共用方式為

管理服務認證

  • 發行項

重要

這項功能處於公開預覽狀態

本文說明如何列出、檢視、更新、授與許可權,以及刪除服務認證,這些認證是 Unity 目錄安全性實體物件,可讓您控管外部雲端服務的存取權。

另請參閱:

開始之前

若要執行本文所述的工作,您必須符合下列需求:

  • 啟用了 Unity 目錄的 Azure Databricks 工作區。
  • 若要列出或檢視服務認證,您必須具有下列其中一個許可權或角色:
    • BROWSE 父目錄的許可權
    • CREATE SERVICE CREDENTIAL 在中繼存放區上
    • ACCESS 在服務認證上
    • 服務認證的擁有者
    • 中繼存放區管理員
  • 若要執行本文所列的任何其他工作,您必須是服務認證或中繼存放區管理員的擁有者。
  • 如果您使用 SQL 命令來列出、檢視或更新服務認證,您需要在 Databricks Runtime 15.4 LTS 或更新版本上進行計算。 如果您使用目錄總管或 REST API,則不需要 Databricks Runtime 版本。

列出服務認證

若要檢視中繼存放區中所有服務認證的清單,您可以使用目錄總管或 SQL 命令。

目錄總管

  1. 在提要欄位中,按兩下 目錄圖示 [目錄]。
  2. 在 [快速存取] 頁面上,按兩下 [外部數據] 按鈕,然後移至 [認證] > 索引卷標。
  3. 目的 排序認證(STORAGE 或 SERVICE)。

SQL

在筆記本中執行下列命令。

SHOW SERVICE CREDENTIALS;

檢視服務認證

若要檢視服務認證的屬性,您可以使用目錄總管或 SQL 命令。

目錄總管

  1. 在提要欄位中,按兩下 目錄圖示 [目錄]。
  2. 在 [快速存取] 頁面上,按兩下 [外部數據] 按鈕,然後移至 [認證] > 索引卷標。
  3. 按兩下服務認證的名稱以查看其屬性。

SQL

在筆記本中執行下列命令。 將取代 <credential-name> 為認證的名稱。

DESCRIBE SERVICE CREDENTIAL <credential-name>;

在服務認證上顯示授與

若要在服務認證上顯示授與,請使用如下的命令。 您可以選擇性地篩選結果,只顯示指定主體的授與。

SHOW GRANTS [<principal>] ON SERVICE CREDENTIAL <service-credential-name>;

取代預留位置值:

  • <principal>:已授與許可權之帳戶層級使用者的電子郵件地址或帳戶層級群組的名稱。
  • <service-credential-name>:服務認證的名稱。

注意

如果群組或使用者名稱包含空格或 @ 符號,請使用其周圍的反向刻度(而非單引號)。 例如 財務小組

授與許可權以使用服務認證來存取外部雲端服務

若要授與許可權以使用服務認證來存取外部雲端服務,請完成下列步驟。 您可以使用目錄總管或 SQL 命令:

目錄總管

  1. 在提要欄位中,按兩下 目錄圖示 [目錄]。
  2. 在 [快速存取] 頁面上,按兩下 [外部數據] 按鈕,然後移至 [認證] > 索引卷標。
  3. 按兩下服務認證的名稱,以開啟詳細數據頁面。
  4. 按一下 [權限]
  5. 若要將許可權授與使用者或群組,請選取每個身分識別,然後按兩下 [ 授與]。
    • 選取 [存取 ] 以授與使用服務認證存取外部雲端服務或服務的能力。
    • 選取 [CREATE CONNECTION ] 以授與使用此服務認證在 Unity 目錄中建立 Lakehouse 同盟連線的能力。 請參閱 管理 Lakehouse 同盟的連線。
  6. 若要撤銷使用者或群組的許可權,請選取每個身分識別,然後按兩下 [ 撤銷]。

SQL

若要授與存取權,請在筆記本中執行下列其中一個命令,並取代佔位元值:

  • <principal>:帳戶層級用戶的電子郵件位址或要授與許可權的帳戶層級群組名稱。
  • <service-credential-name>:服務認證的名稱。

注意

如果群組或使用者名稱包含空格、破折號(-或符號), @ 請使用其周圍的反刻度(而非單引號)。 例如,`finance team`.

GRANT ACCESS ON SERVICE CREDENTIAL <service-credential-name> TO <principal>;

如果您想要將此服務認證授與在 Unity 目錄中建立 Lakehouse 同盟連線 的能力,請使用下列專案:

GRANT CREATE CONNECTION ON SERVICE CREDENTIAL <service-credential-name> TO <principal>;

若要撤銷存取權,請將 取代 GRANTREVOKE 這些範例中的 。

變更服務認證的擁有者

服務認證的建立者是其初始擁有者。 若要將擁有者變更為不同的帳戶層級使用者或群組,您可以使用目錄總管或 SQL 命令。

目錄總管

  1. 在提要欄位中,按兩下 目錄圖示 [目錄]。
  2. 在 [快速存取] 頁面上,按兩下 [外部數據] 按鈕,然後移至 [認證] > 索引卷標。
  3. 按兩下服務認證的名稱,以開啟 [編輯] 對話框。
  4. 按兩下 編輯圖示 [擁有者] 旁 的 [擁有者]。
  5. 輸入 以搜尋主體並加以選取。
  6. 按一下 [檔案] 。

SQL

在筆記本中執行下列命令。 取代預留位置值:

  • <credential-name>:認證的名稱。
  • <principal>:帳戶層級用戶的電子郵件地址或帳戶層級群組的名稱。
ALTER SERVICE CREDENTIAL <credential-name> OWNER TO <principal>;

重新命名服務認證

若要重新命名服務認證,您可以使用目錄總管或 SQL 命令。

目錄總管

  1. 在提要欄位中,按兩下 目錄圖示 [目錄]。
  2. 在 [快速存取] 頁面上,按兩下 [外部數據] 按鈕,然後移至 [認證] > 索引卷標。
  3. 按兩下服務認證的名稱,以開啟 [編輯] 對話框。
  4. 重新命名服務認證並加以儲存。

SQL

在筆記本中執行下列命令。 取代預留位置值:

  • <credential-name>:認證的名稱。
  • <new-credential-name>:認證的新名稱。
ALTER SERVICE CREDENTIAL <credential-name> RENAME TO <new-credential-name>;

刪除服務認證

若要刪除(卸除)服務認證,您必須是其擁有者。 若要刪除服務認證,您可以使用目錄總管或 SQL 命令。

目錄總管

  1. 在提要欄位中,按兩下 目錄圖示 [目錄]。
  2. 在 [快速存取] 頁面上,按兩下 [外部數據] 按鈕,然後移至 [認證] > 索引卷標。
  3. 按兩下服務認證的名稱,以開啟 [編輯] 對話框。
  4. 按一下 [刪除] 按鈕。

SQL

在筆記本中執行下列命令。 將取代 <credential-name> 為認證的名稱。 括弧中的命令部分是選擇性的。

IF EXISTS 如果認證不存在,則不會傳回錯誤。

DROP SERVICE CREDENTIAL [IF EXISTS] <credential-name>;