Gestire l'accesso all'archiviazione cloud usando Unity Catalog

Questo articolo offre una panoramica di come usare Unity Catalog per gestire l'accesso all'archiviazione cloud da Azure Databricks. Vengono presentati i concetti relativi alla posizione esterna, alle credenziali di archiviazione e all'archiviazione gestita.

Nota

Se si vuole usare Unity Catalog per gestire l'accesso a un servizio esterno anziché all'archiviazione cloud, vedere Gestire l'accesso ai servizi cloud esterni usando il servizio credentials.

Posizioni esterne e archiviazione credentials

Tutti i dati regolati da Unity Catalog devono trovarsi nell'archiviazione cloud nell'account del provider di servizi cloud. Unity Catalog regola l'accesso all'archiviazione cloud usando un oggetto di sicurezza chiamato posizione esterna, che definisce il percorso verso una posizione di archiviazione cloud e le credentials necessarie per accedere a tale posizione. Tali credentials sono, a loro volta, definiti in un oggetto di Unity Catalog proteggibile denominato credenziale di archiviazione . Concedendo e revocando l'accesso agli elementi di sicurezza della posizione esterna in Unity Catalog, si controlla l'accesso ai dati nella posizione di archiviazione nel cloud. Concedendo e revocando l'accesso ai securables delle credenziali di archiviazione in Unity Catalog, si controlla la possibilità di creare oggetti di localizzazione esterna.

Ecco un po' di dettaglio su questi due oggetti a protezione diretta:

• Una credenziale di archiviazione rappresenta un meccanismo di autenticazione e autorizzazione per l'accesso ai dati archiviati nel tenant cloud, usando un'identità gestita di Azure o un'entità servizio per i contenitori di Azure Data Lake Storage Gen2 o un token API R2 per i bucket Cloudflare R2. I privilegi concessi in Unity Catalog controllano quali utenti e gruppi possono usare la credenziale per definire percorsi esterni. L'autorizzazione per creare e usare lo storage credentials deve essere concessa solo agli utenti che devono creare oggetti di posizione esterna. Si veda Creare credenziali di archiviazione per la connessione ad Azure Data Lake Storage Gen2 e Creare credenziali di archiviazione per la connessione a Cloudflare R2.
• Una posizione esterna combina un percorso di archiviazione cloud con credenziali di archiviazione che autorizzano l'accesso al percorso di archiviazione cloud. I privilegi concessi in Unity Catalog controllano a quali utenti e gruppi possono accedere al percorso di archiviazione cloud definito dalla posizione esterna. L'autorizzazione per creare e usare locazioni esterne deve essere concessa solo agli utenti che hanno bisogno di creare locazioni esterne tables, volumeso di archiviazione gestita. Si veda Creare una posizione esterna per connettere la memorizzazione cloud ad Azure Databricks.

I percorsi esterni vengono usati in Unity Catalog sia per asset esterni di dati, come tables esterni e volumesesterni, sia per asset gestiti di dati, come tables gestiti e volumesgestiti. Per ulteriori informazioni sulla differenza tra asset di dati esterni e gestiti in Unity Catalog, vedere Che cosa sono tables e views? e Che cosa sono Unity Catalogvolumes?.

Per informazioni sulle procedure consigliate per l'uso di percorsi esterni, vedere Gestire percorsi esterni, tablesesterni e volumesesterni.

Uso di percorsi esterni quando si creano tables esterni e volumes

I tables esterni e i volumes esterni registrati in Unity Catalog sono essenzialmente puntatori ai dati nell'archiviazione cloud gestiti all'esterno di Azure Databricks. Quando crei un table esterno o un volume esterno in Unity Catalog, devi fare riferimento a un percorso di archiviazione cloud incluso in un oggetto di posizione esterna su cui hai i privilegi adeguati. Per ulteriori informazioni sulla differenza tra asset di dati esterni e gestiti in Unity Catalog, vedere Cosa sono tables e views? e Cosa sono Unity Catalogvolumes?. Per i privilegi, vedere i permessi di Grant in un percorso esterno.

Uso di posizioni esterne quando si crea l'archiviazione gestita

Le entità gestite tables e volumes sono interamente sotto la gestione di Unity Catalog. Vengono archiviati per impostazione predefinita in un percorso di archiviazione gestito , che può essere definito al metastore, catalog, o al livello schema. Quando si assegna una posizione di archiviazione gestita a un metastore, catalogo schema, è necessario fare riferimento a un oggetto posizione esterna ed è necessario disporre di privilegi adeguati per usarlo. Vedere Specificare un percorso di archiviazione gestito in Unity Catalog e Le procedure consigliate per Unity Catalog.

Flusso di lavoro per la gestione dell'accesso all'archiviazione cloud in Unity Catalog

Per gestire l'accesso all'archiviazione cloud usando Unity Catalog, eseguire le operazioni seguenti:

1. Creare un oggetto credenziali di archiviazione che incapsula un'identità gestita di Azure che consente di accedere al percorso di archiviazione cloud.
2. Creare un oggetto percorso esterno che faccia riferimento al percorso di archiviazione e all'oggetto credenziale di archiviazione.
3. Fare riferimento a un percorso incluso nel percorso esterno quando si creano percorsi di archiviazione esterni tables, esterni volumes, o percorsi di archiviazione gestiti predefiniti. Può trattarsi del percorso esatto definito nella posizione esterna o in un sottopercorso.

Passaggi successivi

• Creare credenziali di archiviazione per la connessione ad Azure Data Lake Storage Gen2
• Creare credenziali di archiviazione per la connessione a Cloudflare R2
• Creare una posizione esterna per connettere l'archiviazione cloud ad Azure Databricks
• Specificare un percorso di archiviazione gestito in Unity Catalog
• Gestire archiviazione credentials
• Gestire le posizioni esterne