Udostępnij przez

Tworzenie obiektu adresata dla użytkowników spoza Databricks przy użyciu tokenów nosiciela (otwarte udostępnianie)

W tym artykule opisano, jak tworzyć odbiorców Delta Sharing, którzy nie mają dostępu do obszaru roboczego Databricks z obsługą Unity Catalog, a także jak przyznać dostęp tym odbiorcom do bezpiecznie udostępnionych danych przy użyciu tokenów uwierzytelniających. Ten przepływ uwierzytelniania oraz przepływ uwierzytelniania federacyjnego tokenu OIDC jest nazywany otwartym udostępnianiem.

Oto, jak to działa:

  1. Jako dostawca danych utworzysz obiekt odbiorcy w metasklepie danych Unity Catalog.

  2. Podczas tworzenia obiektu adresata wybierasz metodę tokenu typu bearer, a usługa Azure Databricks generuje token, a także plik poświadczeń zawierający token oraz link aktywacyjny do udostępnienia adresatowi.

    Obiekt adresata ma typ TOKENuwierzytelniania . Możesz odświeżyć i odwołać token zgodnie z potrzebami.

  3. Odbiorca uzyskuje dostęp do linku aktywacji, pobiera plik poświadczeń i używa pliku poświadczeń do uwierzytelniania i uzyskiwania dostępu do odczytu do tabel uwzględnionych w udziałach, do których udzielisz im dostępu.

Przepływ federacyjny OIDC jest alternatywą dla przepływu tokenu elementu nośnego opisanego w tym artykule. Ma ona przewagę w zakresie bezpieczeństwa i wygody nad przepływem tokenów nosiciela. Aby uzyskać szczegółowe informacje, zobacz Użyj federacji Open ID Connect (OIDC) do umożliwienia uwierzytelniania do udziałów Delta Sharing (otwarte udostępnianie).

Ważne

Wszystkie tokeny adresata otwartego udostępniania wydane przed 8 grudnia 2025 r. z datami wygaśnięcia po 8 grudnia 2026 r. lub bez daty wygaśnięcia, automatycznie wygasają 8 grudnia 2026 r. Jeśli obecnie używasz tokenów odbiorców z długim lub nieograniczonym czasem życia, przejrzyj swoje integracje i odnow tokeny zgodnie z potrzebami, aby uniknąć wprowadzania niezgodnych zmian po tej dacie.

Utwórz adresata

Aby utworzyć odbiorcę do otwartego udostępniania, możesz użyć Eksploratora katalogów, interfejsu wiersza polecenia Unity Catalog Databricks lub polecenia SQL w notatniku Azure Databricks lub edytorze zapytań SQL Databricks.

Wymagane uprawnienia: administrator magazynu metadanych lub użytkownik z przywilejem CREATE RECIPIENT do magazynu metadanych Unity Catalog, w którym zarejestrowano dane, które chcesz udostępnić.

Eksplorator wykazu

  1. W obszarze roboczym usługi Azure Databricks kliknij ikonę Dane.Wykaz.

  2. Na górze okienka Wykaz kliknij ikonę koła zębatego i wybierz pozycję Delta Sharing.

    Alternatywnie, z strony Szybki dostęp, kliknij przycisk Delta Sharing >.

  3. Na karcie Udostępnione przeze mnie kliknij pozycję Nowy adresat.

  4. Wprowadź nazwę adresata

  5. W polu Typ odbiorcy wybierz pozycję Otwórz.

  6. Wybierz pozycję Token.

  7. (Opcjonalnie) Ustaw czas wygaśnięcia tokenu (w sekundach, minutach, godzinach lub dniach od chwili utworzenia adresata). Zostaw opcję Ustaw wygaśnięcie ustawioną, aby ustawić czas wygaśnięcia. Tokeny są ważne przez maksymalnie jeden rok po utworzeniu.

    Jeśli wybierzesz pozycję Ustaw wygasanie i pozostawisz pole puste, domyślny okres istnienia tokenu zostanie ustawiony na taki, jak dla tokenu odbiorcy określonego w konfiguracji metastore. Zobacz Modyfikowanie okresu istnienia tokenu odbiorcy. Aby uzyskać informacje na temat zmiany okresu istnienia tokenu i rotacji tokenów, zobacz Zarządzanie tokenami adresatów.

