Gérer l’accès aux services cloud externes à l’aide des informations d’identification du service

Important

Cette fonctionnalité est disponible en préversion publique.

Cet article explique comment créer un objet d’informations d’identification de service dans Unity Catalog qui vous permet de régir l’accès d’Azure Databricks aux services cloud externes. Les informations d’identification du service dans le catalogue Unity encapsulent des informations d’identification cloud à long terme qui accordent l’accès à ces services.

Les informations d’identification du service ne sont pas destinées à régir l’accès au stockage cloud utilisé comme emplacement de stockage géré par le catalogue Unity ou à un emplacement de stockage externe. Pour ces cas d’usage, utilisez des informations d’identification de stockage. Consultez Gérer l’accès au stockage cloud à l’aide du catalogue Unity.

Pour créer des informations d’identification de service pour l’accès aux services Azure, vous créez un connecteur d’accès Azure Databricks qui référence une identité managée Azure, en lui affectant des autorisations sur un service ou des services. Vous référencez ensuite ce connecteur d’accès dans la définition des informations d’identification du service.

Avant de commencer

Avant de créer des informations d’identification de service, vous devez répondre aux exigences suivantes :

Dans Azure Databricks :

• Un espace de travail Azure Databricks activé pour Unity Catalog.

• CREATE SERVICE CREDENTIAL autorisation sur le metastore Unity Catalog attaché à l’espace de travail. Les administrateurs de compte et les administrateurs de metastore disposent de ce privilège par défaut. Si votre espace de travail a été activé automatiquement pour le catalogue Unity, les administrateurs de l’espace de travail disposent également de ce privilège.

  Remarque

  Les principaux de service doivent avoir le rôle d’administrateur de compte pour créer des informations d’identification de service qui utilisent une identité managée. Vous ne pouvez pas déléguer CREATE SERVICE CREDENTIAL à un principal de service. Cela s’applique aux principaux de service Azure Databricks et aux principaux de service Microsoft Entra ID.

Dans votre locataire Azure :

• Un service Azure dans la même région que l’espace de travail à partir duquel vous souhaitez accéder aux données.
• Rôle Contributeur ou Propriétaire sur un groupe de ressources Azure.
• Rôle Azure RBAC d’administrateur d’accès utilisateur ou propriétaire sur le compte de service.

Créer des informations d’identification de service à l’aide d’une identité managée

Pour configurer l’identité qui autorise l’accès à votre compte de service, utilisez un connecteur d’accès Azure Databricks qui connecte une identité managée Azure à votre compte Azure Databricks. Si le connecteur d’accès est déjà défini, vous pouvez passer à l’étape 2 de la procédure suivante.

Remarque

Vous pouvez utiliser un principal de service au lieu d’une identité managée, mais les identités managées sont fortement recommandées. Les identités managées ont l’avantage de permettre au catalogue Unity d’accéder aux comptes de service protégés par des règles réseau, ce qui n’est pas possible à l’aide de principaux de service, et ils suppriment la nécessité de gérer et de faire pivoter les secrets. Si vous devez utiliser un principal de service, consultez Créer un stockage managé du catalogue Unity à l’aide d’un principal de service (hérité) .

1. Dans le Portail Azure, créez un connecteur d’accès Azure Databricks et attribuez-lui des autorisations sur le service auquel vous souhaitez accéder, en suivant les instructions fournies dans Configurer une identité managée pour Unity Catalog.

   Un connecteur d’accès Azure Databricks est une ressource Azure interne qui vous permet de connecter des identités managées à un compte Azure Databricks. Vous devez disposer du rôle Contributeur ou supérieur sur la ressource du connecteur d’accès dans Azure pour ajouter les informations d’identification du service.

   Au lieu de suivre les instructions de l’étape 2 : Accordez à l’identité managée l’accès au compte de stockage, accordez à l’identité managée l’accès à votre compte de service.

   Prenez note de l’ID de ressource du connecteur d’accès.

2. Connectez-vous à votre espace de travail Azure Databricks en tant qu’utilisateur qui répond aux exigences répertoriées dans Avant de commencer.

3. Cliquez sur Catalogue.

4. Dans la page Accès rapide, cliquez sur le bouton Données > externes, accédez à l’onglet Informations d’identification , puis sélectionnez Créer des informations d’identification.

5. Sélectionnez Informations d’identification du service.

6. Entrez un nom d’informations d’identification, un commentaire facultatif et l’ID de ressource du connecteur d’accès au format :

   /subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.Databricks/accessConnectors/<connector-name>
   

7. (Facultatif) Si vous avez créé le connecteur d’accès en utilisant une identité managée affectée par l’utilisateur, entrez l’ID de ressource de l’identité managée dans le champ ID d’identité managée affectée par l’utilisateur au format :

   /subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<managed-identity-name>
   

8. Cliquez sur Créer.

9. Dans la boîte de dialogue Informations d’identification du service créée, copiez l’ID externe.

   Vous pouvez également afficher l’ID externe à tout moment sur la page détails des informations d’identification du service.

