Gérer les informations d’identification du service
Important
Cette fonctionnalité est disponible en préversion publique.
Cet article explique comment répertorier, afficher, mettre à jour, accorder des autorisations sur et supprimer des informations d’identification de service, qui sont des objets sécurisables du catalogue Unity qui vous permettent de régir l’accès aux services cloud externes.
Voir aussi :
- Pour une introduction et découvrir comment créer des informations d’identification de service : gérer l’accès aux services cloud externes à l’aide des informations d’identification du service
- Pour savoir comment référencer les informations d’identification du service dans votre code et spécifier des informations d’identification de service par défaut pour une ressource de calcul : utilisez les informations d’identification du service catalogue Unity pour vous connecter aux services cloud externes.
Avant de commencer
Pour effectuer les tâches décrites dans cet article, vous devez répondre aux exigences suivantes :
- Un espace de travail Azure Databricks activé pour Unity Catalog.
- Pour répertorier ou afficher des informations d’identification de service, vous devez disposer de l’un des privilèges ou rôles suivants :
BROWSE
privilège sur le catalogue parentCREATE SERVICE CREDENTIAL
sur le metastoreACCESS
sur les informations d’identification du service- Propriétaire des informations d’identification du service
- Administrateur de metastore
- Pour effectuer l’une des autres tâches répertoriées dans cet article, vous devez être le propriétaire des informations d’identification du service ou d’un administrateur de metastore.
- Si vous utilisez des commandes SQL pour répertorier, afficher ou mettre à jour les informations d’identification du service, vous avez besoin de calcul sur Databricks Runtime 15.4 LTS ou version ultérieure. Il n’existe aucune exigence de version databricks Runtime si vous utilisez l’Explorateur catalogue ou l’API REST.
Répertorier les informations d’identification du service
Pour afficher la liste de toutes les informations d’identification de service dans un metastore, vous pouvez utiliser l’Explorateur de catalogues ou une commande SQL.
Explorateur de catalogues
- Dans la barre latérale, cliquez sur Catalogue.
- Dans la page Accès rapide, cliquez sur le bouton Données > externes et accédez à l’onglet Informations d’identification .
- Triez les informations d’identification par objectif (STOCKAGE ou SERVICE).
SQL
Exécutez la commande suivante dans un notebook.
SHOW SERVICE CREDENTIALS;
Afficher les informations d’identification d’un service
Pour afficher les propriétés d’une information d’identification de service, vous pouvez utiliser l’Explorateur catalogue ou une commande SQL.
Explorateur de catalogues
- Dans la barre latérale, cliquez sur Catalogue.
- Dans la page Accès rapide, cliquez sur le bouton Données > externes et accédez à l’onglet Informations d’identification .
- Cliquez sur le nom d’informations d’identification d’un service pour afficher ses propriétés.
SQL
Exécutez la commande suivante dans un notebook. Remplacez <credential-name>
par le nom de vos informations d'identification.
DESCRIBE SERVICE CREDENTIAL <credential-name>;
Afficher les subventions sur les informations d’identification d’un service
Pour afficher les subventions sur les informations d’identification d’un service, utilisez une commande comme suit. Vous pouvez éventuellement filtrer les résultats pour afficher uniquement les autorisations pour le principal spécifié.
SHOW GRANTS [<principal>] ON SERVICE CREDENTIAL <service-credential-name>;
Remplacez les valeurs d’espace réservé :
<principal>
: adresse e-mail de l’utilisateur au niveau du compte ou nom du groupe de niveau compte qui a reçu l’autorisation.<service-credential-name>
: nom d’une information d’identification de service.
Remarque
Si un groupe ou un nom d’utilisateur contient un espace ou @
un symbole, utilisez des cycles précédents autour de celui-ci (et non des apostrophes). Par exemple, l’équipe
financière.
Accorder des autorisations pour utiliser des informations d’identification de service pour accéder à un service cloud externe
Pour accorder l’autorisation d’utiliser des informations d’identification de service pour accéder à un service cloud externe, procédez comme suit. Vous pouvez utiliser l’Explorateur de catalogues ou les commandes SQL :
Explorateur de catalogues
- Dans la barre latérale, cliquez sur Catalogue.
- Dans la page Accès rapide, cliquez sur le bouton Données > externes et accédez à l’onglet Informations d’identification .
- Cliquez sur le nom d’informations d’identification d’un service pour ouvrir la page de détails.
- Cliquez sur Autorisations.
- Pour accorder l’autorisation d’accès aux utilisateurs ou aux groupes, sélectionnez chaque identité, puis cliquez sur accorder.
