Hantera autentiseringsuppgifter för tjänsten

Viktigt!

Den här funktionen finns som allmänt tillgänglig förhandsversion.

Den här artikeln beskriver hur du listar, visar, uppdaterar, beviljar behörigheter för och tar bort autentiseringsuppgifter för tjänsten, som är skyddsbara objekt i Unity Catalog som gör att du kan styra åtkomsten till externa molntjänster.

Se även:

• För en introduktion och för att lära dig hur du skapar autentiseringsuppgifter för tjänsten: Hantera åtkomst till externa molntjänster med autentiseringsuppgifter för tjänsten
• Om du vill lära dig hur du refererar till autentiseringsuppgifter för tjänsten i koden och anger en standardautentiseringsuppgift för en beräkningsresurs: Använd autentiseringsuppgifter för Unity Catalog-tjänsten för att ansluta till externa molntjänster.

Innan du börjar

Om du vill utföra de uppgifter som beskrivs i den här artikeln måste du uppfylla följande krav:

• En Azure Databricks-arbetsyta aktiverad för Unity Catalog.
• Om du vill visa en tjänstautentiseringsuppgift måste du ha någon av följande behörigheter eller roller:
  • BROWSE behörighet i den överordnade katalogen
  • CREATE SERVICE CREDENTIAL på metaarkivet
  • ACCESS på tjänstens autentiseringsuppgifter
  • Ägare till tjänstens autentiseringsuppgifter
  • Metaarkivadministratör
• Om du vill utföra någon av de andra uppgifter som anges i den här artikeln måste du vara ägare till tjänstens autentiseringsuppgifter eller en metaarkivadministratör.
• Om du använder SQL-kommandon för att lista, visa eller uppdatera tjänstens autentiseringsuppgifter behöver du beräkning på Databricks Runtime 15.4 LTS eller senare. Det finns inget krav på Databricks Runtime-version om du använder Catalog Explorer eller REST-API:et.

Lista autentiseringsuppgifter för tjänsten

Om du vill visa listan över alla autentiseringsuppgifter för tjänsten i ett metaarkiv kan du använda Catalog Explorer eller ett SQL-kommando.

Katalogutforskaren

1. Klicka på Katalog i sidopanelen.
2. På sidan Snabbåtkomst klickar du på knappen Externa data > och går till fliken Autentiseringsuppgifter .
3. Sortera autentiseringsuppgifterna efter Purpose (STORAGE eller SERVICE).

SQL

Kör följande kommando i en notebook-fil.

SHOW SERVICE CREDENTIALS;

Visa en tjänstautentiseringsuppgift

Om du vill visa egenskaperna för en tjänstautentiseringsuppgift kan du använda Catalog Explorer eller ett SQL-kommando.

Katalogutforskaren

1. Klicka på Katalog i sidopanelen.
2. På sidan Snabbåtkomst klickar du på knappen Externa data > och går till fliken Autentiseringsuppgifter .
3. Klicka på namnet på en tjänstautentiseringsuppgift för att se dess egenskaper.

SQL

Kör följande kommando i en notebook-fil. Ersätt <credential-name> med namnet på autentiseringsuppgiften.

DESCRIBE SERVICE CREDENTIAL <credential-name>;

Visa bidrag för en tjänstautentiseringsuppgift

Om du vill visa bidrag för en tjänstautentiseringsuppgift använder du ett kommando som följande. Du kan också filtrera resultaten så att endast bidragen för det angivna huvudkontot visas.

SHOW GRANTS [<principal>] ON SERVICE CREDENTIAL <service-credential-name>;

Ersätt platshållarvärdena:

• <principal>: E-postadressen till kontonivåanvändaren eller namnet på den kontonivågrupp som har beviljats behörigheten.
• <service-credential-name>: Namnet på en tjänstautentiseringsuppgift.

Kommentar

Om en grupp eller ett användarnamn innehåller ett blanksteg eller @ en symbol använder du back-ticks runt den (inte apostrofer). Till exempel ekonomiteam .