10. Cliquez sur Done.

(Facultatif) Attribuer des informations d’identification de service à des espaces de travail spécifiques

Important

Cette fonctionnalité est disponible en préversion publique.

Par défaut, les informations d’identification du service sont accessibles à partir de tous les espaces de travail du metastore. Cela signifie que si un utilisateur a reçu un privilège sur ces informations d’identification de service, il peut exercer ce privilège à partir de n’importe quel espace de travail attaché au metastore. Si vous utilisez des espaces de travail pour isoler l’accès aux données utilisateur, vous pouvez autoriser l’accès à des informations d’identification de service uniquement à partir d’espaces de travail spécifiques. Cette fonctionnalité est appelée isolation des informations d’identification de service ou de liaison d’espace de travail.

Un cas d’usage classique pour lier des informations d’identification de service à des espaces de travail spécifiques est le scénario dans lequel un administrateur cloud configure des informations d’identification de service à l’aide d’informations d’identification de compte cloud de production, et vous souhaitez vous assurer que les utilisateurs d’Azure Databricks utilisent ces informations d’identification pour accéder à un service cloud externe uniquement dans l’espace de travail de production.

Pour plus d’informations sur la liaison d’espace de travail, consultez (Facultatif) Affecter des informations d’identification de stockage à des espaces de travail spécifiques et limiter l’accès au catalogue à des espaces de travail spécifiques.

Lier des informations d’identification de service à un ou plusieurs espaces de travail

Pour affecter des informations d’identification de service à des espaces de travail spécifiques, utilisez l’Explorateur de catalogues.

Autorisations requises : propriétaire des informations d’identification de l’administrateur du metastore ou du service.

Remarque

Les administrateurs de metastore peuvent voir toutes les informations d’identification du service dans un metastore à l’aide de l’Explorateur de catalogues, et les propriétaires d’informations d’identification de service peuvent voir toutes les informations d’identification du service qu’ils possèdent dans un metastore, que les informations d’identification du service soient affectées à l’espace de travail actuel. Les informations d’identification du service qui ne sont pas affectées à l’espace de travail apparaissent grisées.

1. Connectez-vous à un espace de travail lié au metastore.

2. Dans la barre latérale, cliquez sur Catalogue.

3. Dans la page Accès rapide, cliquez sur le bouton Données > externes et accédez à l’onglet Informations d’identification .

4. Sélectionnez les informations d’identification du service et accédez à l’onglet Espaces de travail .

5. Sous l’onglet Espaces de travail , désactivez la case à cocher Tous les espaces de travail ont accès .

   Si vos informations d’identification de service sont déjà liées à un ou plusieurs espaces de travail, cette case à cocher est déjà désactivée.

6. Cliquez sur Affecter à des espaces de travail, puis entrez ou recherchez les espaces de travail que vous souhaitez attribuer.

Pour révoquer l’accès, accédez à l’onglet Espaces de travail, sélectionnez l’espace de travail, puis cliquez sur Révoquer. Pour autoriser l’accès depuis tous les espaces de travail, cochez la case Tous les espaces de travail ont accès.

Étapes suivantes

• Découvrez comment afficher, mettre à jour, supprimer et accorder à d’autres utilisateurs l’autorisation d’utiliser les informations d’identification du service. Consultez Gérer les informations d’identification du service.
• Découvrez comment utiliser les informations d’identification du service dans le code. Consultez Utiliser les informations d’identification du service catalogue Unity pour se connecter aux services cloud externes.

Limites

Les limites suivantes s'appliquent :

• Databricks Runtime 15.4 LTS inclut uniquement la prise en charge de Python.
• Les entrepôts SQL ne sont pas pris en charge.
• Certains événements d’audit pour les actions effectuées sur les informations d’identification du service n’apparaissent pas dans la system.access.audit table. Les informations d’audit sur les personnes qui ont créé, supprimé, mis à jour, lu, listé ou utilisé des informations d’identification de service seront disponibles. Consultez la référence de la table système du journal d’audit.
• Pendant la préversion des informations d’identification du service, INFORMATION_SCHEMA.STORAGE_CREDENTIALS (déconseillé) affiche à la fois les informations d’identification de stockage et les informations d’identification du service, et INFORMATION_SCHEMA.STORAGE_CREDENTIAL_PRIVILEGES (déconseillé) affiche des privilèges qui s’appliquent à la fois aux informations d’identification de stockage et aux informations d’identification du service. Il s’agit d’un comportement d’aperçu incorrect qui sera corrigé et vous ne devez pas dépendre de celui-ci pour continuer. Vous devez à la place utiliser INFORMATION_SCHEMA.CREDENTIALS et INFORMATION_SCHEMA.CREDENTIAL_PRIVILEGES pour les informations d’identification de stockage et de service.