Acceso al almacenamiento con una entidad de servicio y Microsoft Entra ID (Azure Active Directory)

  • Artículo

Nota:

En este artículo se describen los patrones heredados para configurar el acceso a Azure Data Lake Storage Gen2.

Databricks recomienda usar identidades administradas de Azure como credenciales de almacenamiento del catálogo de Unity para conectarse a Azure Data Lake Storage Gen2 en lugar de entidades de servicio. Las identidades administradas ofrecen la ventaja de permitir que el catálogo de Unity acceda a las cuentas de almacenamiento que se protegen con reglas de red (algo que no es posible mediante entidades de servicio) y, además, eliminan la necesidad de administrar y rotar los secretos. Para obtener más información, consulte Uso de identidades administradas de Azure en el catálogo de Unity para acceder al almacenamiento.

El proceso de registro de una aplicación con Microsoft Entra ID (anteriormente Azure Active Directory) crea una entidad de servicio que puede usarse para proporcionar acceso a las cuentas de almacenamiento de Azure.

A continuación, puede configurar el acceso a estas entidades de servicio con ellas como credenciales de almacenamiento en el catálogo de Unity o las credenciales almacenadas con secretos.

Registro de una aplicación de Microsoft Entra ID

Al registrar una aplicación de Microsoft Entra ID (antes Azure Active Directory) y asignar los permisos adecuados, podrá crear una entidad de servicio que pueda acceder a los recursos de Azure Data Lake Storage Gen2 o de Blob Storage.

Para registrar una aplicación de Microsoft Entra ID, debe tener el rol de Application Administrator o el permiso de Application.ReadWrite.All en Microsoft Entra ID.

  1. En Azure Portal, vaya al servicio Microsoft Entra ID.
  2. En Administrar, haga clic en Registros de aplicaciones.
  3. Haga clic en + Nuevo registro. Escriba un nombre para la aplicación y haga clic en Registrar.
  4. Haga clic en Certificados y secretos.
  5. Haga clic en + Nuevo secreto de cliente.
  6. Agregue una descripción para el secreto y haga clic en Agregar.
  7. Copie y guarde el valor del nuevo secreto.
  8. En la introducción al registro de aplicaciones, copie y guarde el Id. de aplicación (cliente) y el Id. de directorio (inquilino).

Asignar roles

Puede controlar el acceso a los recursos de almacenamiento mediante la asignación de roles a un registro de aplicación de Microsoft Entra ID asociado a la cuenta de almacenamiento. Es posible que tenga que asignar otros roles en función de los requisitos específicos.

Para asignar roles en una cuenta de almacenamiento, debe tener el rol RBAC Propietario o Administrador de acceso de usuario de Azure.

  1. En Azure Portal, vaya al servicio Cuentas de almacenamiento.
  2. Seleccione la cuenta de Azure Storage que quiera usar durante el proceso de registro de esta aplicación.
  3. Haga clic en Access Control (IAM).
  4. Haga clic en + Agregar y seleccione Agregar asignación de roles en el menú desplegable.
  5. Establezca el campo Seleccionar en el nombre de la aplicación de Microsoft Entra ID y establezca Rol en Colaborador de datos de Storage Blob.
  6. Haga clic en Save(Guardar).

Para habilitar el acceso a eventos de archivo en la cuenta de almacenamiento mediante la entidad de servicio, debe tener el rol RBAC Propietario o Administrador de acceso de usuario de Azure en el grupo de recursos de Azure en el que se encuentra la cuenta de Azure Data Lake Storage Gen2.

  1. Siga los pasos anteriores y asigne a los roles Colaborador de datos de la cola de almacenamiento y Colaborador de la cuenta de almacenamiento su entidad de servicio.
  2. Vaya al grupo de recursos de Azure en el que se encuentra la cuenta de Azure Data Lake Storage Gen2.
  3. Vaya a Control de acceso (IAM), haga clic en +Agregar y seleccione Agregar asignaciones de roles.
  4. Seleccione el rol Colaborador de EventSubscription de EventGrid y haga clic en Siguiente.
  5. En Asignar acceso a, seleccione Entidad de servicio.
  6. Haga clic en +Seleccionar miembros, seleccione la entidad de servicio y haga clic en Revisar y asignar.

Como alternativa, solo puede limitar el acceso concediéndole al rol Colaborador de datos de cola de almacenamiento la entidad de servicio y no concediendo ningún rol al grupo de recursos. En este caso, Azure Databricks no puede configurar eventos de archivo en su nombre.