Управление доступом к облачному хранилищу с помощью каталога Unity

В этой статье представлен обзор использования каталога Unity для управления доступом к облачному хранилищу из Azure Databricks. В ней представлены понятия внешнего расположения, учетных данных хранения и управляемого хранилища.

Примечание.

Если вы хотите использовать каталог Unity для управления доступом к внешней службе, а не облачному хранилищу, см. статью "Управление доступом к внешним облачным службам с помощью учетных данных службы".

Внешние расположения и данные учетной записи для хранения

Все данные, управляемые каталогом Unity, должны находиться в облачном хранилище в учетной записи поставщика облачных служб. Каталог Unity управляет доступом к облачному хранилищу с помощью защищаемого объекта, называемого внешним расположением, который определяет путь к расположению облачного хранилища и учетные данные, необходимые для доступа к такому расположению. Эти учетные данные, в свою очередь, определены в защищаемом объекте каталога Unity, который называется учетными данными хранения. Предоставив и отменив доступ к защищаемым внешним расположениям в каталоге Unity, вы управляете доступом к данным в расположении облачного хранилища. Предоставив и отменив доступ к защищаемым учетным данным хранилища в каталоге Unity, вы управляете возможностью создания объектов внешнего расположения.

Ниже приведены дополнительные сведения об этих двух защищаемых объектах:

• Учетные данные хранилища представляют механизм проверки подлинности и авторизации для доступа к данным, хранящимся в облачном клиенте, с помощью управляемого удостоверения Azure или субъекта-службы для контейнеров Azure Data Lake Storage 2-го поколения или маркера API R2 для контейнеров Cloudflare R2. Привилегии, предоставляемые в каталоге Unity, которые пользователи и группы могут использовать учетные данные для определения внешних расположений. Разрешение на создание и использование учетных данных хранения должно быть предоставлено только пользователям, которым необходимо создать объекты внешнего расположения. Сведения о создании учетных данных хранения для подключения к Azure Data Lake Storage 2-го поколения и создании учетных данных хранилища для подключения к Cloudflare R2.
• Внешнее расположение объединяет путь к облачному хранилищу с учетными данными хранилища, которые разрешают доступ к пути к облачному хранилищу. Привилегии, предоставляемые в каталоге Unity, которые пользователи и группы могут получить доступ к пути к облачному хранилищу, определенному внешним расположением. Разрешение на создание и использование внешних расположений должно быть предоставлено только пользователям, которым необходимо создать внешние таблицы, внешние тома или управляемые расположения хранилища. См. статью "Создание внешнего расположения для подключения облачного хранилища к Azure Databricks".

Внешние расположения используются в каталоге Unity как для внешних ресурсов данных, таких как внешние таблицы и внешние тома, так и для управляемых ресурсов данных, таких как управляемые таблицы и управляемые тома. Дополнительные сведения о различиях между внешними и управляемыми ресурсами данных в каталоге Unity см. в статье "Что такое таблицы и представления?", а также о томах каталога Unity?

Дополнительные сведения об использовании внешних расположений см. в статье "Управление внешними расположениями", "Внешние таблицы" и "Внешние тома".

Использование внешних расположений при создании внешних таблиц и томов

Внешние таблицы и внешние тома, зарегистрированные в каталоге Unity, по сути, указывают на данные в облачном хранилище, которое вы управляете за пределами Azure Databricks. При создании внешней таблицы или внешнего тома в каталоге Unity необходимо ссылаться на путь к облачному хранилищу, включенный в объект внешнего расположения, на который вы получили достаточные привилегии. Дополнительные сведения о различиях между внешними и управляемыми ресурсами данных в каталоге Unity см. в статье "Что такое таблицы и представления?", а также о томах каталога Unity? Сведения о привилегиях см. в разделе "Предоставление разрешений" во внешнем расположении.

Использование внешних расположений при создании управляемого хранилища

Управляемые таблицы и управляемые тома полностью управляются каталогом Unity. Они хранятся по умолчанию в управляемом расположении хранилища, которое можно определить на уровне хранилища метаданных, каталога или схемы. При назначении управляемого расположения хранилища в хранилище метаданных, каталоге или схеме необходимо ссылаться на объект внешнего расположения и иметь соответствующие привилегии для его использования. Ознакомьтесь с рекомендациями по указанию расположения управляемого хранилища в каталоге Unity и каталоге Unity.

Рабочий процесс управления доступом к облачному хранилищу в каталоге Unity

Чтобы управлять доступом к облачному хранилищу с помощью каталога Unity, выполните следующие действия.

1. Создайте объект учетных данных хранилища, который инкапсулирует управляемое удостоверение Azure, которое предоставляет доступ к пути к облачному хранилищу.
2. Создайте объект внешнего расположения, ссылающийся на путь к хранилищу и объект учетных данных хранилища.
3. Ссылка на путь, включенный во внешнее расположение при создании внешних таблиц, внешних томов или расположений управляемого хранилища по умолчанию. Это может быть точный путь, определенный во внешнем расположении или подпате.

Следующие шаги

• Создание учетных данных хранилища для подключения к Azure Data Lake Storage 2-го поколения
• Создание учетных данных хранилища для подключения к Cloudflare R2
• Создание внешнего расположения для подключения облачного хранилища к Azure Databricks
• Указание расположения управляемого хранилища в каталоге Unity
• Управление учетными данными хранилища
• Управление внешними расположениями