Configure o Delta Sharing para sua conta (para provedores)

Este artigo descreve como os provedores de dados (organizações que desejam usar o Delta Sharing para compartilhar dados com segurança) realizam a configuração inicial do Delta Sharing no Databricks.

Observação

Se o senhor for um destinatário de dados (uma organização que recebe dados compartilhados usando Delta Sharing), consulte Ler dados compartilhados usando Databricks-to-Databricks Delta Sharing (para destinatários).

Importante

Um provedor que deseja usar o servidor Delta Sharing incorporado ao Databricks deve ter pelo menos um workspace habilitado para Unity Catalog. O senhor não precisa migrar todo o seu espaço de trabalho para Unity Catalog. O senhor pode criar um site habilitado para o Unity Catalog workspace para o gerenciamento de compartilhamentos. Em algumas contas, o novo espaço de trabalho é ativado automaticamente para Unity Catalog. Consulte Ativação automática do Unity Catalog.

Se a criação de um novo workspace habilitado para o Unity Catalog não for uma opção, o senhor pode usar o projeto código aberto Delta Sharing para implantar seu próprio servidor Delta Sharing e usá-lo para compartilhar tabelas Delta de qualquer plataforma.

A configuração inicial do provedor inclui os seguintes passos:

  1. Habilite o Delta Sharing em um metastore do Unity Catalog.

  2. (Opcional) Instale a CLI do Unity Catalog.

  3. Configure as auditorias da atividade do Delta Sharing.

Requisitos

Como um provedor de dados que está configurando seu Databricks account para poder compartilhar dados, o senhor deve ter:

Ativar o Delta Sharing em um metastore

Siga estes passos para cada Unity Catalog metastore que gerenciar dados que o senhor planeja compartilhar usando o Delta Sharing.

Observação

Você não precisa habilitar o compartilhamento Delta em seu metastore se pretende usar o compartilhamento Delta apenas para compartilhar dados com usuários em outros metastore do Unity Catalog em sua account. O compartilhamento de metastore para metastore em uma única account do Databricks é habilitado por default.

  1. Databricks account Comolog in account administrador de , acesse o console em .

  2. Na barra lateral, clique em Ícone de catálogo Catalog.

  3. Clique no nome de um metastore para abrir seus detalhes.

  4. Clique na caixa de seleção ao lado de Enable Delta Sharing para permitir que um usuário do Databricks compartilhe dados fora de sua organização.

  5. Configure o tempo de vida dos tokens do destinatário.

    Essa configuração define o período de tempo após o qual todos os tokens de destinatário expiram e precisam ser gerados novamente. Os tokens de destinatário são usados somente no protocolo de compartilhamento aberto. Databricks recomenda que o senhor configure um tempo de vida útil dos tokens default em vez de permitir que o tokens tenha vida indefinida.

    Observação

    O tempo de vida dos tokens de destinatário para os destinatários existentes não é atualizado automaticamente quando o senhor altera o tempo de vida dos tokens de destinatário do default para um metastore. Para aplicar um novo tempo de vida de tokens a um determinado destinatário, o senhor deve girar os tokens dele. Consulte gerenciar destinatário tokens (compartilhamento aberto).

    Para definir o tempo de vida dos tokens do destinatário do default:

    1. Confirme se Set expiration está ativado (esse é o endereço default).

      Se o senhor desmarcar essa caixa de seleção, os tokens nunca expirarão. A Databricks recomenda que o senhor configure os tokens para expirar.

    2. Digite um número de segundos, minutos, horas ou dias e selecione a unidade de medida.

    3. Clique em Enable.

    Para obter mais informações, consulte Considerações de segurança para tokens.

  6. Opcionalmente, insira um nome para sua organização que um destinatário possa usar para identificar quem está compartilhando com ele.

  7. Clique em Enable.

(Opcional) Instale a CLI do Unity Catalog

Para gerenciar compartilhamentos e destinatários, o senhor pode usar o Catalog Explorer, o SQL comando ou o Unity Catalog CLI. A CLI execução em seu ambiente local e não requer Databricks compute recurso.

Para instalar a CLI, consulte O que é a CLI da Databricks?

Ativar o registro de auditoria

Como administrador do Databricks account , o senhor deve ativar o registro de auditoria para capturar os eventos do Delta Sharing, como, por exemplo, os eventos do :

  • Quando alguém cria, modifica, atualiza ou exclui um compartilhamento ou um destinatário

  • Quando um destinatário acessa um link de ativação e downloads a credencial (somente compartilhamento aberto)

  • Quando um destinatário acessa os dados

  • Quando a credencial de um destinatário é rotacionada ou expira (somente compartilhamento aberto)

Delta Sharing A atividade é registrada no nível account.

Para ativar o registro de auditoria, siga as instruções em Audit log reference.

Importante

Delta Sharing A atividade é registrada no nível account. Quando o senhor configurar a entrega log, não insira um valor para workspace_ids_filter.

Para obter informações detalhadas sobre como os eventos do Delta Sharing são registrados, consulte Auditar e monitorar o compartilhamento de dados.

Conceder permissão para criar e gerenciar compartilhamentos e destinatários

Os administradores do Metastore têm o direito de criar e gerenciar compartilhamentos e destinatários, incluindo a concessão de compartilhamentos a destinatários. Muitas tarefas do provedor podem ser delegadas por um administrador do metastore usando os seguintes privilégios:

Observação

Se o seu workspace foi ativado automaticamente para Unity Catalog, talvez o senhor não tenha um administrador de metastore. No entanto, os administradores do workspace nesse espaço de trabalho têm os privilégios CREATE SHARE e CREATE RECIPIENT no metastore pelo default. Para obter mais informações, consulte Ativação automática de Unity Catalog e privilégios de administrador do espaço de trabalho quando o espaço de trabalho é ativado automaticamente para Unity Catalog .

  • CREATE SHARE no metastore concede a capacidade de criar compartilhamentos.

  • CREATE RECIPIENT no metastore concede a capacidade de criar destinatários.

  • USE RECIPIENT concede a capacidade de listar e view detalhes de todos os destinatários no metastore.

  • USE SHARE no metastore concede a capacidade de listar e view detalhes de todos os compartilhamentos no metastore.

  • USE RECIPIENTUSE SHARE, e SET SHARE PERMISSION combinados dão a um usuário a capacidade de conceder acesso de compartilhamento aos destinatários.

  • USE SHARE e SET SHARE PERMISSION combinados dão a um usuário a capacidade de transferir a propriedade de qualquer ação.

  • Os proprietários de ações e destinatários podem atualizar esses objetos e conceder ações aos destinatários. A propriedade é concedida aos criadores de objetos pelo site default, mas a propriedade pode ser transferida.

  • Os proprietários de ações podem adicionar tabelas e volumes às ações, desde que tenham acesso SELECT às tabelas e READ VOLUME aos volumes.

Para obter detalhes, consulte os privilégios e objetos protegidos do Unity Catalog e as permissões listadas para cada tarefa descrita no guia Delta Sharing.