다음을 통해 공유

베어러 토큰을 사용하여 Databricks가 아닌 사용자를 위한 수신자 객체 만들기(공유 열기)

이 문서에서는 Unity 카탈로그 사용 Databricks 작업 영역에 액세스할 수 없는 델타 공유 받는 사람을 만들고 전달자 토큰을 사용하여 안전하게 공유된 데이터에 대한 액세스 권한을 받는 사람에게 부여하는 방법을 설명합니다. 이 인증 흐름과 OIDC 토큰 페더레이션 인증 흐름은 열린 공유이라고 불립니다.

작동 방법은 다음과 같습니다.

  1. 데이터 공급자는 Unity 카탈로그 메타스토어에서 수신자 개체를 만듭니다.

  2. 받는 사람 개체를 만들 때 전달자 토큰 메서드를 선택하고, Azure Databricks는 토큰, 토큰을 포함하는 자격 증명 파일 및 받는 사람과 공유할 수 있는 활성화 링크를 생성합니다.

    수신자 개체의 인증 유형은 TOKEN입니다. 필요에 따라 토큰을 새로 고치고 해지할 수 있습니다.

  3. 받는 사람은 활성화 링크에 액세스하고, 자격 증명 파일을 다운로드하며, 자격 증명 파일을 사용하여 귀하가 그들에게 부여한 액세스 권한이 있는 공유에 포함된 테이블에 대해 인증하여 읽기 권한을 얻습니다.

OIDC 페더레이션 흐름은 이 문서에 설명된 전달자 토큰 흐름의 대안입니다. 전달자 토큰 흐름에 비해 보안 및 편의성의 장점이 있습니다. 자세한 내용은 OIDC(Open ID Connect) 페더레이션을 사용하여 델타 공유(공개 공유)인증을 사용하도록 설정합니다.

중요합니다

2026년 12월 8일 이후 또는 만료 날짜가 없는 2025년 12월 8일 이전에 발급된 모든 공개 공유 받는 사람 토큰은 2026년 12월 8일에 자동으로 만료됩니다. 현재 수명이 길거나 무제한인 받는 사람 토큰을 사용하는 경우 이 날짜 이후 호환성이 손상되는 변경을 방지하기 위해 필요에 따라 통합을 검토하고 토큰을 갱신합니다.

받는 사람 만들기

열린 공유를 위해 받는 사람을 만들려면 Azure Databricks Notebook 또는 Databricks SQL 쿼리 편집기에서 카탈로그 탐색기, Databricks Unity 카탈로그 CLI 또는 CREATE RECIPIENT SQL 명령을 사용할 수 있습니다.

필요한 권한: 메타스토어 관리자 또는 공유하려는 데이터가 등록된 Unity 카탈로그 메타스토어에 대한 CREATE RECIPIENT 권한이 있는 사용자여야 합니다.

카탈로그 탐색기

  1. Azure Databricks 작업 영역에서 데이터 아이콘을 클릭합니다.카탈로그.

  2. 카탈로그 창의 맨 위에서 기어 아이콘을 클릭합니다. 기어 아이콘을 클릭하고 델타 공유를 선택합니다.

    또는 즐겨찾기 페이지에서 델타 공유> 버튼을 클릭합니다.

  3. 공유한 사람 탭에서 새 받는 사람을 클릭합니다.

  4. 받는 사람 이름 입력합니다.

  5. 받는 사람 유형Open으로 선택합니다.

  6. 토큰을 선택합니다.

  7. (선택 사항) 토큰 수명 만료 시간(받는 사람 생성 시간에서 초, 분, 시간 또는 일)을 설정합니다. 만료 시간을 설정하기 위해 만료 설정을 선택된 상태로 둡니다. 토큰은 만든 후 최대 1년 동안 유효합니다.

    만료 설정하고 필드를 비워 두면 토큰 수명은 기본적으로 metastore 구성에 설정된 받는 사람 토큰 수명 값으로 설정됩니다. 수신자 토큰 수명 수정을 참조하세요. 토큰 수명 변경 및 토큰 회전에 대한 자세한 내용은 받는 사람 토큰 관리를 참조하세요.

  8. (선택 사항) 설명을 입력합니다.

