啟用 Unity 目錄的工作區

發行項
05/03/2024

本文說明如何指派 Unity 目錄中繼存放區來啟用 Unity 目錄的工作區。

重要

2023 年 11 月 9 日，Databricks 開始自動啟用 Unity 目錄的新工作區，並逐步推出。如果您的工作區已針對 Unity 目錄自動啟用，則本文不適用於您。

若要判斷您的工作區是否已針對 Unity 目錄啟用，請參閱步驟 1：確認您的工作區已啟用 Unity 目錄。

關於啟用 Unity 目錄的工作區

開啟工作區的 Unity 目錄表示：

該工作區中的使用者可能會存取帳戶中其他工作區中的使用者可以存取的相同數據，而數據管理人可以跨工作區集中管理該數據存取
數據存取會自動稽核
工作區已啟用身分識別同盟，可讓系統管理員使用帳戶控制台和其他帳戶層級介面集中管理身分識別。這包括將使用者指派給工作區。

若要啟用適用於 Unity 目錄的 Azure Databricks 工作區，請將工作區指派給 Unity 目錄中繼存放區。中繼存放區是 Unity 目錄中數據的最上層容器。每個中繼存放區都會公開一個 3 層命名空間（catalog..tableschema），以便組織數據。

您可以在帳戶中的多個 Azure Databricks 工作區之間共用單一中繼存放區。每個連結的工作區在中繼存放區中都有相同的數據檢視，而且您可以跨工作區管理數據訪問控制。您可以為每個區域建立一個中繼存放區，並將它附加至該區域中任意數目的工作區。

啟用 Unity 目錄工作區之前的考慮

開啟 Unity 目錄的工作區之前，您應該：

了解針對 Unity 目錄啟用的工作區中工作區管理員的許可權，並檢閱現有的工作區管理員指派。

工作區系統管理員是您應該謹慎散發的特殊許可權角色。

工作區管理員可以管理其工作區的作業，包括新增使用者和服務主體、建立叢集，以及將其他使用者委派為工作區管理員。如果您的工作區自動啟用 Unity 目錄，工作區管理員預設也會有一些額外的許可權，包括建立大部分的 Unity Catalog 物件類型，以及授與他們所建立物件的存取權。請參閱 Unity 目錄中管理員許可權。

如果您的工作區未自動啟用 Unity 目錄，則您的工作區管理員預設不會再存取 Unity Catalog 物件，但他們確實能夠執行工作區管理工作，例如管理作業擁有權和檢視筆記本，這可能會間接存取 Unity 目錄中註冊的數據。

帳戶管理員可以使用 RestrictWorkspaceAdmins 設定來限制工作區系統管理員許可權。請參閱限制工作區管理員。

如果您使用工作區來隔離用戶數據存取，您可能想要使用工作區目錄系結。工作區目錄系結可讓您依工作區界限限制目錄存取。例如，您可以確定工作區管理員和使用者只能從生產工作區環境存取中的prod_catalog生產資料。 prod_workspace 預設值是與連結至目前中繼存放區的所有工作區共享目錄。請參閱（選擇性）將目錄指派給特定工作區。
更新任何已設定為管理使用者、群組和服務主體的自動化，例如 SCIM 布建連接器和 Terraform 自動化，以便他們參考帳戶端點，而不是工作區端點。請參閱帳戶層級和工作區層級 SCIM 布建。
請注意，無法反轉為 Unity 目錄啟用工作區。啟用工作區之後，您將使用帳戶層級介面來管理此工作區的使用者、群組和服務主體。

需求

您必須先為 Azure Databricks 帳戶設定 Unity 目錄中繼存放區，才能啟用 Unity 目錄目錄的工作區。請參閱建立 Unity 目錄中繼存放區。