Accéder au stockage en utilisant un principal de service et Microsoft Entra ID (Azure Active Directory)
Remarque
Cet article décrit les modèles existants pour configurer l’accès à Azure Data Lake Storage Gen2.
Databricks recommande d’utiliser des identités managées Azure comme informations d’identification de stockage Unity Catalog pour se connecter à Azure Data Lake Storage Gen2 au lieu des principaux de service. Les identités managées présentent l’avantage de permettre à Unity Catalog d’accéder à des comptes de stockage protégés par des règles réseau, ce qui n’est pas possible à l’aide de principaux de service. De plus, elles éliminent la nécessité de gérer les secrets et d’assurer leur rotation. Pour en savoir plus, consultez Utiliser des identités managées Azure dans Unity Catalog pour accéder au stockage.
L’inscription d’une application dans Microsoft Entra ID crée un principal de service que vous pouvez utiliser pour fournir l’accès aux comptes de stockage Azure.
Vous pouvez ensuite configurer l’accès à ces principaux de service en les utilisant comme informations d’identification de stockage dans le catalogue Unity ou les informations d’identification stockées avec des secrets.
Inscrire une application Microsoft Entra ID
L’inscription d’une application Microsoft Entra ID (anciennement Azure Active Directory) et l’attribution des autorisations appropriées créent un principal de service qui peut accéder aux ressources Azure Data Lake Storage Gen2 ou du Stockage Blob.
Pour inscrire une application Microsoft Entra ID, vous devez avoir le rôle Application Administrator
ou l’autorisation Application.ReadWrite.All
dans Microsoft Entra ID.
- Dans le portail Azure, accédez au service Microsoft Entra ID.
- Sous Gérer, cliquez sur Inscriptions des applications.
- Cliquez sur + Nouvelle inscription. Entrez un nom pour l’application et cliquez sur Inscrire.
- Cliquez sur Certificats et secrets.
- Cliquez sur Nouvelle clé secrète client.
- Ajoutez une description pour le secret, puis cliquez sur Ajouter.
- Copiez et enregistrez la valeur du nouveau secret.
- Dans la vue d’ensemble de l’inscription d’application, copiez et enregistrez l’ID d’application (client) et l'ID de répertoire (locataire).
Affecter des rôles
Vous contrôlez l’accès aux ressources de stockage en attribuant des rôles à une inscription d’application Microsoft Entra ID associée au compte de stockage. Il se peut que vous deviez attribuer d’autres rôles en fonction d’exigences spécifiques.
Pour attribuer des rôles sur un compte de stockage, vous devez disposer du rôle Propriétaire ou du contrôle d’accès en fonction du rôle (RBAC) Administrateur sur le compte de stockage.
- Dans le portail Azure, accédez au service Comptes de stockage.
- Sélectionnez un compte de stockage Azure à utiliser avec cette inscription d’application.
- Cliquez sur Contrôle d’accès (IAM).
- Cliquez sur + Ajouter et sélectionnez Ajouter une attribution de rôle dans le menu déroulant.
- Définissez le champ Sélectionner sur le nom de l’application Microsoft Entra ID, puis définissez le Rôle sur Contributeur aux données Blob du stockage.
- Cliquez sur Enregistrer.
Pour activer l’accès aux événements de fichier sur le compte de stockage à l’aide du principal de service, vous devez disposer du rôle RBAC Administrateur d’accès utilisateur ou propriétaire sur le groupe de ressources Azure dans lequel se trouve votre compte Azure Data Lake Storage Gen2.
- Suivez les étapes ci-dessus et affectez le contributeur de données de file d’attente de stockage et les rôles Contributeur de compte de stockage à votre principal de service.
- Accédez au groupe de ressources Azure dans lequel se trouve votre compte Azure Data Lake Storage Gen2.
- Accédez à Contrôle d’accès (IAM), cliquez sur Ajouter, puis sélectionnez Ajouter une attribution de rôle.
- Sélectionnez le rôle Contributeur EventGrid EventSubscription, puis cliquez sur Suivant.
- Sous Attribuer l’accès à, sélectionnez Principal de service.
- Cliquez sur +Sélectionner des membres, sélectionnez votre principal de service, puis cliquez sur Vérifier et affecter.
Vous pouvez également limiter l’accès en accordant uniquement le rôle Contributeur aux données de file d’attente de stockage au principal du service et en n’accordant aucun rôle à votre groupe de ressources. Dans ce cas, Azure Databricks ne peut pas configurer les événements de fichier en votre nom.