Управление доступом к внешним облачным службам с помощью учетных данных службы

Внимание

Эта функция предоставляется в режиме общедоступной предварительной версии.

В этой статье описывается, как создать объект учетных данных службы в каталоге Unity, который позволяет управлять доступом из Azure Databricks к внешним облачным службам. Учетные данные службы в каталоге Unity инкапсулируют долгосрочные облачные учетные данные, предоставляющие доступ к таким службам.

Учетные данные службы не предназначены для управления доступом к облачному хранилищу, которое используется в качестве управляемого расположения хранилища каталога Unity или внешнего хранилища. Для этих вариантов использования используйте учетные данные хранения. См. статью "Управление доступом к облачному хранилищу с помощью каталога Unity".

Чтобы создать учетные данные службы для доступа к службам Azure, создайте соединитель доступа Azure Databricks, который ссылается на управляемое удостоверение Azure, назначая ему разрешения на службу или службы. Затем вы ссылаетесь на соединитель доступа в определении учетных данных службы.

Перед началом работы

Перед созданием учетных данных службы необходимо выполнить следующие требования:

В Azure Databricks:

• Рабочая область Azure Databricks включена для каталога Unity.

• CREATE SERVICE CREDENTIAL привилегии в хранилище метаданных каталога Unity, подключенном к рабочей области. Администраторы учетных записей и администраторы хранилища метаданных имеют эту привилегию по умолчанию. Если ваша рабочая область включена для каталога Unity автоматически, администраторы рабочей области также имеют эту привилегию.

  Примечание.

  Субъекты-службы должны иметь роль администратора учетной записи для создания учетных данных службы, использующего управляемое удостоверение. Вы не можете делегировать CREATE SERVICE CREDENTIAL субъекту-службе. Это относится как к субъектам-службам Azure Databricks, так и к субъектам-службам идентификатора Microsoft Entra.

В клиенте Azure:

• Служба Azure в том же регионе, что и рабочая область, из которой вы хотите получить доступ к данным.
• Роль участника или владельца в группе ресурсов Azure.
• Роль владельца или администратора доступа пользователей Azure RBAC в учетной записи службы.

Создание учетных данных службы с помощью управляемого удостоверения

Чтобы настроить удостоверение, которое разрешает доступ к учетной записи службы, используйте соединитель доступа Azure Databricks, который подключает управляемое удостоверение Azure к учетной записи Azure Databricks. Если у вас уже есть соединитель доступа, можно перейти к шагу 2 в следующей процедуре.

Примечание.

Вместо управляемого удостоверения можно использовать субъект-службу, но настоятельно рекомендуется использовать управляемые удостоверения. Управляемые удостоверения имеют преимущество, позволяя каталогу Unity получать доступ к учетным записям служб, защищенным правилами сети, что невозможно с помощью субъектов-служб, и они удаляют необходимость управления и смены секретов. Если необходимо использовать субъект-службу, см. статью "Создание управляемого хранилища каталога Unity" с помощью субъекта-службы (устаревшей версии).

1. В портал Azure создайте соединитель доступа Azure Databricks и назначьте ему разрешения для службы, к которым вы хотите получить доступ, используя инструкции в статье "Настройка управляемого удостоверения для каталога Unity".

   Соединитель доступа Azure Databricks — это ресурс Azure от Майкрософт, который позволяет подключать управляемые удостоверения к учетной записи Azure Databricks. Чтобы добавить учетные данные службы, необходимо иметь роль участника или выше в ресурсе соединителя доступа в Azure.

   Вместо выполнения инструкций на шаге 2. Предоставьте управляемому удостоверению доступ к учетной записи хранения, предоставьте управляемому удостоверению доступ к учетной записи службы.

   Запишите идентификатор ресурса соединителя доступа.

2. Войдите в рабочую область Azure Databricks в качестве пользователя, который соответствует требованиям, перечисленным в разделе "Перед началом работы".

3. Щелкните каталог.

4. На странице быстрого доступа нажмите кнопку "Внешние данные", перейдите на вкладку "Учетные данные>" и выберите "Создать учетные данные".

5. Выберите учетные данные службы.

6. Введите имя учетных данных, необязательный комментарий и идентификатор ресурса соединителя доступа в формате:

   /subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.Databricks/accessConnectors/<connector-name>
   

7. (Необязательно) Если вы создали соединитель доступа с помощью управляемого удостоверения, назначаемого пользователем, введите идентификатор ресурса управляемого удостоверения в поле идентификатора управляемого удостоверения , назначаемого пользователем, в формате:

   /subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<managed-identity-name>
   

8. Нажмите кнопку Создать.

