مشاركة عبر

الوصول إلى التخزين باستخدام كيان الخدمة ومعرف Microsoft Entra (Azure Active Directory)

  • مقالة

إشعار

توضح هذه المقالة الأنماط القديمة لتكوين الوصول إلى Azure Data Lake Storage Gen2.

توصي Databricks باستخدام الهويات المدارة من Azure كبيانات اعتماد تخزين كتالوج Unity للاتصال ب Azure Data Lake Storage Gen2 بدلا من أساسيات الخدمة. الهويات المدارة لها فائدة السماح لكتالوج Unity بالوصول إلى حسابات التخزين المحمية بقواعد الشبكة، وهو أمر غير ممكن باستخدام أساسيات الخدمة، وتزيل الحاجة إلى إدارة الأسرار وتدويرها. لمزيد من المعلومات، راجع استخدام الهويات المدارة من Azure في كتالوج Unity للوصول إلى التخزين.

يؤدي تسجيل تطبيق باستخدام معرف Microsoft Entra إلى إنشاء كيان خدمة يمكنك استخدامه لتوفير الوصول إلى حسابات تخزين Azure.

يمكنك بعد ذلك تكوين الوصول إلى أساسيات الخدمة هذه باستخدامها كبيانات اعتماد تخزين في كتالوج Unity أو بيانات الاعتماد المخزنة مع البيانات السرية.

تسجيل تطبيق معرف Microsoft Entra

سيؤدي تسجيل تطبيق Microsoft Entra ID (المعروف سابقا باسم Azure Active Directory) وتعيين الأذونات المناسبة إلى إنشاء كيان خدمة يمكنه الوصول إلى Azure Data Lake Storage Gen2 أو موارد Blob Storage.

لتسجيل تطبيق معرف Microsoft Entra، يجب أن يكون لديك Application Administrator الدور أو Application.ReadWrite.All الإذن في معرف Microsoft Entra.

  1. في مدخل Microsoft Azure، انتقل إلى خدمة معرف Microsoft Entra.
  2. ضمن إدارة، انقر فوق تسجيلات التطبيقات.
  3. انقر فوق + تسجيل جديد. أدخل اسما للتطبيق وانقر فوق تسجيل.
  4. انقر فوق الشهادات والأسرار.
  5. انقر فوق + New client secret.
  6. أضف وصفا للبيانات السرية وانقر فوق إضافة.
  7. انسخ قيمة السر الجديد واحفظها.
  8. في نظرة عامة على تسجيل التطبيق، انسخ واحفظ معرف التطبيق (العميل) ومعرف الدليل (المستأجر).

تعيين الأدوار

يمكنك التحكم في الوصول إلى موارد التخزين عن طريق تعيين أدوار لتسجيل تطبيق Microsoft Entra ID المقترن بحساب التخزين. قد تحتاج إلى تعيين أدوار أخرى اعتمادا على متطلبات محددة.

لتعيين أدوار على حساب تخزين، يجب أن يكون لديك دور المالك أو مسؤول وصول المستخدم Azure RBAC على حساب التخزين.

  1. في مدخل Microsoft Azure، انتقل إلى خدمة Storage accounts.
  2. حدد حساب تخزين Azure لاستخدامه مع تسجيل التطبيق هذا.
  3. انقر فوق Access Control (IAM).
  4. انقر فوق + إضافة وحدد إضافة تعيين دور من القائمة المنسدلة.
  5. تعيين الحقل Select إلى اسم تطبيق Microsoft Entra ID وتعيين Role إلى Storage Blob Data Contributor.
  6. انقر فوق حفظ.

لتمكين الوصول إلى حدث الملف على حساب التخزين باستخدام كيان الخدمة، يجب أن يكون لديك دور المالك أو مسؤول وصول المستخدم Azure RBAC في مجموعة موارد Azure التي يوجد بها حساب Azure Data Lake Storage Gen2.

  1. اتبع الخطوات المذكورة أعلاه وقم بتعيين أدوار مساهم بيانات قائمة انتظار التخزين والمساهم في حساب التخزين كيان الخدمة.
  2. انتقل إلى مجموعة موارد Azure التي يوجد بها حساب Azure Data Lake Storage Gen2.
  3. انتقل إلى Access Control (IAM)، وانقر فوق + Add، وحدد Add role assignment.
  4. حدد دور EventGrid EventSubscription Contributor وانقر فوق Next.
  5. ضمن تعيين الوصول إلى، حدد كيان الخدمة.
  6. انقر فوق +Select Members، وحدد كيان الخدمة، وانقر فوق Review and Assign.

بدلا من ذلك، يمكنك تقييد الوصول عن طريق منح دور مساهم بيانات قائمة انتظار التخزين دور كيان الخدمة فقط وعدم منح أي أدوار لمجموعة الموارد الخاصة بك. في هذه الحالة، لا يمكن ل Azure Databricks تكوين أحداث الملفات نيابة عنك.