Partager via

Gérer l’accès au stockage cloud à l’aide du catalogue Unity

  • Article

Cet article donne une vue d’ensemble de l’utilisation du catalogue Unity pour gérer l’accès au stockage cloud à partir d’Azure Databricks. Il présente les concepts d’emplacement externe, d’informations d’identification de stockage et de stockage managé.

Remarque

Si vous souhaitez utiliser le catalogue Unity pour régir l’accès à un service externe plutôt qu’au stockage cloud, consultez Gérer l’accès aux services cloud externes à l’aide des informations d’identification du service.

Emplacements externes et informations d’identification de stockage

Toutes les données régies par Unity Catalog doivent être dans le stockage cloud dans votre compte de fournisseur de cloud. Unity Catalog régit l’accès au stockage cloud à l’aide d’un objet sécurisable appelé emplacement externe, qui définit un chemin d’accès à un emplacement de stockage cloud et les informations d’identification requises pour accéder à cet emplacement. Ces informations d’identification sont, à son tour, définies dans un objet sécurisable Du catalogue Unity appelé informations d’identification de stockage. En accordant et en révoquant l’accès aux éléments sécurisables d’emplacement externe dans le catalogue Unity, vous contrôlez l’accès aux données dans l’emplacement de stockage cloud. En accordant et révoquant l’accès aux informations d’identification de stockage sécurisables dans le catalogue Unity, vous contrôlez la possibilité de créer des objets d’emplacement externe.

Voici un peu plus de détails sur ces deux objets sécurisables :

  • Les informations d’identification de stockage sont un mécanisme d’authentification et d’autorisation pour accéder aux données stockées sur votre locataire cloud, en utilisant une identité managée Azure ou un principal de service pour les conteneurs Azure Data Lake Storage Gen2 ou un jeton d’API R2 pour les compartiments Cloudflare R2. Privilèges accordés dans le contrôle Catalogue Unity sur lesquels les utilisateurs et les groupes peuvent utiliser les informations d’identification pour définir des emplacements externes. L’autorisation de créer et d’utiliser des informations d’identification de stockage doit uniquement être accordée aux utilisateurs qui doivent créer des objets d’emplacement externe. Veuillez consulter les rubriques Créer des informations d’identification de stockage pour la connexion à Azure Data Lake Storage Gen2 et Créer des informations d’identification de stockage pour la connexion à Cloudflare R2.
  • Un emplacement externe combine un chemin de stockage cloud avec des informations d’identification de stockage qui autorisent l’accès au chemin de stockage cloud. Les privilèges accordés dans le catalogue Unity contrôlent les utilisateurs et les groupes qui peuvent accéder au chemin de stockage cloud défini par l’emplacement externe. L’autorisation de créer et d’utiliser des emplacements externes doit uniquement être accordée aux utilisateurs qui doivent créer des tables externes, des volumes externes ou des emplacements de stockage managés. Veuillez consulter la rubrique Créer un emplacement externe pour connecter le stockage cloud à Azure Databricks.

Les emplacements externes sont utilisés dans le catalogue Unity à la fois pour les ressources de données externes, telles que les tables externes et les volumes externes, et pour les ressources de données managées, telles que les tables managées et les volumes managés. Pour plus d’informations sur la différence entre les ressources de données externes et gérées dans le catalogue Unity, consultez Quelles sont les tables et les vues ? Et quels sont les volumes catalogue Unity ?.

Pour en savoir plus sur les meilleures pratiques relatives à l’utilisation d’emplacements externes, consultez Gérer les emplacements externes, les tables externes et les volumes externes.

Utilisation d’emplacements externes lorsque vous créez des tables et des volumes externes

Les tables externes et les volumes externes inscrits dans Unity Catalog sont essentiellement des pointeurs vers des données dans le stockage cloud que vous gérez en dehors d’Azure Databricks. Lorsque vous créez une table externe ou un volume externe dans le catalogue Unity, vous devez référencer un chemin de stockage cloud inclus dans un objet d’emplacement externe sur lequel vous avez reçu des privilèges adéquats. Pour plus d’informations sur la différence entre les ressources de données externes et gérées dans le catalogue Unity, consultez Quelles sont les tables et les vues ? Et quels sont les volumes catalogue Unity ?. Pour obtenir des privilèges, consultez Accorder des autorisations sur un emplacement externe.

Utilisation d’emplacements externes lorsque vous créez un stockage managé

Les tables managées et les volumes managés sont entièrement gérés par le catalogue Unity. Elles sont stockées par défaut dans un emplacement de stockage managé, qui peut être défini au niveau du metastore, du catalogue ou du schéma. Lorsque vous affectez un emplacement de stockage managé à un metastore, un catalogue ou un schéma, vous devez référencer un objet d’emplacement externe, et vous devez disposer de privilèges adéquats pour l’utiliser. Consultez Spécifier un emplacement de stockage managé dans Unity Catalog et Meilleures pratiques de Unity Catalog.

Flux de travail pour la gestion de l’accès au stockage cloud dans le catalogue Unity

Pour gérer l’accès au stockage cloud à l’aide du catalogue Unity, procédez comme suit :

  1. Créez un objet d’informations d’identification de stockage qui encapsule une identité managée Azure qui donne accès au chemin de stockage cloud.
  2. Créez un objet d’emplacement externe qui référence le chemin d’accès de stockage et l’objet d’informations d’identification de stockage.
  3. Référencez un chemin d’accès inclus dans l’emplacement externe lorsque vous créez des tables externes, des volumes externes ou des emplacements de stockage managés par défaut. Il peut s’agir du chemin exact défini dans l’emplacement externe ou un sous-chemin.

Étapes suivantes