Gestire l'accesso all'archiviazione cloud tramite il catalogo unity

Questo articolo offre una panoramica di come usare Unity Catalog per gestire l'accesso all'archiviazione cloud da Azure Databricks. Vengono presentati i concetti relativi alla posizione esterna, alle credenziali di archiviazione e all'archiviazione gestita.

Nota

Se si vuole usare Il catalogo unity per gestire l'accesso a un servizio esterno anziché all'archiviazione cloud, vedere Gestire l'accesso ai servizi cloud esterni usando le credenziali del servizio.

Percorsi esterni e credenziali di archiviazione

Tutti i dati regolati da Unity Catalog devono trovarsi nell'archiviazione cloud nell'account del provider di servizi cloud. Il catalogo unity regola l'accesso all'archiviazione cloud usando un oggetto a protezione diretta denominato posizione esterna, che definisce un percorso di una posizione di archiviazione cloud e le credenziali necessarie per accedere a tale posizione. Tali credenziali sono, a loro volta, definite in un oggetto a protezione diretta del catalogo Unity denominato credenziale di archiviazione. Concedendo e revocando l'accesso alle entità a protezione diretta di posizioni esterne nel catalogo unity, si controlla l'accesso ai dati nel percorso di archiviazione cloud. Concedendo e revocando l'accesso alle entità a protezione diretta delle credenziali di archiviazione in Unity Catalog, è possibile controllare la possibilità di creare oggetti posizione esterna.

Ecco un po' di dettaglio su questi due oggetti a protezione diretta:

• Una credenziale di archiviazione rappresenta un meccanismo di autenticazione e autorizzazione per l'accesso ai dati archiviati nel tenant cloud, usando un'identità gestita di Azure o un'entità servizio per i contenitori di Azure Data Lake Storage Gen2 o un token API R2 per i bucket Cloudflare R2. I privilegi concessi in Unity Catalog controllano quali utenti e gruppi possono usare le credenziali per definire posizioni esterne. L'autorizzazione per creare e usare le credenziali di archiviazione deve essere concessa solo agli utenti che devono creare oggetti posizione esterna. Si veda Creare credenziali di archiviazione per la connessione ad Azure Data Lake Storage Gen2 e Creare credenziali di archiviazione per la connessione a Cloudflare R2.
• Una posizione esterna combina un percorso di archiviazione cloud con credenziali di archiviazione che autorizzano l'accesso al percorso di archiviazione cloud. I privilegi concessi in Unity Catalog controllano quali utenti e gruppi possono accedere al percorso di archiviazione cloud definito dalla posizione esterna. L'autorizzazione per creare e usare percorsi esterni deve essere concessa solo agli utenti che devono creare tabelle esterne, volumi esterni o percorsi di archiviazione gestiti. Si veda Creare una posizione esterna per connettere la memorizzazione cloud ad Azure Databricks.

I percorsi esterni vengono usati in Unity Catalog sia per gli asset di dati esterni, ad esempio tabelle esterne e volumi esterni, sia per gli asset di dati gestiti, ad esempio tabelle gestite e volumi gestiti. Per altre informazioni sulla differenza tra asset di dati esterni e gestiti in Unity Catalog, vedere Che cosa sono tabelle e viste? e Che cosa sono i volumi di Unity Catalog?.

Per informazioni sulle procedure consigliate per l'uso di percorsi esterni, vedere Gestire percorsi esterni, tabelle esterne e volumi esterni.

Uso di percorsi esterni quando si creano tabelle e volumi esterni

Le tabelle esterne e i volumi esterni registrati in Unity Catalog sono essenzialmente puntatori ai dati nell'archiviazione cloud gestita all'esterno di Azure Databricks. Quando si crea una tabella esterna o un volume esterno in Unity Catalog, è necessario fare riferimento a un percorso di archiviazione cloud incluso in un oggetto percorso esterno a cui sono stati concessi privilegi adeguati. Per altre informazioni sulla differenza tra asset di dati esterni e gestiti in Unity Catalog, vedere Che cosa sono tabelle e viste? e Che cosa sono i volumi di Unity Catalog?. Per i privilegi, vedere Concedere autorizzazioni in un percorso esterno.

Uso di posizioni esterne quando si crea l'archiviazione gestita

Le tabelle gestite e i volumi gestiti sono completamente gestiti da Unity Catalog. Vengono archiviati per impostazione predefinita in un percorso di archiviazione gestito, che può essere definito a livello di metastore, catalogo o schema. Quando si assegna una posizione di archiviazione gestita a un metastore, un catalogo o uno schema, è necessario fare riferimento a un oggetto location esterno ed è necessario disporre di privilegi adeguati per usarlo. Si veda Specificare una posizione di archiviazione gestita nel catalogo Unity e nelle procedure consigliate per il catalogo Unity.

Flusso di lavoro per la gestione dell'accesso all'archiviazione cloud nel catalogo unity

Per gestire l'accesso all'archiviazione cloud tramite Il catalogo unity, eseguire le operazioni seguenti:

1. Creare un oggetto credenziali di archiviazione che incapsula un'identità gestita di Azure che consente di accedere al percorso di archiviazione cloud.
2. Creare un oggetto percorso esterno che faccia riferimento al percorso di archiviazione e all'oggetto credenziale di archiviazione.
3. Fare riferimento a un percorso incluso nel percorso esterno quando si creano tabelle esterne, volumi esterni o percorsi di archiviazione gestiti predefiniti. Può trattarsi del percorso esatto definito nella posizione esterna o in un sottopercorso.

Passaggi successivi

• Creare credenziali di archiviazione per la connessione ad Azure Data Lake Storage Gen2
• Creare credenziali di archiviazione per la connessione a Cloudflare R2
• Creare una posizione esterna per connettere l'archiviazione cloud ad Azure Databricks
• Specificare un percorso di archiviazione gestito nel catalogo unity
• Gestire le credenziali di archiviazione
• Gestire le posizioni esterne