Gerencie o acesso ao armazenamento em nuvem usando o Unity Catalog

Este artigo fornece uma visão geral de como usar o Unity Catalog para gerenciar o acesso ao armazenamento em nuvem do Azure Databricks. Ele apresenta os conceitos de local externo, credencial de armazenamento e armazenamento gerenciado.

Nota

Se você quiser usar o Unity Catalog para controlar o acesso a um serviço externo em vez do armazenamento em nuvem, consulte Gerenciar o acesso a serviços de nuvem externos usando o serviço credentials.

Locais externos e armazenamento credentials

Todos os dados que são regidos pelo Unity Catalog devem estar em armazenamento em nuvem em sua conta de provedor de nuvem. O Unity Catalog controla o acesso ao armazenamento em nuvem usando um objeto protegível chamado local externo, que define um caminho para um local de armazenamento em nuvem e os credentials necessários para acessar esse local. Esses credentials são, por sua vez, definidos num objeto protegível chamado credencial de armazenamento em Unity Catalog. Ao conceder e revogar o acesso a elementos de segurança de locais externos no Unity Catalog, controla o acesso aos dados no local de armazenamento na nuvem. Ao conceder e revogar o acesso a credenciais de armazenamento protegíveis no Unity Catalog, você controla a capacidade de criar objetos de localização externos.

Aqui está um pouco mais de detalhes sobre esses dois objetos protegíveis:

• Uma credencial de armazenamento representa um mecanismo de autenticação e autorização para acessar dados armazenados em seu locatário de nuvem, usando uma identidade gerenciada do Azure ou uma entidade de serviço para contêineres do Azure Data Lake Storage Gen2 ou um token de API R2 para buckets do Cloudflare R2. Os privilégios concedidos no Unity Catalog controlam quais usuários e grupos podem usar a credencial para definir locais externos. A permissão para criar e usar armazenamento credentials só deve ser concedida a utilizadores que precisam criar objetos em locais externos. Consulte Criar uma credencial de armazenamento para se conectar ao Azure Data Lake Storage Gen2 e Criar uma credencial de armazenamento para se conectar ao Cloudflare R2.
• Um local externo combina um caminho de armazenamento em nuvem com uma credencial de armazenamento que autoriza o acesso ao caminho de armazenamento em nuvem. Os privilégios concedidos no Unity Catalog controlam quais usuários e grupos podem acessar o caminho de armazenamento em nuvem definido pelo local externo. A permissão para criar e usar locais externos só deve ser concedida a utilizadores que precisem criar tablesexternos, volumesexternos ou locais de armazenamento controlados. Consulte Criar um local externo para conectar o armazenamento em nuvem ao Azure Databricks.

Os locais externos são usados no Unity Catalog tanto para ativos de dados externos, como tables externo e volumesexterno, quanto para ativos de dados gerenciados, como tables gerenciado e gerenciado volumes. Para obter mais informações sobre a diferença entre ativos de dados externos e gerenciados no Unity Catalog, consulte O que são tables e views? e O que são Unity Catalogvolumes?.

Para saber mais sobre as práticas recomendadas para usar locais externos, consulte Gerenciar locais externos, tablesexternos e volumesexternos.

Usando locais externos ao criar tables e volumes externos

Os tables externos e os volumes externos registrados no Unity Catalog são essencialmente ponteiros para dados no armazenamento em nuvem que você gerencia fora do Azure Databricks. Ao criar um table externo ou um volume externo no Unity Catalog, você deve fazer referência a um caminho de armazenamento em nuvem incluído em um objeto de local externo no qual você recebeu privilégios adequados. Para obter mais informações sobre a diferença entre ativos de dados externos e gerenciados no Unity Catalog, consulte O que são tables e views? e O que são Unity Catalogvolumes?. Para consultar privilégios, veja permissões Grant num local externo.

Usando locais externos ao criar armazenamento gerenciado

Os tables gerenciados e os volumes gerenciados são totalmente gerenciados pela Unity Catalog. Eles são armazenados por padrão em um local de armazenamento gerenciado , que pode ser definido no nível de metastore, catalogou schema. Ao atribuir um local de armazenamento gerenciado a um metastore, catalogou schema, você deve fazer referência a um objeto de local externo e ter privilégios adequados para usá-lo. Consulte Especificar um local de armazenamento gerido no Unity Catalog, e práticas recomendadas do Unity Catalog.

Fluxo de trabalho para gerenciar o acesso ao armazenamento em nuvem no Unity Catalog

Para gerenciar o acesso ao armazenamento em nuvem usando o Unity Catalog, faça o seguinte:

1. Crie um objeto de credencial de armazenamento que encapsula uma identidade gerenciada do Azure que dá acesso ao caminho de armazenamento em nuvem.
2. Crie um objeto de local externo que faça referência ao caminho de armazenamento e ao objeto de credencial de armazenamento.
3. Faça referência a um caminho incluído no local externo ao criar tables, volumesou locais de armazenamento gerido padrão. Este pode ser o caminho exato definido no local externo ou um subcaminho.

Próximos passos

• Criar uma credencial de armazenamento para se conectar ao Azure Data Lake Storage Gen2
• Criar uma credencial de armazenamento para se conectar ao Cloudflare R2
• Criar um local externo para conectar o armazenamento em nuvem ao Azure Databricks
• Especifique um local de armazenamento gerenciado no Unity Catalog
• Gerir armazenamento credentials
• Gerenciar locais externos