Pověření

platí pro: Databricks SQL Databricks Runtime pouze katalog Unity.

Katalog Unity a integrovaný metastore Azure Databricks Hive používají výchozí umístění pro spravované tabulky. Katalog Unity zavádí několik nových zabezpečitelných objektů, které udělují oprávnění externím cloudovým službám a datům v cloudovém úložišti objektů.

• pověření

  Objekt katalogu Unity sloužící k abstrakci dlouhodobých přihlašovacích údajů od poskytovatelů cloudových služeb a úložišť.

  • přihlašovací údaje úložiště

    Přihlašovací údaje katalogu Unity používané pro přístup k externím umístěním a tabulkám.

  • přihlašovací údaje služby

    Důležité

    Tato funkce je ve verzi Public Preview.

    Přihlašovací údaje Unity Catalog používané k přístupu k externím cloudovým službám pomocí poskytovatelských SDK. Další podrobnosti najdete v tématu Správa přístupu k externím cloudovým službám pomocí přihlašovacích údajů služby.

• externí umístění

  Objekt katalogu Unity použitý k přidružení identifikátoru URI cloudového objektového úložiště k přístupovým údajům úložiště.

• externí tabulka

  Tabulka katalogu Unity vytvořená v externím umístění spravovaném katalogem Unity.

Reference

Přihlašovací údaje představují zabezpečitelný objekt představující spravovanou identitu Azure nebo instanční objekt Microsoft Entra ID.

Po vytvoření přihlašovacích údajů je možné k němu udělit přístup objektům zabezpečení (uživatelům a skupinám).

Přístupové údaje k úložišti se primárně používají k vytvoření externích umístění, která určují rozsah přístupu ke konkrétní cestě úložiště.

Názvy přihlašovacích údajů jsou nekvalifikované a musí být jedinečné v rámci metastoru.

Grafické znázornění relací

Následující diagram popisuje vztah mezi:

• přihlašovací údaje k úložišti
• externí umístění
• externí tabulky
• cesty k úložišti
• Entity IAM
• Účty služeb Azure

Příklady

Pomocí rozhraní příkazového řádku vytvořte přihlašovací údaje my_azure_storage_cred úložiště pro instanční objekt Microsoft Entra ID.

databricks storage-credentials create --json '{"name": "my_azure_storage_cred", "azure_service_principal": {"directory_id": "12345678-9abc-def0-1234-56789abcdef0", "application_id": "23456789-9abc-def0-1234-56789abcdef0", "client_secret": "Cli3nt5ecr3t"}}'

Zbývající příkazy je možné spustit v rámci SQL.

-- Grant access to the storage credential
> GRANT READ FILES ON STORAGE CREDENTIAL my_azure_storage_cred TO ceo;

-- ceo can directly read from any storage path using myazure_storage_cred
> SELECT count(1) FROM `delta`.`abfss://container@storageaccount.dfs.core.windows.net/depts/finance/forecast/somefile` WITH (CREDENTIAL my_azure_storage_cred);
  100
> SELECT count(1) FROM `delta`.`abfss://container@storageaccount.dfs.core.windows.net/depts/hr/employees` WITH (CREDENTIAL my_azure_storage_cred);
  2017

-- Create an external location on specific path to which `my_azure_storage_cred` has access
> CREATE EXTERNAL LOCATION finance_loc URL 'abfss://container@storageaccount.dfs.core.windows.net/depts/finance'
    WITH (CREDENTIAL my_azure_storage_cred)
    COMMENT 'finance';

Související články

• ALTER CREDENTIAL
• ALTER TABLE
• VYTVOŘIT UMÍSTĚNÍ
• DESCRIBE CREDENTIAL
• DESCRIBE TABLE
• DROP CREDENTIAL
• DROP TABLE
• SHOW CREDENTIALS
• SHOW TABLES
• GRANT
• REVOKE