  8. (Opcjonalnie) Wprowadź komentarz.

  9. Kliknij pozycję Utwórz.

  10. Skopiuj link aktywacji.

    Alternatywnie możesz uzyskać link aktywacji później. Zobacz Uzyskaj link aktywacji.

  11. (Opcjonalnie) Utwórz niestandardowe właściwości adresata.

    Na karcie Przegląd odbiorcy kliknij ikonę edycji Edytuj obok właściwości adresata. Następnie dodaj nazwę właściwości (klucz) i wartość. Aby uzyskać szczegółowe informacje, zobacz Zarządzanie właściwościami adresatów.

SQL

Uruchom następujące polecenie w notesie lub edytorze zapytań SQL usługi Databricks:

CREATE RECIPIENT [IF NOT EXISTS] <recipient-name>
[COMMENT "<comment>"];

Możesz również dodać właściwości niestandardowe dla adresata. Aby uzyskać szczegółowe informacje, zobacz Zarządzanie właściwościami adresatów.

CLI

Uruchom następujące polecenie przy użyciu Databricks CLI.

databricks recipients create <recipient-name>

Możesz również dodać właściwości niestandardowe dla adresata. Aby uzyskać szczegółowe informacje, zobacz Zarządzanie właściwościami adresatów.

Dane wyjściowe obejmują activation_url, które udostępniasz adresatowi.

Adresat jest tworzony przy użyciu authentication_type i TOKEN.

Uwaga

Podczas tworzenia adresata możesz ograniczyć dostęp adresata do ograniczonego zestawu adresów IP. Możesz również dodać listę dostępu IP do istniejącego adresata. Zobacz Ograniczanie dostępu odbiorcy do Delta Sharing przy użyciu list dostępu do adresów IP (otwarte udostępnianie).

Aby uzyskać link aktywacji nowego odbiorcy, możesz skorzystać z Eksploratora Katalogów, interfejsu wiersza poleceń Databricks Unity Catalog CLI lub polecenia SQL w notesie usługi Azure Databricks albo edytorze zapytań SQL usługi Databricks.

Jeśli odbiorca pobrał już plik poświadczeń, link aktywacji nie zostanie zwrócony ani wyświetlony.

Wymagane uprawnienia: administrator magazynu metadanych, użytkownik z USE RECIPIENT uprawnieniami lub właściciel obiektu adresata.

Eksplorator wykazu

  1. W obszarze roboczym usługi Azure Databricks kliknij ikonę Dane.Wykaz.

  2. Na górze okienka Wykaz kliknij ikonę koła zębatego i wybierz pozycję Delta Sharing.

    Alternatywnie, z strony Szybki dostęp, kliknij przycisk Delta Sharing >.

  3. Na karcie Udostępnione przeze mnie kliknij pozycję Adresaci i wybierz adresata.

  4. Na stronie szczegółów adresata skopiuj link aktywacyjny.

SQL

Uruchom następujące polecenie w notesie lub edytorze zapytań SQL usługi Databricks.

DESCRIBE RECIPIENT <recipient-name>;

Dane wyjściowe obejmują element activation_link.

CLI

Uruchom następujące polecenie przy użyciu Databricks CLI.

databricks recipients get <recipient-name>

Dane wyjściowe obejmują element activation_url.

Udzielanie adresatowi dostępu do udziału

Po utworzeniu adresata i utworzeniu udziałów możesz udzielić adresatowi dostępu do tych udziałów.

Aby udzielić dostępu do współdzielenia zasobów odbiorcom, możesz użyć Eksploratora katalogów, wbudowanego interfejsu wiersza polecenia Unity Catalog lub GRANT ON SHARE polecenia SQL w notatniku Azure Databricks lub edytorze zapytań SQL Databricks.

Wymagane uprawnienia: jeden z następujących elementów:

  • Administrator magazynu metadanych.
  • Delegowane uprawnienia lub własność zarówno w przypadku udziału, jak i obiektów odbiorcy ((USE SHARE + SET SHARE PERMISSION) lub właściciela udziału) ORAZ (USE RECIPIENT lub właściciela odbiorcy).

