Verwenden von durch Azure verwaltete Identitäten in Unity Catalog für den Zugriff auf den Speicher

Dieser Artikel beschreibt, wie Sie von Azure verwaltete Identitäten für die Verbindung zu Speichercontainern im Namen von Unity Catalog-Benutzern verwenden.

Was sind von Azure verwaltete Identitäten?

Unity Catalog kann so konfiguriert werden, dass eine von Azure verwaltete Identität für den Zugriff auf Speichercontainer im Namen von Unity Catalog-Benutzern verwendet wird. Verwaltete Identitäten bieten eine Identität, die Anwendungen verwenden können, wenn sie sich mit Ressourcen verbinden, die die Microsoft Entra ID-Authentifizierung (früher Azure Active Directory) unterstützen.

Sie können verwaltete Identitäten in Unity Catalog verwenden, um zwei primäre Anwendungsfälle zu unterstützen:

• Als Identität zum Herstellen einer Verbindung zu verwalteten Speicherkonten des Metastores (in dem verwaltete Tabellen gespeichert sind).
• Als Identität zum Herstellen einer Verbindung mit anderen externen Speicherkonten (entweder für dateibasierten Zugriff oder für den Zugriff auf vorhandene Datasets über externe Tabellen).

Die Konfiguration von Unity Catalog mit einer verwalteten Identität hat gegenüber der Konfiguration von Unity Catalog mit einem Dienstprinzipal die folgenden Vorteile:

• Bei verwalteten Identitäten müssen Sie keine Anmeldedaten verwalten oder Geheimnisse weitergeben.

• Wenn Ihr Azure Databricks-Arbeitsbereich in Ihrem eigenen VNet bereitgestellt wird (auch als VNet-Injektion bezeichnet) und Sie eine Speicherfirewall zum Schutz eines Azure Data Lake Storage Gen2-Kontos verwenden, können Sie die verwaltete Identität verwenden, um den Arbeitsbereich mit diesem Konto zu verbinden. Weitere Informationen finden Sie unter (Empfohlen für VNet-injizierte Arbeitsbereiche) Konfigurieren des vertrauenswürdigen Zugriffs auf Azure Storage basierend auf Ihrer verwalteten Identität.

  Hinweis

  Sie können keine Speicherfirewall in einer Azure Databricks-Standardbereitstellung verwenden.

Konfigurieren einer verwalteten Identität für Unity Catalog

Um eine verwaltete Identität für die Verwendung mit Unity Catalog zu konfigurieren, erstellen Sie zunächst einen Zugriffsconnector für Azure Databricks in Azure. Standardmäßig wird der Zugriffsconnector mit einer systemseitig zugewiesenen verwalteten Identität bereitgestellt. Sie können stattdessen eine benutzerseitig zugewiesene verwaltete Identität anfügen. Anschließend gewähren Sie der verwalteten Identität Zugriff auf Ihr Azure Data Lake Storage Gen2-Konto und verwenden den Zugriffsconnector, wenn Sie einen Unity Catalog-Metastore oder Speicheranmeldeinformationen erstellen.

Anforderungen

Der Azure-Benutzer oder Dienstprinzipal, der den Zugriffsconnector erstellt, muss:

• Mitwirkender oder Besitzer einer Azure-Ressourcengruppe sein.

Der Azure-Benutzer oder Dienstprinzipal, der dem Speicherkonto die verwaltete Identität gewährt, muss:

• Besitzer oder Benutzer mit der Azure RBAC-Rolle „Benutzerzugriffsadministrator“ für das Speicherkonto sein.

Schritt 1: Erstellen eines Zugriffsconnectors für Azure Databricks

Der Zugriffsconnector für Azure Databricks ist eine Azure-Erstanbieterressource, mit der Sie verwaltete Identitäten mit einem Azure Databricks-Konto verbinden können.

Jeder Zugriffsconnector für Azure Databricks kann entweder eine systemseitig zugewiesene verwaltete Identität oder eine benutzerseitig zugewiesene verwaltete Identität enthalten. Wenn Sie mehrere verwaltete Identitäten verwenden möchten, erstellen Sie jeweils einen separaten Zugriffsconnector.

