Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье объясняется, как включить рабочую область для Unity Catalog, назначив метахранилище Unity Catalog. Эта статья применяется только при обновлении существующей рабочей области, не использующей Unity Catalog, для использования Unity Catalog.
Внимание
9 ноября 2023 г. Databricks начала автоматически включать новые рабочие области для Unity Catalog с постепенным развертыванием. Если ваша рабочая область была включена для каталога Unity автоматически, эта статья не применяется к вам.
Чтобы определить, включена ли ваша рабочая область для Unity Catalog, см. Шаг 1: Убедитесь, что ваша рабочая область включена для Unity Catalog.
О создании рабочих сред для Unity Catalog
Включение Unity Catalog для рабочей области означает следующее:
- Пользователи в этой рабочей области могут потенциально получать доступ к тем же данным, к которым могут обращаться пользователи в других рабочих областях вашей учетной записи, а администраторы данных могут централизованно управлять доступом к этим данным в разных рабочих областях.
- Аудит доступа к данным осуществляется автоматически.
- Федерация идентификационных данных включена для рабочей области, что позволяет администраторам централизованно управлять идентификационными данными через консоль учетной записи и другие интерфейсы на уровне учетной записи. Сюда входит назначение пользователей рабочим пространствам.
Чтобы включить рабочую область Azure Databricks для Unity Catalog, назначьте рабочую область в хранилище метаданных Unity Catalog. Хранилище метаданных — это контейнер верхнего уровня для данных в каталоге Unity. Каждое хранилище метаданных предоставляет трехуровневое пространство имен (то есть catalog.schema.table), с помощью которого можно упорядочить данные.
Одно хранилище метаданных можно совместно использовать в нескольких рабочих областях Azure Databricks в учетной записи. Каждая связанная рабочая область имеет одинаковое представление данных в хранилище метаданных, а управление доступом к данным можно осуществлять в разных рабочих областях. Вы можете создать одно хранилище метаданных для каждого региона и присоединить его к любому количеству рабочих областей в этом регионе.
Факторы, которые следует учитывать перед включением рабочей области для Unity Catalog
Перед включением рабочей области для Unity Catalog необходимо сделать следующее:
Изучите разрешения администраторов рабочих областей в рабочих областях, включенных для Unity Catalog, и просмотрите существующие назначения администраторов рабочих областей.
Администратор рабочей области — это привилегированная роль, которую следует тщательно распределить.
Администраторы рабочей области могут управлять операциями для своей рабочей области, включая добавление пользователей и субъектов-служб, создание кластеров и делегирование других пользователей администраторам рабочей области. Если ваша рабочая область была включена для каталога Unity автоматически, администратор рабочей области также имеет ряд дополнительных привилегий по умолчанию, включая возможность создания большинства типов объектов каталога Unity и предоставления доступа к созданным им объектам. Смотрите раздел "Права администратора" в каталоге Unity.
Если ваша рабочая область не включена для каталога Unity автоматически, администраторы рабочей области не имеют больше доступа к объектам каталога Unity по умолчанию, чем любой другой пользователь, но имеют возможность выполнять такие задачи управления рабочими областями, как управление владением заданиями и просмотр записных книжек, которые могут предоставить косвенный доступ к данным, зарегистрированным в каталоге Unity.
Администраторы учетных записей могут ограничить права администратора рабочей области с помощью
RestrictWorkspaceAdminsпараметра. См. раздел "Ограничение администраторов рабочей области".При использовании рабочих областей для изоляции доступа к данным пользователей может потребоваться использовать привязки каталога рабочей области. Привязки каталога рабочей области позволяют ограничить доступ к каталогам по границам рабочей области. Например, вы можете убедиться, что администраторы рабочей области и пользователи могут получать доступ к производственным данным только из производственной рабочей среды
prod_catalog. По умолчанию используется общий доступ к каталогу со всеми рабочими областями, подключенными к текущему хранилищу метаданных. Аналогичным образом можно привязать доступ к внешним расположениям, таким образом, чтобы они были доступны только из указанных рабочих областей. См. связывание каталога с рабочей областью и назначение внешнего расположения конкретным рабочим областям.Обновите все средства автоматизации, настроенные для управления пользователями, группами и субъектами-службами, такие как соединители подготовки SCIM и средства автоматизации Terraform, чтобы они ссылались на конечные точки учетных записей вместо конечных точек рабочих областей. См. статью Подготовка SCIM на уровне учетной записи и рабочей области.
Обратите внимание, что включение рабочей области для Unity Catalog невозможно отменить. После включения рабочей области вы будете управлять пользователями, группами и субъектами-службами для этой рабочей области с помощью интерфейсов уровня учетной записи.
Требования
Прежде чем включить рабочую область для Unity Catalog, необходимо настроить хранилище метаданных Unity Catalog для учетной записи Azure Databricks. См. статью Создание хранилища метаданных Unity Catalog.
Активируйте рабочую область для Unity Catalog
При создании хранилища метаданных вам будет предложено назначить рабочие области для этого хранилища метаданных, что позволяет использовать эти рабочие области для каталога Unity. Вы также можете вернуться в консоль учетной записи, чтобы включить рабочую область для каталога Unity в любое время.
Чтобы активировать существующую рабочую область для каталога Unity через консоль учетной записи:
- Войдите в консоль учетной записи с правами администратора учетных записей.
- Щелкните
Каталог. - Щелкните имя хранилища метаданных.
- Перейдите на вкладку Рабочие области.
- Нажмите Присвоить рабочей области.
- Выберите одну или несколько рабочих областей. Можно ввести часть имени рабочей области, чтобы отфильтровать список.
- Прокрутите внизу диалогового окна и нажмите кнопку "Назначить".
- В диалоговом окне подтверждения щелкните Включить.
По завершении назначения рабочая область появится на вкладке "Рабочие области" хранилища метаданных, а хранилище метаданных появится на вкладке "Конфигурация" рабочей области.
Следующие шаги
- Создание каталогов
- Создание схем
- Таблицы Azure Databricks
- Дополнительные сведения о каталоге Unity: Что такое каталог Unity?