- Sélectionnez ACCESS pour accorder la possibilité d’utiliser les informations d’identification du service pour accéder à un service ou services cloud externe.
- Sélectionnez CREATE CONNECTION pour accorder la possibilité de créer une connexion de fédération Lakehouse dans le catalogue Unity à l’aide de ces informations d’identification de service. Consultez Gérer les connexions pour la fédération Lakehouse.
- Pour révoquer les autorisations des utilisateurs ou des groupes, sélectionnez chaque identité, puis cliquez sur Révoquer.
SQL
Pour accorder l’accès, exécutez l’une des commandes suivantes dans un notebook, en remplaçant les valeurs d’espace réservé :
<principal>
:Adresse de messagerie de l’utilisateur au niveau du compte ou nom du groupe de niveaux de comptes auquel accorder l’autorisation.<service-credential-name>
: nom d’une information d’identification de service.
Remarque
Si un groupe ou un nom d’utilisateur contient un espace, un tiret (-
ou @
un symbole), utilisez des cycles précédents autour de celui-ci (et non des apostrophes). Par exemple, `finance team`.
GRANT ACCESS ON SERVICE CREDENTIAL <service-credential-name> TO <principal>;
Si vous souhaitez accorder la possibilité de créer une connexion de fédération Lakehouse dans le catalogue Unity à l’aide de ces informations d’identification de service, utilisez les éléments suivants :
GRANT CREATE CONNECTION ON SERVICE CREDENTIAL <service-credential-name> TO <principal>;
Pour révoquer l’accès, remplacez-le GRANT
REVOKE
dans ces exemples.
Modifier le propriétaire d’informations d’identification d’un service
Le créateur d’informations d’identification d’un service est son propriétaire initial. Pour remplacer le propriétaire par un autre utilisateur ou groupe au niveau du compte, vous pouvez utiliser l’Explorateur catalogue ou une commande SQL.
Explorateur de catalogues
- Dans la barre latérale, cliquez sur Catalogue.
- Dans la page Accès rapide, cliquez sur le bouton Données > externes et accédez à l’onglet Informations d’identification .
- Cliquez sur le nom d’informations d’identification d’un service pour ouvrir la boîte de dialogue d’édition.
- Cliquez en regard du propriétaire.
- Tapez pour rechercher un principal et sélectionnez-le.
- Cliquez sur Enregistrer.
SQL
Exécutez la commande suivante dans un notebook. Remplacez les valeurs d’espace réservé :
<credential-name>
: Nom des informations d'identification.<principal>
: Adresse e-mail d’un utilisateur au niveau du compte ou nom d’un groupe au niveau du compte.
ALTER SERVICE CREDENTIAL <credential-name> OWNER TO <principal>;
Renommer des informations d’identification de service
Pour renommer des informations d’identification de service, vous pouvez utiliser l’Explorateur catalogue ou une commande SQL.
Explorateur de catalogues
- Dans la barre latérale, cliquez sur Catalogue.
- Dans la page Accès rapide, cliquez sur le bouton Données > externes et accédez à l’onglet Informations d’identification .
- Cliquez sur le nom d’informations d’identification d’un service pour ouvrir la boîte de dialogue d’édition.
- Renommez les informations d’identification du service et enregistrez-la.
SQL
Exécutez la commande suivante dans un notebook. Remplacez les valeurs d’espace réservé :
<credential-name>
: Nom des informations d'identification.<new-credential-name>
:Nouveau nom pour les informations d’identification.
ALTER SERVICE CREDENTIAL <credential-name> RENAME TO <new-credential-name>;
Supprimer des informations d’identification de service
Pour supprimer (supprimer) les informations d’identification du service, vous devez être son propriétaire. Pour supprimer des informations d’identification de service, vous pouvez utiliser l’Explorateur de catalogues ou une commande SQL.
Explorateur de catalogues
- Dans la barre latérale, cliquez sur Catalogue.
- Dans la page Accès rapide, cliquez sur le bouton Données > externes et accédez à l’onglet Informations d’identification .
- Cliquez sur le nom d’informations d’identification d’un service pour ouvrir la boîte de dialogue d’édition.
- Cliquez sur le bouton Supprimer .
SQL
Exécutez la commande suivante dans un notebook. Remplacez <credential-name>
par le nom de vos informations d'identification. Les parties de la commande entre crochets sont facultatives.
IF EXISTS
ne retourne pas d’erreur si les informations d’identification n’existent pas.
DROP SERVICE CREDENTIAL [IF EXISTS] <credential-name>;