Verwenden einer systemseitig zugewiesenen verwalteten Identität

1. Melden Sie sich im Azure-Portal als Mitwirkender oder Eigentümer einer Ressourcengruppe an.

2. Klicken Sie auf + Erstellen oder Erstellen einer neuen Ressource.

3. Suchen Sie nach Zugriffsconnector für Azure Databricks, und wählen Sie ihn aus.

4. Klicken Sie auf Erstellen.

5. Auf der Registerkarte Basic können Sie die folgenden Felder akzeptieren, auswählen oder Werte eingeben:

   • Abonnement: Dies ist das Azure-Abonnement, in dem der Zugriffsconnector erstellt wird. Die Standardeinstellung ist das Azure-Abonnement, das Sie derzeit verwenden. Es kann ein beliebiges Abonnement des Tenants sein.
   • Ressourcengruppe: Dies ist die Azure-Ressourcengruppe, in welcher der Zugriffsconnector erstellt wird.
   • Name: Geben Sie einen Namen ein, der den Zweck des Connectors angibt.
   • Region: Dies sollte dieselbe Region sein wie das Speicherkonto, mit dem Sie sich verbinden wollen.

6. Klicken Sie auf Überprüfen + erstellen.

7. Wenn die Meldung Überprüfung erfolgreich angezeigt wird, klicken Sie auf Erstellen.

   Wenn die Bereitstellung erfolgreich ist, wird der Zugriffsconnector mit einer systemseitig zugewiesenen verwalteten Identität bereitgestellt.

8. Klicken Sie nach Abschluss der Bereitstellung auf Zu Ressource wechseln.

9. Notieren Sie sich die Ressourcen-ID.

   Die Ressourcen-ID hat folgendes Format:

   /subscriptions/12f34567-8ace-9c10-111c-aea8eba12345c/resourceGroups/<resource-group>/providers/Microsoft.Databricks/accessConnectors/<connector-name>
   

Verwenden einer benutzerseitig zugewiesenen verwalteten Identität

1. Wenn Sie noch nicht über eine benutzerseitig zugewiesene verwaltete Identität verfügen, erstellen Sie eine neue, und notieren Sie sich deren Ressourcen-ID.

   Weitere Informationen finden Sie unter Verwalten von benutzerseitig zugewiesenen verwalteten Identitäten.

2. Melden Sie sich im Azure-Portal als Mitwirkender oder Eigentümer einer Ressourcengruppe an.

   Die Ressourcengruppe sollte sich in derselben Region befinden wie das Speicherkonto, mit dem Sie sich verbinden möchten.

3. Suchen Sie nach Bereitstellen einer benutzerdefinierte Vorlage, und wählen Sie dies aus.

4. Wählen Sie Erstellen Ihrer eigenen Vorlage aus, und fügen Sie die folgende Vorlage in den Editor ein:

   {
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "connectorName": {
            "defaultValue": "testConnector",
            "type": "String",
            "metadata": {
                "description": "The name of the Azure Databricks Access Connector to create."
            }
        },
        "accessConnectorRegion": {
            "defaultValue": "[resourceGroup().location]",
            "type": "String",
            "metadata": {
                "description": "Location for the access connector resource."
            }
        },
        "userAssignedManagedIdentiy": {
            "type": "String",
            "metadata": {
                "description": "The resource Id of the user assigned managed identity."
            }
        }
    },
    "resources": [
        {
            "type": "Microsoft.Databricks/accessConnectors",
            "apiVersion": "2023-05-01",
            "name": "[parameters('connectorName')]",
            "location": "[parameters('accessConnectorRegion')]",
            "identity": {
                "type": "UserAssigned",
                "userAssignedIdentities": {
                    "[parameters('userAssignedManagedIdentiy')]": {}
                }
             }
         }
      ]
   }
   

5. Auf der Registerkarte „Grundlagen“ können Sie die folgenden Felder akzeptieren, auswählen oder Werte für sie eingeben:

