Administración del acceso al almacenamiento en la nube mediante el catálogo de Unity

En este artículo se proporciona información general sobre cómo usar El catálogo de Unity para administrar el acceso al almacenamiento en la nube desde Azure Databricks. Presenta los conceptos de ubicación externa, credenciales de almacenamiento y almacenamiento administrado.

Nota:

Si desea usar el catálogo de Unity para controlar el acceso a un servicio externo en lugar de almacenamiento en la nube, consulte Administración del acceso a servicios en la nube externos mediante credenciales de servicio.

Ubicaciones externas y credenciales de almacenamiento

Todos los datos que se rigen por el catálogo de Unity deben estar en el almacenamiento en la nube en la cuenta del proveedor de nube. El catálogo de Unity rige el acceso al almacenamiento en la nube mediante un objeto protegible denominado ubicación externa, que define una ruta de acceso a una ubicación de almacenamiento en la nube y las credenciales necesarias para acceder a esa ubicación. Estas credenciales se definen, a su vez, en un objeto protegible del catálogo de Unity denominado credencial de almacenamiento. Al conceder y revocar el acceso a los elementos protegibles de ubicación externa en el catálogo de Unity, se controla el acceso a los datos de la ubicación de almacenamiento en la nube. Al conceder y revocar el acceso a los elementos protegibles de credenciales de almacenamiento en el catálogo de Unity, puede crear objetos de ubicación externa.

Este es un poco más de detalle sobre estos dos objetos protegibles:

• Una credencial de almacenamiento representa un mecanismo de autenticación y autorización para acceder a los datos almacenados en el inquilino en la nube, mediante una identidad administrada de Azure o una entidad de servicio para contenedores de Azure Data Lake Storage Gen2 o un token de API de R2 para cubos R2 de Cloudflare. Los privilegios concedidos en el catálogo de Unity controlan qué usuarios y grupos pueden usar la credencial para definir ubicaciones externas. El permiso para crear y usar credenciales de almacenamiento solo debe concederse a los usuarios que necesiten crear objetos de ubicación externos. Vea Creación de una credencial de almacenamiento para conectarse a Azure Data Lake Storage Gen2 y Creación de una credencial de almacenamiento para conectarse a Cloudflare R2.
• Una ubicación externa combina una ruta de acceso de almacenamiento en la nube con una credencial de almacenamiento que autoriza el acceso a la ruta de acceso de almacenamiento en la nube. Los privilegios concedidos en el catálogo de Unity controlan qué usuarios y grupos pueden acceder a la ruta de acceso de almacenamiento en la nube definida por la ubicación externa. Solo se debería conceder permiso para crear y usar ubicaciones externas a aquellos usuarios que necesiten crear tablas externas, volúmenes externos o ubicaciones de almacenamiento administradas. Vea Creación de una ubicación externa para conectar el almacenamiento en la nube a Azure Databricks.

Las ubicaciones externas se usan en el Catálogo de Unity para recursos de datos externos, como tablas externas y volúmenes externos, y para recursos de datos administrados, como tablas administradas y volúmenes administrados. Para obtener más información sobre la diferencia entre los recursos de datos externos y administrados en el catálogo de Unity, consulte ¿Qué son las tablas y vistas? y ¿Qué son los volúmenes de catálogo de Unity?.

Para obtener información sobre los procedimientos recomendados para usar ubicaciones externas, consulte Administración de ubicaciones externas, tablas externas y volúmenes externos.

Uso de ubicaciones externas al crear tablas y volúmenes externos

Las tablas externas y los volúmenes externos registrados en el catálogo de Unity son esencialmente punteros a los datos del almacenamiento en la nube que administra fuera de Azure Databricks. Al crear una tabla externa o un volumen externo en el catálogo de Unity, debe hacer referencia a una ruta de acceso de almacenamiento en la nube que se incluye en un objeto de ubicación externa en el que se le han concedido privilegios adecuados. Para obtener más información sobre la diferencia entre los recursos de datos externos y administrados en el catálogo de Unity, consulte ¿Qué son las tablas y vistas? y ¿Qué son los volúmenes de catálogo de Unity?. Para obtener privilegios, consulte Concesión de permisos en una ubicación externa.

Uso de ubicaciones externas al crear almacenamiento administrado

El catálogo de Unity administra completamente las tablas administradas y los volúmenes administrados. Se almacenan de forma predeterminada en una ubicación de almacenamiento administrada, que se puede definir en el nivel de metastore, catálogo o esquema. Al asignar una ubicación de almacenamiento administrada a un metastore, catálogo o esquema, debe hacer referencia a un objeto de ubicación externa y debe tener privilegios adecuados para usarlo. Consulte Especificar una ubicación de almacenamiento administrada en el catálogo de Unity y procedimientos recomendados del catálogo de Unity.

Flujo de trabajo para administrar el acceso al almacenamiento en la nube en el catálogo de Unity

Para administrar el acceso al almacenamiento en la nube mediante el catálogo de Unity, haga lo siguiente:

1. Cree un objeto de credencial de almacenamiento que encapsula una identidad administrada de Azure que proporcione acceso a la ruta de acceso de almacenamiento en la nube.
2. Cree un objeto de ubicación externa que haga referencia a la ruta de acceso de almacenamiento y al objeto de credencial de almacenamiento.
3. Haga referencia a una ruta de acceso que se incluye en la ubicación externa al crear tablas externas, volúmenes externos o ubicaciones de almacenamiento administradas predeterminadas. Puede ser la ruta de acceso exacta definida en la ubicación externa o en una subruta.

Pasos siguientes

• Creación de una credencial de almacenamiento para conectarse a Azure Data Lake Storage Gen2
• Creación de una credencial de almacenamiento para conectarse a Cloudflare R2
• Creación de una ubicación externa para conectar el almacenamiento en la nube a Azure Databricks
• Especificar una ubicación de almacenamiento administrada en el catálogo de Unity
• Administración de credenciales de almacenamiento
• Administración de ubicaciones externas