Megosztás a következőn keresztül:

Tároló hitelesítő adatainak létrehozása az Azure Data Lake Storage Gen2-hez való csatlakozáshoz

  • Cikk

Ez a cikk azt ismerteti, hogyan hozhat létre tároló hitelesítő adatokat a Unity Katalógusban az Azure Data Lake Storage Gen2-hez való csatlakozáshoz.

A táblákat és köteteket tartalmazó mögöttes felhőalapú tárolóhoz való hozzáférés kezeléséhez a Unity Catalog a következő objektumtípusokat használja:

  • A tárolási hitelesítő adatok hosszú távú felhőalapú hitelesítő adatokat foglalnak magában, amely hozzáférést biztosít a felhőbeli tárolókhoz.
  • A külső helyek egy tárolási hitelesítő adatokra és egy felhőbeli tárolási útvonalra mutató hivatkozást tartalmaznak.

További információ: Felhőbeli tárolóhoz való hozzáférés kezelése a Unity Catalog használatával.

Feljegyzés

Ha a Unity Katalógus használatával szeretné szabályozni a külső szolgáltatásokhoz való hozzáférést a felhőbeli tárolás helyett, olvassa el a külső felhőszolgáltatásokhoz való hozzáférés kezelése szolgáltatás hitelesítő adataival című témakört.

A Unity Catalog két felhőalapú tárolási lehetőséget támogat az Azure Databrickshez: az Azure Data Lake Storage Gen2-tárolókat és a Cloudflare R2-gyűjtőket. A Cloudflare R2 elsősorban deltamegosztási használati esetekhez készült, amelyekben el szeretné kerülni az adatforgalom díját. Az Azure Data Lake Storage Gen2 a legtöbb más használati esethez megfelelő. Ez a cikk az Azure Data Lake Storage Gen2-tárolók tárolási hitelesítő adatainak létrehozását ismerteti. A Cloudflare R2 esetében lásd : Tároló hitelesítő adatainak létrehozása a Cloudflare R2-hez való csatlakozáshoz.

Egy Azure Data Lake Storage Gen2-tárolóhoz való hozzáféréshez szükséges tárolási hitelesítő adatok létrehozásához létre kell hoznia egy Azure Databricks hozzáférési összekötőt, amely egy Azure-beli felügyelt identitásra hivatkozik, és engedélyeket rendel hozzá a tárolóhoz. Ezután hivatkozhat erre a hozzáférési összekötőre a tároló hitelesítő adatainak definíciójában.

Követelmények

Az Azure Databricksben:

  • A Unity Cataloghoz engedélyezett Azure Databricks-munkaterület.

  • CREATE STORAGE CREDENTIAL jogosultságot a munkaterülethez csatolt Unity Catalog metaadattárban. A fiókadminisztrátor és a metaadattár-rendszergazdák alapértelmezés szerint rendelkeznek ezzel a jogosultsággal.

    Feljegyzés

    A szolgáltatásneveknek fiókadminisztrátori szerepkörrel kell rendelkezniük egy felügyelt identitást használó tároló hitelesítő adatok létrehozásához. Szolgáltatásnévre nem delegálható CREATE STORAGE CREDENTIAL . Ez az Azure Databricks szolgáltatásnevekre és a Microsoft Entra ID szolgáltatásnevekre is vonatkozik.

Az Azure-bérlőben:

  • Egy Azure Data Lake Storage Gen2 tároló. A kimenő forgalom költségeinek elkerülése érdekében ennek ugyanabban a régióban kell lennie, ahonnan az adatokat el szeretné érni.

    Az Azure Data Lake Storage Gen2-tárfióknak hierarchikus névtérrel kell rendelkeznie.

  • Azure-erőforráscsoport közreműködője vagy tulajdonosa.

  • Tulajdonos vagy felhasználó, aki a tárfiók felhasználói hozzáférés-rendszergazdai Azure RBAC-szerepkörével rendelkezik.

Tároló hitelesítő adatainak létrehozása felügyelt identitással

Használhat azure-beli felügyelt identitást vagy szolgáltatásnevet a tárolóhoz való hozzáférést engedélyező identitásként. A felügyelt identitások használata erősen ajánlott. Előnyük, hogy lehetővé teszik a Unity Catalog számára, hogy hozzáférjenek a hálózati szabályok által védett tárfiókokhoz, ami szolgáltatásnevek használatával nem lehetséges, és szükségtelenné teszik a titkos kulcsok kezelését és elforgatását. Ha szolgáltatásnevet szeretne használni, olvassa el a Unity Catalog által felügyelt tároló létrehozása szolgáltatásnévvel (örökölt) című témakört.

