Freigeben über

Zugriff auf Speicher mit Microsoft Entra ID (früher Azure Active Directory) und einem Dienstprinzipal

  • Artikel

Hinweis

In diesem Artikel werden Legacy-Muster zum Konfigurieren des Zugriffs auf Azure Data Lake Storage Gen2 beschrieben.

Databricks empfiehlt, anstelle von Dienstprinzipalen verwaltete Azure-Identitäten als Unity Catalog-Speicheranmeldeinformationen zum Herstellen einer Verbindung mit Azure Data Lake Storage Gen2 zu verwenden. Verwaltete Identitäten haben den Vorteil, dass Unity Catalog auf Speicherkonten zugreifen kann, die durch Netzwerkregeln geschützt sind, was mit Dienstprinzipalen nicht möglich ist. Zudem entfällt die Notwendigkeit, Geheimnisse zu verwalten und zu rotieren. Weitere Informationen finden Sie unter Verwenden von durch Azure verwalteten Identitäten in Unity Catalog für den Zugriff auf den Speicher.

Durch das Registrieren einer Anwendung mit Microsoft Entra ID (früher Azure Active Directory) wird ein Dienstprinzipal erstellt, mit dem Sie Zugriff auf Azure-Speicherkonten bereitstellen können.

Anschließend können Sie den Zugriff auf diese Dienstprinzipale konfigurieren, indem Sie sie als Speicheranmeldeinformationen in Unity Catalog oder als Anmeldeinformationen, die mit Geheimnissen gespeichert sind, verwenden.

Registrieren einer Microsoft Entra ID-Anwendung

Wenn Sie eine Microsoft Entra ID-Anwendung (ehemals Azure Active Directory) registrieren und entsprechende Berechtigungen zuweisen, wird ein Dienstprinzipal erstellt, der auf Azure Data Lake Storage Gen2- oder Blob Storage-Ressourcen zugreifen kann.

Um eine Microsoft Entra-ID-Anwendung zu registrieren, müssen Sie über die Rolle Application Administrator oder die Berechtigung Application.ReadWrite.All in Microsoft Entra ID verfügen.

  1. Navigieren Sie im Azure-Portal zum Dienst Microsoft Entra ID.
  2. Klicken Sie unter Verwalten auf App-Registrierungen.
  3. Klicken Sie auf + Neue Registrierung. Geben Sie einen Namen für die Anwendung ein, und klicken Sie auf Registrieren.
  4. Klicken Sie auf Zertifikate und Geheimnisse.
  5. Klicken Sie auf + Neuer geheimer Clientschlüssel.
  6. Fügen Sie eine Beschreibung für das Geheimnis hinzu, und klicken Sie auf Hinzufügen.
  7. Kopieren und speichern Sie den Wert für das neue Geheimnis.
  8. Kopieren und speichern Sie in der Übersicht über die Anwendungsregistrierung die Anwendungs-ID (Client) und Verzeichnis-ID (Mandant).

Zuweisen von Rollen

Sie steuern den Zugriff auf Speicherressourcen, indem Sie einer Microsoft Entra ID-Anwendungsregistrierung, die dem Speicherkonto zugeordnet ist, Rollen zuweisen. Je nach den spezifischen Anforderungen müssen Sie möglicherweise andere Rollen zuweisen.

Um Rollen für ein Speicherkonto zuweisen zu können, müssen Sie über die Azure RBAC-Rolle „Besitzer“ oder „Benutzerzugriffsadministrator“ für das Speicherkonto verfügen.

  1. Navigieren Sie im Azure-Portal zum Speicherkonten-Dienst.
  2. Wählen Sie das Azure-Speicherkonto für diese Anwendungsregistrierung aus.
  3. Klicken Sie auf Zugriffssteuerung (IAM).
  4. Klicken Sie auf + Hinzufügen, und wählen Sie dann im Dropdownmenü die Option Rollenzuweisung hinzufügen aus.
  5. Legen Sie das Feld Auswählen auf den Microsoft Entra ID-Anwendungsnamen und die Rolle auf Mitwirkender an Storage-Blobdaten fest.
  6. Klicken Sie auf Speichern.

Um den Zugriff auf Dateiereignisse für das Speicherkonto mithilfe des Dienstprinzipals zu aktivieren, müssen Sie über die Azure RBAC-Rolle „Besitzer“ oder „Benutzerzugriffsadministrator“ für die Azure-Ressourcengruppe verfügen, in der sich Ihr Azure Data Lake Storage Gen2-Konto befindet.

  1. Führen Sie die obigen Schritte aus, und weisen Sie Ihrem Dienstprinzipal die Rollen Mitwirkender an Storage-Warteschlangendaten und Speicherkontomitwirkender zu.
  2. Navigieren zur Azure-Ressourcengruppe, in der sich Ihr Azure Data Lake Storage Gen2-Konto befindet.
  3. Gehen Sie zu Access Control (IAM), klicken Sie auf + Hinzufügen und wählen Sie Rollenzuweisung hinzufügen.
  4. Wählen Sie die Rolle EventGrid-EventSubscription-Mitwirkender und dann Weiter aus.
  5. Wählen Sie unter Zugriff zuweisen zu die Option Dienstprinzipal aus.
  6. Wählen Sie + Mitglieder auswählen, dann Ihren Dienstprinzipal und anschließend Überprüfen und zuweisen aus.

Alternativ können Sie den Zugriff einschränken, indem Sie dem Dienstprinzipal nur die Rolle Mitwirkender an Storage-Warteschlangendaten und Ihrer Ressourcengruppe keine Rollen zuweisen. In diesem Fall kann Azure Databricks Dateiereignisse nicht in Ihrem Auftrag konfigurieren.