Toegang tot externe cloudservices beheren met servicereferenties

Belangrijk

Deze functie is beschikbaar als openbare preview.

In dit artikel wordt beschreven hoe u een servicereferentieobject maakt in Unity Catalog waarmee u toegang kunt beheren van Azure Databricks naar externe cloudservices. Een servicereferentie in Unity Catalog bevat een langetermijncloudreferentie die toegang verleent tot dergelijke services.

Servicereferenties zijn niet bedoeld voor toegang tot cloudopslag die wordt gebruikt als een door Unity Catalog beheerde opslaglocatie of externe opslaglocatie. Gebruik voor deze use cases een opslagreferentie. Zie Toegang tot cloudopslag beheren met behulp van Unity Catalog.

Als u een servicereferentie wilt maken voor toegang tot Azure-services, maakt u een Azure Databricks-toegangsconnector die verwijst naar een door Azure beheerde identiteit en deze machtigingen toewijst aan een service of services. Vervolgens verwijst u naar die toegangsconnector in de definitie van de servicereferentie.

Voordat u begint

Voordat u een servicereferentie maakt, moet u aan de volgende vereisten voldoen:

In Azure Databricks:

• Azure Databricks-werkruimte ingeschakeld voor Unity Catalog.

• CREATE SERVICE CREDENTIAL bevoegdheid voor de Unity Catalog-metastore die is gekoppeld aan de werkruimte. Accountbeheerders en metastore-beheerders hebben deze bevoegdheid standaard. Als uw werkruimte automatisch is ingeschakeld voor Unity Catalog, hebben werkruimtebeheerders ook deze bevoegdheid.

  Notitie

  Service-principals moeten de rol accountbeheerder hebben om een servicereferentie te maken die gebruikmaakt van een beheerde identiteit. U kunt niet delegeren CREATE SERVICE CREDENTIAL aan een service-principal. Dit is van toepassing op zowel Azure Databricks-service-principals als Microsoft Entra ID-service-principals.

In uw Azure-tenant:

• Een Azure-service in dezelfde regio als de werkruimte waaruit u toegang wilt krijgen tot de gegevens.
• De rol Inzender of Eigenaar in een Azure-resourcegroep.
• De rol Eigenaar of Beheerder van gebruikerstoegang in Azure RBAC voor het serviceaccount.

Een servicereferentie maken met een beheerde identiteit

Als u de identiteit wilt configureren die toegang tot uw serviceaccount toekent, gebruikt u een Azure Databricks-toegangsconnector die een door Azure beheerde identiteit verbindt met uw Azure Databricks-account. Als u de toegangsconnector al hebt gedefinieerd, kunt u verdergaan met stap 2 in de volgende procedure.

Notitie

U kunt een service-principal gebruiken in plaats van een beheerde identiteit, maar beheerde identiteiten worden sterk aanbevolen. Beheerde identiteiten hebben het voordeel dat Unity Catalog toegang heeft tot serviceaccounts die worden beveiligd door netwerkregels, wat niet mogelijk is met behulp van service-principals, en ze verwijderen de noodzaak om geheimen te beheren en te roteren. Als u een service-principal moet gebruiken, raadpleegt u Beheerde opslag voor Unity Catalog maken met behulp van een service-principal (verouderd).

1. Maak in Azure Portal een Azure Databricks-toegangsconnector en wijs deze machtigingen toe aan de service waartoe u toegang wilt krijgen met behulp van de instructies in Een beheerde identiteit configureren voor Unity Catalog.

   Een Azure Databricks-toegangsconnector is een eigen Azure-resource waarmee u beheerde identiteiten kunt verbinden met een Azure Databricks-account. U moet de rol Inzender of hoger hebben voor de toegangsconnectorresource in Azure om de servicereferentie toe te voegen.

   In plaats van de instructies in stap 2 te volgen: De beheerde identiteit toegang verlenen tot het opslagaccount, de beheerde identiteit toegang verlenen tot uw serviceaccount.

   Noteer de resource-id van de toegangsconnector.

2. Meld u aan bij uw Azure Databricks-werkruimte als een gebruiker die voldoet aan de vereisten die worden vermeld in Voordat u begint.

3. Klik op Catalogus.

4. Klik op de pagina Snelle toegang op de knop Externe gegevens > , ga naar het tabblad Referenties en selecteer Referentie maken.

5. Selecteer Servicereferenties.

6. Voer een referentienaam, een optionele opmerking en de resource-id van de toegangsconnector in de indeling in:

   /subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.Databricks/accessConnectors/<connector-name>
   

7. (Optioneel) Als u de toegangsconnector hebt gemaakt met behulp van een door de gebruiker toegewezen beheerde identiteit, voert u de resource-id van de beheerde identiteit in het veld Door de gebruiker toegewezen beheerde identiteit in, in de indeling:

   /subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<managed-identity-name>
   

8. Klik op Create.

9. Kopieer de externe id in het dialoogvenster Servicereferentie gemaakt.

   U kunt de externe id ook op elk gewenst moment weergeven op de pagina met servicereferentiegegevens.