  1. Az Azure Portalon hozzon létre egy Azure Databricks hozzáférési összekötőt, és rendelje hozzá az engedélyeket a elérni kívánt tárolóhoz a Unity Catalog felügyelt identitásának konfigurálása című témakörben található utasítások alapján.

    Az Azure Databricks hozzáférési összekötő egy belső Azure-erőforrás, amellyel felügyelt identitásokat csatlakoztathat egy Azure Databricks-fiókhoz. A tároló hitelesítő adatainak hozzáadásához rendelkeznie kell a közreműködői szerepkörsel vagy annál magasabb szintű hozzáférés-összekötő-erőforrással az Azure-ban.

    Jegyezze fel a hozzáférési összekötő erőforrás-azonosítóját.

  2. Jelentkezzen be a Unity Catalog-kompatibilis Azure Databricks-munkaterületre olyan felhasználóként, aki rendelkezik jogosultsággal CREATE STORAGE CREDENTIAL .

    A metaadattár-rendszergazdai és a fiókadminisztrátori szerepkör is tartalmazza ezt a jogosultságot. Ha szolgáltatásnévként van bejelentkezve (akár Microsoft Entra-azonosító, akár natív Azure Databricks-szolgáltatásnév), akkor a felügyelt identitást használó tároló hitelesítő adatok létrehozásához fiókadminisztrátori szerepkörrel kell rendelkeznie.

  3. Kattintson a Katalógus gombra Katalógus ikon .

  4. A Gyorselérési lapon kattintson a Külső adatok > gombra, lépjen a Hitelesítő adatok lapra, és válassza a Hitelesítő adatok létrehozása lehetőséget.

  5. Válassza a Storage hitelesítő adatait.

  6. Válassza ki az Azure Managed Identity hitelesítő adattípusát.

  7. Adja meg a hitelesítő adatok nevét, és adja meg a hozzáférési összekötő erőforrás-azonosítóját a következő formátumban:

    /subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.Databricks/accessConnectors/<connector-name>

  8. (Nem kötelező) Ha a hozzáférési összekötőt felhasználó által hozzárendelt felügyelt identitással hozta létre, adja meg a felügyelt identitás erőforrás-azonosítóját a felhasználó által hozzárendelt felügyelt identitásazonosító mezőben a következő formátumban:

    /subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<managed-identity-name>

  9. (Nem kötelező) Ha azt szeretné, hogy a felhasználók csak olvasási hozzáféréssel rendelkezzenek a tároló hitelesítő adatait használó külső helyekhez, válassza az Írásvédett lehetőséget. További információ: Tároló hitelesítő adatainak megjelölése írásvédettként.

  10. Kattintson a Létrehozás gombra.

  11. (Nem kötelező) A tároló hitelesítő adatainak kötése adott munkaterületekhez.

    Alapértelmezés szerint bármely kiemelt felhasználó használhatja a tár hitelesítő adatait a metaadattárhoz csatolt munkaterületeken. Ha csak bizonyos munkaterületekről szeretné engedélyezni a hozzáférést, lépjen a Munkaterületek lapra, és rendeljen hozzá munkaterületeket. Lásd : (Nem kötelező) Tároló hitelesítő adatainak hozzárendelése adott munkaterületekhez.

  12. Hozzon létre egy külső helyet , amely erre a tárolási hitelesítő adatra hivatkozik.

(Nem kötelező) Tároló hitelesítő adatainak hozzárendelése adott munkaterületekhez

Fontos

Ez a funkció a nyilvános előzetes verzióban érhető el.

Alapértelmezés szerint a tár hitelesítő adatai a metaadattár összes munkaterületéről elérhetők. Ez azt jelenti, hogy ha egy felhasználó jogosultságot (például CREATE EXTERNAL LOCATION) kapott a tár hitelesítő adataihoz, akkor ezt a jogosultságot a metaadattárhoz csatolt munkaterületről is gyakorolhatja. Ha munkaterületekkel elkülöníti a felhasználói adatokhoz való hozzáférést, akkor előfordulhat, hogy csak bizonyos munkaterületekről szeretné engedélyezni a tárterület hitelesítő adatainak elérését. Ezt a funkciót munkaterület-kötésnek vagy tároló hitelesítő adatok elkülönítésének nevezzük.

A tárolási hitelesítő adatok adott munkaterületekhez való kötésének tipikus használati esete az a forgatókönyv, amelyben a felhőgazdák egy éles felhőbeli fiók hitelesítő adataival konfigurálják a tárolási hitelesítő adatokat, és biztosítani szeretné, hogy az Azure Databricks-felhasználók ezt a hitelesítő adatot csak az éles munkaterületen hozzák létre külső helyek létrehozására.

