Udostępnij za pośrednictwem


Tworzenie poświadczeń magazynu na potrzeby nawiązywania połączenia z usługą Azure Data Lake Storage Gen2

W tym artykule opisano sposób tworzenia poświadczeń magazynu w katalogu aparatu Unity w celu nawiązania połączenia z usługą Azure Data Lake Storage Gen2.

Aby zarządzać dostępem do bazowego magazynu w chmurze zawierającego tabele i woluminy, wykaz aparatu Unity używa następujących typów obiektów:

  • Poświadczenia magazynu hermetyzują długoterminowe poświadczenia chmury, które zapewniają dostęp do magazynu w chmurze.
  • Lokalizacje zewnętrzne zawierają odwołanie do poświadczeń magazynu i ścieżki magazynu w chmurze.

Aby uzyskać więcej informacji, zobacz Zarządzanie dostępem do magazynu w chmurze przy użyciu wykazu aparatu Unity.

Uwaga

Jeśli chcesz użyć wykazu aparatu Unity do zarządzania dostępem do usługi zewnętrznej, a nie magazynu w chmurze, zobacz Zarządzanie dostępem do zewnętrznych usług w chmurze przy użyciu poświadczeń usługi.

Katalog aparatu Unity obsługuje dwie opcje magazynu w chmurze dla usługi Azure Databricks: kontenery usługi Azure Data Lake Storage Gen2 i zasobniki cloudflare R2. Cloudflare R2 jest przeznaczony głównie dla przypadków użycia funkcji Delta Sharing, w których chcesz uniknąć opłat za ruch wychodzący danych. Usługa Azure Data Lake Storage Gen2 jest odpowiednia dla większości innych przypadków użycia. Ten artykuł koncentruje się na tworzeniu poświadczeń magazynu dla kontenerów usługi Azure Data Lake Storage Gen2. Aby uzyskać informacje o usłudze Cloudflare R2, zobacz Tworzenie poświadczeń magazynu na potrzeby nawiązywania połączenia z usługą Cloudflare R2.

Aby utworzyć poświadczenia magazynu na potrzeby dostępu do kontenera usługi Azure Data Lake Storage Gen2, należy utworzyć łącznik dostępu usługi Azure Databricks, który odwołuje się do tożsamości zarządzanej platformy Azure, przypisując mu uprawnienia do kontenera magazynu. Następnie należy odwołać się do tego łącznika dostępu w definicji poświadczeń magazynu.

Wymagania

W usłudze Azure Databricks:

  • Obszar roboczy usługi Azure Databricks jest włączony dla wykazu aparatu Unity.

  • CREATE STORAGE CREDENTIAL uprawnienia do magazynu metadanych wykazu aparatu Unity dołączonego do obszaru roboczego. Administratorzy kont i administratorzy magazynu metadanych mają domyślnie te uprawnienia.

    Uwaga

    Jednostki usługi muszą mieć rolę administratora konta, aby utworzyć poświadczenia magazynu korzystające z tożsamości zarządzanej. Nie można delegować CREATE STORAGE CREDENTIAL do jednostki usługi. Dotyczy to zarówno jednostek usługi Azure Databricks, jak i jednostek usługi Microsoft Entra ID.

W dzierżawie platformy Azure:

  • Kontener magazynu usługi Azure Data Lake Storage Gen2. Aby uniknąć opłat za ruch wychodzący, powinno to znajdować się w tym samym regionie co obszar roboczy, z którego chcesz uzyskać dostęp do danych.

    Konto magazynu usługi Azure Data Lake Storage Gen2 musi mieć hierarchiczną przestrzeń nazw.

  • Współautor lub właściciel grupy zasobów platformy Azure.

  • Właściciel lub użytkownik z rolą RBAC platformy Azure administratora dostępu użytkowników na koncie magazynu.

Tworzenie poświadczeń magazynu przy użyciu tożsamości zarządzanej

Tożsamość zarządzana platformy Azure lub jednostka usługi można użyć jako tożsamości, która autoryzuje dostęp do kontenera magazynu. Tożsamości zarządzane są zdecydowanie zalecane. Mają one korzyść z umożliwienia katalogowi aparatu Unity dostępu do kont magazynu chronionych przez reguły sieciowe, które nie są możliwe przy użyciu jednostek usługi, i usuwają konieczność zarządzania wpisami tajnymi i rotacji ich. Jeśli chcesz użyć jednostki usługi, zobacz Tworzenie magazynu zarządzanego wykazu aparatu Unity przy użyciu jednostki usługi (starsza wersja).

  1. W witrynie Azure Portal utwórz łącznik dostępu usługi Azure Databricks i przypisz mu uprawnienia do kontenera magazynu, do którego chcesz uzyskać dostęp, korzystając z instrukcji w temacie Konfigurowanie tożsamości zarządzanej dla wykazu aparatu Unity.

