Zarządzanie dostępem do zewnętrznych usług w chmurze przy użyciu poświadczeń usługi

W tym artykule opisano sposób tworzenia obiektu poświadczeń usługi w katalogu aparatu Unity, który umożliwia zarządzanie dostępem z usługi Azure Databricks do zewnętrznych usług w chmurze. Poświadczenie usługi w wykazie aparatu Unity hermetyzuje długoterminowe poświadczenia chmury, które przyznaje dostęp do takich usług.

Dane uwierzytelniające usług nie są przeznaczone do zarządzania dostępem do pamięci w chmurze, która jest używana jako lokalizacja pamięci zarządzana przez Unity Catalog lub zewnętrzną lokalizacją pamięci. W tych przypadkach użycia użyj poświadczeń magazynu. Zobacz Zarządzanie dostępem do magazynu w chmurze przy użyciu wykazu aparatu Unity.

Aby utworzyć poświadczenia usługi na potrzeby dostępu do usług platformy Azure, należy utworzyć łącznik dostępu usługi Azure Databricks, który odwołuje się do tożsamości zarządzanej platformy Azure, przypisując mu uprawnienia do usługi lub usług. Następnie odwołujesz się do tego łącznika dostępu w definicji poświadczeń usługi.

Przed rozpoczęciem

Przed utworzeniem poświadczeń usługi należy spełnić następujące wymagania:

W usłudze Azure Databricks:

• Obszar roboczy usługi Azure Databricks jest włączony dla wykazu aparatu Unity.

• CREATE SERVICE CREDENTIAL uprawnienie do repozytorium metadanych Unity Catalog przypisanego do obszaru roboczego. Administratorzy kont i administratorzy magazynu metadanych mają domyślnie te uprawnienia. Jeśli obszar roboczy został włączony automatycznie dla wykazu aparatu Unity, administratorzy obszaru roboczego również mają te uprawnienia.

  Uwaga

  Jednostki usługi muszą mieć rolę administratora konta, aby utworzyć poświadczenia usługi korzystające z tożsamości zarządzanej. Nie można delegować CREATE SERVICE CREDENTIAL do jednostki usługi. Dotyczy to zarówno jednostek usługi Azure Databricks, jak i jednostek usługi Microsoft Entra ID.

W dzierżawie platformy Azure:

• Usługa platformy Azure w tym samym regionie co obszary robocze, z których chcesz uzyskać dostęp do danych.
• Rola Współautor lub Właściciel w grupie zasobów platformy Azure.
• Rola RBAC platformy Azure właściciela lub administratora dostępu użytkowników na koncie usługi.

Tworzenie poświadczeń usługi przy użyciu tożsamości zarządzanej

Aby skonfigurować tożsamość, która autoryzuje dostęp do konta usługi, użyj łącznika dostępu usługi Azure Databricks, który łączy tożsamość zarządzaną platformy Azure z kontem usługi Azure Databricks. Jeśli masz już zdefiniowany łącznik dostępu, możesz przejść do kroku 2 w poniższej procedurze.

Uwaga

Zamiast tożsamości zarządzanej można użyć jednostki usługi, ale zdecydowanie zalecane są tożsamości zarządzane. Tożsamości zarządzane mają korzyść z umożliwienia wykazowi aparatu Unity uzyskiwania dostępu do kont usług chronionych przez reguły sieciowe, które nie są możliwe przy użyciu jednostek usługi, i usuwają konieczność zarządzania wpisami tajnymi i obracania ich. Jeśli musisz użyć jednostki usługi, zobacz Tworzenie magazynu zarządzanego wykazu aparatu Unity przy użyciu jednostki usługi (starsza wersja).

1. W witrynie Azure Portal utwórz łącznik dostępu usługi Azure Databricks i przypisz mu uprawnienia do usługi, do której chcesz uzyskać dostęp, korzystając z instrukcji w temacie Konfigurowanie tożsamości zarządzanej dla wykazu aparatu Unity.

   Łącznik dostępu usługi Azure Databricks to zasób platformy Azure, który umożliwia łączenie tożsamości zarządzanych z kontem usługi Azure Databricks. Aby dodać poświadczenie usługi, musisz mieć rolę Współautor lub nowszą rolę w zasobie łącznika dostępu na platformie Azure.

   Zamiast przestrzegać instrukcji w kroku 2: Udzielanie tożsamości zarządzanej dostępu do konta magazynu, udzielanie tożsamości zarządzanej dostępu do konta usługi.

   Zanotuj identyfikator zasobu łącznika dostępu.

2. Zaloguj się do obszaru roboczego usługi Azure Databricks jako użytkownik spełniający wymagania wymienione w sekcji Przed rozpoczęciem.

3. Kliknij ikonę katalogu .

4. Na stronie Szybki dostęp kliknij >zewnętrzne, przejdź do karty Poświadczenia i wybierz pozycję Utwórz poświadczenia.

5. Wybierz pozycję Poświadczenia usługi.

6. Wprowadź nazwę poświadczeń, opcjonalny komentarz i identyfikator zasobu łącznika dostępu w formacie:

   /subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.Databricks/accessConnectors/<connector-name>
   

7. (Opcjonalnie) Jeśli łącznik dostępu został utworzony przy użyciu tożsamości zarządzanej przypisanej przez użytkownika, wprowadź identyfikator zasobu tożsamości zarządzanej w polu Identyfikator tożsamości zarządzanej przypisanej przez użytkownika w formacie:

   /subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<managed-identity-name>
   

8. Kliknij pozycję Utwórz.

9. W oknie dialogowym Utworzone poświadczenie usługi skopiuj identyfikator zewnętrzny.

   Identyfikator zewnętrzny można również wyświetlić w dowolnym momencie na stronie szczegółów poświadczeń usługi.

