Partilhar via


Habilitar um espaço de trabalho para o Unity Catalog

Este artigo explica como habilitar um espaço de trabalho para o Unity Catalog atribuindo um metastore do Unity Catalog.

Importante

Em 9 de novembro de 2023, o Databricks começou a habilitar novos espaços de trabalho para o Unity Catalog automaticamente, com um lançamento prosseguindo gradualmente. Se seu espaço de trabalho foi habilitado para o Unity Catalog automaticamente, este artigo não se aplica a você.

Para determinar se seu espaço de trabalho já está habilitado para o Unity Catalog, consulte Etapa 1: Confirmar se seu espaço de trabalho está habilitado para o Unity Catalog.

Sobre a habilitação de espaços de trabalho para o Unity Catalog

Habilitar o Unity Catalog para um espaço de trabalho significa que:

  • Os usuários nesse espaço de trabalho podem acessar os mesmos dados que os usuários em outros espaços de trabalho em sua conta podem acessar, e os administradores de dados podem gerenciar esse acesso a dados centralmente, entre espaços de trabalho
  • O acesso aos dados é auditado automaticamente
  • A federação de identidades está habilitada para o espaço de trabalho, permitindo que os administradores gerenciem identidades centralmente usando o console da conta e outras interfaces no nível da conta. Isso inclui atribuir usuários a espaços de trabalho.

Para habilitar um espaço de trabalho do Azure Databricks para o Unity Catalog, atribua o espaço de trabalho a um metastore do Unity Catalog. Um metastore é o contêiner de nível superior para dados no Unity Catalog. Cada metastore expõe um namespace de 3 níveis (catalog.schema.table) pelo qual os dados podem ser organizados.

Você pode compartilhar um único metastore em vários espaços de trabalho do Azure Databricks em uma conta. Cada espaço de trabalho vinculado tem a mesma exibição dos dados no metastore e você pode gerenciar o controle de acesso a dados entre espaços de trabalho. Você pode criar um metastore por região e anexá-lo a qualquer número de espaços de trabalho nessa região.

Considerações antes de habilitar um espaço de trabalho para o Unity Catalog

Antes de habilitar um espaço de trabalho para o Unity Catalog, você deve:

  • Compreenda os privilégios dos administradores de espaço de trabalho em espaços de trabalho habilitados para o Unity Catalog e revise suas atribuições de administrador de espaço de trabalho existentes.

    O administrador do espaço de trabalho é uma função privilegiada que você deve distribuir com cuidado.

    Os administradores de espaço de trabalho podem gerenciar operações para seu espaço de trabalho, incluindo a adição de usuários e entidades de serviço, a criação de clusters e a delegação de outros usuários para serem administradores de espaço de trabalho. Se seu espaço de trabalho foi habilitado para o Unity Catalog automaticamente, o administrador do espaço de trabalho também tem vários privilégios adicionais por padrão, incluindo a capacidade de criar a maioria dos tipos de objeto do Unity Catalog e conceder acesso aos que eles criam. Consulte Privilégios de administrador no Catálogo Unity.

    Se seu espaço de trabalho não foi habilitado para o Unity Catalog automaticamente, os administradores do espaço de trabalho não terão mais acesso aos objetos do Unity Catalog por padrão do que qualquer outro usuário, mas eles têm a capacidade de executar tarefas de gerenciamento do espaço de trabalho, como gerenciar a propriedade do trabalho e visualizar blocos de anotações, o que pode dar acesso indireto aos dados registrados no Unity Catalog.

    Os administradores de conta podem restringir os privilégios de administrador do espaço de trabalho usando a RestrictWorkspaceAdmins configuração. Consulte Restringir administradores de espaço de trabalho.

    Se você usar espaços de trabalho para isolar o acesso aos dados do usuário, convém usar associações de catálogo de espaço de trabalho. As associações de catálogo de espaço de trabalho permitem limitar o acesso ao catálogo por limites de espaço de trabalho. Por exemplo, você pode garantir que os administradores e usuários do espaço de trabalho só possam acessar dados de produção em prod_catalog um ambiente de espaço de trabalho de produção, prod_workspace. O padrão é compartilhar o catálogo com todos os espaços de trabalho anexados ao metastore atual. Da mesma forma, você pode vincular o acesso a locais externos de modo que eles sejam acessíveis apenas a partir de espaços de trabalho especificados. Consulte Limitar o acesso do catálogo a espaços de trabalho específicos e (Opcional) Atribuir um local externo a espaços de trabalho específicos.

  • Atualize qualquer automação que tenha sido configurada para gerenciar usuários, grupos e entidades de serviço, como conectores de provisionamento SCIM e automação Terraform, para que eles se refiram a pontos de extremidade de conta em vez de pontos de extremidade de espaço de trabalho. Consulte Provisionamento SCIM no nível da conta e no nível do espaço de trabalho.

  • Lembre-se de que a habilitação de um espaço de trabalho para o Unity Catalog não pode ser revertida. Depois de habilitar o espaço de trabalho, você gerenciará usuários, grupos e entidades de serviço para esse espaço de trabalho usando interfaces no nível da conta.

Requisitos

Antes de habilitar seu espaço de trabalho para o Catálogo Unity, você deve ter um metastore do Catálogo Unity configurado para sua conta do Azure Databricks. Consulte Criar um metastore do Catálogo Unity.

Habilite seu espaço de trabalho para o Unity Catalog

Ao criar um metastore, você será solicitado a atribuir espaços de trabalho a esse metastore, o que habilita esses espaços de trabalho para o Unity Catalog. Você também pode retornar ao console da conta para habilitar um espaço de trabalho para o Unity Catalog a qualquer momento.

Para habilitar um espaço de trabalho existente para o Unity Catalog usando o console da conta:

  1. Como administrador da conta, inicie sessão na consola da conta.
  2. Clique em Ícone do catálogo Catálogo.
  3. Clique no nome do metastore.
  4. Clique na guia Espaços de trabalho.
  5. Clique em Atribuir ao espaço de trabalho.
  6. Selecione um ou mais espaços de trabalho. Você pode digitar parte do nome do espaço de trabalho para filtrar a lista.
  7. Desloque-se para a parte inferior da caixa de diálogo e clique em Atribuir.
  8. Na caixa de diálogo de confirmação, clique em Ativar.

Quando a atribuição estiver concluída, o espaço de trabalho aparecerá na guia Espaços de trabalho do metastore e o metastore aparecerá na guia Configuração do espaço de trabalho.

Próximos passos

Para remover o acesso de um espaço de trabalho aos dados em um metastore, você pode desvincular o metastore do espaço de trabalho.

Aviso

Se você quebrar o vínculo entre um espaço de trabalho e um metastore do Unity Catalog:

  • Os usuários no espaço de trabalho não poderão mais acessar dados no metastore.
  • Você quebrará qualquer bloco de anotações, consulta ou trabalho que faça referência aos dados gerenciados no metastore.
  1. Como administrador da conta, inicie sessão na consola da conta.
  2. Clique em Ícone do catálogo Catálogo.
  3. Clique no nome do metastore.
  4. Na guia Espaços de trabalho, localize o espaço de trabalho que você deseja remover do metastore.
  5. Clique no menu de três botões na extremidade direita da linha do espaço de trabalho e selecione Remover deste metastore.
  6. Na caixa de diálogo de confirmação, clique em Cancelar atribuição.

Quando a remoção estiver concluída, o espaço de trabalho não aparecerá mais na guia Espaços de trabalho do metastore.