Włączanie konfiguracji dostępu do danych
W tym artykule opisano konfiguracje dostępu do danych wykonywane przez administratorów usługi Azure Databricks dla wszystkich magazynów SQL przy użyciu interfejsu użytkownika.
Uwaga
Jeśli obszar roboczy jest włączony dla środowiska Unity Catalog, nie musisz wykonywać kroków opisanych w tym artykule. Catalog aparatu Unity domyślnie obsługuje magazyny SQL.
Databricks zaleca używanie Unity Catalogvolumes lub lokalizacji zewnętrznych do nawiązywania połączenia z magazynem obiektów w chmurze zamiast profili instancji. Unity Catalog upraszcza zabezpieczenia i nadzór nad danymi, zapewniając centralne miejsce do administrowania i audytowania dostępu do danych w wielu przestrzeniach roboczych na twoim koncie. Zobacz Co to jest Unity Catalog? i rekomendacje dotyczące korzystania z lokalizacji zewnętrznych.
Aby skonfigurować wszystkie magazyny SQL przy użyciu interfejsu API REST, zobacz interfejs API usługi SQL Warehouses.
Ważne
Zmiana tych ustawień powoduje ponowne uruchomienie wszystkich uruchomionych magazynów SQL.
Aby zapoznać się z ogólnym omówieniem sposobu włączania dostępu do danych, zobacz Listy kontroli dostępu.
Wymagania
- Aby skonfigurować ustawienia dla wszystkich magazynów SQL, musisz być administratorem obszaru roboczego usługi Azure Databricks.
Konfigurowanie jednostki usługi
Aby skonfigurować dostęp dla magazynów SQL do konta magazynu usługi Azure Data Lake Storage Gen2 przy użyciu jednostek usługi, wykonaj następujące kroki:
Zarejestruj aplikację Microsoft Entra ID (dawniej Azure Active Directory) i zarejestruj następujące właściwości:
- Identyfikator aplikacji (klienta): identyfikator, który jednoznacznie identyfikuje aplikację Microsoft Entra ID.
- Identyfikator katalogu (dzierżawy): identyfikator, który jednoznacznie identyfikuje wystąpienie identyfikatora entra firmy Microsoft (nazywane identyfikatorem katalogu (dzierżawy) w usłudze Azure Databricks).
- Klucz tajny klienta: wartość wpisu tajnego klienta utworzonego na potrzeby tej rejestracji aplikacji. Aplikacja użyje tego ciągu wpisu tajnego, aby udowodnić swoją tożsamość.
Na koncie magazynu dodaj przypisanie roli dla aplikacji zarejestrowanej w poprzednim kroku, aby zapewnić mu dostęp do konta magazynu.
Tworzenie zakresu wpisów tajnych opartych na usłudze Azure Key Vault lub databricks, zobacz Zarządzanie zakresami wpisów tajnych i rejestrowanie wartości właściwości nazwy zakresu:
- Nazwa zakresu: nazwa utworzonego zakresu wpisu tajnego.
W przypadku korzystania z usługi Azure Key Vault utwórz wpis tajny w usłudze Azure Key Vault przy użyciu wpisu tajnego klienta w polu Wartość. Aby zapoznać się z przykładem, zobacz Krok 4. Dodawanie wpisu tajnego klienta do usługi Azure Key Vault. Zachowaj rekord wybranej nazwy wpisu tajnego.
- Nazwa wpisu tajnego: nazwa utworzonego wpisu tajnego usługi Azure Key Vault.
W przypadku korzystania z zakresu opartego na usłudze Databricks utwórz nowy wpis tajny przy użyciu interfejsu wiersza polecenia usługi Databricks i użyj go do przechowywania klucza tajnego klienta uzyskanego w kroku 1. Zachowaj rekord klucza tajnego wprowadzonego w tym kroku.
- Klucz tajny: klucz utworzonego wpisu tajnego opartego na usłudze Databricks.
Uwaga
Opcjonalnie możesz utworzyć dodatkowy wpis tajny do przechowywania identyfikatora klienta uzyskanego w kroku 1.
Kliknij swoją nazwę użytkownika na górnym pasku obszaru roboczego, a następnie wybierz selectUstawienia z listy rozwijanej.
Kliknij kartę Obliczenia .
Kliknij pozycję Zarządzaj obok pozycji Magazyny SQL.
W polu Konfiguracja dostępu do danych kliknij przycisk Dodaj jednostkę usługi .
Skonfiguruj właściwości konta magazynu usługi Azure Data Lake Storage Gen2.
Kliknij przycisk Dodaj.
Zobaczysz, że nowe wpisy zostały dodane do pola tekstowego Konfiguracja dostępu do danych.
Kliknij przycisk Zapisz.
Możesz również edytować wpisy w polu tekstowym Konfiguracja dostępu do danych bezpośrednio.
Konfigurowanie właściwości dostępu do danych dla magazynów SQL
Aby skonfigurować wszystkie magazyny z właściwościami dostępu do danych:
Kliknij swoją nazwę użytkownika na górnym pasku obszaru roboczego i selectUstawienia z listy rozwijanej.
Kliknij kartę Obliczenia .
Kliknij pozycję Zarządzaj obok pozycji Magazyny SQL.
W polu tekstowym Konfiguracja dostępu do danych określ pary klucz-wartość zawierające właściwości magazynu metadanych.
Ważne
Aby set właściwość konfiguracji platformy Spark do wartości wpisu tajnego bez uwidaczniania wartości wpisu tajnego na platformie Spark, set wartość do
{{secrets/<secret-scope>/<secret-name>}}
. Zastąp<secret-scope>
ciąg zakresem wpisu tajnego i<secret-name>
nazwą wpisu tajnego. Wartość musi zaczynać się od i kończyć{{secrets/
ciągiem}}
. Aby uzyskać więcej informacji na temat tej składni, zobacz Zarządzanie wpisami tajnymi.Kliknij przycisk Zapisz.
Możesz również skonfigurować właściwości dostępu do danych przy użyciu dostawcy narzędzia Terraform usługi Databricks i databricks_sql_global_config.
Obsługiwane właściwości
W przypadku wpisu kończącego się ciągiem
*
, obsługiwane są wszystkie właściwości w ramach tego prefiksu.Na przykład wskazuje,
spark.sql.hive.metastore.*
że obiespark.sql.hive.metastore.jars
ispark.sql.hive.metastore.version
są obsługiwane, oraz wszelkie inne właściwości rozpoczynające się odspark.sql.hive.metastore
.W przypadku właściwości, których values zawierają informacje poufne, można przechowywać informacje poufne w tajemnicy i set wartość właściwości do nazwy tajemnicy przy użyciu następującej składni:
secrets/<secret-scope>/<secret-name>
.
Następujące właściwości są obsługiwane w przypadku magazynów SQL:
spark.sql.hive.metastore.*
spark.sql.warehouse.dir
spark.hadoop.datanucleus.*
spark.hadoop.fs.*
spark.hadoop.hive.*
spark.hadoop.javax.jdo.option.*
spark.hive.*
Aby uzyskać więcej informacji na temat set tych właściwości, zobacz sekcję dotyczącą zewnętrznego magazynu metadanych Hive.