Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Esta página apresenta uma visão geral de como os fornecedores podem usar o protocolo de partilha OpenSharing Databricks-to-Open para partilhar dados do seu espaço de trabalho Azure Databricks compatível com o Unity Catalog com qualquer utilizador em qualquer plataforma informática, em qualquer lugar. Se for um destinatário de dados (um utilizador ou grupo de utilizadores com quem os dados estão a ser partilhados), veja antes Aceder aos dados partilhados consigo através do OpenSharing (para destinatários).
Quem deve usar o protocolo de partilha OpenSharing Databricks-to-Open?
Existem três formas de partilhar dados usando o OpenSharing:
O protocolo de partilha Databricks-to-Open, abordado neste artigo, permite-lhe partilhar dados que gere num espaço de trabalho Databricks compatível com o Unity Catalog com utilizadores em qualquer plataforma informática.
Esta abordagem utiliza o servidor OpenSharing, que está integrado no Azure Databricks e é útil quando geres dados usando o Unity Catalog e queres partilhá-los com utilizadores que não usam Databricks ou não têm acesso a um espaço de trabalho Databricks com Unity Catalog. A integração com o Unity Catalog no lado do provedor simplifica a configuração e a governança para provedores.
Uma implementação gerida pelo cliente do servidor OpenSharing de código aberto permite-lhe partilhar a partir de qualquer plataforma para qualquer outra, quer seja Databricks ou não.
Veja o projeto open source.
O protocolo de compartilhamento Databricks-to-Databricks permite compartilhar dados de seu espaço de trabalho habilitado para Unity Catalog com usuários que também têm acesso a um espaço de trabalho Databricks habilitado para Unity Catalog.
Veja o que é o protocolo OpenSharing Databricks-to-Databricks.
Para uma introdução ao OpenSharing e mais informações sobre estas três abordagens, consulte O que é o OpenSharing?.
Fluxo de trabalho de partilha OpenSharing Databricks-to-Open
Esta secção fornece uma visão geral do fluxo de trabalho de partilha entre Databricks e Open, com ligações para a documentação detalhada de cada passo.
No modelo de partilha OpenSharing Databricks-to-Open:
O provedor de dados cria um destinatário, que é um objeto nomeado que representa um usuário ou grupo de usuários com o qual o provedor de dados deseja compartilhar dados.
Quando o provedor de dados cria o destinatário, o provedor configura a autenticação usando um token de portador de longa duração ou uma federação Open ID Connect (OIDC). Se o provedor usar um token de portador, o Azure Databricks gerará um arquivo de credenciais e um link de ativação que o provedor de dados poderá enviar ao destinatário para acessar o arquivo de credenciais. No fluxo de federação OIDC, o IdP do destinatário gerencia a autenticação, com base em uma política criada pelo provedor.
Para obter mais informações, consulte Criar um objeto de destinatário para utilizadores que não utilizam o Databricks com tokens bearer (partilha do Databricks para Open) ou Ativar a federação Open ID Connect (OIDC) para destinatários do OpenSharing.
O provedor de dados cria um compartilhamento, que é um objeto nomeado que contém uma coleção de tabelas registradas em um metastore do Unity Catalog na conta do provedor.
Para mais detalhes, consulte Criar partilhas para o OpenSharing.
O provedor de dados concede ao destinatário acesso ao compartilhamento.
Para mais detalhes, consulte Gerir o acesso a partilhas de dados OpenSharing (para fornecedores).
No fluxo de token do portador, o provedor de dados envia o link de ativação para o destinatário por um canal seguro, juntamente com instruções para usar o link de ativação para baixar o arquivo de credenciais que o destinatário usará para estabelecer uma conexão segura com o provedor de dados para receber os dados compartilhados.
Para obter detalhes, consulte Obter o link de ativação.
No fluxo de federação OIDC, os destinatários se autenticam por meio de seu IdP. Consulte Ativar a federação Open ID Connect (OIDC) para destinatários do OpenSharing.
No fluxo de token do portador, o destinatário dos dados segue o link de ativação para baixar o arquivo de credenciais e, em seguida, usa o arquivo de credenciais para acessar os dados compartilhados.
Os dados partilhados estão disponíveis apenas para leitura. Os utilizadores podem aceder aos dados utilizando a sua plataforma ou ferramentas à escolha. Para detalhes, consulte Ler dados partilhados usando OpenSharing Databricks-to-Open com tokens portadores.
No fluxo de federação OIDC, os destinatários se autenticam por meio de seu IdP. Consulte Ativar a federação Open ID Connect (OIDC) para destinatários do OpenSharing.
Configurações específicas do provedor
Muitos fornecedores têm as suas próprias redes OpenSharing para partilha. Para obter instruções de partilha específicas, consulte, por exemplo:
Tokens cloud e acesso baseado em diretórios
Quando partilha tabelas Delta elegíveis usando partilha Databricks-to-Open, o Azure Databricks devolve a localização de armazenamento na nuvem da tabela juntamente com credenciais temporárias na nuvem (tokens na nuvem) que os destinatários podem usar para ler dados diretamente a partir do armazenamento na nuvem. Isto chama-se modo de acesso baseado em diretórios e faz parte do protocolo de partilha Databricks-to-Open. Está ativada por defeito para ativos recentemente partilhados que cumprem os requisitos de elegibilidade. Se uma tabela partilhada não cumprir todos os requisitos, os destinatários utilizam o acesso a URL pré-assinado normalmente.
Para requisitos de elegibilidade e considerações de privacidade de dados, consulte elegibilidade para tokens na nuvem.
Configuração do fornecedor e considerações de segurança para partilha Databricks-to-Open
Uma boa gestão de tokens é fundamental para partilhar dados de forma segura quando utiliza o modelo de partilha Databricks-to-Open:
- Os fornecedores de dados no Azure Databricks que pretendam utilizar a partilha de Databricks para Open ao disponibilizarem partilhas têm de configurar o período de validade predefinido do token do destinatário ao ativarem o Open Sharing para o metastore do Unity Catalog. O Databricks recomenda que você configure os tokens para expirar. Veja Ativar o OpenSharing numa metastore.
- Se você precisar modificar o tempo de vida do token padrão, consulte Modificar o tempo de vida do token do destinatário.
- Incentive os destinatários a gerenciar o arquivo de credenciais baixado com segurança.
- Para mais informações sobre gestão de tokens e segurança de partilha Databricks-to-Open, consulte Gerir tokens de destinatários.
- A partilha Databricks-to-Open é suportada entre todos os tipos de ambientes cloud.
Os provedores de dados podem fornecer segurança adicional atribuindo listas de acesso IP para restringir o acesso de destinatários a locais de rede específicos. Veja Restringir o acesso do destinatário do Open Sharing através de listas de acesso IP (Databricks-to-Open Sharing).