    Łącznik dostępu usługi Azure Databricks to zasób platformy Azure, który umożliwia łączenie tożsamości zarządzanych z kontem usługi Azure Databricks. Aby dodać poświadczenie magazynu, musisz mieć rolę Współautor lub wyższy zasób łącznika dostępu na platformie Azure.

    Zanotuj identyfikator zasobu łącznika dostępu.

  2. Zaloguj się do obszaru roboczego usługi Azure Databricks z obsługą wykazu aparatu Unity jako użytkownik mający CREATE STORAGE CREDENTIAL uprawnienia.

    Zarówno role administratora magazynu metadanych, jak i administratora konta obejmują te uprawnienia. Jeśli logujesz się jako jednostka usługi (niezależnie od tego, czy identyfikator Entra firmy Microsoft, czy natywna jednostka usługi Azure Databricks), musisz mieć rolę administratora konta, aby utworzyć poświadczenia magazynu korzystające z tożsamości zarządzanej.

  3. Kliknij pozycję Ikona wykazu Wykaz.

  4. Na stronie Szybki dostęp kliknij przycisk Dane >zewnętrzne, przejdź do karty Poświadczenia i wybierz pozycję Utwórz poświadczenia.

  5. Wybierz pozycję Poświadczenia magazynu.

  6. Wybierz typ poświadczeń tożsamości zarządzanej platformy Azure.

  7. Wprowadź nazwę poświadczenia i wprowadź identyfikator zasobu łącznika dostępu w formacie:

    /subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.Databricks/accessConnectors/<connector-name>
    
  8. (Opcjonalnie) Jeśli łącznik dostępu został utworzony przy użyciu tożsamości zarządzanej przypisanej przez użytkownika, wprowadź identyfikator zasobu tożsamości zarządzanej w polu Identyfikator tożsamości zarządzanej przypisanej przez użytkownika w formacie:

    /subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<managed-identity-name>
    
  9. (Opcjonalnie) Jeśli chcesz, aby użytkownicy mieli dostęp tylko do odczytu do lokalizacji zewnętrznych korzystających z tego poświadczenia magazynu, wybierz pozycję Tylko do odczytu. Aby uzyskać więcej informacji, zobacz Oznaczanie poświadczeń magazynu jako tylko do odczytu.

  10. Kliknij pozycję Utwórz.

  11. (Opcjonalnie) Powiąż poświadczenie magazynu z określonymi obszarami roboczymi.

    Domyślnie każdy uprzywilejowany użytkownik może używać poświadczeń magazynu w dowolnym obszarze roboczym dołączonym do magazynu metadanych. Jeśli chcesz zezwolić na dostęp tylko z określonych obszarów roboczych, przejdź do karty Obszary robocze i przypisz obszary robocze. Zobacz (Opcjonalnie) Przypisywanie poświadczeń magazynu do określonych obszarów roboczych.

  12. Utwórz lokalizację zewnętrzną, która odwołuje się do tego poświadczenia magazynu.

(Opcjonalnie) Przypisywanie poświadczeń magazynu do określonych obszarów roboczych

Ważne

Ta funkcja jest dostępna w publicznej wersji zapoznawczej.

Domyślnie poświadczenie magazynu jest dostępne ze wszystkich obszarów roboczych w magazynie metadanych. Oznacza to, że jeśli użytkownik otrzymał uprawnienie (na przykład CREATE EXTERNAL LOCATION) na tym poświadczeniu magazynu, może wykonać to uprawnienie z dowolnego obszaru roboczego dołączonego do magazynu metadanych. Jeśli używasz obszarów roboczych do izolowania dostępu do danych użytkownika, możesz zezwolić na dostęp do poświadczeń magazynu tylko z określonych obszarów roboczych. Ta funkcja jest nazywana powiązaniem obszaru roboczego lub izolacją poświadczeń magazynu.

Typowym przypadkiem użycia powiązania poświadczeń magazynu z określonymi obszarami roboczymi jest scenariusz, w którym administrator chmury konfiguruje poświadczenia magazynu przy użyciu poświadczeń konta w chmurze produkcyjnej i chcesz upewnić się, że użytkownicy usługi Azure Databricks używają tego poświadczenia do tworzenia lokalizacji zewnętrznych tylko w obszarze roboczym produkcyjnym.

Aby uzyskać więcej informacji na temat powiązania obszaru roboczego, zobacz (Opcjonalnie) Przypisywanie lokalizacji zewnętrznej do określonych obszarów roboczych i Ograniczanie dostępu katalogu do określonych obszarów roboczych.

Uwaga

Powiązania obszaru roboczego są przywołyne, gdy są wykonywane uprawnienia do poświadczeń magazynu. Jeśli na przykład użytkownik tworzy lokalizację zewnętrzną przy użyciu poświadczeń magazynu, powiązanie obszaru roboczego na poświadczeniu magazynu jest sprawdzane tylko po utworzeniu lokalizacji zewnętrznej. Po utworzeniu lokalizacji zewnętrznej będzie ona działać niezależnie od powiązań obszaru roboczego skonfigurowanych na poświadczeniu magazynu.

