本页概述了提供程序如何使用 Delta Sharing 开放的共享协议,与任何计算平台上的任何用户共享已启用 Unity 目录的 Azure Databricks 工作区中的数据。 如果你是数据接收者(正在与其共享数据的用户或用户组),请参阅使用 Delta Sharing 访问与你共享的数据(适用于接收者)。
有 3 种方法来使用 Delta Sharing 共享数据:
Databricks 开放共享协议(参见本文),它让你能够与任何计算平台上的用户共享你在启用了 Unity Catalog 的 Databricks 工作区中管理的数据。
此方法使用 Azure Databricks 中内置的 Delta Sharing 服务器。当你使用 Unity Catalog 管理数据并希望与不使用 Databricks 或无权访问支持 Unity Catalog 的 Databricks 工作区的用户共享数据时,此方法非常有用。 与提供者端的 Unity Catalog 的集成简化了提供者的设置和管理。
开源 Delta Sharing 服务器的客户管理的实现,它让你能够在任何平台之间进行共享(无论是否是 Databricks)。
Databricks 到 Databricks 共享协议,它让你能够将你启用了 Unity Catalog 的工作区中的数据与也有权访问已启用 Unity Catalog 的 Databricks 工作区的用户进行共享。
有关 Delta Sharing 的简介以及这三种方法的相关详细信息,请参阅什么是 Delta Sharing?。
本部分提供开放共享工作流的大致概述,并提供每个步骤的详细文档链接。
在 Delta Sharing 开放共享模型中:
数据提供程序会创建一个收件人,该收件人是一个命名对象,表示数据提供程序要与之共享数据的用户或用户组。
当数据提供方创建收件人时,提供方将使用长期有效的持有者令牌或 Open ID Connect (OIDC) 联合身份联邦来设置身份验证。 如果提供程序使用持有者令牌,Azure Databricks 将生成凭据文件和数据提供程序可以发送到收件人以访问凭据文件的激活链接。 在 OIDC 联合流中,收件人的 IdP 基于提供程序创建的策略管理身份验证。
有关详细信息,请参阅 为非 Databricks 用户创建收件人对象(使用持有者令牌进行开放共享) 和 使用 Open ID Connect (OIDC)联合身份验证来启用 Delta Sharing 共享的身份验证(开放共享)。
数据提供程序创建一个共享,该共享是一个命名对象,包含在提供程序帐户的 Unity Catalog 元存储中注册的表的集合。
有关详细信息,请参阅创建和管理 Delta Sharing 的共享。
数据提供程序为接收者授予对共享的访问权限。
有关详细信息,请参阅管理对 Delta Sharing 数据共享的访问权限(适用于提供者)。
在持有者令牌流程中,数据提供方通过安全通道将激活链接发送给接收者,并附带使用这些链接下载凭证文件的说明,该凭证文件将用于与数据提供方建立安全连接,以接收共享数据。
有关详细信息,请参阅 “获取激活”链接。
在 OIDC 联合流中,收件人通过其 IdP 进行身份验证。 请参阅使用 Open ID Connect (OIDC) 联合身份验证启用对 Delta Sharing 共享(开放共享)的身份验证。
在持有者令牌流中,数据接收者遵循激活链接下载凭据文件,然后使用凭据文件访问共享数据。
共享数据是只读的。 用户可以使用其选择的平台或工具访问数据。 有关详细信息,请参阅使用 Delta Sharing 开放共享和持有者令牌读取共享的数据(针对接收者)。
在 OIDC 联合流中,收件人通过其 IdP 进行身份验证。 请参阅使用 Open ID Connect (OIDC) 联合身份验证启用对 Delta Sharing 共享(开放共享)的身份验证。
许多提供商都有自己的 Delta Sharing 网络进行共享。 有关特定共享说明,请参阅以下示例:
使用开放共享模型时,良好的令牌管理是安全共享数据的关键:
- 如果 Azure Databricks 上的数据提供者打算在提供共享时使用开放共享,则他们在为其 Unity Catalog 元存储启用 Delta Sharing 时,必须配置默认接收者令牌生存期。 Databricks 建议为令牌配置有效期限。 请参阅对元存储启用 Delta Sharing。
- 如果需要修改默认令牌生存期,请参阅修改收件人令牌生存期。
- 鼓励收件人安全地管理其下载的凭据文件。
- 有关令牌管理和打开共享安全性的详细信息,请参阅 “管理收件人令牌”。
- 云环境类型(例如,从 AWS 商业云到 AWS GovCloud 或 Azure 中国)之间支持开放共享。
数据提供程序可以通过指定 IP 访问列表来限制收件人访问特定的网络位置,从而提供额外的安全性。 请参阅使用 IP 访问列表限制 Delta Sharing 接收者访问权限(开放共享)。