   • Abonnement: Das Azure-Abonnement, in dem der Zugriffsconnector erstellt wird. Die Standardeinstellung ist das Azure-Abonnement, das Sie derzeit verwenden. Es kann ein beliebiges Abonnement des Tenants sein.
   • Ressourcengruppe: Eine Ressourcengruppe in derselben Region wie das Speicherkonto, mit dem Sie sich verbinden werden.
   • Name: Ein Name, der den Zweck des Connectors angibt.
   • Region: Dies sollte dieselbe Region sein wie das Speicherkonto, mit dem Sie sich verbinden wollen. Sie können den vorab ausgefüllten Wert „[resourceGroup().location]“ auswählen, wenn die Ressourcengruppe in derselben Region wie das Speicherkonto erstellt wurde, mit dem Sie eine Verbindung herstellen werden.
   • Benutzerseitig zugewiesene verwaltete Identität: Die Ressourcen-ID der benutzerseitig zugewiesenen verwalteten Identität, die Sie verwenden möchten.

6. Klicken Sie auf Überprüfen + erstellen.

7. Wenn die Meldung Überprüfung erfolgreich angezeigt wird, klicken Sie auf Erstellen.

8. Klicken Sie nach Abschluss der Bereitstellung auf Zu Ressource wechseln.

9. Notieren Sie sich die Ressourcen-ID.

   Die Ressourcen-ID hat folgendes Format:

   /subscriptions/12f34567-8ace-9c10-111c-aea8eba12345c/resourceGroups/<resource-group>/providers/Microsoft.Databricks/accessConnectors/<connector-name>
   

Schritt 2: Gewähren Sie der verwalteten Identität Zugriff auf das Speicherkonto

Um die Berechtigungen in diesem Schritt zuweisen zu können, müssen Sie über die Azure RBAC-Rolle „Besitzer“ oder „Benutzerzugriffsadministrator“ für Ihr Speicherkonto verfügen.

1. Melden Sie sich bei Ihrem Azure Data Lake Storage Gen2-Konto an.
2. Gehen Sie zu Access Control (IAM), klicken Sie auf + Hinzufügen und wählen Sie Rollenzuweisung hinzufügen.
3. Wählen Sie die Rolle Mitwirkender an Storage-Blob-Daten aus, und klicken Sie auf Weiter.
4. Wählen Sie unter Zugriff zuweisen an die Option Verwaltete Identität aus.
5. Wählen Sie + Mitglieder auswählen und dann entweder Zugriffsconnector für Azure Databricks oder Benutzerseitig zugewiesene verwaltete Identität aus.
6. Suchen Sie nach Ihrem Connectornamen oder ihrer benutzerseitig zugewiesenen Identität, wählen Sie den Namen/die Identität aus, und klicken Sie auf Überprüfen und Zuweisen.

Alternativ können Sie den Zugriff auf das Speicherkonto einschränken, indem Sie der verwalteten Identität Zugriff auf einen bestimmten Container gewähren. Führen Sie die oben beschriebenen Schritte aus, weisen Sie jedoch die Rolle Storage Blob-Delegator für das Speicherkonto und die Rolle Mitwirkender an Storage-Blobdaten für den Container zu.

Schritt 3: Gewähren des Zugriffs auf Dateiereignisse für die verwaltete Identität

Wenn Sie Ihrer verwalteten Identität Zugriff auf Dateiereignisse gewähren, kann Azure Databricks Dateiereignisbenachrichtigungen abonnieren, die von Cloudanbietern ausgegeben werden. Dadurch wird die Effizienz der Dateiverarbeitung erhöht. Um die Berechtigungen in diesem Schritt zuweisen zu können, müssen Sie über die Azure RBAC-Rolle „Besitzer“ oder „Benutzerzugriffsadministrator“ für Ihr Speicherkonto verfügen.

1. Melden Sie sich bei Ihrem Azure Data Lake Storage Gen2-Konto an.
2. Gehen Sie zu Access Control (IAM), klicken Sie auf + Hinzufügen und wählen Sie Rollenzuweisung hinzufügen.
3. Wählen Sie die Rolle Mitwirkender an Storage-Warteschlangendaten und dann Weiter aus.
4. Wählen Sie unter Zugriff zuweisen an die Option Verwaltete Identität aus.
5. Wählen Sie + Mitglieder auswählen und dann entweder Zugriffsconnector für Azure Databricks oder Benutzerseitig zugewiesene verwaltete Identität aus.
6. Suchen Sie nach Ihrem Connectornamen oder ihrer benutzerseitig zugewiesenen Identität, wählen Sie den Namen/die Identität aus, und klicken Sie auf Überprüfen und Zuweisen.

