Управление учетными данными службы

Внимание

Эта функция предоставляется в режиме общедоступной предварительной версии.

В этой статье описывается, как перечислять, просматривать, обновлять, предоставлять разрешения и удалять учетные данные службы, которые являются защищаемыми объектами каталога Unity, которые позволяют управлять доступом к внешним облачным службам.

См. также:

• Общие сведения о создании учетных данных службы: управление доступом к внешним облачным службам с помощью учетных данных службы
• Чтобы узнать, как ссылаться на учетные данные службы в коде и указать учетные данные службы по умолчанию для вычислительного ресурса: используйте учетные данные службы каталога Unity для подключения к внешним облачным службам.

Подготовка к работе

Для выполнения задач, описанных в этой статье, необходимо выполнить следующие требования:

• Рабочая область Azure Databricks, включенная для каталога Unity.
• Чтобы получить список или просмотреть учетные данные службы, необходимо иметь одну из следующих привилегий или ролей:
  • BROWSE привилегии в родительском каталоге
  • CREATE SERVICE CREDENTIAL в хранилище метаданных
  • ACCESS учетные данные службы
  • Владелец учетных данных службы
  • Администратор хранилища метаданных
• Для выполнения любой из других задач, перечисленных в этой статье, необходимо быть владельцем учетных данных службы или администратора хранилища метаданных.
• Если вы используете команды SQL для перечисления, просмотра или обновления учетных данных службы, необходимо выполнить вычисление в Databricks Runtime 15.4 LTS или более поздней версии. Если вы используете обозреватель каталогов или REST API, не требуется версия среды выполнения Databricks.

Перечисление учетных данных службы

Чтобы просмотреть список всех учетных данных службы в хранилище метаданных, можно использовать обозреватель каталога или команду SQL.

Обозреватель каталогов

1. На боковой панели щелкните "Каталог".
2. На странице быстрого доступа нажмите кнопку "Внешние данные" и перейдите на >".
3. Сортировка учетных данных по назначению (STORAGE или SERVICE).

SQL

Выполните приведенную ниже команду в записной книжке.

SHOW SERVICE CREDENTIALS;

Просмотр учетных данных службы

Чтобы просмотреть свойства учетных данных службы, можно использовать обозреватель каталогов или команду SQL.

Обозреватель каталогов

1. На боковой панели щелкните "Каталог".
2. На странице быстрого доступа нажмите кнопку "Внешние данные" и перейдите на >".
3. Щелкните имя учетных данных службы, чтобы просмотреть его свойства.

SQL

Выполните приведенную ниже команду в записной книжке. Замените <credential-name> именем единицы учетных данных.

DESCRIBE SERVICE CREDENTIAL <credential-name>;

Отображение грантов для учетных данных службы

Чтобы отобразить предоставленные учетные данные службы, используйте следующую команду. При необходимости можно отфильтровать результаты, чтобы посмотреть только разрешения для указанного субъекта.

SHOW GRANTS [<principal>] ON SERVICE CREDENTIAL <service-credential-name>;

Замените значения-заполнители:

• <principal>: адрес электронной почты пользователя уровня учетной записи или имя группы уровня учетной записи, которая была предоставлена разрешение.
• <service-credential-name>: имя учетных данных службы.

Примечание.

Если группа или имя пользователя содержит пробел или @ символ, используйте обратные галочки вокруг него (а не апострофы). Например , финансовая команда .

Предоставление разрешений на использование учетных данных службы для доступа к внешней облачной службе

Чтобы предоставить разрешение на использование учетных данных службы для доступа к внешней облачной службе, выполните следующие действия. Вы можете использовать обозреватель каталога или команды SQL:

Обозреватель каталогов

1. На боковой панели щелкните "Каталог".
2. На странице быстрого доступа нажмите кнопку "Внешние данные" и перейдите на >".
3. Щелкните имя учетных данных службы, чтобы открыть страницу сведений.
4. Щелкните Разрешения.
5. Чтобы предоставить разрешение пользователям или группам, установите флажки рядом с идентификаторами, а затем щелкните Grant (Предоставить).
   • Выберите ACCESS , чтобы предоставить возможность использовать учетные данные службы для доступа к внешней облачной службе или службам.
   • Выберите CREATE CONNECTION, чтобы предоставить возможность создать подключение федерации Lakehouse в каталоге Unity, используя эти учетные данные службы. См. раздел "Управление подключениями для Федерации Lakehouse".
6. Чтобы отменить разрешения для пользователей или групп, выберите каждое удостоверение и нажмите Отменить.

