Sdílet prostřednictvím

Správa přístupu ke cloudovému úložišti pomocí Unity Catalog

  • Článek

Tento článek obsahuje přehled použití Unity Catalog ke správě přístupu ke cloudovému úložišti z Azure Databricks. Představuje koncepty externího umístění, přihlašovacích údajů úložiště a spravovaného úložiště.

Poznámka:

Pokud chcete použít Unity Catalog k řízení přístupu k externí službě místo cloudového úložiště, přečtěte si téma Správa přístupu k externím cloudovým službám pomocí služby credentials.

Externí umístění a úložiště credentials

Všechna data, která se řídí Catalog Unity, musí být v cloudovém úložišti ve vašem účtu poskytovatele cloudu. Unity Catalog řídí přístup ke cloudovému úložišti pomocí zabezpečitelného objektu označovaného jako externí umístění, který definuje cestu k umístění cloudového úložiště a credentials vyžadované pro přístup k danému umístění. Tyto credentials jsou zase definovány v zabezpečitelném objektu Unity Catalog, který se nazývá pověření pro úložiště . Udělením a odvoláním přístupu k externím zabezpečovatelným položkám v Unity Catalogkontrolujete přístup k datům v umístění cloudového úložiště. Udělením a odvoláním přístupu k přihlašovacím údajům úložiště v Unity Catalogřídíte možnost vytvářet objekty externího umístění.

Tady je trochu podrobnější informace o těchto dvou zabezpečitelných objektech:

  • Přihlašovací údaje úložiště představují mechanismus ověřování a autorizace pro přístup k datům uloženým ve vašem cloudovém tenantovi pomocí spravované identity Nebo instančního objektu Azure pro kontejnery Azure Data Lake Storage Gen2 nebo token rozhraní API R2 pro kontejnery Cloudflare R2. Oprávnění udělená v Unity Catalog určují, kteří uživatelé a skupiny můžou k definování externích umístění použít přihlašovací údaje. Oprávnění k vytváření a používání credentials úložiště by mělo být uděleno pouze uživatelům, kteří potřebují vytvářet objekty externího umístění. Viz Vytvoření přihlašovacích údajů úložiště pro připojení k Azure Data Lake Storage Gen2 a vytvoření přihlašovacích údajů úložiště pro připojení ke Cloudflare R2.
  • Externí umístění kombinuje cestu cloudového úložiště s přihlašovacími údaji úložiště, které autorizuje přístup k cestě cloudového úložiště. Oprávnění udělená v Unity Catalog určují, kteří uživatelé a skupiny mají přístup k cestě cloudového úložiště definované externím umístěním. Oprávnění k vytváření a používání externích úložišť by mělo být uděleno pouze uživatelům, kteří potřebují vytvářet externí tables, externí volumesnebo spravovaná úložiště. Viz Vytvoření externího umístění pro připojení cloudového úložiště k Azure Databricks.

Externí umístění se používají v Unity Catalog jak pro externí datové prostředky, jako jsou externí tables a externí volumes, tak pro spravované datové prostředky, jako jsou spravované tables a spravované volumes. Další informace o rozdílu mezi externími a spravovanými datovými prostředky v Unity Catalognaleznete v tématu Co jsou tables a views? a Co jsou Unity Catalogvolumes?.

Informace o osvědčených postupech při používání externích umístění najdete v tématu Správa externích umístění, externích tablesa volumes.

Použití externích umístění při vytváření externích tables a volumes

Externí tables a externí volumes zaregistrované v Unity Catalog jsou v podstatě ukazatele na data v cloudovém úložišti, které spravujete mimo Azure Databricks. Při vytváření externího table nebo externího svazku v Unity Catalogmusíte odkazovat na cestu cloudového úložiště, která je součástí objektu externího umístění, ke kterému jste získali odpovídající oprávnění. Další informace o rozdílu mezi externími a spravovanými datovými prostředky v Unity Catalogviz Co jsou tables a views? a Co jsou Unity Catalogvolumes?. Najděte privilegia v oprávnění Grant na externím umístění.

Použití externích umístění při vytváření spravovaného úložiště

Spravované tables a spravované volumes jsou plně spravovány Unity Catalog. Ve výchozím nastavení jsou ukládány ve spravovaném úložném umístění , které lze definovat na úrovni metastoru catalognebo schema. Když přiřadíte spravované umístění úložiště k metastore, catalognebo schema, musíte odkazovat na objekt externího umístění a musíte mít odpovídající oprávnění k jeho použití. Viz Určení spravovaného umístění úložiště v Unity Catalog a Unity Catalog osvědčené postupy.

Pracovní postup správy přístupu ke cloudovému úložišti v Unity Catalog

Pokud chcete spravovat přístup ke cloudovému úložišti pomocí CatalogUnity, postupujte takto:

  1. Vytvořte objekt přihlašovacích údajů úložiště, který zapouzdřuje spravovanou identitu Azure, která poskytuje přístup k cestě cloudového úložiště.
  2. Vytvořte objekt externího umístění, který odkazuje na cestu k úložišti a objekt přihlašovacích údajů úložiště.
  3. Odkazujte na cestu, která je součástí externího umístění, když vytváříte externí tables, externí volumesnebo výchozí spravovaná umístění úložiště. Může to být přesná cesta definovaná v externím umístění nebo dílčí cestě.

Další kroky