Aby uzyskać instrukcje, zobacz Zarządzanie dostępem do udziałów danych usługi Delta Sharing (dla dostawców).

Wyślij adresatowi informacje o połączeniu

Musisz poinformować adresata, jak uzyskać dostęp do udostępnianych im danych. Użyj bezpiecznego kanału, aby udostępnić link aktywacji oraz link do instrukcji korzystania z niego .

Plik poświadczeń można pobrać tylko raz. Odbiorcy powinni traktować pobrane poświadczenia jako tajne i nie mogą udostępniać ich poza swoją organizacją. Jeśli masz obawy, że poświadczenie mogło zostać obsłużone w sposób niebezpieczny, możesz w dowolnym momencie odnowić poświadczenie odbiorcy. Aby uzyskać więcej informacji na temat zarządzania poświadczeniami w celu zapewnienia bezpiecznego dostępu adresata, zobacz Zagadnienia dotyczące zabezpieczeń tokenów.

Zarządzanie tokenami adresatów

Jeśli udostępniasz dane adresatowi przy użyciu przepływu otwartych tokenów nosicieli, może być konieczne zaktualizowanie tokenu tego adresata. Rotacja tokenu polega na ustawieniu istniejącego tokenu do wygaśnięcia i zastąpieniu go nowym tokenem i adresem URL aktywacji.

Należy obrócić token odbiorcy i wygenerować nowy adres URL aktywacji w następujących okolicznościach:

  • Gdy istniejący token odbiorcy wkrótce wygaśnie.
  • Jeśli odbiorca utraci adres URL aktywacji lub jeśli zostanie naruszony.
  • Jeśli poświadczenie jest uszkodzone, utracone lub naruszone po jego pobraniu przez odbiorcę.
  • Podczas modyfikowania okresu istnienia tokenu odbiorcy dla magazynu metadanych. Zobacz Modyfikowanie okresu istnienia tokenu odbiorcy.

Zagadnienia dotyczące zabezpieczeń tokenów

W danym momencie odbiorca może mieć co najwyżej dwa tokeny: aktywny token i obracany token. Token podlegający rotacji to ten, który został ustawiony do wygaśnięcia i zastąpienia przez aktywny token. Dopóki rotowany token nie wygaśnie, próba rotacji tokenu ponownie spowoduje wystąpienie błędu.

W przypadku rotacji tokenu adresata można opcjonalnie ustawić --existing-token-expire-in-seconds na liczbę sekund przed wygaśnięciem istniejącego tokenu adresata, czyli tego, który ma zostać poddany rotacji. Jeśli ustawisz wartość na 0, istniejący token odbiorcy wygaśnie natychmiast.

Usługa Databricks zaleca ustawienie --existing-token-expire-in-seconds na stosunkowo krótki okres, który daje organizacji odbiorcy czas dostępu do nowego adresu URL aktywacji, jednocześnie minimalizując czas, przez jaki odbiorca ma dwa aktywne tokeny. Jeśli podejrzewasz, że istniejący token odbiorcy został naruszony, Databricks zaleca natychmiastowe wymuszenie jego wygaśnięcia.

Jeśli istniejący adres URL aktywacji odbiorcy nigdy nie został uzyskany, rotacja istniejącego tokenu unieważnia ten adres URL aktywacji i zastępuje go nowym.

Jeśli wszystkie tokeny adresatów wygasły, rotacja tokenu zastępuje istniejący adres URL aktywacji nowym. Usługa Databricks zaleca szybkie obracanie lub usuwanie adresata, którego token wygasł.

Jeśli adres URL aktywacji odbiorcy jest przypadkowo wysyłany do niewłaściwej osoby lub jest wysyłany przez niezabezpieczony kanał, usługa Databricks zaleca:

  1. Odebranie adresatowi dostępu do udziału.
  2. Obróć adresata i ustaw --existing-token-expire-in-seconds na 0.
  3. Udostępnij nowy adres URL aktywacji zamierzonemu adresatowi za pośrednictwem bezpiecznego kanału.
  4. Po dokonaniu dostępu do adresu URL aktywacji ponownie przyznaj adresatowi dostęp do udziału.

