Verwalten von Dienstanmeldeinformationen

Wichtig

Dieses Feature befindet sich in der Public Preview.

In diesem Artikel wird beschrieben, wie Sie Dienstanmeldeinformationen auflisten, anzeigen, aktualisieren, berechtigungen erteilen und löschen, bei denen es sich um sicherungsfähige Objekte im Unity-Katalog handelt, mit denen Sie den Zugriff auf externe Clouddienste steuern können.

Weitere Informationen:

• Eine Einführung und informationen zum Erstellen von Dienstanmeldeinformationen: Verwalten des Zugriffs auf externe Clouddienste mithilfe von Dienstanmeldeinformationen
• Informationen zum Verweisen auf Dienstanmeldeinformationen in Ihrem Code und zum Angeben einer Standarddienstanmeldeinformationen für eine Computeressource: Verwenden Sie Die Anmeldeinformationen des Unity-Katalogdiensts, um eine Verbindung mit externen Clouddiensten herzustellen.

Voraussetzungen

Um die in diesem Artikel beschriebenen Aufgaben auszuführen, müssen Sie die folgenden Anforderungen erfüllen:

• Ein Azure Databricks-Arbeitsbereich, der für Unity Catalog aktiviert ist.
• Zum Auflisten oder Anzeigen einer Dienstanmeldeinformationen müssen Sie über eines der folgenden Berechtigungen oder Rollen verfügen:
  • BROWSE Berechtigungen für den übergeordneten Katalog
  • CREATE SERVICE CREDENTIAL im Metastore
  • ACCESS auf den Dienstanmeldeinformationen
  • Besitzer der Dienstanmeldeinformationen
  • Metastore-Administrator*in
• Um eine der anderen in diesem Artikel aufgeführten Aufgaben auszuführen, müssen Sie der Besitzer der Dienstanmeldeinformationen oder ein Metastore-Administrator sein.
• Wenn Sie SQL-Befehle zum Auflisten, Anzeigen oder Aktualisieren der Dienstanmeldeinformationen verwenden, benötigen Sie Eine Berechnung für Databricks Runtime 15.4 LTS oder höher. Es ist keine Databricks-Runtime-Version erforderlich, wenn Sie den Katalog-Explorer oder die REST-API verwenden.

Dienstanmeldeinformationen auflisten

Um die Liste aller Dienstanmeldeinformationen in einem Metastore anzuzeigen, können Sie den Katalog-Explorer oder einen SQL-Befehl verwenden.

Katalog-Explorer

1. Klicken Sie auf der Seitenleiste auf Katalog.
2. Klicken Sie auf der Seite "Schnellzugriff" auf die Schaltfläche "Externe Daten>", und wechseln Sie zur Registerkarte "Anmeldeinformationen".
3. Sortieren Sie die Anmeldeinformationen nach Zweck (SPEICHER oder DIENST).

SQL

Führen Sie den folgenden Befehl in einem Notebook aus.

SHOW SERVICE CREDENTIALS;

Anzeigen von Dienstanmeldeinformationen

Um die Eigenschaften einer Dienstanmeldeinformationen anzuzeigen, können Sie den Katalog-Explorer oder einen SQL-Befehl verwenden.

Katalog-Explorer

1. Klicken Sie auf der Seitenleiste auf Katalog.
2. Klicken Sie auf der Seite "Schnellzugriff" auf die Schaltfläche "Externe Daten>", und wechseln Sie zur Registerkarte "Anmeldeinformationen".
3. Klicken Sie auf den Namen einer Dienstanmeldeinformationen, um die zugehörigen Eigenschaften anzuzeigen.

SQL

Führen Sie den folgenden Befehl in einem Notebook aus. Ersetzen Sie <credential-name> durch den Namen der Anmeldeinformationen.

DESCRIBE SERVICE CREDENTIAL <credential-name>;

Anzeigen von Berechtigungen für Dienstanmeldeinformationen

Verwenden Sie zum Anzeigen von Berechtigungen für Dienstanmeldeinformationen einen Befehl wie den folgenden. Optional können Sie die Ergebnisse filtern, um nur die Zuweisungen für den angegebenen Prinzipal anzuzeigen.

SHOW GRANTS [<principal>] ON SERVICE CREDENTIAL <service-credential-name>;

Ersetzen Sie folgende Platzhalterwerte:

• <principal>: Die E-Mail-Adresse des Benutzers auf Kontoebene oder der Name der Gruppe auf Kontoebene, der die Berechtigung erteilt wurde.
• <service-credential-name>: Der Name einer Dienstanmeldeinformationen.

Hinweis

Wenn eine Gruppe oder ein Benutzername ein Leerzeichen oder @ Symbol enthält, verwenden Sie die Rückstriche um sie herum (keine Apostrophe). Zum Beispiel Finanzteam .

Erteilen von Berechtigungen für die Verwendung von Dienstanmeldeinformationen für den Zugriff auf einen externen Clouddienst

Führen Sie die folgenden Schritte aus, um die Berechtigung zum Verwenden von Dienstanmeldeinformationen für den Zugriff auf einen externen Clouddienst zu erteilen. Sie können Katalog-Explorer- oder SQL-Befehle verwenden:

Katalog-Explorer

1. Klicken Sie auf der Seitenleiste auf Katalog.
2. Klicken Sie auf der Seite "Schnellzugriff" auf die Schaltfläche "Externe Daten>", und wechseln Sie zur Registerkarte "Anmeldeinformationen".
3. Klicken Sie auf den Namen einer Dienstanmeldeinformationen, um die Detailseite zu öffnen.
4. Klicken Sie auf Berechtigungen.
5. Um Benutzern oder Gruppen Berechtigungen zu erteilen, wählen Sie jede Identität einzeln aus, und klicken Sie dann auf Zuweisung.
   • Wählen Sie ACCESS aus, um die Möglichkeit zu gewähren, die Dienstanmeldeinformationen für den Zugriff auf einen externen Clouddienst oder -dienste zu verwenden.
   • Wählen Sie CREATE CONNECTION aus, um mithilfe dieser Dienstanmeldeinformationen eine Lakehouse-Verbundverbindung im Unity-Katalog zu erstellen. Siehe "Verwalten von Verbindungen für Lakehouse Federation".
6. Wählen Sie zum Widerrufen von Berechtigungen für Benutzer oder Gruppen die einzelnen Identitäten aus, und klicken Sie dann auf Widerrufen.

