Включение рабочей области для Unity Catalog

В этой статье описывается, как включить рабочую область Azure Databricks для Unity Catalog путем назначения хранилища метаданных Unity Catalog.

Внимание

9 ноября 2023 г. Databricks начала включать новые рабочие области для каталога Unity автоматически, с постепенной развертыванием. Если ваша рабочая область была включена для каталога Unity автоматически, эта статья не применяется к вам.

Чтобы определить, включена ли рабочая область для каталога Unity, см . шаг 1. Убедитесь, что рабочая область включена для каталога Unity.

О включении рабочих областей для Unity Catalog

Включение Unity Catalog для рабочей области означает следующее:

• Пользователи в этой рабочей области могут потенциально получать доступ к тем же данным, к которым могут обращаться пользователи в других рабочих областях вашей учетной записи, а администраторы данных могут централизованно управлять доступом к этим данным в разных рабочих областях.
• Аудит доступа к данным осуществляется автоматически.
• Федерация удостоверений включена для рабочей области, позволяя администраторам централизованно управлять удостоверениями с помощью консоли учетной записи и других интерфейсов на уровне учетной записи. Сюда входит назначение пользователей рабочим областям.

Чтобы включить рабочую область Azure Databricks для Unity Catalog, назначьте ее хранилищу метаданных Unity Catalog. Хранилище метаданных — это контейнер верхнего уровня для данных в каталоге Unity. Каждое хранилище метаданных предоставляет 3-уровневое пространство имен (catalog.schema.table), с помощью которого можно упорядочить данные.

Одно хранилище метаданных можно совместно использовать в нескольких рабочих областях Azure Databricks в учетной записи. Каждая связанная рабочая область имеет одинаковое представление данных в хранилище метаданных, а управление доступом к данным можно осуществлять в разных рабочих областях. Вы можете создать одно хранилище метаданных для каждого региона и присоединить его к любому количеству рабочих областей в этом регионе.

Факторы, которые следует учитывать перед включением рабочей области для Unity Catalog

Перед включением рабочей области для Unity Catalog необходимо сделать следующее:

• Изучите разрешения администраторов рабочих областей в рабочих областях, включенных для Unity Catalog, и просмотрите существующие назначения администраторов рабочих областей.

  Администратор рабочей области — это привилегированная роль, которую следует тщательно распределить.

  Администраторы рабочей области могут управлять операциями для своей рабочей области, включая добавление пользователей и субъектов-служб, создание кластеров и делегирование других пользователей администраторам рабочей области. Если ваша рабочая область была включена для каталога Unity автоматически, администратор рабочей области также имеет ряд дополнительных привилегий по умолчанию, включая возможность создания большинства типов объектов каталога Unity и предоставления доступа к созданным им объектам. См. Администратор привилегий в каталоге Unity.

  Если ваша рабочая область не включена для каталога Unity автоматически, администраторы рабочей области не имеют больше доступа к объектам каталога Unity по умолчанию, чем любой другой пользователь, но имеют возможность выполнять такие задачи управления рабочими областями, как управление владением заданиями и просмотр записных книжек, которые могут предоставить косвенный доступ к данным, зарегистрированным в каталоге Unity.

  Администраторы учетных записей могут ограничить права администратора рабочей области с помощью RestrictWorkspaceAdmins параметра. См. раздел "Ограничить администраторы рабочей области".

  При использовании рабочих областей для изоляции доступа к данным пользователей может потребоваться использовать привязки каталога рабочей области. Привязки каталога рабочей области позволяют ограничить доступ к каталогам по границам рабочей области. Например, вы можете убедиться, что администраторы рабочей области и пользователи могут получать доступ только к рабочим данным из prod_catalog рабочей среды рабочей области prod_workspace. По умолчанию используется общий доступ к каталогу со всеми рабочими областями, подключенными к текущему хранилищу метаданных. См . раздел (необязательно) Назначение каталога определенным рабочим областям.

• Обновите все средства автоматизации, настроенные для управления пользователями, группами и субъектами-службами, такие как соединители подготовки SCIM и средства автоматизации Terraform, чтобы они ссылались на конечные точки учетных записей вместо конечных точек рабочих областей. См. статью Подготовка SCIM на уровне учетной записи и рабочей области.

• Учтите, что невозможно отменить включение рабочей области для Unity Catalog. После включения рабочей области вы будете управлять пользователями, группами и субъектами-службами для этой рабочей области с помощью интерфейсов уровня учетной записи.

Требования

Прежде чем включить рабочую область для Unity Catalog, необходимо настроить хранилище метаданных Unity Catalog для учетной записи Azure Databricks. См. статью Создание хранилища метаданных Unity Catalog.

Включение рабочей области для каталога Unity

При создании хранилища метаданных вам будет предложено назначить рабочие области для этого хранилища метаданных, что позволяет использовать эти рабочие области для каталога Unity. Вы также можете вернуться в консоль учетной записи, чтобы включить рабочую область для каталога Unity в любое время.

Чтобы включить существующую рабочую область для каталога Unity с помощью консоли учетной записи:

1. Войдите в консоль учетной записи с правами администратора учетных записей.
2. Щелкните каталог.
3. Щелкните имя хранилища метаданных.
4. Перейдите на вкладку Рабочие области.
5. Нажмите кнопку " Назначить рабочей области".
6. Выберите одну или несколько рабочих областей. Можно ввести часть имени рабочей области, чтобы отфильтровать список.
7. Прокрутите внизу диалогового окна и нажмите кнопку "Назначить".
8. В диалоговом окне подтверждения щелкните Включить.

После завершения назначения рабочая область появится на вкладке Рабочие области хранилища метаданных, а хранилище метаданных появится на вкладке Конфигурация рабочей области.

Следующие шаги

• Создание и администрирование каталогов
• Создание и администрирование схем (баз данных)
• Создание таблиц в каталоге Unity
• Дополнительные сведения о каталоге Unity: Что такое каталог Unity?

Удаление ссылки хранилища метаданных из рабочей области

Чтобы удалить доступ рабочей области к данным в хранилище метаданных, можно удалить связь хранилища с рабочей областью.

Предупреждение

При разрыве связи между рабочей областью и хранилищем метаданных Unity Catalog:

• Пользователи в рабочей области больше не смогут получать доступ к данным в хранилище метаданных.
• Вы нарушите работу любой записной книжки, запроса или задания, которые ссылаются на данные, управляемые в хранилище метаданных.

1. Войдите в консоль учетной записи с правами администратора учетных записей.
2. Щелкните каталог.
3. Щелкните имя хранилища метаданных.
4. На вкладке Рабочие области найдите рабочую область, которую нужно удалить из хранилища метаданных.
5. Щелкните меню с тремя кнопками в правой части строки рабочей области и выберите Удалить из этого хранилища метаданных.
6. В диалоговом окне подтверждения щелкните Отменить назначение.

После завершения удаления рабочая область больше не будет отображаться на вкладке Рабочие области хранилища метаданных.