SQL

Чтобы предоставить доступ, выполните одну из следующих команд в записной книжке, заменив значения заполнителей:

• <principal>: адрес электронной почты пользователя на уровне учетных записей или имя группы на уровне учетных записей, которым предоставляется разрешение.
• <service-credential-name>: имя учетных данных службы.

Примечание.

Если группа или имя пользователя содержит пробел, дефис () или - символ, используйте обратные галочки вокруг него (@а не апострофы). Например: `finance team`.

GRANT ACCESS ON SERVICE CREDENTIAL <service-credential-name> TO <principal>;

Если вы хотите предоставить возможность создать подключение федерации Lakehouse в каталоге Unity с помощью этих учетных данных службы, используйте следующее:

GRANT CREATE CONNECTION ON SERVICE CREDENTIAL <service-credential-name> TO <principal>;

Чтобы отменить доступ, замените GRANT его REVOKE в этих примерах.

Изменение владельца учетных данных службы

Создатель учетных данных службы является его первоначальным владельцем. Чтобы изменить владельца на другого пользователя или группы на уровне учетной записи, можно использовать обозреватель каталога или команду SQL.

Обозреватель каталогов

1. На боковой панели щелкните "Каталог".
2. На странице быстрого доступа нажмите кнопку "Внешние данные" и перейдите на >".
3. Щелкните имя учетных данных службы, чтобы открыть диалоговое окно редактирования.
4. Щелкните рядом с владельцемEdit icon.
5. Введите для поиска субъекта и выберите его.
6. Нажмите кнопку Сохранить.

SQL

Выполните приведенную ниже команду в записной книжке. Замените значения-заполнители:

• <credential-name>: имя учетной записи.
• <principal>: адрес электронной почты пользователя на уровне учетной записи или имя группы на уровне учетных записей.

ALTER SERVICE CREDENTIAL <credential-name> OWNER TO <principal>;

Переименование учетных данных службы

Чтобы переименовать учетные данные службы, можно использовать обозреватель каталогов или команду SQL.

Обозреватель каталогов

1. На боковой панели щелкните "Каталог".
2. На странице быстрого доступа нажмите кнопку "Внешние данные" и перейдите на >".
3. Щелкните имя учетных данных службы, чтобы открыть диалоговое окно редактирования.
4. Переименуйте учетные данные службы и сохраните его.

SQL

Выполните приведенную ниже команду в записной книжке. Замените значения-заполнители:

• <credential-name>: имя учетной записи.
• <new-credential-name>: новое имя учетной записи.

ALTER SERVICE CREDENTIAL <credential-name> RENAME TO <new-credential-name>;

Удаление учетных данных службы

Чтобы удалить (удалить) учетные данные службы, необходимо быть его владельцем. Чтобы удалить учетные данные службы, можно использовать обозреватель каталогов или команду SQL.

Обозреватель каталогов

1. На боковой панели щелкните "Каталог".
2. На странице быстрого доступа нажмите кнопку "Внешние данные" и перейдите на >".
3. Щелкните имя учетных данных службы, чтобы открыть диалоговое окно редактирования.
4. Нажмите кнопку Удалить.

SQL

Выполните приведенную ниже команду в записной книжке. Замените <credential-name> именем единицы учетных данных. Части команды, которые находятся в квадратных скобках, являются необязательными.

IF EXISTS не возвращает ошибку, если учетные данные не существуют.

DROP SERVICE CREDENTIAL [IF EXISTS] <credential-name>;