Správa přístupu k externím cloudovým službám pomocí přihlašovacích údajů služby

Důležité

Tato funkce je ve verzi Public Preview.

Tento článek popisuje, jak vytvořit objekt přihlašovacích údajů služby v katalogu Unity, který umožňuje řídit přístup z Azure Databricks k externím cloudovým službám. Přihlašovací údaje služby v katalogu Unity zapouzdřují dlouhodobé cloudové údaje, které udělují přístup ke službám.

Přihlašovací údaje služby nejsou určené pro řízení přístupu ke cloudovému úložišti, které se používá jako umístění spravovaného úložiště katalogu Unity nebo externího úložiště. Pro tyto případy použití použijte přihlašovací údaje k úložišti. Viz Správa přístupu ke cloudovému úložišti pomocíkatalogu Unity .

Pokud chcete vytvořit přihlašovací údaje služby pro přístup ke službám Azure, vytvoříte přístupový konektor Azure Databricks, který odkazuje na spravovanou identitu Azure a přiřadí jí oprávnění ke službě nebo službám. Potom na tento přístupový konektor odkazujete v definici přihlašovacích údajů služby.

Než začnete

Před vytvořením přihlašovacích údajů služby musíte splňovat následující požadavky:

V Azure Databricks:

• Pracovní prostor Azure Databricks s povolením pro katalog Unity

• CREATE SERVICE CREDENTIAL oprávnění k metastoru katalogu Unity připojenému k pracovnímu prostoru. Správci účtů a správci metastoru mají ve výchozím nastavení toto oprávnění. Pokud byl váš pracovní prostor pro katalog Unity povolen automaticky, mají správci pracovního prostoru také toto oprávnění.

  Poznámka:

  Instanční objekty musí mít roli správce účtu, aby bylo možné vytvořit přihlašovací údaje služby, které používají spravovanou identitu. Instančnímu objektu nemůžete delegovat CREATE SERVICE CREDENTIAL . To platí pro instanční objekty Azure Databricks i instanční objekty Microsoft Entra ID.

Ve vašem tenantovi Azure:

• Služba Azure ve stejné oblasti jako pracovní prostor, ze kterého chcete získat přístup k datům.
• Role Přispěvatel nebo Vlastník ve skupině prostředků Azure.
• Role Vlastník nebo Správce uživatelských přístupů Azure RBAC v účtu služby.

Vytvoření přihlašovacích údajů služby pomocí spravované identity

Pokud chcete nakonfigurovat identitu, která autorizuje přístup k vašemu účtu služby, použijte přístupový konektor Azure Databricks, který připojí spravovanou identitu Azure k vašemu účtu Azure Databricks. Pokud už máte definovaný přístupový konektor, můžete přeskočit k kroku 2 v následujícím postupu.

Poznámka:

Místo spravované identity můžete použít instanční objekt, ale důrazně se doporučuje spravované identity. Spravované identity mají tu výhodu, že umožňují katalogu Unity přistupovat ke služebním účtům chráněným pravidly sítě, což není možné pomocí servisních principálů, a odstraňují potřebu správy a rotace tajemství. Pokud musíte použít principál služby, viz Vytvoření spravovaného úložiště katalogu Unity pomocí principálu služby (starší verze).

1. V Azure portálu vytvořte přístupový konektor Azure Databricks a přiřaďte mu oprávnění ke službě, ke které chcete získat přístup, podle pokynů v části Konfigurace spravované identity proUnity Katalogu.

   Přístupový konektor Azure Databricks je prostředek Azure, který umožňuje připojit spravované identity k účtu Azure Databricks. Abyste mohli přidat přihlašovací údaje služby, musíte mít v prostředku přístupového konektoru v Azure roli Přispěvatel nebo vyšší.

   Místo pokynů v kroku 2 : Udělte spravované identitě přístup k účtu úložiště, udělte spravované identitě přístup k vašemu služebnímu účtu.

   Poznamenejte si ID prostředku přístupového konektoru.

2. Přihlaste se k pracovnímu prostoru Azure Databricks jako uživatel, který splňuje požadavky uvedené v části Než začnete.

3. Klikněte na ikonu katalogu katalog.

4. Na stránce Rychlý přístup klikněte na tlačítko Externí data >, přejděte na kartu Přihlašovací údaje a vyberte Vytvořit přihlašovací údaj.

5. Vyberte přihlašovací údaje služby.

6. Zadejte název přihlašovacích údajů, volitelný komentář a ID prostředku přístupového konektoru ve formátu:

   /subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.Databricks/accessConnectors/<connector-name>
   

7. (Volitelné) Pokud jste vytvořili přístupový konektor pomocí spravované identity přiřazené uživatelem, zadejte ID prostředku spravované identity do pole ID spravované identity přiřazené uživatelem ve formátu:

   /subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<managed-identity-name>
   

8. Klikněte na Vytvořit.

9. V dialogovém okně Vytvořené přihlašovací údaje služby zkopírujte externí ID.

   Externí ID můžete kdykoli zobrazit také na stránce s podrobnostmi přihlašovacích údajů služby.