9. В диалоговом окне создания учетных данных службы скопируйте внешний идентификатор.

   Внешний идентификатор можно также просмотреть в любое время на странице сведений об учетных данных службы.

10. Нажмите кнопку Готово.

(Необязательно) Назначение учетных данных службы определенным рабочим областям

Внимание

Эта функция предоставляется в режиме общедоступной предварительной версии.

По умолчанию учетные данные службы доступны во всех рабочих областях в хранилище метаданных. Это означает, что если пользователю предоставлена привилегия для учетных данных службы, они могут выполнять эти привилегии из любой рабочей области, подключенной к хранилищу метаданных. При использовании рабочих областей для изоляции доступа к данным пользователей может потребоваться разрешить доступ к учетным данным службы только из определенных рабочих областей. Эта функция называется привязкой рабочей области или изоляцией учетных данных службы.

Типичный вариант привязки учетных данных службы к определенным рабочим областям — это сценарий, в котором администратор облака настраивает учетные данные службы с использованием учетных данных рабочей облачной учетной записи, и вы хотите убедиться, что пользователи Azure Databricks используют эти учетные данные для доступа к внешней облачной службе только в рабочей рабочей области.

Дополнительные сведения о привязке рабочей области см. в разделе (Необязательно) Назначение учетных данных хранилища определенным рабочим областям и ограничение доступа к определенным рабочим областям.

Привязка учетных данных службы к одной или нескольким рабочим областям

Чтобы назначить учетные данные службы определенным рабочим областям, используйте обозреватель каталогов.

Необходимые разрешения: администратор хранилища метаданных или владелец учетных данных службы.

Примечание.

Администраторы хранилища метаданных могут видеть все учетные данные службы в хранилище метаданных с помощью обозревателя каталогов, а владельцы учетных данных службы могут видеть все учетные данные службы, принадлежащие им в хранилище метаданных, независимо от того, назначены ли учетные данные службы текущей рабочей области. Учетные данные службы, которые не назначены рабочей области, отображаются серым цветом.

1. Войдите в рабочую область, связанную с хранилищем метаданных.

2. На боковой панели щелкните "Каталог".

3. На странице быстрого доступа нажмите кнопку "Внешние данные" и перейдите на вкладку "Учетные данные>".

4. Выберите учетные данные службы и перейдите на вкладку "Рабочие области ".

5. На вкладке "Рабочие области" снимите флажок "Все рабочие области" с флажком "Доступ ".

   Если учетные данные службы уже привязаны к одной или нескольким рабочим областям, этот флажок уже снят.

6. Нажмите кнопку " Назначить рабочим областям" и введите или найдите рабочие области, которые вы хотите назначить.

Чтобы отменить доступ, перейдите на вкладку "Рабочие области" , выберите рабочую область и нажмите кнопку "Отозвать". Чтобы разрешить доступ из всех рабочих областей, установите флажок "Все рабочие области".

Следующие шаги

• Узнайте, как просматривать, обновлять, удалять и предоставлять другим пользователям разрешение на использование учетных данных службы. См. раздел "Управление учетными данными службы".
• Узнайте, как использовать учетные данные службы в коде. См. сведения об использовании учетных данных службы каталога Unity для подключения к внешним облачным службам.

Ограничения

Действительны следующие ограничения.

• Databricks Runtime 15.4 LTS включает только поддержку Python.
• Хранилища SQL не поддерживаются.
• Некоторые события аудита для действий, выполняемых с учетными данными службы, не отображаются в system.access.audit таблице. Сведения о том, кто создал, удалил, обновил, прочитал, прочитал или использовал учетные данные службы, будет доступен. См . справочник по системе журнала аудита.
• Во время предварительной версии INFORMATION_SCHEMA.STORAGE_CREDENTIALS учетных данных службы (не рекомендуется) отображаются учетные данные хранения и учетные данные службы, а INFORMATION_SCHEMA.STORAGE_CREDENTIAL_PRIVILEGES также (нерекомендуемые) отображаются привилегии, которые применяются как к учетным данным хранилища, так и к учетным данным службы. Это неправильное поведение предварительной версии, которое будет исправлено, и вы не должны зависеть от него для продолжения. Вместо этого следует использовать INFORMATION_SCHEMA.CREDENTIALS и INFORMATION_SCHEMA.CREDENTIAL_PRIVILEGES для учетных данных хранилища и службы.