Hantera åtkomst till molnlagring med hjälp av Unity Catalog

Den här artikeln ger en översikt över hur du använder Unity Catalog för att hantera åtkomst till molnlagring från Azure Databricks. Den introducerar begreppen extern plats, lagringsautentiseringsuppgifter och hanterad lagring.

Kommentar

Om du vill använda Unity Catalog för att styra åtkomsten till en extern tjänst i stället för molnlagring läser du Hantera åtkomst till externa molntjänster med autentiseringsuppgifter för tjänsten.

externa platser och autentiseringsuppgifter för lagring

Alla data som styrs av Unity Catalog måste finnas i molnlagring i ditt molnleverantörskonto. Unity Catalog styr åtkomsten till molnlagring med hjälp av ett skyddsbart objekt som kallas för en extern plats, som definierar en sökväg till en molnlagringsplats och de autentiseringsuppgifter som krävs för att få åtkomst till den platsen. Dessa autentiseringsuppgifter definieras i sin tur i ett skyddsbart Objekt i Unity Catalog som kallas för lagringsautentiseringsuppgifter. Genom att bevilja och återkalla åtkomst till externa platssäkringsbara objekt i Unity Catalog styr du åtkomsten till data på molnlagringsplatsen. Genom att bevilja och återkalla åtkomst till skyddsbara lagringsautentiseringsuppgifter i Unity Catalog styr du möjligheten att skapa externa platsobjekt.

Här är lite mer information om dessa två skyddsbara objekt:

• En lagringsautentiseringsuppgift representerar en autentiserings- och auktoriseringsmekanism för åtkomst till data som lagras i din molnklientorganisation, med hjälp av en Azure-hanterad identitet eller tjänstens huvudnamn för Azure Data Lake Storage Gen2-containrar eller en R2 API-token för Cloudflare R2-bucketar. Behörigheter som beviljas i Unity Catalog styr vilka användare och grupper som kan använda autentiseringsuppgifterna för att definiera externa platser. Behörighet att skapa och använda autentiseringsuppgifter för lagring bör endast beviljas användare som behöver skapa externa platsobjekt. Se Skapa en lagringsautentiseringsuppgift för att ansluta till Azure Data Lake Storage Gen2 och Skapa en lagringsautentiseringsuppgift för anslutning till Cloudflare R2.
• En extern plats kombinerar en molnlagringssökväg med en lagringsautentiseringsuppgift som ger åtkomst till molnlagringssökvägen. Behörigheter som beviljas i Unity Catalog styr vilka användare och grupper som kan komma åt molnlagringssökvägen som definieras av den externa platsen. Behörighet att skapa och använda externa platser bör endast beviljas användare som behöver skapa externa tabeller, externa volymer eller hanterade lagringsplatser. Se Skapa en extern plats för att ansluta molnlagring till Azure Databricks.

Externa platser används i Unity Catalog både för externa datatillgångar, till exempel externa tabeller och externa volymer, och för hanterade datatillgångar, till exempel hanterade tabeller och hanterade volymer. Mer information om skillnaden mellan externa och hanterade datatillgångar i Unity Catalog finns i Vad är tabeller och vyer? och Vad är Unity Catalog-volymer?.

Mer information om metodtips för att använda externa platser finns i Hantera externa platser, externa tabeller och externa volymer.

Använda externa platser när du skapar externa tabeller och volymer

Externa tabeller och externa volymer som registrerats i Unity Catalog är i princip pekare på data i molnlagring som du hanterar utanför Azure Databricks. När du skapar en extern tabell eller extern volym i Unity Catalog måste du referera till en molnlagringssökväg som ingår i ett externt platsobjekt som du har beviljats tillräcklig behörighet för. Mer information om skillnaden mellan externa och hanterade datatillgångar i Unity Catalog finns i Vad är tabeller och vyer? och Vad är Unity Catalog-volymer?. Behörigheter finns i Bevilja behörigheter på en extern plats.

Använda externa platser när du skapar hanterad lagring

Hanterade tabeller och hanterade volymer hanteras helt av Unity Catalog. De lagras som standard på en hanterad lagringsplats, som kan definieras på metaarkiv-, katalog- eller schemanivå. När du tilldelar en hanterad lagringsplats till ett metaarkiv, en katalog eller ett schema måste du referera till ett externt platsobjekt och du måste ha tillräcklig behörighet för att kunna använda det. Se Ange en hanterad lagringsplats i Bästa praxis för Unity Catalog och Unity Catalog.

Arbetsflöde för att hantera åtkomst till molnlagring i Unity Catalog

Om du vill hantera åtkomst till molnlagring med Unity Catalog gör du följande:

1. Skapa ett lagringsautentiseringsobjekt som kapslar in en Hanterad Azure-identitet som ger åtkomst till molnlagringssökvägen.
2. Skapa ett externt platsobjekt som refererar till lagringssökvägen och lagringsautentiseringsobjektet.
3. Referera till en sökväg som ingår på den externa platsen när du skapar externa tabeller, externa volymer eller standardhanterade lagringsplatser. Detta kan vara den exakta sökvägen som definierats på den externa platsen eller en undersökväg.

Nästa steg

• Skapa en lagringsautentiseringsuppgift för anslutning till Azure Data Lake Storage Gen2
• Skapa en lagringsautentiseringsuppgift för anslutning till Cloudflare R2
• Skapa en extern plats för att ansluta molnlagring till Azure Databricks
• Ange en hanterad lagringsplats i Unity Catalog
• Hantera autentiseringsuppgifter för lagring
• Hantera externa platser