Configurer Delta Sharing pour votre compte (pour les fournisseurs)

  • Article

Cet article décrit comment les fournisseurs de données (organisations qui souhaitent utiliser Delta Sharing pour partager des données en toute sécurité) effectuent la configuration initiale de Delta Sharing sur Azure Databricks.

Remarque

Si vous êtes un destinataire de données (une organisation qui reçoit des données partagées à l'aide du partage Delta), consultez plutôt Lire les données partagées à l'aide du partage Delta Databricks-to-Databricks (pour les destinataires).

Important

Un fournisseur qui souhaite utiliser le serveur Delta Sharing intégré à Azure Databricks doit avoir au moins un espace de travail activé pour Unity Catalog. Vous n’avez pas besoin de migrer tous vos espaces de travail vers Unity Catalog. Vous pouvez créer un espace de travail avec Unity Catalog pour la gestion des partages. Dans certains comptes, de nouveaux espaces de travail sont activés automatiquement pour Unity Catalog. Consultez Activation automatique de Unity Catalog.

Si l’option de création d’un espace de travail activé pour Unity Catalog n’est pas disponible, vous pouvez utiliser le projet Delta Sharing open source pour déployer votre propre serveur Delta Sharing et l’utiliser pour partager des tables Delta à partir de n’importe quelle plateforme.

La configuration initiale du fournisseur comprend les étapes suivantes :

  1. Activez Delta Sharing pour un metastore Unity Catalog.
  2. (Facultatif) Installer l’interface CLI de Unity Catalog.
  3. Configurez les audits de l’activité Delta Sharing.

Spécifications

En tant que fournisseur de données qui configure votre compte Azure Databricks pour pouvoir partager des données, vous devez avoir :

Activer Delta Sharing sur un metastore

Effectuez ces étapes pour chaque metastore de Catalogue Unity qui manage les données où vous envisagez de partager à l’aide de Delta Sharing.

Notes

Vous n’avez pas besoin d’activer Delta Sharing sur votre metastore si vous envisagez d’utiliser Delta Sharing uniquement pour partager des données avec des utilisateurs sur d’autres metastores Unity Catalog dans votre compte. Le partage de metastore à metastore au sein d’un seul compte Azure Databricks est activé par défaut.

  1. En tant qu’administrateur de compte Azure Databricks, connectez-vous à la console de compte.

  2. Dans la barre latérale, cliquez sur icône Catalogue Catalogue.

  3. Cliquez sur le nom d’un metastore pour ouvrir ses détails.

  4. Cochez la case en regard de Activer Delta Sharing et autoriser un utilisateur Databricks à partager des données en dehors de son organisation.

  5. Configurez la durée de vie du jeton du destinataire.

    Cette configuration définit la période de temps après laquelle tous les jetons de destinataire expirent et doivent être régénérés. Les jetons de destinataire sont utilisés uniquement dans le protocole de partage ouvert . Databricks vous recommande de configurer une durée de vie de jeton par défaut plutôt que d’autoriser les jetons à vivre indéfiniment.

    Notes

    La durée de vie du jeton de destinataire pour les destinataires existants n’est pas automatiquement mise à jour lorsque vous modifiez la durée de vie du destinataire par défaut pour un metastore. Pour appliquer une nouvelle durée de vie de jeton à un destinataire donné, vous devez faire pivoter son jeton. Consultez Gérer les jetons de destinataire (partage ouvert).

    Pour configurer la durée de vie du jeton de destinataire par défaut :

    1. Vérifiez que Définir l’expiration est activé (il s’agit de la valeur par défaut).

      Si vous décochez cette case, les jetons n’expireront jamais. Databricks vous recommande de configurer les jetons pour qu’ils expirent.

    2. Entrez un nombre de secondes, de minutes, d’heures ou de jours, puis sélectionnez l’unité de mesure.

    3. Cliquez sur Activer.

    Pour plus d’informations, consultez Considérations relatives à la sécurité pour les jetons.

  6. Si vous le souhaitez, entrez un nom pour votre organisation qu’un destinataire peut utiliser pour identifier qui partage avec lui.

  7. Cliquez sur Activer.

(Facultatif) Installer l’interface CLI de Unity Catalog

Pour gérer les partages et les destinataires, vous pouvez utiliser Catalog Explorer, les commandes SQL ou l’interface CLI de Unity Catalog. L’interface CLI s’exécute dans votre environnement local et ne nécessite pas de ressources de calcul Azure Databricks.

Pour installer l’interface CLI, consultez Qu’est-ce que l’interface CLI Databricks ?.

Activer la journalisation d’audit

En tant qu’administrateur de compte Azure Databricks, vous devez activer la journalisation d’audit pour capturer les événements Delta Sharing, tels que :

  • Lorsqu’une personne crée, modifie, met à jour ou supprime un partage ou un destinataire
  • Lorsqu’un destinataire accède à un lien d’activation et télécharge les informations d’identification (partage ouvert uniquement)
  • Quand un destinataire accède aux données
  • Quand les informations d’identification d’un destinataire sont pivotées ou expirent (partage ouvert uniquement)

L’activité Delta Sharing est journalisée au niveau du compte.

Pour activer la journalisation d’audit, suivez les instructions fournies dans Journalisation des diagnostics.

Important

L’activité Delta Sharing est journalisée au niveau du compte. Lorsque vous configurez la remise des journaux, n’entrez pas de valeur pour workspace_ids_filter.

Pour plus d’informations sur la journalisation des événements de partage Delta, consultez Auditer et surveiller le partage de données.

Accorder l’autorisation de créer et de gérer des partages et des destinataires

Les administrateurs de metastore ont le droit de créer et de gérer des partages et des destinataires, y compris l’octroi de partages aux destinataires. De nombreuses tâches de fournisseur peuvent être déléguées par un administrateur de metastore à l’aide des privilèges suivants :

Remarque

Si votre espace de travail a été activé automatiquement pour Unity Catalog, vous n’avez peut-être pas d’administrateur de metastore. Toutefois, les administrateurs d’espace de travail dans de tels espaces de travail disposent des privilèges CREATE SHARE et CREATE RECIPIENT sur le metastore par défaut. Pour plus d’informations, consultez Activation automatique de Unity Catalog et Privilèges des administrateurs d’espace de travail lorsque les espaces de travail sont activés automatiquement pour Unity Catalog.

  • CREATE SHARE sur le metastore accorde la possibilité de créer des partages.
  • CREATE RECIPIENT sur le metastore accorde la possibilité de créer des destinataires.
  • USE RECIPIENT sur accorde la possibilité de répertorier et d’afficher les détails de tous les destinataires dans le metastore.
  • USE SHARE sur le metastore accorde la possibilité de répertorier et d’afficher les détails de tous les partages dans le metastore.
  • USE RECIPIENT, USE SHARE, et SET SHARE PERMISSION combinés donnent à un utilisateur la possibilité d’accorder l’accès au partage aux destinataires.
  • USE SHARE et SET SHARE PERMISSION combinés donnent à un utilisateur la possibilité de transférer la propriété de n’importe quel partage.
  • Les propriétaires de partages et de destinataires peuvent mettre à jour ces objets et accorder des partages aux destinataires. Les créateurs d’objets se voient accorder la propriété par défaut, mais la propriété peut être transférée.
  • Les propriétaires de partage peuvent ajouter des tables et des volumes à des partages, tant qu’ils ont un accès SELECT aux tables et un accès READ VOLUME aux volumes.

Pour plus d’informations, consultez Privilèges Unity Catalog et objets sécurisables , ainsi que les autorisations répertoriées pour chaque tâche décrite dans le guide de partage Delta.