SQL

Führen Sie zum Gewähren des Zugriffs einen der folgenden Befehle in einem Notizbuch aus, und ersetzen Sie die Platzhalterwerte:

• <principal>: Die E-Mail-Adresse des Benutzers auf Kontoebene oder der Name der Gruppe auf Kontoebene, für den/die die Berechtigung erteilt werden soll.
• <service-credential-name>: Der Name einer Dienstanmeldeinformationen.

Hinweis

Wenn eine Gruppe oder ein Benutzername ein Leerzeichen, einen Gedankenstrich (-) oder @ ein Symbol enthält, verwenden Sie back-ticks um sie herum (keine Apostrophe). Beispiel: `finance team`.

GRANT ACCESS ON SERVICE CREDENTIAL <service-credential-name> TO <principal>;

Wenn Sie die Möglichkeit zum Erstellen einer Lakehouse-Verbundverbindung im Unity-Katalog mit diesen Dienstanmeldeinformationen gewähren möchten, verwenden Sie Folgendes:

GRANT CREATE CONNECTION ON SERVICE CREDENTIAL <service-credential-name> TO <principal>;

Um den Zugriff zu widerrufen, ersetzen Sie GRANT in diesen Beispielen durch REVOKE .

Ändern des Besitzers einer Dienstanmeldeinformationen

Der Ersteller einer Dienstanmeldeinformation ist der ursprüngliche Besitzer. Um den Besitzer in einen anderen Benutzer oder eine andere Gruppe auf Kontoebene zu ändern, können Sie den Katalog-Explorer oder einen SQL-Befehl verwenden.

Katalog-Explorer

1. Klicken Sie auf der Seitenleiste auf Katalog.
2. Klicken Sie auf der Seite "Schnellzugriff" auf die Schaltfläche "Externe Daten>", und wechseln Sie zur Registerkarte "Anmeldeinformationen".
3. Klicken Sie auf den Namen einer Dienstanmeldeinformationen, um das Bearbeitungsdialogfeld zu öffnen.
4. Klicken Sie neben "Besitzer".
5. Geben Sie die Eingabe ein, um nach einem Prinzipal zu suchen, und wählen Sie ihn aus.
6. Klicken Sie auf Speichern.

SQL

Führen Sie den folgenden Befehl in einem Notebook aus. Ersetzen Sie folgende Platzhalterwerte:

• <credential-name>: Der Name der Anmeldeinformationen.
• <principal>: Die E-Mail-Adresse eines Benutzers auf Kontoebene oder der Name einer Gruppe auf Kontoebene.

ALTER SERVICE CREDENTIAL <credential-name> OWNER TO <principal>;

Umbenennen von Dienstanmeldeinformationen

Um eine Dienstanmeldeinformationen umzubenennen, können Sie den Katalog-Explorer oder einen SQL-Befehl verwenden.

Katalog-Explorer

1. Klicken Sie auf der Seitenleiste auf Katalog.
2. Klicken Sie auf der Seite "Schnellzugriff" auf die Schaltfläche "Externe Daten>", und wechseln Sie zur Registerkarte "Anmeldeinformationen".
3. Klicken Sie auf den Namen einer Dienstanmeldeinformationen, um das Bearbeitungsdialogfeld zu öffnen.
4. Benennen Sie die Dienstanmeldeinformationen um, und speichern Sie sie.

SQL

Führen Sie den folgenden Befehl in einem Notebook aus. Ersetzen Sie folgende Platzhalterwerte:

• <credential-name>: Der Name der Anmeldeinformationen.
• <new-credential-name>: Ein neuer Name für die Anmeldeinformationen.

ALTER SERVICE CREDENTIAL <credential-name> RENAME TO <new-credential-name>;

Löschen einer Dienstanmeldeinformationen

Zum Löschen (Ablegen) einer Dienstanmeldeinformation müssen Sie sein Besitzer sein. Zum Löschen von Dienstanmeldeinformationen können Sie den Katalog-Explorer oder einen SQL-Befehl verwenden.

Katalog-Explorer

1. Klicken Sie auf der Seitenleiste auf Katalog.
2. Klicken Sie auf der Seite "Schnellzugriff" auf die Schaltfläche "Externe Daten>", und wechseln Sie zur Registerkarte "Anmeldeinformationen".
3. Klicken Sie auf den Namen einer Dienstanmeldeinformationen, um das Bearbeitungsdialogfeld zu öffnen.
4. Klicken Sie auf die Schaltfläche Löschen .

SQL

Führen Sie den folgenden Befehl in einem Notebook aus. Ersetzen Sie <credential-name> durch den Namen der Anmeldeinformationen. Teile des Befehls, die sich in Klammern befinden, sind optional.

IF EXISTS gibt keinen Fehler zurück, wenn die Anmeldeinformationen nicht vorhanden sind.

DROP SERVICE CREDENTIAL [IF EXISTS] <credential-name>;