Delta Sharing instellen voor uw account (voor providers)

In dit artikel wordt beschreven hoe gegevensproviders (organisaties die Delta Delen willen gebruiken om gegevens veilig te delen) de eerste installatie van Delta Sharing uitvoeren op Azure Databricks.

Notitie

Als u een gegevensontvanger bent (een organisatie die gegevens ontvangt die worden gedeeld met Delta Sharing), raadpleegt u in plaats daarvan Gegevens lezen die worden gedeeld met Databricks-to-Databricks Delta Sharing (voor ontvangers).

Belangrijk

Een provider die de Delta Sharing-server wil gebruiken die is ingebouwd in Azure Databricks, moet ten minste één werkruimte hebben die is ingeschakeld voor Unity Catalog. U hoeft niet al uw werkruimten te migreren naar Unity Catalog. U kunt één werkruimte met Unity Catalog maken voor sharebeheer. In sommige accounts worden nieuwe werkruimten automatisch ingeschakeld voor Unity Catalog. Bekijk Automatisch inschakelen van Unity-catalogus.

Als het maken van een nieuwe unity-cataloguswerkruimte geen optie is, kunt u het opensource Delta Sharing-project gebruiken om uw eigen Delta Sharing-server te implementeren en deze te gebruiken om Delta-tabellen te delen vanaf elk platform.

De eerste configuratie van de provider omvat de volgende stappen:

1. Delta Sharing inschakelen in een Unity Catalog-metastore.
2. (Optioneel) Installeer de Unity Catalog CLI.
3. Configureer controles van Delta Sharing-activiteit.

Vereisten

Als gegevensprovider die uw Azure Databricks-account instelt om gegevens te kunnen delen, hebt u het volgende nodig:

• Ten minste één Azure Databricks-werkruimte die is ingeschakeld voor Unity Catalog.

  U hoeft niet al uw werkruimten te migreren naar Unity Catalog om te profiteren van Databricks-ondersteuning voor Delta Sharing-providers. Zie Heb ik Unity Catalog nodig om Delta Sharing te kunnen gebruiken?

  Ontvangers hoeven geen werkruimte met Unity Catalog te hebben.

• Accountbeheerdersrol om Delta Sharing in te schakelen voor uw Unity Catalog-metastore en om auditlogboekregistratie in te schakelen.

• Metastore-beheerdersrol of de CREATE SHARE en CREATE RECIPIENT bevoegdheden. Zie beheerdersrollen.

  Notitie

  Als uw werkruimte automatisch is ingeschakeld voor Unity Catalog, hebt u mogelijk geen metastore-beheerder. Werkruimtebeheerders in dergelijke werkruimten hebben echter standaard de CREATE SHARE en CREATE RECIPIENT bevoegdheden voor de metastore. Zie Automatische activering van unity-catalogus - en werkruimtebeheerdersbevoegdheden wanneer werkruimten automatisch zijn ingeschakeld voor Unity Catalog voor meer informatie.

Delta Delen inschakelen in een metastore

Volg deze stappen voor elke Unity Catalog-metastore die gegevens beheert die u wilt delen met Behulp van Delta Sharing.

Notitie

U hoeft Delta Sharing niet in te schakelen in uw metastore als u Delta Sharing alleen wilt gebruiken om gegevens te delen met gebruikers in andere Unity Catalog-metastores in uw account. Het delen van metastore-naar-metastore binnen één Azure Databricks-account is standaard ingeschakeld.

1. Meld u als azure Databricks-accountbeheerder aan bij de accountconsole.

2. Klik in de zijbalk op Catalogus.

3. Klik op de naam van een metastore om de details te openen.

4. Schakel het selectievakje naast Delta Delen inschakelen in om een Databricks-gebruiker toe te staan gegevens buiten hun organisatie te delen.

5. Configureer de levensduur van het token van de ontvanger.

   Met deze configuratie wordt de periode ingesteld waarna alle ontvangerstokens verlopen en opnieuw moeten worden gegenereerd. Ontvangerstokens worden alleen gebruikt in het open sharing-protocol . Databricks raadt u aan een standaardtokenlevensduur te configureren in plaats van tokens voor onbepaalde tijd te laten leven.

   Notitie

   De levensduur van het token voor bestaande geadresseerden wordt niet automatisch bijgewerkt wanneer u de standaardlevensduur van het token voor een metastore wijzigt. Als u een nieuwe levensduur van een token wilt toepassen op een bepaalde geadresseerde, moet u het token draaien. Zie Ontvangerstokens beheren (delen openen).

