Compartilhamento de dados utilizando o protocolo de compartilhamento aberto do Compartilhamento Delta (para provedores)

Esta página apresenta uma visão geral de como os provedores podem usar o protocolo de compartilhamento aberto do Delta Sharing para compartilhar dados do seu workspace do Databricks habilitado para o Catálogo do Unity com qualquer usuário, em qualquer plataforma de computação e em qualquer lugar. Se você for um destinatário de dados (um usuário ou grupo de usuários com quem os dados estão sendo compartilhados), consulte Acessar os dados compartilhados com você utilizando o Compartilhamento Delta (para destinatários).

Quem deve usar o protocolo de compartilhamento aberto do Compartilhamento Delta?

Existem três maneiras de compartilhar dados usando o Compartilhamento Delta:

1. O protocolo de compartilhamento aberto do Databricks, abordado neste artigo, permite que você compartilhe dados gerenciados em um workspace do Databricks habilitado para o Catálogo do Unity com usuários de qualquer plataforma de computação.

   Essa abordagem usa o servidor Delta Sharing que é integrado ao Azure Databricks e é útil quando você gerencia dados usando o Catálogo do Unity e deseja compartilhá-los com usuários que não usam o Databricks ou não têm acesso a um workspace do Databricks habilitado para catálogo do Unity. A integração com o Catálogo do Unity no lado do provedor simplifica a configuração e a governança para provedores.

2. Uma implementação gerenciada pelo cliente do servidor de Compartilhamento Delta de código aberto permite que você compartilhe de qualquer plataforma para qualquer plataforma, seja do Databricks ou não.

   Consulte github.com/delta-io/delta-sharing.

3. O protocolo de compartilhamento Databricks para Databricks permite que você compartilhe dados do seu workspace habilitado para o Catálogo do Unity com usuários que também têm acesso a um workspace do Databricks habilitado para o Catálogo do Unity.

   Consulte Compartilhamento de dados utilizando o protocolo de Compartilhamento Delta do Databricks para o Databricks (para provedores).

Para obter uma introdução ao Compartilhamento Delta e mais informações sobre essas três abordagens, consulte O que é Compartilhamento Delta?.

Fluxo de trabalho de compartilhamento aberto do Delta Sharing

Esta seção fornece uma visão geral de alto nível do fluxo de trabalho de compartilhamento aberto, com links para documentação detalhada para cada etapa.

No modelo de compartilhamento aberto Delta Sharing:

1. O provedor de dados cria um destinatário, que é um objeto nomeado que representa um usuário ou grupo de usuários com o qual o provedor de dados quer compartilhar dados.

   Quando o provedor de dados cria o destinatário, o provedor configura a autenticação usando um token de portador de longa duração ou uma federação OIDC (Open ID Connect). Se o provedor usar um token de portador, o Azure Databricks gerará um arquivo de credencial e um link de ativação que o provedor de dados pode enviar ao destinatário para acessar o arquivo de credencial. No fluxo de federação OIDC, o IdP do destinatário gerencia a autenticação, com base em uma política criada pelo provedor.

   Para obter detalhes, confira Criar um objeto destinatário para usuários que não são do Databricks usando tokens de portador (compartilhamento aberto) e Usar a federação Open ID Connect (OIDC) para habilitar a autenticação para compartilhamentos do Delta Sharing (compartilhamento aberto).

2. O provedor de dados cria um share, que é um objeto nomeado que contém uma coleção de tabelas registradas em um metastore do Unity Catalog na conta do provedor.

   Para obter detalhes, confira Criar e gerenciar compartilhamentos para o Delta Sharing.

3. O provedor de dados concede ao destinatário o acesso ao compartilhamento.

   Para obter mais detalhes, confira Gerenciar o acesso aos compartilhamentos de dados do Compartilhamento Delta (para provedores).

4. No fluxo de token de portador, o provedor de dados envia o link de ativação para o destinatário por um canal seguro, juntamente com instruções para usar o link de ativação para baixar o arquivo de credencial que o destinatário usará para estabelecer uma conexão segura com o provedor de dados para receber os dados compartilhados.

   Para obter detalhes, consulte Obter o link de ativação.

   No fluxo de federação OIDC, os destinatários se autenticam por meio de seu IdP. Consulte Usar a federação Open ID Connect (OIDC) para habilitar a autenticação em compartilhamentos do Compartilhamento Delta (compartilhamento aberto).

5. No fluxo de token de portador, o destinatário de dados segue o link de ativação para baixar o arquivo de credencial e, em seguida, usa o arquivo de credencial para acessar os dados compartilhados.

   Os dados compartilhados estão disponíveis apenas para leitura. Os usuários podem acessar os dados usando sua plataforma ou ferramentas que escolherem. Para obter detalhes, confira Ler dados compartilhados usando o compartilhamento aberto do Delta Sharing com tokens de portador (para destinatários).

   No fluxo de federação OIDC, os destinatários se autenticam por meio de seu IdP. Consulte Usar a federação Open ID Connect (OIDC) para habilitar a autenticação em compartilhamentos do Compartilhamento Delta (compartilhamento aberto).

Configurações específicas do provedor

Muitos provedores têm suas próprias redes de compartilhamento Delta para compartilhamento. Para obter instruções de compartilhamento específicas, consulte, por exemplo:

• Amperidade
• Atlassian
• Oráculo

Considerações sobre a configuração e segurança do provedor para compartilhamento aberto

Um bom gerenciamento de token é fundamental para compartilhar dados com segurança quando você usa o modelo de compartilhamento aberto:

• Os provedores de dados no Azure Databricks que pretendem usar o compartilhamento aberto quando fornecem compartilhamentos devem configurar o tempo de vida do token de destinatário padrão ao habilitar o Delta Sharing para o metastore do Catálogo do Unity. O Databricks recomenda que você configure os tokens para que eles expirem. Confira Habilitar o Compartilhamento Delta em um metastore.
• Se precisar modificar o tempo de vida do token padrão, consulte Modificar o tempo de vida do token de destinatário.
• Incentive os destinatários a gerenciar o arquivo de credencial baixado com segurança.
• Para obter mais informações sobre gerenciamento de tokens e segurança de compartilhamento aberto, consulte Gerenciar tokens de destinatário.
• Há suporte para o compartilhamento aberto entre tipos de ambiente de nuvem, por exemplo, de nuvens comerciais do AWS ao AWS GovCloud ou ao Azure China.

Os provedores de dados podem fornecer segurança adicional atribuindo listas de acesso IP para restringir o acesso de destinatários a locais de rede específicos. Confira Restringir o acesso do destinatário do Delta Sharing usando listas de acesso IP (compartilhamento aberto).