(Empfohlen) Schritt 4: Gewähren des Zugriffs für Azure Databricks zur Konfiguration von Dateiereignissen in Ihrem Namen

In diesem Schritt können Azure Databricks Dateiereignisse automatisch einrichten. Wenn Sie Azure Databricks keinen Zugriff gewähren, um Dateiereignisse in Ihrem Namen zu konfigurieren, müssen Sie Dateiereignisse für jeden Speicherort manuell konfigurieren. Um die Berechtigungen in diesem Schritt zuweisen zu können, müssen Sie über die Azure RBAC-Rolle „Besitzer“ oder „Benutzerzugriffsadministrator“ für Ihre verwaltete Identität und die Ressourcengruppe verfügen, in der sich Ihr Data Lake Storage Gen2-Konto befindet.

1. Führen Sie die obigen Schritte unter Schritt 3: Gewähren des Zugriffs auf Dateiereignisse für die verwaltete Identität aus, und weisen Sie Ihrer verwalteten Identität neben der Rolle Mitwirkender an Storage-Warteschlangendaten die Rolle Speicherkontomitwirkender zu.
2. Navigieren zur Azure-Ressourcengruppe, in der sich Ihr Azure Data Lake Storage Gen2-Konto befindet.
3. Gehen Sie zu Access Control (IAM), klicken Sie auf + Hinzufügen und wählen Sie Rollenzuweisung hinzufügen.
4. Wählen Sie die Rolle EventGrid-EventSubscription-Mitwirkender und dann Weiter aus.
5. Wählen Sie unter Zugriff zuweisen an die Option Verwaltete Identität aus.
6. Wählen Sie + Mitglieder auswählen und dann entweder Zugriffsconnector für Azure Databricks oder Benutzerseitig zugewiesene verwaltete Identität aus.
7. Suchen Sie nach Ihrem Connectornamen oder ihrer benutzerseitig zugewiesenen Identität, wählen Sie den Namen/die Identität aus, und klicken Sie auf Überprüfen und Zuweisen.

Verwenden einer verwalteten Identität für den Zugriff auf das Unity Catalog-Stammspeicherkonto

In diesem Abschnitt wird beschrieben, wie Sie der verwalteten Identität Zugriff auf das Stammspeicherkonto gewähren, wenn Sie einen Unity Catalog-Metastore erstellen.

Wie Sie einen bestehenden Unity Catalog-Metastore auf eine verwaltete Identität aktualisieren, erfahren Sie unter Aktualisieren Sie Ihren bestehenden Unity Catalog-Metastore, damit er eine verwaltete Identität für den Zugriff auf seinen Stammspeicher verwendet.

1. Melden Sie sich in der Azure Databricks Kontokonsole als Kontoadministrator eines Azure Databricks-Kontos an.
2. Klicken Sie auf Katalog.
3. Klicken Sie auf Metastore erstellen.
4. Geben Sie Werte für die folgenden Felder ein:

   • Name für den Metastore.

   • Region, in der der Metaspeicher bereitgestellt werden soll.

     Die beste Leistung erzielen Sie, wenn Sie den Access Connector, die Arbeitsbereiche, den Metasore und den Cloud-Speicherort in derselben Cloud-Region unterbringen.

   • ADLS Gen 2-Pfad: Geben Sie den Pfad zu dem Speichercontainer ein, den Sie als Stammspeicher für den Metastore verwenden werden.

     Das Präfix abfss:// wird automatisch hinzugefügt.

   • Access Connector ID: Geben Sie die Ressourcen-ID des Azure Databricks Access Connectors im folgenden Format an:

     /subscriptions/12f34567-8ace-9c10-111c-aea8eba12345c/resourceGroups/<resource-group>/providers/Microsoft.Databricks/accessConnectors/<connector-name>
     

   • (Optional) Verwaltete Identitäts-ID: Wenn Sie den Zugriffsconnector mithilfe einer benutzerseitig zugewiesenen verwalteten Identität erstellt haben, geben Sie die Ressourcen-ID der verwalteten Identität ein.