   De standaardlevensduur van het geadresseerdestoken instellen:

   1. Controleer of De vervaldatum instellen is ingeschakeld (dit is de standaardinstelling).

      Als u dit selectievakje wist, verlopen tokens nooit. Databricks raadt u aan tokens te configureren om te verlopen.

   2. Voer een aantal seconden, minuten, uren of dagen in en selecteer de maateenheid.

   3. Klik op Inschakelen.

   Zie Beveiligingsoverwegingen voor tokens voor meer informatie.

6. Voer desgewenst een naam in voor uw organisatie die een geadresseerde kan gebruiken om te bepalen wie er met hen deelt.

7. Klik op Inschakelen.

(Optioneel) De Unity Catalog CLI installeren

Als u shares en geadresseerden wilt beheren, kunt u Catalog Explorer, SQL-opdrachten of de Unity Catalog CLI gebruiken. De CLI wordt uitgevoerd in uw lokale omgeving en vereist geen Azure Databricks-rekenresources.

Als u de CLI wilt installeren, raadpleegt u Wat is de Databricks CLI?

Auditlogboekregistratie inschakelen

Als azure Databricks-accountbeheerder moet u auditlogboekregistratie inschakelen om gebeurtenissen voor Delta Sharing vast te leggen, zoals:

• Wanneer iemand een share of ontvanger maakt, wijzigt, bijwerken of verwijdert
• Wanneer een ontvanger een activeringskoppeling opent en de referentie downloadt (alleen delen openen)
• Wanneer een ontvanger toegang heeft tot gegevens
• Wanneer de referenties van een geadresseerde worden gedraaid of verlopen (alleen openen voor delen)

Delta Sharing-activiteit wordt geregistreerd op accountniveau.

Als u auditlogboekregistratie wilt inschakelen, volgt u de instructies in de naslaginformatie over diagnostisch logboeken.

Belangrijk

Delta Sharing-activiteit wordt geregistreerd op accountniveau. Wanneer u de levering van logboeken configureert, voert u geen waarde in voor workspace_ids_filter.

Zie Gegevens delen controleren en bewaken voor gedetailleerde informatie over hoe Delta Sharing-gebeurtenissen worden geregistreerd.

Machtigingen verlenen voor het maken en beheren van shares en geadresseerden

Metastore-beheerders hebben het recht om shares en ontvangers te maken en te beheren, met inbegrip van het verlenen van shares aan ontvangers. Veel providertaken kunnen worden gedelegeerd door een metastore-beheerder met behulp van de volgende bevoegdheden:

Notitie

Als uw werkruimte automatisch is ingeschakeld voor Unity Catalog, hebt u mogelijk geen metastore-beheerder. Werkruimtebeheerders in dergelijke werkruimten hebben echter standaard de CREATE SHARE en CREATE RECIPIENT bevoegdheden voor de metastore. Zie Automatische activering van unity-catalogus - en werkruimtebeheerdersbevoegdheden wanneer werkruimten automatisch zijn ingeschakeld voor Unity Catalog voor meer informatie.

• CREATE SHARE in de metastore verleent u de mogelijkheid om shares te maken.
• CREATE RECIPIENT in de metastore verleent u de mogelijkheid om ontvangers te maken.
• USE RECIPIENT op verleent de mogelijkheid om details weer te geven en weer te geven voor alle geadresseerden in de metastore.
• USE SHARE in de metastore verleent u de mogelijkheid om details voor alle shares in de metastore weer te geven en weer te geven.
• USE RECIPIENTen USE SHARE, SET SHARE PERMISSION gecombineerd geeft een gebruiker de mogelijkheid om sharetoegang te verlenen aan geadresseerden.
• USE SHARE en SET SHARE PERMISSION gecombineerd geeft een gebruiker de mogelijkheid om het eigendom van een share over te dragen.
• Eigenaren van shares en geadresseerden kunnen deze objecten bijwerken en shares verlenen aan ontvangers. Objectmakers krijgen standaard eigendom, maar het eigendom kan worden overgedragen.
• Eigenaren van shares kunnen tabellen en volumes toevoegen aan shares, zolang ze toegang hebben SELECT tot de tabellen en READ VOLUME toegang tot de volumes.

Zie Unity Catalog-bevoegdheden en beveiligbare objecten en de machtigingen die worden vermeld voor elke taak die wordt beschreven in de Delta Sharing-handleiding voor meer informatie.