為 Unity Catalog 啟用工作區

本文說明如何透過指派 Unity Catalog 中繼存放區來啟用工作區。本文僅適用於您升級現有的非 Unity 目錄工作區以使用 Unity 目錄時。

重要

2023 年 11 月 9 日，Databricks 開始自動啟用 Unity 目錄的新工作區，並逐步推出。如果您的工作區已針對 Unity 目錄自動啟用，則本文不適用於您。

若要判斷您的工作區是否已針對 Unity 目錄啟用，請參閱步驟 1：確認您的工作區已啟用 Unity 目錄。

關於啟用 Unity Catalog 工作區

啟用工作區的 Unity Catalog 意味著：

該工作區中的使用者可能會存取帳戶中其他工作區中的使用者可以存取的相同數據，而數據管理人可以跨工作區集中管理該數據存取
數據存取會自動稽核
工作區已啟用身分識別同盟，可讓系統管理員使用帳戶控制台和其他帳戶層級介面集中管理身分識別。這包括將使用者指派給工作區。

若要啟用適用於 Unity 目錄的 Azure Databricks 工作區，請將工作區指派給 Unity 目錄中繼存放區。中繼存放區是 Unity 目錄中數據的最上層容器。每個元儲存庫都暴露出一個三層命名空間（即 catalog.schema.table），可透過此空間組織資料。

您可以在帳戶中的多個 Azure Databricks 工作區之間共用單一中繼存放區。每個連結的工作區在中繼存放區中都有相同的數據檢視，而且您可以跨工作區管理數據訪問控制。您可以為每個區域建立一個中繼存放區，並將它附加至該區域中任意數目的工作區。

啟用 Unity 目錄工作區之前的考慮

在啟用 Unity Catalog 的工作區之前，您應該：

了解在啟用了 Unity Catalog 的工作區中，工作區管理員的許可權，並檢視您現有的工作區管理員指派。

工作區管理員是一個特權角色，您應該謹慎分配。

工作區管理員可以管理其工作區的作業，包括新增使用者及服務主體、建立叢集，以及將其他使用者委派為工作區管理員。如果您的工作區自動啟用 Unity 目錄，工作區管理員預設也會有一些額外的許可權，包括建立大部分的 Unity Catalog 物件類型，以及授與他們所建立物件的存取權。請參閱 Unity 目錄中系統管理員權限。

如果您的工作區未自動啟用 Unity Catalog，那麼您的工作區管理員預設對 Unity Catalog 物件的存取權不會高於其他使用者，但他們確實能夠執行工作區管理任務，例如管理工作擁有權和檢視筆記本，這可能會間接提供對 Unity Catalog 中註冊資料的存取權。

帳戶管理員可以使用此 RestrictWorkspaceAdmins 設定來限制工作區管理員權限。請參閱限制工作區管理員。

如果您使用工作區來隔離用戶數據存取，您可能想要使用工作區目錄系結。工作區目錄系結可讓您依工作區界限限制目錄存取。例如，您可以確保工作區管理員和使用者只能從生產工作區環境prod_workspace中存取prod_catalog中的生產資料。預設為與連結至目前中繼存放區的所有工作區共享目錄。同樣地，您可以將存取系結至外部位置，使其只能從指定的工作區存取。請參閱限制特定工作區的目錄存取權和（選擇性）將外部位置指派給特定工作區。
更新任何已設定為管理使用者、群組和服務主體的自動化，例如 SCIM 布建連接器和 Terraform 自動化，以便他們參考帳戶端點，而不是工作區端點。請參閱帳戶層級和工作區層級 SCIM 布建。
請注意，啟用 Workspace 的 Unity Catalog 後，將無法撤銷。啟用工作區之後，您將使用帳戶層級介面來管理此工作區的使用者、群組和服務主體。

需求

您必須先為 Azure Databricks 帳戶設定 Unity 目錄中繼存放區，才能啟用 Unity 目錄目錄的工作區。請參閱建立 Unity 目錄中繼存放區。