Uzyskiwanie dostępu do magazynu przy użyciu jednostki usługi i identyfikatora entra firmy Microsoft (Azure Active Directory)
Uwaga
W tym artykule opisano starsze wzorce konfigurowania dostępu do usługi Azure Data Lake Storage Gen2.
Usługa Databricks zaleca używanie tożsamości zarządzanych platformy Azure jako usługi Unity Catalog storage credentials w celu nawiązania połączenia z usługą Azure Data Lake Storage Gen2 zamiast jednostek usługi. Tożsamości zarządzane mają korzyść z umożliwienia Catalog aparatu Unity uzyskiwania dostępu do kont magazynu chronionych przez reguły sieci, które nie są możliwe przy użyciu jednostek usługi i remove potrzeby zarządzania wpisami tajnymi i rotacji ich. Aby uzyskać więcej informacji, zobacz
Zarejestrowanie aplikacji przy użyciu identyfikatora Entra firmy Microsoft powoduje utworzenie jednostki usługi, której można użyć do zapewnienia dostępu do kont usługi Azure Storage.
Następnie można skonfigurować dostęp do tych funkcji usługi, używając ich jako magazynu credentials w Unity Catalog lub przechowywanych z użyciem wpisów tajnych credentials.
Rejestrowanie aplikacji Microsoft Entra ID
Zarejestrowanie aplikacji Microsoft Entra ID (dawniej Azure Active Directory) i przypisanie odpowiednich uprawnień spowoduje utworzenie jednostki usługi, która może uzyskać dostęp do zasobów usługi Azure Data Lake Storage Gen2 lub Blob Storage.
Aby zarejestrować aplikację Microsoft Entra ID, musisz mieć Application Administrator rolę lub uprawnienie w identyfikatorze Application.ReadWrite.All Entra firmy Microsoft.
- W witrynie Azure Portal przejdź do usługi Microsoft Entra ID .
- W obszarze Zarządzanie kliknij pozycję Rejestracje aplikacji.
- Kliknij pozycję + Nowa rejestracja. Wprowadź nazwę aplikacji i kliknij przycisk Zarejestruj.
- Kliknij pozycję Certyfikaty i wpisy tajne.
- Kliknij pozycję + Nowy klucz tajny klienta.
- Dodaj opis wpisu tajnego i kliknij przycisk Dodaj.
- Skopiuj i zapisz wartość nowego wpisu tajnego.
- W przeglądzie rejestracji aplikacji skopiuj i zapisz identyfikator aplikacji (klienta) i identyfikator katalogu (dzierżawy).
Przypisywanie ról
Dostęp do zasobów magazynu można kontrolować, przypisując role do rejestracji aplikacji Microsoft Entra ID skojarzonej z kontem magazynu. W zależności od określonych wymagań może być konieczne przypisanie innych ról.
Aby przypisać role na koncie magazynu, musisz mieć rolę RBAC platformy Azure właściciela lub administratora dostępu użytkowników na koncie magazynu.
- W witrynie Azure Portal przejdź do usługi Konta magazynu.
- Select konto usługi Azure Storage do użycia z tą rejestracją aplikacji.
- Kliknij pozycję Kontrola dostępu (Zarządzanie dostępem i tożsamościami).
- Kliknij pozycję + Dodaj i selectDodaj przypisanie roli z menu rozwijanego.
- Set pole Select do nazwy aplikacji Microsoft Entra ID i roli setStorage Blob Data Contributor.
- Kliknij przycisk Zapisz.
Aby włączyć dostęp do zdarzeń plików na koncie magazynu przy użyciu jednostki usługi, musisz mieć rolę RBAC właściciela lub administratora dostępu użytkowników platformy Azure w grupie zasobów platformy Azure, w której znajduje się twoje konto usługi Azure Data Lake Storage Gen2.
- Wykonaj powyższe kroki i przypisz rolę Współautor danych kolejki magazynu i Współautor konta magazynu jednostki usługi.
- Przejdź do grupy zasobów platformy Azure, w ramach którego znajduje się twoje konto usługi Azure Data Lake Storage Gen2.
- Przejdź do
Access Control (IAM), kliknij pozycję + Dodaj iDodaj przypisanie roli . - Select rolę współautora EventGrid EventSubscription, a następnie kliknij pozycję Dalej.
- W obszarze Przypisz dostęp doselectjednostka usługi.
- Kliknij +Select Członkowie, select swojej jednostki głównej usługi i kliknij Przejrzyj i przypisz.
Alternatywnie możesz limit dostęp, udzielając roli współautora danych kolejki usługi storage roli jednostki usługi i nie udzielając żadnych ról grupie zasobów. W takim przypadku usługa Azure Databricks nie może skonfigurować zdarzeń plików w Twoim imieniu.