historical
ON hive_metastore.sales.sales_current.order_id = main.shared_sales.sales_historical.order_id;

Python

dfCurrent = spark.table("hive_metastore.sales.sales_current")
dfHistorical = spark.table("main.shared_sales.sales_historical")

display(dfCurrent.join(
  other = dfHistorical,
  on = dfCurrent.order_id == dfHistorical.order_id
))

R

library(SparkR)

dfCurrent = tableToDF("hive_metastore.sales.sales_current")
dfHistorical = tableToDF("main.shared_sales.sales_historical")

display(join(
  x = dfCurrent,
  y = dfHistorical,
  joinExpr = dfCurrent$order_id == dfHistorical$order_id))

Scala

val dfCurrent = spark.table("hive_metastore.sales.sales_current")
val dfHistorical = spark.table("main.shared_sales.sales_historical")

display(dfCurrent.join(
  right = dfHistorical,
  joinExprs = dfCurrent("order_id") === dfHistorical("order_id")
))

既定のカタログ

既定のカタログは、Unity Catalog に対して有効になっているワークスペースごとに構成されます。

データ操作を実行するときに、最上位レベルのカタログ名を省略すると、既定のカタログが使われます。

ワークスペース用に最初に構成される既定のカタログは、Unity Catalog に対してワークスペースがどのように有効にされたかによって異なります。

  • Unity Catalog に対してワークスペースが自動的に有効になっている場合は、ワークスペース カタログが既定のカタログとして設定されます。 「Unity Catalog の自動有効化」を参照してください。
  • Unity Catalog に対してワークスペースが手動で有効にされた場合は、hive_metastore カタログが既定のカタログとして設定されます。

既存のワークスペース内で Hive メタストアから Unity Catalog に移行する場合、通常、Hive メタストアを参照する既存のコードへの影響を避けるために、既定のカタログとして hive_metastore を使うことをお勧めします。

既定のカタログを取得して切り替える方法については、既定のカタログの管理に関する記事を参照してください

クラスター スコープのデータ アクセス許可

Unity Catalog とともに Hive メタストアを使用する場合、クラスターに関連付けられているデータ アクセスの資格情報は、Unity Catalog に登録されているデータではなく、Hive メタストアのデータにアクセスするために使用されます。

ユーザーが Unity Catalog の外部にあるパス (テーブルまたは外部の場所として登録されていないパスなど) にアクセスする場合は、クラスターに割り当てられているアクセスの資格情報が使用されます。

Azure Data Lake Storage Gen2 と Blob Storage に接続する」を参照してください。

Unity Catalog への従来のテーブルのアップグレード

Hive メタストアの表では、組み込みの監査やアクセス制御など、Unity Catalog によって導入されるセキュリティとガバナンスのすべての機能を利用することはできません。 Databricks では、従来のテーブルを Unity Catalog に追加することで、従来のテーブルをアップグレードすることをお勧めしています。