Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Ta strona zawiera omówienie, jak dostawcy mogą używać otwartego protokołu Delta Sharing do udostępniania danych z obszaru roboczego usługi Azure Databricks, w którym włączono Unity Catalog, dowolnemu użytkownikowi na dowolnej platformie obliczeniowej, w dowolnym miejscu. Jeśli jesteś adresatem danych (użytkownik lub grupa użytkowników, którym są udostępniane dane), zamiast tego zobacz Jak uzyskać dostęp do danych udostępnionych Tobie za pomocą Delta Sharing (dla adresatów).
Kto powinien korzystać z otwartego protokołu Delta Sharing?
Istnieją trzy sposoby udostępniania danych za pomocą Delta Sharing:
Otwarty protokół udostępniania usługi Databricks, omówiony w tym artykule, umożliwia udostępnianie danych, którymi zarządzasz w obszarze roboczym usługi Databricks z włączonym Unity Catalog użytkownikom na dowolnej platformie obliczeniowej.
To podejście korzysta z serwera Delta Sharing wbudowanego w Azure Databricks i jest przydatne podczas zarządzania danymi za pomocą Unity Catalog oraz udostępniania ich użytkownikom, którzy nie korzystają z Databricks lub nie mają dostępu do obszaru roboczego Databricks z włączonym Unity Catalog. Integracja z Unity Catalog po stronie dostawcy upraszcza konfigurację i zarządzanie dla dostawców.
Implementacja serwera Delta Sharing typu open-source, zarządzanego przez klienta, umożliwia udostępnianie z dowolnej platformy na dowolną platformę, zarówno z wykorzystaniem Databricks, jak i bez.
Protokół udostępniania Databricks-to-Databricks umożliwia udostępnianie danych z obszaru roboczego obsługiwanego przez Unity Catalog użytkownikom, którzy mają również dostęp do obszaru roboczego usługi Databricks obsługiwanego przez Unity Catalog.
Zobacz Udostępnianie danych przy użyciu protokołu Delta Sharing Databricks-to-Databricks (dla dostawców).
Aby zapoznać się z wprowadzeniem do udostępniania różnicowego i uzyskać więcej informacji na temat tych trzech podejść, zobacz Co to jest udostępnianie różnicowe?.
Przepływ pracy otwartego udostępniania Delta Sharing
Ta sekcja zawiera ogólne omówienie przepływu udostępniania, z linkami do szczegółowej dokumentacji dla każdego kroku.
W modelu otwartego udostępniania Delta Sharing:
Dostawca danych tworzy adresata, który jest nazwanym obiektem reprezentującym użytkownika lub grupę użytkowników, którym dostawca danych chce udostępniać dane.
Gdy dostawca danych tworzy adresata, konfiguruje uwierzytelnianie przy użyciu długotrwałego tokenu dostępu lub federacji Open ID Connect (OIDC). Jeśli dostawca używa tokenu elementu nośnego, usługa Azure Databricks generuje plik poświadczeń i link aktywacji, który dostawca danych może wysłać do odbiorcy w celu uzyskania dostępu do pliku poświadczeń. W przepływie federacyjnym OIDC IdP odbiorcy zarządza uwierzytelnianiem na podstawie polityki utworzonej przez dostawcę.
Aby uzyskać szczegółowe informacje, zobacz Utwórz obiekt odbiorcy dla użytkowników spoza Databricks używających tokenów uwierzytelnienia (open sharing) oraz Użyj federacji Open ID Connect (OIDC) do włączenia uwierzytelniania do udziałów Delta Sharing (open sharing).
Dostawca danych tworzy udział, który jest nazwanym obiektem zawierającym kolekcję tabel zarejestrowanych w metaskładnicy Unity Catalog na koncie dostawcy.
Aby uzyskać szczegółowe informacje, zobacz Tworzenie udziałów i zarządzanie nimi dla Delta Sharing.
Dostawca danych udziela adresatowi dostępu do udostępnionego zasobu.
Aby uzyskać szczegółowe informacje, zobacz Zarządzanie dostępem do danych udostępnianych przez funkcję Delta Sharing dla dostawców.
W przepływie tokenu elementu nośnego dostawca danych wysyła link aktywacji do odbiorcy za pośrednictwem bezpiecznego kanału wraz z instrukcjami dotyczącymi używania linku aktywacji w celu pobrania pliku poświadczeń, którego odbiorca użyje do nawiązania bezpiecznego połączenia z dostawcą danych w celu odbierania udostępnionych danych.
Aby uzyskać szczegółowe informacje, zobacz Uzyskaj link aktywacyjny.
W przepływie federacyjnym adresaci uwierzytelniają się za pośrednictwem dostawcy tożsamości OIDC. Zobacz Użyj federacji Open ID Connect (OIDC), aby włączyć uwierzytelnianie do udziałów Delta Sharing (otwarte udostępnianie).
W trybie użycia tokenu typu bearer, odbiorca danych kliknie w link aktywacyjny, aby pobrać plik z poświadczeniami, a następnie używa tego pliku, aby uzyskać dostęp do udostępnionych danych.
Udostępnione dane są dostępne tylko do odczytu. Użytkownicy mogą uzyskiwać dostęp do danych przy użyciu wybranej platformy lub narzędzi. Aby uzyskać szczegółowe informacje, zobacz Odczyt danych udostępnionych za pomocą Delta Sharing przy użyciu tokenów dostępu (dla adresatów).
W przepływie federacyjnym adresaci uwierzytelniają się za pośrednictwem dostawcy tożsamości OIDC. Zobacz Użyj federacji Open ID Connect (OIDC), aby włączyć uwierzytelnianie do udziałów Delta Sharing (otwarte udostępnianie).
konfiguracje specyficzne dla dostawcy
Wielu dostawców ma własne sieci Delta Sharing. Aby uzyskać szczegółowe instrukcje dotyczące udostępniania, zobacz na przykład:
Konfiguracja dostawcy i kwestie związane z zabezpieczeniami przy otwartym udostępnianiu
Dobre zarządzanie tokenami jest kluczem do bezpiecznego udostępniania danych w przypadku korzystania z modelu otwartego udostępniania.
- Dostawcy danych w usłudze Azure Databricks, którzy zamierzają używać udostępniania otwartego podczas udostępniania zasobów, muszą skonfigurować domyślny czas życia tokenu odbiorcy po włączeniu funkcji Delta Sharing dla magazynu metadanych Unity Catalog. Databricks zaleca skonfigurowanie tokenów tak, aby wygasały. Zobacz Włączanie funkcji Delta Sharing na metastore.
- Jeśli musisz zmodyfikować domyślny okres istnienia tokenu, zobacz Modyfikowanie okresu istnienia tokenu odbiorcy.
- Zachęcaj adresatów do bezpiecznego zarządzania pobranym plikiem poświadczeń.
- Aby uzyskać więcej informacji na temat zarządzania tokenami i otwierania zabezpieczeń udostępniania, zobacz Zarządzanie tokenami adresatów.
- Otwarte udostępnianie jest obsługiwane między typami środowisk w chmurze, na przykład z chmur komercyjnych platform AWS do platformy AWS GovCloud lub Azure w Chinach.
Dostawcy danych mogą zapewnić dodatkowe zabezpieczenia, przypisując listy dostępu ip w celu ograniczenia dostępu adresata do określonych lokalizacji sieciowych. Zobacz Ograniczanie dostępu odbiorcy do Delta Sharing przy użyciu list dostępu do adresów IP (otwarta wymiana).