Partager via

Gérer les informations d’identification du service

Cet article explique comment répertorier, afficher, mettre à jour, accorder des autorisations sur et supprimer des informations d’identification de service, qui sont des objets sécurisables du catalogue Unity qui vous permettent de régir l’accès aux services cloud externes.

Voir aussi :

Avant de commencer

Pour effectuer les tâches décrites dans cet article, vous devez répondre aux exigences suivantes :

  • Un espace de travail Azure Databricks activé pour Unity Catalog.
  • Pour répertorier ou afficher des informations d’identification de service, vous devez disposer de l’un des privilèges ou rôles suivants :
    • Privilège BROWSE sur le catalogue parent.
    • CREATE SERVICE CREDENTIAL sur le metastore
    • ACCESS sur les informations d’identification du service
    • Propriétaire des informations d’identification du service
    • Administrateur de metastore
  • Pour effectuer l’une des autres tâches répertoriées dans cet article, vous devez être le propriétaire des informations d’identification du service ou d’un administrateur de metastore.
  • Si vous utilisez des commandes SQL pour répertorier, afficher ou mettre à jour les informations d’identification du service, vous avez besoin de calcul sur Databricks Runtime 15.4 LTS ou version ultérieure. Il n’existe aucune exigence de version databricks Runtime si vous utilisez l’Explorateur catalogue ou l’API REST.

Lister les informations d’identification du service

Pour afficher la liste de toutes les informations d’identification de service dans un metastore, vous pouvez utiliser l’Explorateur de catalogues ou une commande SQL.

Explorateur de catalogues

  1. Dans la barre latérale, cliquez sur l’icône Données.Catalogue.
  2. Dans la page Accès rapide, cliquez sur le bouton Données > externes et accédez à l’onglet Informations d’identification .
  3. Triez les informations d’identification par Objectif (STOCKAGE ou SERVICE).

SQL

Exécutez la commande suivante dans un notebook.

SHOW SERVICE CREDENTIALS;

Afficher les informations d’identification d’un service

Pour afficher les propriétés d’une information d’identification de service, vous pouvez utiliser l’Explorateur catalogue ou une commande SQL.

Explorateur de catalogues

  1. Dans la barre latérale, cliquez sur l’icône Données.Catalogue.
  2. Dans la page Accès rapide, cliquez sur le bouton Données > externes et accédez à l’onglet Informations d’identification .
  3. Cliquez sur le nom d'une autorisation de service pour afficher ses propriétés.

SQL

Exécutez la commande suivante dans un notebook. Remplacez <credential-name> par le nom de vos informations d'identification.

DESCRIBE SERVICE CREDENTIAL <credential-name>;

Afficher les autorisations sur les informations d’identification du service

Pour afficher les autorisations sur les informations d’identification du service, utilisez une commande semblable à la suivante. Vous pouvez éventuellement filtrer les résultats pour afficher uniquement les subventions pour l'entité spécifiée.

SHOW GRANTS [<principal>] ON SERVICE CREDENTIAL <service-credential-name>;

Remplacez les valeurs d’espace réservé :

  • <principal>: adresse e-mail de l’utilisateur au niveau du compte ou nom du groupe de niveau compte qui a reçu l’autorisation.
  • <service-credential-name>: le nom d'une accréditation de service.

Remarque

Si un groupe ou un nom d'utilisateur contient un espace ou le symbole @, utilisez des guillemets inversés autour de celui-ci (et non des apostrophes). Par exemple, l’équipe financière .

Accorder des autorisations pour utiliser des identifiants de service afin d'accéder à un service cloud externe

Pour accorder l’autorisation d’utiliser des informations d’identification de service pour accéder à un service cloud externe, procédez comme suit. Vous pouvez utiliser l’Explorateur de catalogues ou les commandes SQL :

Explorateur de catalogues

  1. Dans la barre latérale, cliquez sur l’icône Données.Catalogue.
  2. Dans la page Accès rapide, cliquez sur le bouton Données > externes et accédez à l’onglet Informations d’identification .
  3. Cliquez sur le nom d'un identifiant de service pour ouvrir la page des détails.
  4. Cliquez sur Autorisations.
  5. Pour accorder l’autorisation d’accès aux utilisateurs ou aux groupes, sélectionnez chaque identité, puis cliquez sur accorder.
    • Sélectionnez ACCESS pour accorder la possibilité d’utiliser les informations d’identification du service pour accéder à un service ou services cloud externe.
    • Sélectionnez CREATE CONNECTION pour autoriser la création d’une connexion Lakehouse Federation dans Unity Catalog en utilisant ces informations d’identification du service. Consultez Gérer les connexions pour Lakehouse Federation.
  6. Pour révoquer les autorisations des utilisateurs ou des groupes, sélectionnez chaque identité, puis cliquez sur Révoquer.