10. Klik op Gereed.

(Optioneel) Een servicereferentie toewijzen aan specifieke werkruimten

Belangrijk

Deze functie is beschikbaar als openbare preview.

Standaard is een servicereferentie toegankelijk vanuit alle werkruimten in de metastore. Dit betekent dat als een gebruiker een bevoegdheid voor die servicereferentie heeft gekregen, deze bevoegdheid kan uitoefenen vanuit elke werkruimte die is gekoppeld aan de metastore. Als u werkruimten gebruikt om de toegang tot gebruikersgegevens te isoleren, wilt u mogelijk alleen toegang tot een servicereferentie toestaan vanuit specifieke werkruimten. Deze functie staat bekend als isolatie van werkruimtebinding of servicereferenties.

Een typische use case voor het binden van een servicereferentie aan specifieke werkruimten is het scenario waarin een cloudbeheerder een servicereferentie configureert met behulp van een referentie voor een productiecloudaccount en u ervoor wilt zorgen dat Azure Databricks-gebruikers deze referentie gebruiken om alleen toegang te krijgen tot een externe cloudservice in de productiewerkruimte.

Zie (Optioneel) Een opslagreferentie toewijzen aan specifieke werkruimten en de catalogustoegang tot specifieke werkruimten beperken voor meer informatie over werkruimtebinding.

Een servicereferentie koppelen aan een of meer werkruimten

Als u een servicereferentie wilt toewijzen aan specifieke werkruimten, gebruikt u Catalog Explorer.

Vereiste machtigingen: eigenaar van metastore-beheerder of servicereferentie.

Notitie

Metastore-beheerders kunnen alle servicereferenties in een metastore zien met behulp van Catalog Explorer. Eigenaren van servicereferenties kunnen alle servicereferenties zien waarvan ze eigenaar zijn in een metastore, ongeacht of de servicereferenties zijn toegewezen aan de huidige werkruimte. Servicereferenties die niet zijn toegewezen aan de werkruimte, worden grijs weergegeven.

1. Meld u aan bij een werkruimte die is gekoppeld aan de metastore.

2. Klik in de zijbalk op Catalogus.

3. Klik op de pagina Snelle toegang op de knop Externe gegevens >en ga naar het tabblad Referenties.

4. Selecteer de servicereferentie en ga naar het tabblad Werkruimten .

5. Schakel op het tabblad Werkruimten het selectievakje Alle werkruimten toegang hebben .

   Als uw servicereferentie al is gebonden aan een of meer werkruimten, is dit selectievakje al uitgeschakeld.

6. Klik op Toewijzen aan werkruimten en voer de werkruimten in die u wilt toewijzen of zoek deze.

Als u de toegang wilt intrekken, gaat u naar het tabblad Werkruimten , selecteert u de werkruimte en klikt u op Intrekken. Als u toegang wilt toestaan vanuit alle werkruimten, schakelt u het selectievakje Alle werkruimten toegang hebben .

Volgende stappen

• Meer informatie over het weergeven, bijwerken, verwijderen en verlenen van andere gebruikers toestemming om servicereferenties te gebruiken. Zie Servicereferenties beheren.
• Meer informatie over het gebruik van servicereferenties in code. Zie Referenties van de Unity Catalog-service gebruiken om verbinding te maken met externe cloudservices.

Beperkingen

De volgende beperkingen zijn van toepassing:

• Databricks Runtime 15.4 LTS bevat alleen Python-ondersteuning.
• SQL-warehouses worden niet ondersteund.
• Sommige controlegebeurtenissen voor acties die zijn uitgevoerd op servicereferenties, worden niet weergegeven in de system.access.audit tabel. Controle-informatie over wie een servicereferentie heeft gemaakt, verwijderd, bijgewerkt, gelezen, vermeld of gebruikt, is beschikbaar. Zie naslaginformatie over systeemtabel auditlogboeken.
• Tijdens de preview-versie van de servicereferenties worden INFORMATION_SCHEMA.STORAGE_CREDENTIALS zowel opslagreferenties als servicereferenties weergegeven (afgeschaft), en INFORMATION_SCHEMA.STORAGE_CREDENTIAL_PRIVILEGES (afgeschaft) worden bevoegdheden weergegeven die van toepassing zijn op opslagreferenties en servicereferenties. Dit is onjuist voorbeeldgedrag dat wordt gecorrigeerd en u moet er niet van afhankelijk zijn om door te gaan. U moet in plaats daarvan zowel opslag- als INFORMATION_SCHEMA.CREDENTIAL_PRIVILEGES servicereferenties gebruikenINFORMATION_SCHEMA.CREDENTIALS.