Dane uwierzytelniające

Dotyczy: Databricks SQL Databricks Runtime tylko katalog Unity

Katalog Unity i wbudowany metastore Hive w Azure Databricks używają domyślnych lokalizacji dla tabel zarządzanych. Wykaz aparatu Unity wprowadza kilka nowych zabezpieczanych obiektów w celu udzielenia uprawnień do zewnętrznych usług w chmurze i danych w magazynie obiektów w chmurze.

• Poświadczeń

  Obiekt wykazu aparatu Unity używany do abstrakcji długoterminowych poświadczeń od dostawców usług w chmurze i magazynu.

  • poświadczenie magazynu

    Poświadczenia wykazu aparatu Unity używane do uzyskiwania dostępu do lokalizacji zewnętrznych i tabel.

  • poświadczenie usługi

    Poświadczenia wykazu aparatu Unity używane do uzyskiwania dostępu do zewnętrznych usług w chmurze za pomocą zestawów SDK dostawcy. Aby uzyskać więcej informacji, zobacz Zarządzanie dostępem do zewnętrznych usług w chmurze przy użyciu poświadczeń usługi.

• lokalizacja zewnętrzna

  Obiekt katalogu Unity używany do skojarzenia URI magazynu obiektów w chmurze z poświadczeniem magazynu .

• tabela zewnętrzna

  Tabela katalogu Unity utworzona w zarządzanej katalogiem Unity lokalizacji zewnętrznej .

Referencje

Poświadczenie to zabezpieczany obiekt reprezentujący tożsamość zarządzaną platformy Azure lub jednostkę usługi Microsoft Entra ID.

Po utworzeniu poświadczeń dostęp do niego można przyznać podmiotom zabezpieczeń (użytkownikom i grupom ).

Poświadczenia magazynu są używane głównie do tworzenia lokalizacji zewnętrznych, które mają zakres dostępu do określonej ścieżki magazynu.

Nazwy poświadczeń są niekwalifikowane i muszą być unikatowe w magazynie metadanych.

Graficzna reprezentacja relacji

Na poniższym diagramie opisano relację między:

• poświadczenia dostępu do przechowywania
• lokalizacje zewnętrzne
• tabele zewnętrzne
• ścieżki magazynu
• Jednostki IAM
• Konta usług platformy Azure

Przykłady

Za pomocą interfejsu wiersza polecenia utwórz poświadczenia my_azure_storage_cred magazynu dla jednostki usługi Microsoft Entra ID.

databricks storage-credentials create --json '{"name": "my_azure_storage_cred", "azure_service_principal": {"directory_id": "12345678-9abc-def0-1234-56789abcdef0", "application_id": "23456789-9abc-def0-1234-56789abcdef0", "client_secret": "Cli3nt5ecr3t"}}'

Pozostałe polecenia można uruchamiać w programie SQL.

-- Grant access to the storage credential
> GRANT READ FILES ON STORAGE CREDENTIAL my_azure_storage_cred TO ceo;

-- ceo can directly read from any storage path using myazure_storage_cred
> SELECT count(1) FROM `delta`.`abfss://container@storageaccount.dfs.core.windows.net/depts/finance/forecast/somefile` WITH (CREDENTIAL my_azure_storage_cred);
  100
> SELECT count(1) FROM `delta`.`abfss://container@storageaccount.dfs.core.windows.net/depts/hr/employees` WITH (CREDENTIAL my_azure_storage_cred);
  2017

-- Create an external location on specific path to which `my_azure_storage_cred` has access
> CREATE EXTERNAL LOCATION finance_loc URL 'abfss://container@storageaccount.dfs.core.windows.net/depts/finance'
    WITH (CREDENTIAL my_azure_storage_cred)
    COMMENT 'finance';

Powiązane artykuły

• ALTER CREDENTIAL
• ALTER TABLE
• UTWÓRZ LOKALIZACJĘ
• DESCRIBE CREDENTIAL
• DESCRIBE TABLE
• DROP CREDENTIAL
• DROP TABLE
• SHOW CREDENTIALS
• SHOW TABLES
• GRANT
• REVOKE