W skrajnych sytuacjach, zamiast obracać token odbiorcy, możesz usunąć i ponownie utworzyć adresata.

Obracanie tokenu odbiorcy

Aby obrócić token odbiorcy, możesz użyć Eksploratora katalogu lub interfejsu wiersza polecenia Unity Catalog Databricks.

Wymagane uprawnienia: właściciel obiektu adresata.

Eksplorator wykazu

  1. W obszarze roboczym usługi Azure Databricks kliknij ikonę Dane.Wykaz.

  2. W okienku po lewej stronie rozwiń menu Delta Sharing i wybierz pozycję Udostępnione przeze mnie.

  3. Na górze okienka Wykaz kliknij ikonę koła zębatego i wybierz pozycję Delta Sharing.

    Alternatywnie, z strony Szybki dostęp, kliknij przycisk Delta Sharing >.

  4. Na karcie Udostępnione przeze mnie kliknij pozycję Adresaci i wybierz adresata.

  5. Na karcie Szczegóły w obszarze Wygaśnięcie tokenu kliknij pozycję Obróć.

  6. W oknie dialogowym Obracanie tokenu ustaw token na wygaśnięcie natychmiast lub przez określony czas. Aby uzyskać porady dotyczące wygasania istniejących tokenów, zobacz Zagadnienia dotyczące zabezpieczeń tokenów.

  7. Kliknij Obróć.

  8. Na karcie Szczegóły skopiuj nowy link Aktywacja i udostępnij go odbiorcy za pośrednictwem bezpiecznego kanału. Zobacz Uzyskaj link aktywacji.

CLI

  1. Uruchom następujące polecenie przy użyciu Databricks CLI. Zastąp wartości zastępcze:

    • <recipient-name>: nazwa adresata.
    • <expiration-seconds>: liczba sekund do wygaśnięcia istniejącego tokenu odbiorcy. W tym okresie istniejący token będzie nadal działać. Wartość 0 oznacza, że istniejący token wygasa natychmiast. Aby uzyskać porady dotyczące wygasania istniejących tokenów, zobacz Zagadnienia dotyczące zabezpieczeń tokenów.
    databricks recipients rotate-token \
<recipient-name> \
<expiration-seconds>

  2. Pobierz nowy link aktywacji odbiorcy i udostępnij go odbiorcy za pośrednictwem bezpiecznego kanału. Zobacz Uzyskaj link aktywacji.

Modyfikowanie okresu istnienia tokenu odbiorcy

Jeśli musisz zmodyfikować domyślny okres istnienia tokenu adresata dla metastora katalogu Unity, możesz użyć Eksploratora Katalogu lub interfejsu wiersza polecenia Unity Catalog od Databricks.

Uwaga

Okres istnienia tokenu odbiorcy dla istniejących adresatów nie jest aktualizowany automatycznie po zmianie domyślnego okresu istnienia tokenu odbiorcy dla magazynu metadanych. Aby zastosować nowy okres istnienia tokenu do danego adresata, należy obrócić token. Zobacz Zarządzanie tokenami adresatów.

Wymagane uprawnienia: administrator konta.

Eksplorator wykazu

  1. Zaloguj się do konsoli konta.
  2. Na pasku bocznym kliknij ikonę Dane.Wykaz.
  3. Kliknij nazwę magazynu metadanych.
  4. W obszarze Okres istnienia tokenu adresata funkcji Delta Sharing kliknij pozycję Edytuj.
  5. Włącz Ustaw wygaśnięcie.
  6. Wprowadź liczbę sekund, minut, godzin lub dni i wybierz jednostkę miary. Tokeny są ważne przez maksymalnie jeden rok po utworzeniu.
  7. Kliknij przycisk Zapisz.

CLI

Uruchom następujące polecenie przy użyciu Databricks CLI. Zastąp 12a345b6-7890-1cd2-3456-e789f0a12b34 identyfikatorem UUID magazynu metadanych, a 86400 liczbą sekund do wygaśnięcia tokenu odbiorcy. Tokeny są ważne przez maksymalnie jeden rok po utworzeniu.

databricks metastores update \
12a345b6-7890-1cd2-3456-e789f0a12b34 \
--delta-sharing-recipient-token-lifetime-in-seconds 86400
  • Last updated on