Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Importante
Esta característica está en versión preliminar pública.
Azure Databricks proporciona acceso a las tablas de Unity Catalog mediante la API REST de Unity y el catálogo REST de Apache Iceberg.
Un administrador de metastore debe habilitar el acceso a datos externos para cada metastore al que necesite acceder externamente. El usuario o la entidad de servicio que configura la conexión deben tener el EXTERNAL USE SCHEMA privilegio de cada esquema en el que necesiten realizar operaciones admitidas: lectura de tablas administradas o creación, lectura y escritura en tablas externas.
La API REST de Unity admite lecturas directas para tablas Delta. El catálogo REST de Iceberg admite lecturas para tablas Delta y lecturas y escrituras para tablas de Iceberg. Consulte Acceso a datos de Databricks mediante sistemas externos.
Habilitar el acceso a datos externos en el metastore
Para permitir que los motores externos accedan a los datos de un metastore, un administrador de metastore debe habilitar el acceso a datos externos para el metastore. Esta opción está deshabilitada de forma predeterminada para evitar el acceso externo no autorizado.
Para habilitar el acceso a datos externos, haga lo siguiente:
- En un área de trabajo de Azure Databricks asociada al metastore, haga clic en
Catálogo. - Haga clic en el
Icono de engranaje en la parte superior del panel Catálogo y seleccione Metastore. - En la pestaña Detalles, habilite Acceso a datos externos.
Nota
Estas opciones solo se muestran para los usuarios con privilegios suficientes. Si no ve estas opciones, no tiene permisos para habilitar el acceso a datos externos para un metastore.
Concesión de privilegios de catálogo de Unity de entidad de seguridad
Los clientes externos que se conectan a Azure Databricks necesitan autorización de un principal con privilegios suficientes.
Azure Databricks admite OAuth y tokens de acceso personal (PAT) para la autenticación. Consulte Autorización del acceso a los recursos de Azure Databricks.
El director que solicita la credencial temporal debe tener:
Privilegio de
EXTERNAL USE SCHEMAen el esquema contenedor o en su catálogo primario.Este privilegio siempre debe concederse explícitamente. Solo el propietario del catálogo primario puede concederlo. Para evitar la filtración accidental,
ALL PRIVILEGESno incluye el privilegioEXTERNAL USE SCHEMAy los propietarios de esquemas no tienen este privilegio de forma predeterminada.SELECTPermiso en la tabla,USE CATALOGen su catálogo primario yUSE SCHEMAen su esquema primario.Si crea tablas externas, la entidad de seguridad también debe tener el
CREATE TABLEprivilegio en el esquema y losCREATE EXTERNAL TABLEprivilegios yEXTERNAL USE LOCATIONen la ubicación externa de destino.EXTERNAL USE LOCATIONsiempre debe concederse explícitamente. Solo los usuarios con elMANAGEprivilegio en la ubicación externa pueden concederlo. Para evitar la filtración accidental,ALL PRIVILEGESno incluye elEXTERNAL USE LOCATIONprivilegio y los propietarios de ubicación no tienen este privilegio de forma predeterminada.
En la siguiente sintaxis de ejemplo se muestra cómo conceder EXTERNAL USE SCHEMA a un usuario:
GRANT EXTERNAL USE SCHEMA ON SCHEMA catalog_name.schema_name TO `user@company.com`
En la siguiente sintaxis de ejemplo se muestra cómo conceder EXTERNAL USE LOCATION a un usuario:
GRANT EXTERNAL USE LOCATION ON EXTERNAL LOCATION external_location_name TO `user@company.com`
Suponiendo que el usuario tiene los permisos para leer todas las tablas deseadas en el esquema, no se necesitan permisos adicionales. Si necesita conceder permisos adicionales para leer tablas, consulte Privilegios de Unity Catalog y objetos protegibles.