5. Klicken Sie auf Erstellen.
6. Wenn Sie dazu aufgefordert werden, wählen Sie die Arbeitsbereiche aus, die mit dem Metastore verknüpft werden sollen.

Verwenden einer verwalteten Identität für den Zugriff auf externen Speicher, der im Unity Catalog verwaltet wird

Unity Catalog bietet Ihnen die Möglichkeit, mithilfe von Speicheranmeldeinformationen und externen Speicherorten auf vorhandene Daten in Speicherkonten zuzugreifen. Speicheranmeldeinformationen speichern die verwaltete Identität, und externe Speicherorte definieren einen Pfad zum Speicher zusammen mit einem Verweis auf die Speicheranmeldeinformation. Sie können diesen Ansatz verwenden, um den Zugriff auf vorhandene Daten im Cloudspeicher zu gewähren und zu kontrollieren, und um externe Tabellen im Unity Catalog zu registrieren.

Eine Speicheranmeldeinformation kann eine verwaltete Identität oder einen Dienstprinzipal enthalten. Die Verwendung einer verwalteten Identität hat den Vorteil, dass Unity Catalog auf durch Netzwerkregeln geschützte Speicherkonten zugreifen kann, was mit Dienstprinzipalen nicht möglich ist, und es entfällt die Notwendigkeit, Geheimnisse zu verwalten und weiterzugeben.

Um Speicheranmeldeinformationen mit einer verwalteten Identität zu erstellen und diese Speicheranmeldeinformationen einem externen Speicherort zuzuweisen, folgen Sie den Anweisungen unter Herstellen einer Verbindung mit Cloudobjektspeichern mit Unity Catalog.

(Empfohlen für VNet-injizierte Arbeitsbereiche) Konfigurieren des vertrauenswürdigen Zugriffs auf Azure Storage basierend auf Ihrer verwalteten Identität

Wenn Ihr Azure Databricks-Arbeitsbereich in Ihrem eigenen virtuellen Azure-Netzwerk bereitgestellt wird (auch als „VNet-Injektion“ bezeichnet) und Sie eine Speicherfirewall zum Schutz eines Azure Data Lake Storage Gen2-Kontos verwenden, müssen Sie Folgendes tun:

1. Ihr Azure Databricks-Arbeitsbereich für den Zugriff auf Azure Storage aktivieren
2. Ihre verwaltete Identität für den Zugriff auf Azure Storage aktivieren

Schritt 1. Aktivieren Ihres Azure Databricks-Arbeitsbereichs für den Zugriff auf Azure Storage

Sie müssen Netzwerkeinstellungen konfigurieren, damit Ihr Azure Databricks-Arbeitsbereich auf Azure Data Lake Storage Gen2 zugreifen kann. Sie können entweder private Endpunkte oder den Zugriff über Ihr virtuelles Netzwerk auf Azure Data Lake Storage Gen2 konfigurieren, um Verbindungen von Ihren Subnetzen mit Ihrem Azure Data Lake Storage Gen2-Konto zuzulassen.

Anweisungen finden Sie unter Gewähren des Zugriffs für Ihren Azure Databricks-Arbeitsbereich auf Azure Data Lake Storage Gen2.

Schritt 2: Aktivieren Sie Ihre verwaltete Identität für den Zugriff auf Azure Storage

Dieser Schritt ist nur erforderlich, wenn „Azure-Dienste auf der Liste der vertrauenswürdigen Dienste für den Zugriff auf dieses Speicherkonto zulassen“ für Ihr Azure-Speicherkonto deaktiviert ist. Bei Aktivierung dieser Konfiguration ist folgendes zu beachten:

• Jeder Zugriffsconnector für Azure Databricks im selben Mandanten wie das Speicherkonto kann auf das Speicherkonto zugreifen.
• Jeder vertrauenswürdige Azure-Dienst kann dann auf das Speicherkonto zugreifen. Weitere Informationen finden Sie unter Gewähren von Zugriff für vertrauenswürdige Azure-Dienste.

Die folgenden Anweisungen enthalten einen Schritt, in dem Sie diese Konfiguration deaktivieren. Sie können das Azure-Portal oder die Azure CLI verwenden.

