이 페이지에서는 공급자가 OpenSharing Databricks-to-Open 공유 프로토콜을 사용하여 Unity 카탈로그 지원 Azure Databricks 작업 영역의 데이터를 모든 컴퓨팅 플랫폼의 모든 사용자와 공유하는 방법에 대한 개요를 제공합니다. 데이터 수신자(데이터가 공유되는 사용자 또는 사용자 그룹)인 경우 OpenSharing(받는 사람용)을 사용하여 공유된 데이터에 액세스하는 대신 참조하세요.
OpenSharing Databricks-to-Open 공유 프로토콜을 사용해야 하는 사람은 누구인가요?
OpenSharing을 사용하여 데이터를 공유하는 세 가지 방법이 있습니다.
이 문서에서 다루는 Databricks-to-Open 공유 프로토콜을 사용하면 Unity 카탈로그 지원 Databricks 작업 영역에서 관리하는 데이터를 모든 컴퓨팅 플랫폼의 사용자와 공유할 수 있습니다.
이 방법은 Azure Databricks 기본 제공되는 OpenSharing 서버를 사용하며, Unity 카탈로그를 사용하여 데이터를 관리하고 Databricks를 사용하지 않거나 Unity 카탈로그 지원 Databricks 작업 영역에 액세스할 수 없는 사용자와 공유하려는 경우에 유용합니다. 공급자 쪽에서 Unity 카탈로그와 통합하면 공급자에 대한 설정 및 거버넌스가 간소화됩니다.
오픈 소스 OpenSharing 서버의 고객 관리형 구현 을 사용하면 Databricks 여부와 관계없이 모든 플랫폼에서 모든 플랫폼으로 공유할 수 있습니다.
Databricks-to-Databricks 공유 프로토콜을 사용하면 Unity 카탈로그가 활성화된 작업 영역의 데이터를 Unity 카탈로그가 활성화된 Databricks 작업 영역에 액세스할 수 있는 사용자와 공유할 수 있습니다.
OpenSharing에 대한 소개 및 이러한 세 가지 방법에 대한 자세한 내용은 OpenSharing이란?을 참조하세요.
OpenSharing Databricks-to-Open 공유 워크플로
이 섹션에서는 각 단계에 대한 자세한 설명서에 대한 링크와 함께 Databricks-to-Open 공유 워크플로에 대한 개략적인 개요를 제공합니다.
OpenSharing Databricks-to-Open 공유 모델에서:
데이터 공급자는 데이터 공급자가 데이터를 공유하려는 사용자 또는 사용자 그룹을 나타내는 명명된 개체인 수신자를 만듭니다.
데이터 공급자가 받는 사람을 만들 때 공급자는 수명이 긴 전달자 토큰 또는 OIDC(Open ID Connect) 페더레이션을 사용하여 인증을 설정합니다. 공급자가 전달자 토큰을 사용하는 경우 Azure Databricks는 자격 증명 파일 및 데이터 공급자가 자격 증명 파일에 액세스하기 위해 받는 사람에게 보낼 수 있는 활성화 링크를 생성합니다. OIDC 페더레이션 흐름에서 받는 사람의 IdP는 공급자가 만든 정책에 따라 인증을 관리합니다.
자세한 내용은 전달자 토큰을 사용하여 Databricks가 아닌 사용자에 대한 받는 사람 개체 만들기(Databricks-to-Open 공유) 또는 OpenSharing 받는 사람에 대한 OIDC(Open ID Connect) 페더레이션 사용)을 참조하세요.
데이터 공급자는 공급자 계정의 Unity 카탈로그 메타스토어에 등록된 테이블 컬렉션을 포함하는 명명된 개체인 공유를 만듭니다.
자세한 내용은 OpenSharing에 대한 공유 만들기를 참조하세요.
데이터 공급자는 수신자에게 공유에 대한 액세스 권한을 부여합니다.
자세한 내용은 OpenSharing 데이터 공유에 대한 액세스 관리(공급자용)를 참조하세요.
