アカウントの Delta Sharing を設定する (プロバイダー向け)

この記事では、データ プロバイダー (Delta Sharing を使用してデータを安全に共有する組織) が Databricks で Delta Sharing の初期セットアップを実行する方法について説明します。

注:

データ受信者 ( Delta Sharingを使用して共有されるデータを受信する組織) の場合は、代わりに「 Databricks to Databricks Delta Sharing を使用して共有されたデータの読み取り (受信者用)」を参照してください。

重要

Databricks に組み込まれている Delta Sharing サーバーを使用するプロバイダーには、Unity Catalog が有効化されているワークスペースが少なくとも 1 つ必要です。 すべてのワークスペースを Unity Catalog に移行する必要はありません。 共有の管理用に Unity Catalog 有効化ワークスペースを 1 つ作成できます。 一部のアカウントでは、新しいワークスペースが Unity Catalog に対して自動的に有効になります。 「 Unity Catalog の自動有効化」を参照してください。

新しい Unity Catalog 対応ワークスペースを作成できない場合は、オープンソースの Delta Sharing プロジェクトを使用して独自の Delta Sharing サーバーをデプロイし、それを使用して任意のプラットフォームから Delta テーブルを共有できます。

プロバイダーの初期セットアップには次のステップが含まれます。

  1. Delta SharingUnity Catalogメタストアで 有効にします。

  2. (オプション) Unity Catalog CLI をインストールします。

  3. Delta Sharingアクティビティの監査を構成します。

要件

データを共有できるように Databricks アカウントを設定するデータ プロバイダーとして、次のものが必要です。

  • Unity Catalog が有効化されている少なくとも 1 つの Databricks ワークスペース。

    Delta Sharing プロバイダーの Databricks サポートを活用するために、すべてのワークスペースを Unity Catalog に移行する必要はありません。 「Delta Sharing を使用するには Unity Catalog が必要ですか?」を参照してください。

    受信者は、Unity Catalog対応のワークスペースを持っている必要はありません。

  • メタストアの を有効にし、監査ログを有効にするためのアカウント管理者ロール。Delta SharingUnity Catalog

  • メタストア管理者ロール、または CREATE SHARE 権限と CREATE RECIPIENT 権限。 「管理者の役割」を参照してください。

    注:

    ワークスペースで Unity Catalog が自動的に有効になっている場合は、メタストア管理者がいない可能性があります。 ただし、このようなワークスペースのワークスペース管理者には、メタストアに対する CREATE SHARE 特権と CREATE RECIPIENT 特権がデフォルトで付与されます。 詳細については、「Unity Catalog の自動有効化 」および「 ワークスペースがUnity Catalog に対して自動的に有効になっている場合のワークスペース管理者特権」を参照してください。

メタストア での Delta Sharing を有効にする

Unity Catalogを使用して共有する予定のデータを管理するDelta Sharing メタストアごとに、次の手順を実行します。

注:

アカウント内の他の Unity Catalog メタストアのユーザーとデータを共有するためだけに Delta Sharing を使用する場合は、メタストアで Delta Sharing を有効にする必要はありません。1 つの Databricks アカウント内でのメタストア間の共有は、デフォルトで有効になります。

  1. Databricks アカウント管理者として、アカウント コンソールにログインします。

  2. サイドバーで、「カタログアイコン カタログ 」をクリックします。

  3. メタストアの名前をクリックして、その詳細を開きます。

  4. Delta SharingDatabricksユーザーが組織外でデータを共有できるようにするには、 有効にする」 の横にあるチェックボックスをクリックします。

  5. 受信者トークンの有効期間を設定します。

    この構成では、すべての受信者トークンの有効期限が切れて再生成が必要になるまでの期間を設定します。 受信者トークンはオープン共有プロトコルでのみ使用されます。 Databricks 、VPN を無期限に存続させるのではなく、安全なライフタイムを構成することをお勧めします。

    注:

    メタストアのデフォルトの受信者トークンの有効期間を変更しても、既存の受信者の受信者トークンの有効期間は自動的に更新されません。 特定の受信者に新しいトークンの有効期間を適用するには、そのトークンをローテーションする必要があります。 「受信者トークンの管理(オープン共有)」を参照してください。

    デフォルトの受信者トークンの有効期間を設定するには:

    1. 有効期限の設定が有効になっていることを確認します (これがデフォルトです)。

      このチェックボックスをオフにすると、トークンの有効期限が切れることはありません。 Databricks では、トークンの有効期限を設定することをお勧めします。

    2. 秒数、分数、時間数、または日数を入力し、測定単位を選択します。

    3. [ 有効にする ]をクリックします。

    詳細については、 「セキュリティに関する考慮事項」を参照してください。

  6. 必要に応じて、受信者が共有相手を識別するために使用できる組織の名前を入力します。

  7. [ 有効にする ]をクリックします。

(オプション)Unity Catalog CLIのインストール

共有と受信者を管理するには、カタログ エクスプローラー、 SQLコマンド、またはUnity Catalog CLIを使用できます。 CLIローカル環境で実行され、 Databricksコンピュート リソースは必要ありません。

CLI をインストールするには、「 Databricks CLI とは」を参照してください。

監査ログを有効にする

Databricks アカウント管理者は、次のような Delta Sharing イベントをキャプチャするために監査ログを有効にする必要があります。

  • 誰かが共有または受信者を作成、変更、更新、または削除したとき

  • 受信者がアクティベーションリンクにアクセスし、資格情報をダウンロードしたとき(オープン共有のみ)

  • 受信者がデータにアクセスしたとき

  • 受信者の資格情報がローテーションまたは期限切れになったとき (オープン共有のみ)

Delta Sharingアクティビティはアカウント レベルで記録されます。

監査ログを有効にするには、「 監査ログのリファレンス」の手順に従います。

重要

Delta Sharingアクティビティはアカウント レベルで記録されます。 ログ配信を設定するときは、 workspace_ids_filterに値を入力しないでください。

Delta Sharingイベントのログ記録方法の詳細については、 「データ共有の監査と監視」を参照してください。

共有と受信者を作成および管理するためのアクセス許可を付与する

メタストアの管理者は、受信者への共有の付与を含め、共有と受信者を作成および管理する権限を持っています。 多くのプロバイダー タスクは、次の権限を使用してメタストア管理者によって委任できます。

注:

ワークスペースで Unity Catalog が自動的に有効になっている場合は、メタストア管理者がいない可能性があります。 ただし、このようなワークスペースのワークスペース管理者には、メタストアに対する CREATE SHARE 特権と CREATE RECIPIENT 特権がデフォルトで付与されます。 詳細については、「Unity Catalog の自動有効化 」および「 ワークスペースがUnity Catalog に対して自動的に有効になっている場合のワークスペース管理者特権」を参照してください。

  • CREATE SHARE は、共有を作成する権限を付与します。

  • CREATE RECIPIENT は、受信者を作成する権限を付与します。

  • USE RECIPIENT は、メタストア内のすべての受信者の詳細を一覧表示および表示する権限を付与します。

  • USE SHARE は、メタストア内のすべての共有の詳細を一覧表示および表示する権限が付与されます。

  • USE RECIPIENTUSE SHARE,SET SHARE PERMISSION を組み合わせると、ユーザーは受信者に共有アクセス権を付与できます。

  • USE SHARE また、 SET SHARE PERMISSION を組み合わせることで、ユーザーは任意の株式の所有権を譲渡できます。

  • 共有所有者と受信者の所有者は、これらのオブジェクトを更新し、受信者に共有を付与できます。 オブジェクト作成者にはデフォルトで所有権が付与されますが、所有権は譲渡できます。

  • 共有所有者は、テーブルへの SELECT アクセス権とボリュームへの READ VOLUME アクセス権を持っている限り、テーブルとボリュームを共有に追加できます。

詳細については、 Unity Catalog権限とセキュリティ保護可能なオブジェクト」およびDelta Sharingガイド」に記載されている各タスクにリストされている権限を参照してください。