Verwenden des Azure-Portals

1. Melden Sie sich im Azure-Portal an, suchen und wählen Sie das Azure-Speicherkonto und gehen Sie zur Registerkarte Netzwerk.

2. Wählen Sie für Öffentlicher Netzwerkzugang die Option Aktivierung von ausgewählten virtuellen Netzwerken und IP-Adressen aus.

   Optional können Sie aber auch die Einstellung Öffentlicher Netzwerkzugang auf Deaktiviert setzen. Die verwaltete Identität kann verwendet werden, um die Kontrolle des öffentlichen Netzwerkzugriffs zu umgehen.

3. Wählen Sie unter Ressourceninstanzen einen Ressourcentyp von Microsoft.Databricks/accessConnectors aus, und wählen Sie Ihren Azure Databricks Access Connector aus.

4. Deaktivieren Sie unter Ausnahmen das Kontrollkästchen von Azure-Dienste auf der Liste der vertrauenswürdigen Dienste für den Zugriff auf dieses Speicherkonto zulassen.

Verwenden der Azure-CLI

1. Installieren der Azure CLI und Anmelden.

   Informationen zum Anmelden mit einem Microsoft Entra ID-Dienstprinzipal finden Sie unter Azure CLI-Anmeldung mit einem Microsoft Entra ID-Dienstprinzipal.

   Informationen zum Anmelden mit einem Azure Databricks-Benutzerkonto finden Sie unter Azure CLI-Anmeldung mit einem Azure Databricks-Benutzerkonto.

2. Hinzufügen einer Netzwerkregel zum Speicherkonto:

   az storage account network-rule add \
   -–subscription <subscription id of the resource group> \
   -–resource-id <resource Id of the access connector for Azure Databricks> \
   -–tenant-id <tenant Id> \
   -g <name of the Azure Storage resource group> \
   -–account-name <name of the Azure Storage resource> \
   

   Hinzufügen der Ressourcen-ID im folgenden Format:

   /subscriptions/12f34567-8ace-9c10-111c-aea8eba12345c/resourceGroups/<resource-group>/providers/Microsoft.Databricks/accessConnectors/<connector-name>
   

3. Nachdem Sie die Netzwerkregel erstellt haben, gehen Sie zu Ihrem Azure-Speicherkonto im Azure-Portal und sehen Sie sich die verwaltete Identität auf der Registerkarte Netzwerk unter Ressourceninstanzen, RessourcentypMicrosoft.Databricks/accessConnectors an.

4. Deaktivieren Sie unter Ausnahmen das Kontrollkästchen von Azure-Dienste auf der Liste der vertrauenswürdigen Dienste für den Zugriff auf dieses Speicherkonto zulassen.

5. Legen Sie optional die Einstellung für Öffentlicher Netzwerkzugriff auf Deaktiviert fest. Die verwaltete Identität kann verwendet werden, um die Kontrolle des öffentlichen Netzwerkzugriffs zu umgehen.

   Der Standardansatz ist, diesen Wert auf Aktivierung von ausgewählten virtuellen Netzwerken und IP-Adressen festzulegen.

(Empfohlen) Konfigurieren von Azure Storage-Firewalls zum Zulassen des Zugriffs aus serverlosen SQL-Warehouses

Serverlose SQL-Warehouses sind Computeressourcen, die im Azure-Abonnement für Azure Databricks und nicht in Ihrem Azure-Abonnement ausgeführt werden. Wenn Sie eine Firewall auf Azure Data Lake Storage Gen2 konfigurieren und serverlose SQL-Warehouses verwenden möchten, müssen Sie die Firewall so konfigurieren, dass der Zugriff aus serverlosen SQL-Warehouses zugelassen wird.

Anweisungen finden Sie unter Konfigurieren einer Firewall für einen serverlosen Computezugriff.

Durchführen eines Upgrades für Ihren bestehenden Unity Catalog-Metastore, um eine verwaltete Identität für den Zugriff auf seinen Stammspeicher zu verwenden

Wenn Sie einen Unity Catalog-Metastore haben, der mit einem Dienstprinzipal erstellt wurde, und diesen auf eine verwaltete Identität umstellen möchten, können Sie ihn mit einem API-Aufruf aktualisieren.