  9. 만들기를 클릭합니다.

  10. 활성화 링크를 복사합니다.

    또는 나중에 활성화 링크를 가져올 수 있습니다. 참조하세요활성화 링크 가져오기.

  11. (선택 사항) 사용자 지정 받는 사람 속성을 만듭니다.

    받는 사람 개요 탭에서 Edit iconEdit icon받는 사람 속성옆에 있는 편집 아이콘을 클릭합니다. 그런 다음 속성 이름(키) 및 값을 추가합니다. 자세한 내용은 받는 사람 속성 관리를 참조 하세요.

SQL

Notebook 또는 Databricks SQL 쿼리 편집기에서 다음 명령을 실행합니다.

CREATE RECIPIENT [IF NOT EXISTS] <recipient-name>
[COMMENT "<comment>"];

받는 사람에 대한 사용자 지정 속성을 추가할 수도 있습니다. 자세한 내용은 받는 사람 속성 관리를 참조 하세요.

명령 줄 인터페이스 (CLI)

Databricks CLI를 사용하여 다음 명령을 실행합니다.

databricks recipients create <recipient-name>

받는 사람에 대한 사용자 지정 속성을 추가할 수도 있습니다. 자세한 내용은 받는 사람 속성 관리를 참조 하세요.

출력에는 수신자와 공유하는 activation_url이 포함됩니다.

수신자는 authentication_typeTOKEN을 사용하여 만들어집니다.

비고

수신자를 만들 때 제한된 IP 주소 집합으로 수신자 액세스를 제한하는 옵션이 있습니다. 기존 수신자에게 IP 액세스 목록을 추가할 수도 있습니다. IP 액세스 목록을 사용하여 델타 공유 받는 사람 액세스 제한(공유 열기)을 참조하세요.

새 받는 사람의 활성화 링크를 얻으려면 Azure Databricks Notebook 또는 Databricks SQL 쿼리 편집기에서 카탈로그 탐색기, Databricks Unity 카탈로그 CLI 또는 DESCRIBE RECIPIENT SQL 명령을 사용할 수 있습니다.

수신자가 자격 증명 파일을 이미 다운로드한 경우 활성화 링크가 반환 또는 표시되지 않습니다.

필요한 권한: Metastore 관리자, USE RECIPIENT 권한이 있는 사용자 또는 수신 객체 소유자.

카탈로그 탐색기

  1. Azure Databricks 작업 영역에서 데이터 아이콘을 클릭합니다.카탈로그.

  2. 카탈로그 창의 맨 위에서 기어 아이콘을 클릭합니다. 기어 아이콘을 클릭하고 델타 공유를 선택합니다.

    또는 즐겨찾기 페이지에서 델타 공유> 버튼을 클릭합니다.

  3. 공유한 사람 탭에서 받는 사람을 클릭한 후, 받는 사람을 선택합니다.

  4. 수신자 세부 정보 페이지에서 활성화 링크를 복사합니다.

SQL

Notebook 또는 Databricks SQL 쿼리 편집기에서 다음 명령을 실행합니다.

DESCRIBE RECIPIENT <recipient-name>;

출력에는 activation_link가 포함됩니다.

명령 줄 인터페이스 (CLI)

Databricks CLI를 사용하여 다음 명령을 실행합니다.

databricks recipients get <recipient-name>

출력에는 activation_url가 포함됩니다.

수신자에게 공유에 대한 액세스 권한 부여

받는 사람을 만들고 공유를 만든 후에는 받는 사람에게 해당 공유에 대한 액세스 권한을 부여할 수 있습니다.

받는 사람에게 공유 액세스 권한을 부여하려면 Azure Databricks Notebook 또는 Databricks SQL 쿼리 편집기에서 카탈로그 탐색기, Databricks Unity 카탈로그 CLI 또는 GRANT ON SHARE SQL 명령을 사용할 수 있습니다.

다음 중 하나의 권한이 필요합니다.

  • 메타스토어 관리자.
  • 공유 및 받는 사람 개체((USE SHARE + SET SHARE PERMISSION) 또는 공유 소유자) AND (USE RECIPIENT 또는 받는 사람 소유자)에 대해 위임된 사용 권한 또는 소유권.

