Configurar o Compartilhamento Delta na sua conta (para provedores)
Este artigo descreve como os provedores de dados (organizações que desejam usar o Compartilhamento Delta para compartilhar dados com segurança) executam a configuração inicial do Compartilhamento Delta no Azure Databricks.
Observação
Se você for um destinatário de dados (uma organização que recebe dados compartilhados utilizando o Compartilhamento Delta), consulte Leitura de dados compartilhados utilizando o Compartilhamento Delta do Databricks para o Databricks (para destinatários).
Importante
Um provedor que deseja usar o servidor do Compartilhamento Delta integrado ao Azure Databricks deve ter pelo menos um workspace habilitado para Unity Catalog. Você não precisa migrar todos os workspaces para o Unity Catalog. Você pode criar um workspace habilitado para Unity Catalog para gerenciamento de compartilhamento. Em algumas contas, novos workspaces são habilitados automaticamente para o Catálogo do Unity. Confira Habilitação automática do Catálogo do Unity.
Se a criação de um workspace habilitado para o Catálogo do Unity não for uma opção, use o projeto de código aberto Compartilhamento Delta para implantar seu servidor do Compartilhamento Delta e usá-lo para compartilhar tabelas Delta em qualquer plataforma.
A configuração inicial do provedor inclui as seguintes etapas:
- Habilitar o Compartilhamento Delta em um metastore do Catálogo do Unity.
- (Opcional) Instalar a CLI do Catálogo do Unity.
- Configurar auditorias de atividades do Compartilhamento Delta.
Requisitos
Como um provedor de dados que está configurando sua conta do Azure Databricks para poder compartilhar dados, você deve ter:
Pelo menos um workspace do Azure Databricks que esteja habilitado para o Unity Catalog.
Você não precisa migrar todos os workspaces para o Unity Catalog para aproveitar o suporte do Databricks para provedores do Compartilhamento Delta. Confira Preciso que o Unity Catalog use o Compartilhamento Delta?.
Os destinatários não precisam ter um espaço de trabalho habilitado no Catálogo do Unity.
Função de administrador da conta para habilitar o Compartilhamento Delta no metastore do Catálogo do Unity e habilitar o log de auditoria.
Função de administrador de metastore ou os privilégios
CREATE SHAREeCREATE RECIPIENT. Consulte Funções de administrador.Observação
Se o workspace foi habilitado automaticamente para o Catálogo do Unity, talvez você não tenha um administrador de metastore. No entanto, por padrão, os administradores de workspace nesses workspaces têm os privilégios
CREATE SHAREeCREATE RECIPIENTno metastore. Para obter mais informações, Confira Habilitação automática do Catálogo do Unity e Privilégios de administrador de workspace quando os workspaces estão habilitados automaticamente para o Catálogo do Unity.
Habilitar o Compartilhamento Delta em um metastore
Siga estas etapas para cada metastore do Catálogo do Unity que gerencia os dados que você planeja compartilhar usando o Compartilhamento Delta.
Observação
Não é necessário habilitar o Compartilhamento Delta no metastore para usar o Compartilhamento Delta apenas a fim de compartilhar dados com usuários em outros metastores do Catálogo do Unity em sua conta. O compartilhamento de metastore para metastore em uma única conta do Azure Databricks é habilitado por padrão.
Como administrador de conta do Azure Databricks, faça logon no console da conta.
Na barra lateral, clique em
Catálogo.Clique no nome de um metastore para abrir os detalhes dele.
Clique na caixa de seleção ao lado de Habilitar o Compartilhamento Delta para permitir que um usuário do Databricks compartilhe dados fora de sua organização.
Configure o tempo de vida do token do destinatário.
Essa configuração define o período de tempo após o qual todos os tokens de destinatário expiram e devem ser regenerados. Os tokens de destinatário são usados somente no protocolo de compartilhamento aberto. O Databricks recomenda configurar um tempo de vida de token padrão em vez de permitir que os tokens sejam válidos indefinidamente.