Bevilja behörigheter för att använda en tjänstautentiseringsuppgift för att få åtkomst till en extern molntjänst

Utför följande steg för att bevilja behörighet att använda en tjänstautentiseringsuppgift för att få åtkomst till en extern molntjänst. Du kan använda Katalogutforskaren eller SQL-kommandon:

Katalogutforskaren

1. Klicka på Katalog i sidopanelen.
2. På sidan Snabbåtkomst klickar du på knappen Externa data > och går till fliken Autentiseringsuppgifter .
3. Klicka på namnet på en tjänstautentiseringsuppgift för att öppna informationssidan.
4. Klicka på Behörigheter.
5. Om du vill bevilja behörighet till användare eller grupper väljer du varje identitet och klickar sedan på Bevilja.
   • Välj ÅTKOMST för att ge möjlighet att använda tjänstens autentiseringsuppgifter för att få åtkomst till en extern molntjänst eller -tjänster.
   • Välj CREATE CONNECTION för att ge möjlighet att skapa en Lakehouse Federation-anslutning i Unity Catalog med hjälp av den här tjänstautentiseringsuppgiften. Se Hantera anslutningar för Lakehouse Federation.
6. Om du vill återkalla behörigheter från användare eller grupper väljer du varje identitet och klickar sedan på Återkalla.

SQL

Om du vill bevilja åtkomst kör du något av följande kommandon i en notebook-fil och ersätter platshållarvärdena:

• <principal>: E-postadressen till användaren på kontonivå eller namnet på den kontonivågrupp som behörigheten ska beviljas.
• <service-credential-name>: Namnet på en tjänstautentiseringsuppgift.

Kommentar

Om en grupp eller ett användarnamn innehåller ett blanksteg, ett bindestreck (-) eller @ en symbol använder du back-tick runt den (inte apostrofer). Till exempel: `finance team`.

GRANT ACCESS ON SERVICE CREDENTIAL <service-credential-name> TO <principal>;

Om du vill ge möjlighet att skapa en Lakehouse Federation-anslutning i Unity Catalog med hjälp av den här tjänstautentiseringsuppgiften använder du följande:

GRANT CREATE CONNECTION ON SERVICE CREDENTIAL <service-credential-name> TO <principal>;

Om du vill återkalla åtkomst ersätter du GRANT med REVOKE i de här exemplen.

Ändra ägaren till en tjänstautentiseringsuppgift

Skaparen av en tjänstautentiseringsuppgift är dess första ägare. Om du vill ändra ägaren till en annan användare eller grupp på kontonivå kan du använda Catalog Explorer eller ett SQL-kommando.

Katalogutforskaren

1. Klicka på Katalog i sidopanelen.
2. På sidan Snabbåtkomst klickar du på knappen Externa data > och går till fliken Autentiseringsuppgifter .
3. Klicka på namnet på en tjänstautentiseringsuppgift för att öppna redigeringsdialogrutan.
4. Klicka bredvid Ägare.
5. Skriv för att söka efter ett huvudnamn och välj det.
6. Klicka på Spara.

SQL

Kör följande kommando i en notebook-fil. Ersätt platshållarvärdena:

• <credential-name>: Namnet på autentiseringsuppgifterna.
• <principal>: E-postadressen till en användare på kontonivå eller namnet på en grupp på kontonivå.

ALTER SERVICE CREDENTIAL <credential-name> OWNER TO <principal>;

Byt namn på en tjänstautentiseringsuppgift

Om du vill byta namn på en tjänstautentiseringsuppgift kan du använda Catalog Explorer eller ett SQL-kommando.

Katalogutforskaren

1. Klicka på Katalog i sidopanelen.
2. På sidan Snabbåtkomst klickar du på knappen Externa data > och går till fliken Autentiseringsuppgifter .
3. Klicka på namnet på en tjänstautentiseringsuppgift för att öppna redigeringsdialogrutan.
4. Byt namn på tjänstens autentiseringsuppgifter och spara den.

SQL

Kör följande kommando i en notebook-fil. Ersätt platshållarvärdena:

• <credential-name>: Namnet på autentiseringsuppgifterna.
• <new-credential-name>: Ett nytt namn på autentiseringsuppgifterna.

ALTER SERVICE CREDENTIAL <credential-name> RENAME TO <new-credential-name>;

Ta bort en tjänstautentiseringsuppgift

Om du vill ta bort (släppa) en tjänstautentiseringsuppgift måste du vara dess ägare. Om du vill ta bort en tjänstautentiseringsuppgift kan du använda Catalog Explorer eller ett SQL-kommando.

Katalogutforskaren

1. Klicka på Katalog i sidopanelen.
2. På sidan Snabbåtkomst klickar du på knappen Externa data > och går till fliken Autentiseringsuppgifter .
3. Klicka på namnet på en tjänstautentiseringsuppgift för att öppna redigeringsdialogrutan.
4. Klicka på knappen Ta bort.

SQL

Kör följande kommando i en notebook-fil. Ersätt <credential-name> med namnet på autentiseringsuppgiften. Delar av kommandot som är inom hakparenteser är valfria.

IF EXISTS returnerar inget fel om autentiseringsuppgifterna inte finns.

DROP SERVICE CREDENTIAL [IF EXISTS] <credential-name>;