Wiązanie poświadczeń magazynu z co najmniej jednym obszarem roboczym

Aby przypisać poświadczenia magazynu do określonych obszarów roboczych, możesz użyć Eksploratora wykazu lub interfejsu wiersza polecenia usługi Databricks.

Wymagane uprawnienia: administrator magazynu metadanych lub właściciel poświadczeń magazynu.

Uwaga

Administratorzy magazynu metadanych mogą wyświetlać wszystkie poświadczenia magazynu w magazynie metadanych przy użyciu Eksploratora wykazu, a właściciele poświadczeń magazynu mogą zobaczyć wszystkie poświadczenia magazynu, które są ich właścicielami w magazynie metadanych — niezależnie od tego, czy poświadczenia magazynu są przypisane do bieżącego obszaru roboczego. Poświadczenia magazynu, które nie są przypisane do obszaru roboczego, są wyszarane.

Eksplorator wykazu

  1. Zaloguj się do obszaru roboczego połączonego z magazynem metadanych.

  2. Na pasku bocznym kliknij pozycję Ikona wykazu Wykaz.

  3. Na stronie Szybki dostęp kliknij przycisk Dane >zewnętrzne i przejdź do karty Poświadczenia.

  4. Wybierz poświadczenie magazynu i przejdź do karty Obszary robocze .

  5. Na karcie Obszary robocze wyczyść pole wyboru Wszystkie obszary robocze mają dostęp.

    Jeśli poświadczenie magazynu jest już powiązane z co najmniej jednym obszarem roboczym, to pole wyboru zostało już wyczyszczone.

  6. Kliknij pozycję Przypisz do obszarów roboczych i wprowadź lub znajdź obszary robocze, które chcesz przypisać.

Aby odwołać dostęp, przejdź do karty Obszary robocze , wybierz obszar roboczy i kliknij przycisk Odwołaj. Aby zezwolić na dostęp ze wszystkich obszarów roboczych, zaznacz pole wyboru Wszystkie obszary robocze mają dostęp .

CLI

Istnieją dwie grupy poleceń interfejsu wiersza polecenia usługi Databricks i dwa kroki wymagane do przypisania poświadczeń magazynu do obszaru roboczego.

W poniższych przykładach zastąp <profile-name> ciąg nazwą profilu konfiguracji uwierzytelniania usługi Azure Databricks. Powinna ona zawierać wartość osobistego tokenu dostępu, oprócz nazwy wystąpienia obszaru roboczego i identyfikatora obszaru roboczego, w którym wygenerowano osobisty token dostępu. Zobacz Uwierzytelnianie osobistego tokenu dostępu w usłudze Azure Databricks.

  1. storage-credentials Użyj polecenia grupy update poleceń, aby ustawić poświadczenia isolation mode magazynu na ISOLATEDwartość :

    databricks storage-credentials update <my-storage-credential> \
    --isolation-mode ISOLATED \
    --profile <profile-name>
    

    Wartość domyślna isolation-mode to OPEN wszystkie obszary robocze dołączone do magazynu metadanych.

  2. workspace-bindings Użyj polecenia grupy update-bindings poleceń, aby przypisać obszary robocze do poświadczeń magazynu:

    databricks workspace-bindings update-bindings storage-credential <my-storage-credential> \
    --json '{
      "add": [{"workspace_id": <workspace-id>}...],
      "remove": [{"workspace_id": <workspace-id>}...]
    }' --profile <profile-name>
    

    "add" Użyj właściwości i"remove", aby dodać lub usunąć powiązania obszaru roboczego.

    Uwaga

    Powiązanie tylko do odczytu (BINDING_TYPE_READ_ONLY) nie jest dostępne dla poświadczeń magazynu. W związku z tym nie ma powodu, aby ustawić binding_type powiązanie poświadczeń magazynu.

Aby wyświetlić listę wszystkich przypisań obszarów roboczych dla poświadczeń magazynu, użyj workspace-bindings polecenia grupy get-bindings poleceń:

databricks workspace-bindings get-bindings storage-credential <my-storage-credential> \
--profile <profile-name>

Odłączenie poświadczeń magazynu z obszaru roboczego

Instrukcje dotyczące odwołwania dostępu obszaru roboczego do poświadczeń magazynu przy użyciu Eksploratora wykazu lub workspace-bindings grupy poleceń interfejsu wiersza polecenia znajdują się w temacie Wiązanie poświadczeń magazynu z co najmniej jednym obszarem roboczym.

Następne kroki

Możesz wyświetlać, aktualizować, usuwać i udzielać innym użytkownikom uprawnień do korzystania z poświadczeń magazynu. Zobacz Zarządzanie poświadczeniami magazynu.

Lokalizacje zewnętrzne można definiować przy użyciu poświadczeń magazynu. Zobacz Tworzenie lokalizacji zewnętrznej w celu połączenia magazynu w chmurze z usługą Azure Databricks.