Observação
O tempo de vida do token de destinatários existentes não é atualizado automaticamente ao alterar o tempo de vida do token de destinatário padrão para um metastore. Para aplicar um novo tempo de vida de token a um determinado destinatário, é necessário girar o token. Confira Gerenciar tokens de destinatário (compartilhamento aberto).
Para definir o tempo de vida do token do destinatário padrão:
Confirme se Definir expiração está habilitado (esse é o padrão).
Se você desmarcar essa caixa de seleção, os tokens nunca expirarão. O Databricks recomenda que você configure os tokens para que eles expirem.
Insira um número de segundos, minutos, horas ou dias e selecione a unidade de medida.
Clique em Habilitar.
Para saber mais, confira Considerações de segurança para tokens.
Opcionalmente, insira um nome para sua organização que um destinatário possa usar para identificar quem está realizando o compartilhamento com ele.
Clique em Habilitar.
(Opcional) Instalar a CLI do Catálogo do Unity
Para gerenciar compartilhamentos e destinatários, use o Catalog Explorer, comandos SQL ou a CLI do Unity Catalog. A CLI é executada no ambiente local e não exige recursos de computação do Azure Databricks.
Para instalar a CLI, Confira O que é a CLI do Databricks?.
Habilitar a criação de logs de auditoria
Como administrador de conta do Azure Databricks, é necessário habilitar a criação de logs de auditoria para capturar eventos do Compartilhamento Delta, como:
- Quando alguém cria, modifica, atualiza ou exclui um compartilhamento ou um destinatário
- Quando um destinatário acessa um link de ativação e baixa a credencial (somente compartilhamento aberto)
- Quando um destinatário acessa dados
- Quando a credencial de um destinatário é girada ou expira (somente compartilhamento aberto)
A atividade do Compartilhamento Delta é registrada na conta.
Para habilitar a criação de logs de auditoria, siga as instruções em Referência de log de diagnóstico.
Importante
A atividade do Compartilhamento Delta é registrada na conta. Ao configurar a entrega de log, não insira um valor para workspace_ids_filter.
Para obter informações detalhadas sobre como os eventos de Compartilhamento Delta são registrados, veja Auditar e monitorar o compartilhamento de dados.
Conceder permissão para criar e gerenciar compartilhamentos e destinatários
Os administradores de metastore têm o direito de criar e gerenciar compartilhamentos e destinatários, incluindo a concessão de compartilhamentos aos destinatários. Muitas tarefas de provedor podem ser delegadas por um administrador de metastore usando os seguintes privilégios:
Observação
Se o workspace foi habilitado automaticamente para o Catálogo do Unity, talvez você não tenha um administrador de metastore. No entanto, por padrão, os administradores de workspace nesses workspaces têm os privilégios CREATE SHARE e CREATE RECIPIENT no metastore. Para obter mais informações, Confira Habilitação automática do Catálogo do Unity e Privilégios de administrador de workspace quando os workspaces estão habilitados automaticamente para o Catálogo do Unity.
CREATE SHAREno metastore concede a capacidade de criar compartilhamentos.CREATE RECIPIENTno metastore concede a capacidade de criar destinatários.USE RECIPIENTno metastore concede a capacidade de listar e exibir detalhes para todos os destinatários no metastore.USE SHAREno metastore concede a capacidade de listar e exibir detalhes para todos os compartilhamentos no metastore.USE RECIPIENT,USE SHARE,eSET SHARE PERMISSIONcombinados dão a um usuário a capacidade de conceder acesso de compartilhamento aos destinatários.USE SHAREeSET SHARE PERMISSIONcombinados dão a um usuário a capacidade de transferir a propriedade de qualquer compartilhamento.- Os proprietários de compartilhamentos e destinatários podem atualizar esses objetos e conceder compartilhamentos aos destinatários. Os criadores de objetos recebem a propriedade por padrão, mas a propriedade pode ser transferida.
- Os proprietários de compartilhamentos podem adicionar tabelas e volumes aos compartilhamentos, desde que tenham o acesso
SELECTàs tabelas e acessoREAD VOLUMEaos volumes.
Para obter detalhes, consulte Privilégios e objetos protegíveis do Catálogo do Unity e as permissões listadas para cada tarefa descrita no guia do Compartilhamento Delta.