전달자 토큰 흐름에서 데이터 공급자는 인증 링크를 사용하여 받는 사람이 공유 데이터를 받기 위해 데이터 공급자와 보안 연결을 설정하는 데 사용할 자격 증명 파일을 다운로드하기 위한 지침과 함께 보안 채널을 통해 받는 사람에게 활성화 링크를 보냅니다.
자세한 내용은 활성화 링크를 가져오기를 참조하세요.
OIDC 페더레이션 흐름에서 받는 사람은 IdP를 통해 인증합니다. OpenSharing 받는 사람에 대한 OIDC(Open ID Connect) 페더레이션 사용을 참조하세요.
전달자 토큰 흐름에서 데이터 수신자는 활성화 링크를 따라 자격 증명 파일을 다운로드한 다음 자격 증명 파일을 사용하여 공유 데이터에 액세스합니다.
공유 데이터는 읽기 전용으로 사용할 수 있습니다. 사용자는 플랫폼 또는 선택한 도구를 사용하여 데이터에 액세스할 수 있습니다. 자세한 내용은 전달자 토큰과 OpenSharing Databricks-to-Open 공유를 사용하여 공유된 데이터 읽기를 참조하세요.
OIDC 페더레이션 흐름에서 받는 사람은 IdP를 통해 인증합니다. OpenSharing 받는 사람에 대한 OIDC(Open ID Connect) 페더레이션 사용을 참조하세요.
공급자별 구성
많은 공급자에는 공유를 위한 자체 OpenSharing 네트워크가 있습니다. 특정 공유 지침은 다음을 참조하세요.
클라우드 토큰 및 디렉터리 기반 액세스
Databricks-to-Open 공유를 사용하여 적격 델타 테이블을 공유하는 경우 Azure Databricks 받는 사람이 클라우드 스토리지에서 직접 데이터를 읽는 데 사용할 수 있는 임시 클라우드 자격 증명(클라우드 토큰)과 함께 테이블의 클라우드 스토리지 위치를 반환합니다. 이를 디렉터리 기반 액세스 모드 라고 하며 Databricks-to-Open 공유 프로토콜의 일부입니다. 자격 요구 사항을 충족하는 새로 공유된 자산에 대해 기본적으로 사용하도록 설정됩니다. 공유 테이블이 모든 요구 사항을 충족하지 않는 경우 수신자는 미리 서명된 URL 액세스를 정상적으로 사용합니다.
자격 요구 사항 및 데이터 개인 정보 보호 고려 사항은 클라우드 토큰 자격을 참조하세요.
Databricks-to-Open 공유에 대한 공급자 설정 및 보안 고려 사항
Databricks-to-Open 공유 모델을 사용할 때 데이터를 안전하게 공유하는 데 좋은 토큰 관리가 중요합니다.
- 공유를 제공할 때 Databricks-to-Open 공유를 사용하려는 Azure Databricks 데이터 공급자는 Unity 카탈로그 메타스토어에 대해 OpenSharing을 사용하도록 설정할 때 기본 받는 사람 토큰 수명을 구성해야 합니다. Databricks는 토큰이 만료되도록 구성할 것을 권장합니다. 메타스토어에서 OpenSharing 사용을 참조하세요.
- 기본 토큰 수명을 수정해야 하는 경우 수신자 토큰 수명 수정을 참조하세요.
- 수신자에게 다운로드한 자격 증명 파일을 안전하게 관리하도록 독려합니다.
- 토큰 관리 및 Databricks-to-Open 공유 보안에 대한 자세한 내용은 받는 사람 토큰 관리를 참조하세요.
- Databricks-to-Open 공유는 모든 클라우드 환경 유형 간에 지원됩니다.
데이터 공급자는 IP 액세스 목록을 할당하여 수신자 액세스를 특정 네트워크 위치로 제한하여 추가 보안을 제공할 수 있습니다. IP 액세스 목록을 사용하여 OpenSharing 받는 사람 액세스 제한(Databricks-to-Open 공유)을 참조하세요.