1. Erstellen Sie einen Zugriffsconnector für Azure Databricks und weisen Sie ihm Rechte für den Speichercontainer zu, der für den Stammspeicher Ihres Unity Catalog-Metastore verwendet wird, indem Sie die Anweisungen in Konfigurieren einer verwalteten Identität für Unity Catalog befolgen.

   Sie können den Zugriffsconnector entweder mit einer systemseitig zugewiesene verwaltete Identität oder einer benutzerseitig zugewiesenen verwalteten Identität erstellen.

   Notieren Sie sich die Ressourcen-ID des Zugriffsconnectors. Wenn Sie eine benutzerseitig zugewiesene verwaltete Identität verwenden, notieren Sie sich auch die Ressourcen-ID.

2. Melden Sie sich als Kontoverwalter bei einem Azure Databricks-Arbeitsbereich an, der dem Metastore zugewiesen ist.

   Dazu müssen Sie kein Arbeitsbereich-Administrator sein.

   Notieren Sie sich die Arbeitsbereichs-URL. Dabei handelt es sich um den ersten Teil der URL, nach https:// bis einschließlich azuredatabricks.net.

3. Generieren eines persönliches Zugriffstokens.

4. Fügen Sie das persönliche Zugriffstoken der .netrc-Datei in Ihrem Basisverzeichnis hinzu. Dies erhöht die Sicherheit, da das persönliche Zugriffstoken auf diese Weise nicht im Befehlsverlauf Ihrer Shell angezeigt wird. Weitere Informationen finden Sie in der Tokenverwaltungs-API.

5. Führen Sie den folgenden cURL-Befehl aus, um die Speicheranmeldeinformation neu zu erstellen.

   Ersetzen Sie folgende Platzhalterwerte:

   • <databricks-instance>: Die Arbeitsbereichs-URL des Arbeitsbereichs, in dem das persönliche Zugriffstoken generiert wurde.
   • <credential-name>: Name für die Anmeldeinformationen des Speichers.
   • <access-connector-id>: Ressourcen-ID für den Azure Databricks Access Connector im Format /subscriptions/12f34567-8ace-9c10-111c-aea8eba12345c/resourceGroups/<resource-group>/providers/Microsoft.Databricks/accessConnectors/<connector-name>
   • <managed-identity-id>: Wenn Sie den Zugriffsconnector mithilfe einer benutzerseitig zugewiesenen verwalteten Identität erstellt haben, geben Sie die Ressourcen-ID der verwalteten Identität an.

   curl -n -X POST --header 'Content-Type: application/json' https://<databricks-instance>/api/2.0/unity-catalog/storage-credentials --data "{
     \"name\": \"<credential-name>\",
     \"azure_managed_identity\": {
       \"access_connector_id\": \"<access-connector-id>\",
       \"managed_identity_id\": \"<managed-identity-id>\"
     }
   }"
   

6. Notieren Sie sich die ID der Speicheranmeldeinformation in der Antwort.

7. Führen Sie den folgenden cURL-Befehl zum Abrufen der metastore_id aus, in der <databricks-instance> die Arbeitsbereichs-URL des Arbeitsbereichs ist, in dem das persönliche Zugriffstoken generiert wurde.

   curl -n GET--header 'Content-Type: application/json' https://<databricks-instance>/api/2.0/unity-catalog/metastore_summary
   

8. Führen Sie den folgenden cURL-Befehl aus, um den Metastore mit den neuen Anmeldeinformationen des Stammspeichers zu aktualisieren.

   Ersetzen Sie folgende Platzhalterwerte:

   • <databricks-instance>: Die Arbeitsbereichs-URL des Arbeitsbereichs, in dem das persönliche Zugriffstoken generiert wurde.
   • <metastore-id>: Die Metastore-ID, die Sie im vorherigen Schritt abgerufen haben.
   • <storage-credential-id>: Die ID der Speicheranmeldeinformation.

   curl -n -X PATCH --header 'Content-Type: application/json' https://<databricks-instance>/api/2.0/unity-catalog/metastores/<metastore-id> --data
   "{\"storage_root_credential_id\": \"<storage-credential-id>\"}"