共用方式為

管理服務 credentials

  • 發行項

重要

這項功能處於公開預覽狀態

本文說明如何 list、檢視、檢視、update、grant 許可權,以及刪除服務 credentials,這些是 Unity Catalog 安全性實體物件,可讓您控管外部雲端服務的存取權。

另請參閱:

開始之前

若要執行本文所述的工作,您必須符合下列需求:

  • 已啟用 Unity Catalog的 Azure Databricks 工作區。
  • 若要 list 或檢視服務認證,您必須具有下列其中一個許可權或角色:
    • 父 catalog 的 BROWSE 許可權
    • CREATE SERVICE CREDENTIAL 在中繼存放區上
    • ACCESS 在服務認證上
    • 服務認證的擁有者
    • 中繼存放區管理員
  • 若要執行本文所列的任何其他工作,您必須是服務認證或中繼存放區管理員的擁有者。
  • 如果您使用 SQL 命令來 list、檢視或 update 服務認證,則需要在 Databricks Runtime 15.4 LTS 或更新版本上進行計算。 如果您使用 Catalog Explorer 或 REST API,則不需要 Databricks Runtime 版本。

List 服務 credentials

若要檢視中繼存放區中所有服務 credentialslist,您可以使用 Catalog Explorer 或 SQL 命令。

Catalog 探索者

  1. 在側邊欄中,按下 Catalog 圖示Catalog
  2. 在 [快速存取] 頁面上,按兩下 [外部數據 >] 按鈕,然後移至 [Credentials] 索引標籤。
  3. 按照 目的(STORAGE 或 SERVICE)排序 credentials。

SQL

在筆記本中執行下列命令。

SHOW SERVICE CREDENTIALS;

檢視服務認證

若要檢視服務認證的屬性,您可以使用 Catalog Explorer 或 SQL 命令。

Catalog 探險者

  1. 在側邊欄中,按下 Catalog 圖示Catalog
  2. 在 [快速存取] 頁面上,按兩下 [外部數據 >] 按鈕,然後移至 [Credentials] 索引標籤。
  3. 按兩下服務認證的名稱以查看其屬性。

SQL

在筆記本中執行下列命令。 將取代 <credential-name> 為認證的名稱。

DESCRIBE SERVICE CREDENTIAL <credential-name>;

在服務認證上顯示授與

若要在服務認證上顯示授與,請使用如下的命令。 您可以選擇性地篩選結果,只顯示指定主體的授與。

SHOW GRANTS [<principal>] ON SERVICE CREDENTIAL <service-credential-name>;

將佔位符 values替換掉:

  • <principal>:已授與許可權之帳戶層級使用者的電子郵件地址或帳戶層級群組的名稱。
  • <service-credential-name>:服務認證的名稱。

注意

如果群組或使用者名稱包含空格或 @ 符號,請使用其周圍的反向刻度(而非單引號)。 例如 財務小組

Grant 權限,使用服務認證存取外部雲端服務

若要 grant 使用服務認證來存取外部雲端服務的許可權,請完成下列步驟。 您可以使用 Catalog Explorer 或 SQL 命令:

Catalog 探索者

  1. 在側邊欄中,按下 Catalog 圖示Catalog
  2. 在 [快速存取] 頁面上,按兩下 [外部數據 >] 按鈕,然後移至 [Credentials] 索引標籤。
  3. 按兩下服務認證的名稱,以開啟詳細數據頁面。
  4. 按一下 [權限]
  5. 要對使用者或群組設定 grant 許可權,請針對每個身分識別 select,然後按一下 [Grant]。
    • Select ACCESS,grant 能夠使用服務認證來存取外部雲端服務或服務。
    • Select CREATE CONNECTION grant 能夠使用此服務認證在 Unity Catalog 中建立 Lakehouse 同盟連線。 請參閱 管理 Lakehouse 同盟 connections
  6. 若要從使用者或群組 revoke 權限,select 每個身分,然後點擊 [Revoke]。

SQL

若要存取 grant,請在筆記本中執行下列其中一個命令,替換佔位符 values:

  • <principal>:帳戶層級用戶的電子郵件位址,或要 grant 許可權的帳戶層級群組名稱。
  • <service-credential-name>:服務認證的名稱。

注意

如果群組或使用者名稱包含空格、破折號(-或符號), @ 請使用其周圍的反刻度(而非單引號)。 例如,`finance team`.

GRANT ACCESS ON SERVICE CREDENTIAL <service-credential-name> TO <principal>;

如果您想要 grant 能夠使用此服務認證在 Unity Catalog 中建立 Lakehouse 同盟連線,請使用下列專案:

GRANT CREATE CONNECTION ON SERVICE CREDENTIAL <service-credential-name> TO <principal>;

若要存取 revoke,請在這些範例中將 GRANT 替換為 REVOKE

變更服務認證的擁有者

服務認證的建立者是其初始擁有者。 若要將擁有者變更為不同的帳戶層級使用者或群組,您可以使用 Catalog Explorer 或 SQL 命令。

Catalog 探索者

  1. 在側邊欄中,按下 Catalog 圖示Catalog
  2. 在 [快速存取] 頁面上,按兩下 [外部數據 >] 按鈕,然後移至 [Credentials] 索引標籤。
  3. 按兩下服務認證的名稱,以開啟 [編輯] 對話框。
  4. 按兩下 編輯圖示 [擁有者] 旁 的 [擁有者]。
  5. 輸入以搜尋主體,然後 select。
  6. 按一下 [檔案] 。

SQL

在筆記本中執行下列命令。 替換佔位符號 values:

  • <credential-name>:認證的名稱。
  • <principal>:帳戶層級用戶的電子郵件地址或帳戶層級群組的名稱。
ALTER SERVICE CREDENTIAL <credential-name> OWNER TO <principal>;

重新命名服務認證

若要重新命名服務認證,您可以使用 Catalog Explorer 或 SQL 命令。

Catalog 探索者

  1. 在側邊欄中,按下 Catalog 圖示Catalog
  2. 在 [快速存取] 頁面上,按兩下 [外部數據 >] 按鈕,然後移至 [Credentials] 索引標籤。
  3. 按兩下服務認證的名稱,以開啟 [編輯] 對話框。
  4. 重新命名服務認證並加以儲存。

SQL

在筆記本中執行下列命令。 取代佔位符 values:

  • <credential-name>:認證的名稱。
  • <new-credential-name>:認證的新名稱。
ALTER SERVICE CREDENTIAL <credential-name> RENAME TO <new-credential-name>;

刪除服務認證

若要刪除(卸除)服務認證,您必須是其擁有者。 若要刪除服務認證,您可以使用 Catalog Explorer 或 SQL 命令。

Catalog 探索者

  1. 在側邊欄中,點擊 Catalog 圖示Catalog
  2. 在 [快速存取] 頁面上,按兩下 [外部數據 >] 按鈕,然後移至 [Credentials] 索引標籤。
  3. 按兩下服務認證的名稱,以開啟 [編輯] 對話框。
  4. 按一下 [刪除] 按鈕。

SQL

在筆記本中執行下列命令。 將取代 <credential-name> 為認證的名稱。 括弧中的命令部分是選擇性的。

IF EXISTS 如果認證不存在,則不會傳回錯誤。

DROP SERVICE CREDENTIAL [IF EXISTS] <credential-name>;