지침은 델타 공유 데이터 공유에 대한 액세스 관리(공급자용)를 참조하세요.

수신자에게 연결 정보 보내기

공유 중인 데이터에 액세스하는 방법을 수신자에게 알려야 합니다. 보안 채널을 사용하여 활성화 링크를 공유하고, 사용을 위한지침 링크를 공유합니다.

자격 증명 파일은 한 번만 다운로드할 수 있습니다. 수신자는 다운로드한 자격 증명을 비밀로 처리해야 하며 조직 외부에서 공유해서는 안 됩니다. 자격 증명이 안전하지 않게 처리되었을 수 있다는 우려가 있는 경우 언제든지 받는 사람의 자격 증명을 회전할 수 있습니다. 안전한 수신자 액세스를 보장하기 위해 자격 증명을 관리하는 방법에 대한 자세한 내용은 토큰에 대한 보안 고려 사항을 참조하세요.

수신자 토큰 관리

열린 공유 전달자 토큰 흐름을 사용하여 받는 사람과 데이터를 공유하는 경우 해당 받는 사람의 토큰을 회전해야 할 수 있습니다. 토큰 회전은 기존 토큰을 만료되도록 설정하고 새 토큰 및 활성화 URL로 바꾸는 것으로 구성됩니다.

다음과 같은 상황에서 받는 사람의 토큰을 회전하고 새 활성화 URL을 생성해야 합니다.

  • 기존 수신자 토큰이 곧 만료되는 경우.
  • 수신자가 활성화 URL을 분실하거나 URL이 손상된 경우.
  • 수신자가 다운로드한 자격 증명이 손상되거나 분실된 경우.
  • 메타스토어에 대한 수신자 토큰 수명을 수정하는 경우. 수신자 토큰 수명 수정을 참조하세요.

토큰에 대한 보안 고려 사항

지정된 시간에 수신자가 최대 두 개의 토큰(활성 토큰과 변경된 토큰)을 가질 수 있습니다. 회전된 토큰은 만료되고 활성 토큰으로 대체되도록 설정된 토큰입니다. 변경된 토큰이 만료될 때까지 토큰을 다시 변경하려고 하면 오류가 발생합니다.

받는 사람의 토큰을 회전할 때, 기존 받는 사람 토큰의 만료 시간을 초 단위로 설정할 수 있습니다(즉, 회전할 토큰이 만료되기 전까지의 시간). 이 값을 0으로 설정하면 기존 수신자 토큰이 즉시 만료됩니다.

수신자에게 두 개의 활성 토큰이 있는 시간을 최소화하면서 수신자 조직에게 새 활성화 URL에 액세스할 수 있는 시간을 제공하는 비교적 짧은 기간으로 --existing-token-expire-in-seconds를 설정하는 것이 좋습니다. 기존 받는 사람 토큰이 손상된 것으로 의심되는 경우 Databricks는 즉시 만료되도록 강제하는 것이 좋습니다.

받는 사람의 기존 활성화 URL에 액세스한 적이 없는 경우 기존 토큰을 회전하면 해당 활성화 URL이 무효화되고 새 토큰으로 바뀝니다.

모든 받는 사람 토큰이 만료된 경우 토큰을 회전하면 기존 활성화 URL이 새 토큰으로 바뀝니다. Databricks는 토큰이 만료된 수신자를 신속하게 교체하거나 삭제할 것을 권장합니다.

받는 사람 활성화 URL이 실수로 잘못된 사람에게 전송되거나 안전하지 않은 채널을 통해 전송되는 경우 Databricks는 다음을 권장합니다.

  1. 공유에 대한 받는 사람의 액세스 권한을 취소합니다.
  2. 수신자를 변경하고 --existing-token-expire-in-seconds0으로 설정합니다.
  3. 보안 채널을 통해 의도한 받는 사람과 새 활성화 URL을 공유합니다.
  4. 활성화 URL에 액세스한 후 수신자에게 공유에 대한 액세스 권한을 다시 부여합니다.

극단적인 상황에서는 받는 사람의 토큰을 회전하는 대신 받는 사람을 삭제 하고 다시 만들 수 있습니다.