10. Kliknij Gotowe.

(Opcjonalnie) Przypisywanie poświadczeń usługi do określonych obszarów roboczych

Ważne

Ta funkcja jest dostępna w publicznej wersji zapoznawczej.

Domyślnie poświadczenie usługi jest dostępne ze wszystkich obszarów roboczych w magazynie metadanych. Oznacza to, że jeśli użytkownik otrzymał uprawnienie do tego poświadczenia usługi, może wykonać to uprawnienie z dowolnego obszaru roboczego dołączonego do magazynu metadanych. Jeśli używasz obszarów roboczych do izolowania dostępu do danych użytkownika, możesz zezwolić na dostęp do poświadczeń usługi tylko z określonych obszarów roboczych. Ta funkcja jest nazywana powiązaniem obszaru roboczego lub izolacją poświadczeń usługi.

Typowym przypadkiem użycia powiązania poświadczeń usługi z określonymi obszarami roboczymi jest scenariusz, w którym administrator chmury konfiguruje poświadczenia usługi przy użyciu poświadczeń konta w chmurze produkcyjnej i chcesz upewnić się, że użytkownicy usługi Azure Databricks używają tego poświadczenia do uzyskiwania dostępu do zewnętrznej usługi w chmurze tylko w obszarze roboczym produkcyjnym.

Aby uzyskać więcej informacji na temat powiązania obszaru roboczego, zobacz (Opcjonalnie) Przypisywanie poświadczeń magazynu do określonych obszarów roboczych i Ograniczanie dostępu katalogu do określonych obszarów roboczych.

Wiązanie poświadczeń usługi z co najmniej jednym obszarem roboczym

Aby przypisać poświadczenia usługi do określonych obszarów roboczych, użyj Eksploratora wykazu.

Wymagane uprawnienia: administrator magazynu metadanych lub właściciel poświadczeń usługi.

Uwaga

Administratorzy magazynu metadanych mogą wyświetlać wszystkie poświadczenia usługi w magazynie metadanych przy użyciu Eksploratora wykazu, a właściciele poświadczeń usługi mogą zobaczyć wszystkie poświadczenia usługi, które są właścicielami w magazynie metadanych — niezależnie od tego, czy poświadczenia usługi są przypisane do bieżącego obszaru roboczego. Poświadczenia usługi, które nie są przypisane do obszaru roboczego, są wyszarane.

1. Zaloguj się do obszaru roboczego połączonego z magazynem metadanych.

2. Na pasku bocznym kliknij ikonę katalogu .

3. Na stronie Szybki dostęp kliknij >zewnętrzne i przejdź do karty Poświadczenia.

4. Wybierz poświadczenie usługi i przejdź do karty Obszary robocze .

5. Na karcie Obszary robocze wyczyść pole wyboru Wszystkie obszary robocze mają dostęp.

   Jeśli poświadczenie usługi jest już powiązane z co najmniej jednym obszarem roboczym, to pole wyboru zostało już wyczyszczone.

6. Kliknij pozycję Przypisz do obszarów roboczych i wprowadź lub znajdź obszary robocze, które chcesz przypisać.

Aby odwołać dostęp, przejdź do karty Obszary robocze, wybierz obszar roboczy, a następnie kliknij pozycję Odwołaj. Aby zezwolić na dostęp ze wszystkich obszarów roboczych, zaznacz pole wyboru Wszystkie obszary robocze mają dostęp.

Następne kroki

• Dowiedz się, jak wyświetlać, aktualizować, usuwać i udzielać innym użytkownikom uprawnień do korzystania z poświadczeń usługi. Zobacz Zarządzanie poświadczeniami usługi.
• Dowiedz się, jak używać poświadczeń usługi w kodzie. Zobacz Use Unity Catalog service credentials to connect to external cloud services (Używanie poświadczeń usługi wykazu aparatu Unity do nawiązywania połączenia z zewnętrznymi usługami w chmurze).

Ograniczenia

Obowiązują następujące ograniczenia:

• Środowisko Databricks Runtime w wersji 16.1 i starszej obsługuje tylko język Python.

• Dopóki przetwarzanie bezserwerowe nie zostanie zaktualizowane przy użyciu środowiska Databricks Runtime 16.2, będzie obsługiwać tylko język Python.

• Magazyny SQL nie są obsługiwane.

• Niektóre zdarzenia inspekcji dla akcji wykonywanych na poświadczeniach usługi nie będą wyświetlane w system.access.audit tabeli. Informacje inspekcji dotyczące tego, kto utworzył, usunął, zaktualizował, odczytał, wymienił lub użył poświadczeń usługi, będzie dostępny. Zobacz tabela systemu dziennika audytu.

• W wersji zapoznawczej poświadczeń usługi INFORMATION_SCHEMA.STORAGE_CREDENTIALS (przestarzałe) wyświetlało zarówno poświadczenia magazynu, jak i poświadczenia usługi, a INFORMATION_SCHEMA.STORAGE_CREDENTIAL_PRIVILEGES (przestarzałe) wyświetlało uprawnienia, które zastosowano zarówno do poświadczeń magazynu, jak i poświadczeń usługi. Tak już nie jest. Zamiast tego należy używać INFORMATION_SCHEMA.CREDENTIALS poleceń i INFORMATION_SCHEMA.CREDENTIAL_PRIVILEGES zarówno dla poświadczeń magazynu, jak i usługi.