10. Klikněte na tlačítko Hotovo.

(Volitelné) Přiřazení přihlašovacích údajů služby ke konkrétním pracovním prostorům

Důležité

Tato funkce je ve verzi Public Preview.

Ve výchozím nastavení je přihlašovací údaje služby přístupné ze všech pracovních prostorů v metastoru. To znamená, že pokud má uživatel udělené oprávnění k přihlašovacím údajům dané služby, může toto oprávnění uplatnit z libovolného pracovního prostoru připojeného k metastoru. Pokud k izolaci přístupu k datům uživatelů používáte pracovní prostory, můžete chtít povolit přístup k přihlašovacím údajům služby jenom z konkrétních pracovních prostorů. Tato funkce se označuje jako vazba pracovního prostoru nebo izolace přihlašovacích údajů služby.

Typickým případem použití pro vytvoření vazby přihlašovacích údajů služby ke konkrétním pracovním prostorům je scénář, ve kterém správce cloudu nakonfiguruje přihlašovací údaje služby pomocí přihlašovacích údajů produkčního cloudového účtu a chcete zajistit, aby uživatelé Azure Databricks používali tyto přihlašovací údaje pro přístup k externí cloudové službě pouze v produkčním pracovním prostoru.

Další informace o vazbě pracovního prostoru najdete v tématu (volitelné) Přiřazení přihlašovacích údajů úložiště konkrétním pracovním prostorům a Omezení přístupu katalogu ke konkrétním pracovním prostorům.

Vytvoření vazby přihlašovacích údajů služby k jednomu nebo více pracovním prostorům

Pokud chcete přiřadit přihlašovací údaje služby konkrétním pracovním prostorům, použijte Průzkumníka katalogu.

Požadovaná oprávnění: Vlastník přihlašovacích údajů metastoru nebo správce služby.

Poznámka:

Správci metastoru můžou zobrazit všechny přihlašovací údaje služby v metastoru pomocí Průzkumníka katalogu – a vlastníci přihlašovacích údajů služby můžou zobrazit všechny přihlašovací údaje služby, které vlastní v metastoru – bez ohledu na to, jestli jsou přihlašovací údaje služby přiřazené k aktuálnímu pracovnímu prostoru. Přihlašovací údaje služby, které nejsou přiřazené k pracovnímu prostoru, se zobrazují šedě.

1. Přihlaste se k pracovnímu prostoru, který je propojený s metastorem.

2. Na bočním panelu klikněte na ikonu katalogu katalog.

3. Na stránce Rychlý přístup klikněte na tlačítko Externí data > a přejděte na kartu Přihlašovací údaje.

4. Vyberte přihlašovací údaje služby a přejděte na kartu Pracovní prostory.

5. Na kartě Pracovní prostory zrušte zaškrtnutí políčka Všechny pracovní prostory mají přístup.

   Pokud už přihlašovací údaje služby jsou svázané s jedním nebo více pracovními prostory, je toto políčko už nezaškrtnuté.

6. Klikněte na Přiřadit k pracovním prostorům a zadejte nebo vyhledejte pracovní prostory, které chcete přiřadit.

Pokud chcete přístup odvolat, přejděte na kartu Pracovní prostory, vyberte pracovní prostor a klikněte na Odvolat. Pokud chcete povolit přístup ze všech pracovních prostorů, zaškrtněte políčko Všechny pracovní prostory mají přístup.

Další kroky

• Zjistěte, jak zobrazit, aktualizovat, odstranit a udělit ostatním uživatelům oprávnění k používání přihlašovacích údajů služby. Viz Správa přihlašovacích údajů služby.
• Naučte se používat přihlašovací údaje služby v kódu. Viz Použijte přihlašovací údaje služby Unity Catalog pro připojení k externím cloudovým službám.

Omezení

Platí následující omezení:

• Databricks Runtime 15.4 LTS zahrnuje pouze podporu Pythonu.
• Sql Warehouse se nepodporují.
• Některé události auditu pro akce prováděné s přihlašovacími údaji služby se v tabulce system.access.audit nezobrazí. Informace o auditu o tom, kdo vytvořil, odstranil, aktualizoval, přečetl, v seznamu nebo použil přihlašovací údaje služby, budou k dispozici. Viz referenční informace k systémové tabulce protokolu auditování.
• Během ukázky přihlašovacích údajů služby INFORMATION_SCHEMA.STORAGE_CREDENTIALS (zastaralé) zobrazí jak údaje úložiště, tak služby, a INFORMATION_SCHEMA.STORAGE_CREDENTIAL_PRIVILEGES (zastaralé) zobrazí oprávnění platná pro údaje úložiště i služby. Toto je nesprávné chování náhledu, které bude opraveno a neměli byste na něm záviset, abyste mohli pokračovat. Místo toho byste měli použít INFORMATION_SCHEMA.CREDENTIALS a INFORMATION_SCHEMA.CREDENTIAL_PRIVILEGES pro přihlašovací údaje úložiště i služby.