받는 사람의 토큰 회전

받는 사람의 토큰을 회전하려면 카탈로그 탐색기 또는 Databricks Unity 카탈로그 CLI를 사용할 수 있습니다.

필요한 권한: 수신자 개체 소유자

카탈로그 탐색기

  1. Azure Databricks 작업 영역에서 데이터 아이콘을 클릭합니다.카탈로그.

  2. 왼쪽 창에서 Delta Sharing 메뉴를 확장하고 내가 공유함을 선택합니다.

  3. 카탈로그 창의 맨 위에서 기어 아이콘을 클릭합니다. 기어 아이콘을 클릭하고 델타 공유를 선택합니다.

    또는 즐겨찾기 페이지에서 델타 공유> 버튼을 클릭합니다.

  4. 공유한 사람 탭에서 받는 사람을 클릭한 후, 받는 사람을 선택합니다.

  5. 세부 정보 탭의 토큰 만료에서 회전을 클릭합니다.

  6. 토큰 회전 대화 상자에서 토큰이 만료되는 시간을 즉시 또는 설정된 기간 동안 중에서 선택합니다. 기존 토큰이 만료되는 시기에 대한 조언은 토큰에 대한 보안 고려 사항을 참조하세요.

  7. 회전을 클릭합니다.

  8. 세부 정보 탭에서 새 활성화 링크를 복사하고 보안 채널을 통해 수신자와 공유합니다. 참조하세요활성화 링크 가져오기.

명령 줄 인터페이스 (CLI)

  1. Databricks CLI를 사용하여 다음 명령을 실행합니다. 자리 표시자 값을 바꾸세요.

    • <recipient-name>: 수신자의 이름입니다.
    • <expiration-seconds>: 기존 받는 사람 토큰이 만료될 때까지의 시간(초)입니다. 이 기간 동안 기존 토큰은 계속 작동합니다. 값 0은 기존 토큰이 즉시 만료된다는 것을 의미합니다. 기존 토큰이 만료되는 시기에 대한 조언은 토큰에 대한 보안 고려 사항을 참조하세요.
    databricks recipients rotate-token \
<recipient-name> \
<expiration-seconds>

  2. 받는 사람의 새 활성화 링크를 가져와서 보안 채널을 통해 받는 사람과 공유합니다. 참조하세요활성화 링크 가져오기.

수신자 토큰 수명 수정

Unity 카탈로그 메타스토어의 기본 받는 사람 토큰 수명을 수정해야 하는 경우 카탈로그 탐색기 또는 Databricks Unity 카탈로그 CLI를 사용할 수 있습니다.

비고

메타스토어의 기본 받는 사람 토큰 수명을 변경하면 기존 받는 사람의 받는 사람 토큰 수명이 자동으로 업데이트되지 않습니다. 지정된 수신자에게 새 토큰 수명을 적용하려면 해당 토큰을 회전해야 합니다. 받는 사람 토큰 관리를참조하세요.

필요한 권한: 계정 관리자입니다.

카탈로그 탐색기

  1. 계정 콘솔에 로그인합니다.
  2. 사이드바에서 데이터 아이콘을 클릭합니다.카탈로그.
  3. 메타스토어 이름을 클릭합니다.
  4. 델타 공유 받는 사람 토큰 수명 아래에서 편집을 클릭합니다.
  5. Set expiration(만료 설정)을 사용하도록 설정합니다.
  6. 초, 분, 시간 또는 일 수를 입력하고 측정 단위를 선택합니다. 토큰은 만든 후 최대 1년 동안 유효합니다.
  7. 저장을 클릭합니다.

명령 줄 인터페이스 (CLI)

Databricks CLI를 사용하여 다음 명령을 실행합니다. 12a345b6-7890-1cd2-3456-e789f0a12b34을 메타스토어 UUID로 교체하고, 86400을 받는 사람의 토큰이 만료되기 전의 초 단위 시간으로 교체합니다. 토큰은 만든 후 최대 1년 동안 유효합니다.

databricks metastores update \
12a345b6-7890-1cd2-3456-e789f0a12b34 \
--delta-sharing-recipient-token-lifetime-in-seconds 86400
  • Last updated on