Compartilhar via

Gerencie o acesso ao armazenamento em nuvem usando o Catálogo do Unity

  • Artigo

Este artigo fornece uma visão geral de como usar o Catálogo do Unity para gerenciar o acesso ao armazenamento em nuvem do Azure Databricks. Ele apresenta os conceitos de local externo, credencial de armazenamento e armazenamento gerenciado.

Observação

Se você quiser usar o Catálogo do Unity para controlar o acesso a um serviço externo em vez do armazenamento em nuvem, consulte Gerenciar o acesso a serviços de nuvem externos usando credenciais de serviço.

Locais externos e credenciais de armazenamento

Todos os dados regidos pelo Catálogo do Unity devem estar no armazenamento em nuvem em sua conta do provedor de nuvem. O Catálogo do Unity controla o acesso ao armazenamento em nuvem usando um objeto protegível chamado local externo, que define um caminho para um local de armazenamento em nuvem e as credenciais necessárias para acessar esse local. Essas credenciais são, por sua vez, definidas em um objeto protegível do Catálogo do Unity chamado credencial de armazenamento. Ao conceder e revogar o acesso a protegíveis de localização externa no Catálogo do Unity, você controla o acesso aos dados no local de armazenamento em nuvem. Ao conceder e revogar o acesso a protegíveis de credenciais de armazenamento no Catálogo do Unity, você controla a capacidade de criar objetos de localização externos.

Aqui está um pouco mais de detalhes sobre esses dois objetos protegíveis:

  • Uma credencial de armazenamento representa um mecanismo de autenticação e autorização para acessar dados armazenados em seu locatário de nuvem, usando uma identidade gerenciada do Azure ou uma entidade de serviço para contêineres do Azure Data Lake Storage Gen2 ou um token de API R2 para buckets Cloudflare R2. Os privilégios concedidos no Catálogo do Unity controlam quais usuários e grupos podem usar a credencial para definir locais externos. A permissão para criar e usar credenciais de armazenamento só deve ser concedida a usuários que precisam criar objetos de localização externos. Consulte Criar uma credencial de armazenamento para se conectar ao Azure Data Lake Storage Gen2 e Criar uma credencial de armazenamento para se conectar ao Cloudflare R2.
  • Um local externo combina um caminho de armazenamento em nuvem com uma credencial de armazenamento que autoriza o acesso ao caminho de armazenamento em nuvem. Os privilégios concedidos no Catálogo do Unity controlam quais usuários e grupos podem acessar o caminho de armazenamento em nuvem definido pelo local externo. A permissão para criar e usar locais externos só deve ser concedida aos usuários que precisam criar tabelas externas, volumes externos ou locais de armazenamento gerenciado. Consulte Criar um local externo para conectar o armazenamento em nuvem ao Azure Databricks.

Os locais externos são usados no Catálogo do Unity para ativos de dados externos, como tabelas externas e volumes externos, e para ativos de dados gerenciados, como tabelas gerenciadas e volumes gerenciados. Para obter mais informações sobre a diferença entre ativos de dados externos e gerenciados no Catálogo do Unity, consulte O que são tabelas e exibições? e O que são volumes do Catálogo do Unity?.

Para saber mais sobre as práticas recomendadas para usar locais externos, consulte Gerenciar locais externos, tabelas externas e volumes externos.

Usando locais externos ao criar tabelas e volumes externos

Tabelas externas e volumes externos registrados no Catálogo do Unity são essencialmente ponteiros para dados no armazenamento em nuvem que você gerencia fora do Azure Databricks. Ao criar uma tabela externa ou um volume externo no Catálogo do Unity, você deve fazer referência a um caminho de armazenamento em nuvem incluído em um objeto de localização externo no qual você recebeu privilégios adequados. Para obter mais informações sobre a diferença entre ativos de dados externos e gerenciados no Catálogo do Unity, consulte O que são tabelas e exibições? e O que são volumes do Catálogo do Unity?. Para privilégios, consulte Conceder permissões em um local externo.

Usando locais externos ao criar armazenamento gerenciado

As tabelas gerenciadas e os volumes gerenciados são totalmente gerenciados pelo Catálogo do Unity. Eles são armazenados por padrão em um local de armazenamento gerenciado, que pode ser definido no nível do metastore, catálogo ou esquema. Ao atribuir um local de armazenamento gerenciado a um metastore, catálogo ou esquema, você deve fazer referência a um objeto de local externo e deve ter privilégios adequados para usá-lo. Consulte Especificar um local de armazenamento gerenciado no Catálogo do Unity e Práticas recomendadas do Catálogo do Unity.

Fluxo de trabalho para gerenciar o acesso ao armazenamento em nuvem no Catálogo do Unity

Para gerenciar o acesso ao armazenamento em nuvem usando o Catálogo do Unity, faça o seguinte:

  1. Crie um objeto de credencial de armazenamento que encapsule uma identidade gerenciada do Azure que dê acesso ao caminho de armazenamento em nuvem.
  2. Crie um objeto de localização externo que faça referência ao caminho de armazenamento e ao objeto de credencial de armazenamento.
  3. Faça referência a um caminho incluído no local externo ao criar tabelas externas, volumes externos ou locais de armazenamento gerenciado padrão. Esse pode ser o caminho exato definido no local externo ou em um subcaminho.

Próximas etapas