为 Unity Catalog 启用工作区

  • 项目

本文介绍如何通过分配 Unity Catalog 元存储来为 Unity Catalog 启用工作区。

重要

Databricks 于 2023 年 11 月 9 日开始自动为 Unity Catalog 启用新工作区,并逐步继续推出。 如果你的工作区已自动启用 Unity Catalog,则本文不适用于你。

若要确定是否已为 Unity 目录启用工作区,请参阅步骤 1:确认为 Unity Catalog 启用了工作区

关于为 Unity Catalog 启用工作区

为工作区启用 Unity Catalog 意味着:

  • 该工作区中的用户可能会访问帐户中其他工作区中的用户可以访问的相同数据,并且数据专员可以跨工作区集中管理该数据访问
  • 自动审核数据访问
  • 为工作区启用联合身份验证,以允许管理员使用帐户控制台和其他帐户级界面集中管理标识。 这包括将用户分配到工作区

要为 Unity Catalog 启用 Azure Databricks 工作区,请将工作区分配给 Unity Catalog 元存储。 元存储是 Unity Catalog 中数据的顶级容器。 每个元存储公开一个 3 级命名空间 (catalog.schema.table),可在该命名空间组织数据。

可以在帐户中的多个 Azure Databricks 工作区之间共享单个元存储。 每个链接的工作区都具有相同的元存储数据视图,可以跨工作区管理数据访问控制。 可以为每个区域创建一个元存储,并将其附加到该区域中任意数量的工作区。

为 Unity Catalog 启用工作区之前的注意事项

在为 Unity Catalog 启用工作区之前,你应该:

  • 了解为 Unity Catalog 启用的工作区中工作区管理员的权限,并查看现有的工作区管理员分配。

    工作区管理员可以管理其工作区内的操作,包括添加用户和服务主体、创建群集,以及将其他用户指派到为工作区管理员。 虽然工作区管理员无法像元存储管理员那样管理对存储在 Unity Catalog 中的数据的访问权限,不过他们却能够执行管理作业所有权和查看笔记本等工作区管理任务,此类任务可提供对在 Unity Catalog 中注册的数据的间接访问权限。 工作区管理员是一个特权角色,应该谨慎分配。

    帐户管理员可以使用 RestrictWorkspaceAdmins 设置限制工作区管理员权限。 请参阅限制工作区管理员

    如果使用工作区来隔离用户数据访问,则可能需要使用工作区目录绑定。 通过工作区目录绑定,可以按工作区边界限制目录访问。 例如,可以确保工作区管理员和用户只能从生产工作区环境 prod_workspace 访问 prod_catalog 中的生产数据。 默认设置是与附加到当前元存储的所有工作区共享目录。 请参阅(可选)为特定工作区分配目录

  • 更新已配置为管理用户、组和服务主体的任何自动化(例如 SCIM 预配连接器和 Terraform 自动化),这样他们就可以引用帐户终结点而不是工作区终结点。 请参阅帐户级和工作区级 SCIM 预配

  • 请注意,无法撤销为 Unity Catalog 启用工作区的操作。 启用工作区后,你将使用帐户级界面管理此工作区的用户、组和服务主体。

要求

在为 Unity Catalog 启用工作区之前,必须已为 Azure Databricks 帐户配置 Unity Catalog 元存储。 请参阅创建 Unity Catalog 元存储

为工作区启用 Unity Catalog

创建元存储时,系统会提示你将工作区分配给该元存储,这样就会为这些工作区启用 Unity Catalog。 也可以在创建新工作区或修改现有工作区时为工作区启用 Unity Catalog。

若要启用现有工作区,请执行以下操作:

  1. 作为帐户管理员,登录到帐户控制台
  2. 点击目录图标目录
  3. 单击元存储名称。
  4. 单击“工作区”选项卡。
  5. 单击“分配到工作区”。
  6. 选择一个或多个工作区。 可以键入工作区名称的一部分来筛选列表。
  7. 单击“分配”。
  8. 在确认对话框中,单击“启用”。

若要在创建工作区时启用 Unity Catalog,请执行以下操作:

  1. 作为帐户管理员,登录到帐户控制台
  2. 单击工作区图标“工作区”
  3. 单击“启用 Unity Catalog”切换。
  4. 选择“元存储”。
  5. 在确认对话框中,单击“启用”。
  6. 完成工作区创建配置并单击“保存”。

完成分配后,工作区会显示在元存储的“工作区”选项卡中,而元存储会显示在工作区的“配置”选项卡上。

后续步骤

若要删除工作区对元存储中数据的访问权限,可以取消元存储与工作区的链接。

警告

如果断开工作区和 Unity Catalog 元存储之间的链接:

  • 工作区中的用户将无法再访问元存储中的数据。
  • 你将中断引用元存储中管理的数据的任何笔记本、查询或作业。
  1. 作为帐户管理员,登录到帐户控制台
  2. 点击目录图标目录
  3. 单击元存储名称。
  4. 在“工作区”选项卡上,找到要从元存储中删除的工作区。
  5. 单击工作区行最右侧的三个按钮菜单,然后选择“从此元存储中删除”。
  6. 在确认对话框中,单击“取消分配”。

删除完毕后,工作区不再显示在元存储的“工作区”选项卡中。