Habilitar um espaço de trabalho para Unity Catalog
Este artigo explica como habilitar um workspace para Unity Catalog atribuindo um metastore Unity Catalog .
Importante
Em 8 de novembro de 2023, o Databricks começará a habilitar automaticamente o novo workspace para o Unity Catalog, com uma implementação gradual. Se o seu workspace foi habilitado automaticamente para o Unity Catalog, este artigo não se aplica a você.
Para determinar se seu espaço de trabalho já está habilitado para o Unity Catalog, consulte a etapa 1: Confirmar se seu espaço de trabalho está habilitado para o Unity Catalog.
Sobre a habilitação de espaços de trabalho para o Unity Catalog
Habilitar o Unity Catalog para um workspace significa que:
Os usuários nesse workspace podem acessar os mesmos dados que os usuários em outro workspace em sua account podem acessar, e o gerenciamento de dados pode gerenciar esse acesso a dados centralmente, em todo workspace
O acesso aos dados é auditado automaticamente
A federação de identidades está ativada para o workspace, permitindo que os administradores gerenciem identidades de forma centralizada usando o console account e outras interfaces de nível account. Isso inclui a atribuição de usuários ao espaço de trabalho.
Para habilitar um workspace do Databricks para Unity Catalog, você atribui o workspace a um metastoreUnity Catalog . Um metastore é o contêiner de nível superior para dados no Unity Catalog. Cada metastore expõe um namespace de 3 níveis (catalog
.schema
.table
) pelo qual os dados podem ser organizados.
Você pode compartilhar um único metastore em vários workspace do Databricks em uma account. Cada workspace vinculado tem a mesma view dos dados no metastore e você pode gerenciar o controle de acesso a dados no workspace. Você pode criar um metastore por região e anexá-lo a qualquer espaço de workspace nessa região.
Considerações antes de habilitar um espaço de trabalho para o Unity Catalog
Antes de habilitar um workspace para o Unity Catalog, você deve:
Entenda os privilégios dos administradores workspace no workspace que estão habilitados para Unity Catalog e revise suas atribuições de administrador workspace existentes.
O administrador do workspace é uma função privilegiada que você deve distribuir com cautela.
workspace Os administradores podem gerenciar operações para seu workspace, inclusive adicionar usuários e entidades de serviço, criar clusters e delegar outros usuários para serem administradores do workspace. Se o seu workspace foi habilitado para Unity Catalog automaticamente, o administrador do workspace também tem vários privilégios adicionais pelo default, incluindo a capacidade de criar a maioria dos tipos de objetos do Unity Catalog e conceder acesso aos que forem criados. Consulte Privilégios de administrador no Unity Catalog.
Se o seu workspace não foi habilitado para Unity Catalog automaticamente, então os administradores do workspace não têm mais acesso a objetos Unity Catalog pelo default do que qualquer outro usuário, mas eles têm a capacidade de executar tarefas de gerenciamento do workspace, como gerenciar a propriedade do Job e visualizar o Notebook, o que pode dar acesso indireto aos dados registrados no Unity Catalog.
account Os administradores podem restringir os privilégios de administrador do workspace usando a configuração
RestrictWorkspaceAdmins
. Consulte Restringir administradores do espaço de trabalho.Se o senhor usar o espaço de trabalho para isolar o acesso aos dados do usuário, talvez queira usar workspace-catalog bindings. Os vínculos workspace-catalog permitem que o senhor limite o acesso ao catálogo pelos limites do workspace. Por exemplo, o senhor pode garantir que os administradores e usuários do workspace só possam acessar os dados de produção em
prod_catalog
a partir de um ambiente de produção workspace,prod_workspace
. O default é para compartilhar o catálogo com todos os espaços de trabalho anexados ao metastore atual. Da mesma forma, o senhor pode vincular o acesso a locais externos de modo que eles sejam acessíveis somente a partir do espaço de trabalho especificado. Consulte Limitar o acesso ao catálogo a um espaço de trabalho específico e (Opcional) Atribuir um local externo a um espaço de trabalho específico.Atualize qualquer automação que tenha sido configurada para gerenciar usuários, grupos e entidades de serviço, como os conectores de provisionamento SCIM e a automação Terraform, para que se refiram ao endpoint account em vez do endpoint workspace. Consulte account-level e workspace-level SCIM provisionamento.
Esteja ciente de que habilitar um workspace para o Unity Catalog não pode ser revertido. Depois de habilitar o workspace, você gerenciará usuários, grupos e entidades de serviço para esse workspace usando interfaces em nível de account .
Requisitos
Antes de habilitar seu workspace para Unity Catalog, você deve ter um metastore Unity Catalog configurado para sua account do Databricks. Consulte Criar um metastore Unity Catalog .
Habilite seu espaço de trabalho para o Unity Catalog
Quando o senhor cria um metastore, é solicitado a atribuir um espaço de trabalho a esse metastore, o que habilita esse espaço de trabalho para Unity Catalog. Também é possível retornar ao console account para habilitar um workspace para Unity Catalog a qualquer momento, inclusive ao criar um espaço de trabalho usando o console account. Observe que a maioria dos espaços de trabalho é ativada automaticamente para Unity Catalog quando o senhor os cria. Consulte Ativação automática do Unity Catalog.
Para habilitar um workspace existente para Unity Catalog usando o console account:
Como administrador da conta, faça login no console da conta.
Clique em Catalog.
Clique no nome do metastore.
Clique na tab workspace .
Clique em Assign to workspace (Atribuir ao espaço de trabalho).
Selecione um ou mais workspace. Você pode digitar parte do nome do workspace para filtrar a lista.
Role até a parte inferior da caixa de diálogo e clique em Assign (Atribuir).
Na caixa de diálogo de confirmação, clique em Ativar.
Para ativar o Unity Catalog ao criar um workspace usando o console account:
Como administrador da conta, faça login no console da conta.
Clique Espaços de trabalho.
Clique em Create workspace.
Na página Create workspace (Criar espaço de trabalho), clique no botão de alternância Enable Unity Catalog (Ativar catálogo do Unity ).
Na caixa de diálogo de confirmação, clique em Ativar.
Selecione o Metastore.
Conclua a configuração de criação workspace e clique em Salvar.
Quando a atribuição estiver concluída, o workspace aparecerá natab workspace do metastore e o metastore aparecerá na tab Configuração do workspace.
Próximos passos
Saiba mais sobre Unity Catalog: O que é Unity Catalog?
Remova o link metastore de um espaço de trabalho
Para remover o acesso de um workspaceaos dados em um metastore, você pode desvincular o metastore do workspace.
Aviso
Se você quebrar o link entre um workspace e um metastore do Unity Catalog:
Os usuários no workspace não poderão mais acessar dados no metastore.
Você quebrará qualquer Notebook, query, ou Job que referencia os dados gerenciados no metastore.
Como administrador da conta, faça login no console da conta.
Clique em Catalog.
Clique no nome do metastore.
Natab workspace , localize o workspace que deseja remover do metastore.
Clique no menu de três botões na extremidade direita da linha workspace e selecione Remover desta metastore.
Na caixa de diálogo de confirmação, clique em Cancelar atribuição.
Quando a remoção for concluída, o workspace não aparecerá mais natab workspace do metastore.