SQL

Pour accorder l’accès, exécutez une des commandes suivantes dans un notebook, en remplaçant les valeurs d’espace réservé :

  • <principal>:Adresse de messagerie de l’utilisateur au niveau du compte ou nom du groupe de niveaux de comptes auquel accorder l’autorisation.
  • <service-credential-name>: le nom d'une accréditation de service.

Remarque

Si un groupe ou un nom d’utilisateur contient un espace, un tiret (-) ou un symbole @, utilisez des guillemets inversés autour de celui-ci (et non des apostrophes). Par exemple, `finance team`.

GRANT ACCESS ON SERVICE CREDENTIAL <service-credential-name> TO <principal>;

Si vous souhaitez accorder la possibilité de créer une connexion Lakehouse Federation dans le catalogue Unity en utilisant ces identifiants de service, utilisez ce qui suit :

GRANT CREATE CONNECTION ON SERVICE CREDENTIAL <service-credential-name> TO <principal>;

Pour révoquer l’accès, remplacez-le GRANTREVOKE dans ces exemples.

Changer le propriétaire des informations d’identification d’un service

Le créateur d'un identifiant de service est son propriétaire initial. Pour remplacer le propriétaire par un autre utilisateur ou groupe au niveau du compte, vous pouvez utiliser l’Explorateur catalogue ou une commande SQL.

Explorateur de catalogues

  1. Dans la barre latérale, cliquez sur l’icône Données.Catalogue.
  2. Dans la page Accès rapide, cliquez sur le bouton Données > externes et accédez à l’onglet Informations d’identification .
  3. Cliquez sur le nom des informations d’identification d’un service pour ouvrir la boîte de dialogue de modification.
  4. Cliquez sur icône de modification à côté de propriétaire.
  5. Tapez pour rechercher un élément principal et sélectionnez-le.
  6. Cliquez sur Enregistrer.

SQL

Exécutez la commande suivante dans un notebook. Remplacez les valeurs d’espace réservé :

  • <credential-name> : nom des informations d’identification.
  • <principal> : Adresse e-mail d’un utilisateur au niveau du compte ou nom d’un groupe au niveau du compte.
ALTER SERVICE CREDENTIAL <credential-name> OWNER TO <principal>;

Renommer un identifiant de service

Pour renommer des informations d’identification de service, vous pouvez utiliser l’Explorateur catalogue ou une commande SQL.

Explorateur de catalogues

  1. Dans la barre latérale, cliquez sur l’icône Données.Catalogue.
  2. Dans la page Accès rapide, cliquez sur le bouton Données > externes et accédez à l’onglet Informations d’identification .
  3. Cliquez sur le nom des informations d’identification d’un service pour ouvrir la boîte de dialogue de modification.
  4. Renommez les informations d’identification du service et enregistrez-les.

SQL

Exécutez la commande suivante dans un notebook. Remplacez les valeurs d’espace réservé :

  • <credential-name> : nom des informations d’identification.
  • <new-credential-name> : nouveau nom pour les informations d’identification.
ALTER SERVICE CREDENTIAL <credential-name> RENAME TO <new-credential-name>;

Supprimer des informations d’identification du service

Pour supprimer une attestation du service, vous devez en être le propriétaire. Pour supprimer des informations d’identification de service, vous pouvez utiliser l’Explorateur de catalogues ou une commande SQL.

Explorateur de catalogues

  1. Dans la barre latérale, cliquez sur l’icône Données.Catalogue.
  2. Dans la page Accès rapide, cliquez sur le bouton Données > externes et accédez à l’onglet Informations d’identification .
  3. Cliquez sur le nom des informations d’identification d’un service pour ouvrir la boîte de dialogue de modification.
  4. Cliquez sur le bouton Supprimer .

SQL

Exécutez la commande suivante dans un notebook. Remplacez <credential-name> par le nom de vos informations d'identification. Les parties de la commande entre crochets sont facultatives.

IF EXISTS ne retourne pas d’erreur si les informations d’identification n’existent pas.

DROP SERVICE CREDENTIAL [IF EXISTS] <credential-name>;