A munkaterület-kötéssel kapcsolatos további információkért lásd : (Nem kötelező) Külső hely hozzárendelése adott munkaterületekhez és katalógushozzáférés korlátozása adott munkaterületekhez.

Feljegyzés

A munkaterület-kötésekre a tár hitelesítő adataival szembeni jogosultságok gyakorolásakor hivatkozunk. Ha például egy felhasználó egy külső helyet hoz létre egy tároló hitelesítő adataival, a munkaterület-kötés csak a külső hely létrehozásakor lesz bejelölve. A külső hely létrehozása után a tároló hitelesítő adatain konfigurált munkaterület-kötésektől függetlenül fog működni.

Tároló hitelesítő adatainak kötése egy vagy több munkaterülethez

Ha tároló hitelesítő adatokat szeretne hozzárendelni adott munkaterületekhez, használhatja a Catalog Explorert vagy a Databricks parancssori felületét.

Szükséges engedélyek: Metaadattár-rendszergazda vagy tár hitelesítő adatainak tulajdonosa.

Feljegyzés

A metaadattár-rendszergazdák a Katalóguskezelővel láthatják a metaadattárban található összes tárolási hitelesítő adatot– a tár hitelesítő adatai pedig a metaadattárban lévő összes tár hitelesítő adatot láthatják, függetlenül attól, hogy a tár hitelesítő adatai az aktuális munkaterülethez vannak-e rendelve. A munkaterülethez nem rendelt tárolási hitelesítő adatok szürkén jelennek meg.

Katalóguskezelő

  1. Jelentkezzen be a metaadattárhoz csatolt munkaterületre.

  2. Az oldalsávon kattintson a Katalógus gombra Katalógus ikon .

  3. A Gyorselérési lapon kattintson a Külső adatok > gombra, és lépjen a Hitelesítő adatok lapra.

  4. Válassza ki a tároló hitelesítő adatait, és lépjen a Munkaterületek lapra.

  5. A Munkaterületek lapon törölje a jelet a Minden munkaterület hozzáférése jelölőnégyzetből.

    Ha a tároló hitelesítő adatai már egy vagy több munkaterülethez kötődnek, a jelölőnégyzet már nincs bejelölve.

  6. Kattintson a Munkaterületek hozzárendelése gombra, és adja meg vagy keresse meg a hozzárendelni kívánt munkaterületeket.

A hozzáférés visszavonásához lépjen a Munkaterületek lapra, jelölje ki a munkaterületet, és kattintson a Visszavonás gombra. Ha minden munkaterületről engedélyezni szeretné a hozzáférést, jelölje be a Minden munkaterület hozzáféréssel jelölőnégyzetet.

CLI

Két Databricks CLI-parancscsoport és két lépés szükséges a tároló hitelesítő adatainak munkaterülethez való hozzárendeléséhez.

Az alábbi példákban cserélje le <profile-name> az Azure Databricks-hitelesítési konfigurációs profil nevét. Tartalmaznia kell egy személyes hozzáférési jogkivonat értékét a munkaterület-példány neve és a munkaterület azonosítója mellett, ahol a személyes hozzáférési jogkivonatot létrehozta. Tekintse meg az Azure Databricks személyes hozzáférési jogkivonatának hitelesítését.

  1. storage-credentials A parancscsoport parancsával update állítsa a tároló hitelesítő isolation mode adatait a következőreISOLATED:

    databricks storage-credentials update <my-storage-credential> \
--isolation-mode ISOLATED \
--profile <profile-name>

    Az alapértelmezett isolation-mode beállítás a OPEN metaadattárhoz csatolt összes munkaterületre igaz.

  2. workspace-bindings A parancscsoport parancsával update-bindings rendelje hozzá a munkaterületeket a tároló hitelesítő adataihoz:

    databricks workspace-bindings update-bindings storage-credential <my-storage-credential> \
--json '{
  "add": [{"workspace_id": <workspace-id>}...],
  "remove": [{"workspace_id": <workspace-id>}...]
}' --profile <profile-name>

    A munkaterület-kötések hozzáadásához vagy "remove" eltávolításához használja a "add" tulajdonságokat és a tulajdonságokat.

    Feljegyzés

    A csak olvasható kötés (BINDING_TYPE_READ_ONLY) nem érhető el a tár hitelesítő adataihoz. Ezért nincs ok a tárolási hitelesítő adatok kötésének beállítására binding_type .

A tárterület-hitelesítő adatokhoz tartozó munkaterület-hozzárendelések listázásához használja a workspace-bindings parancscsoport parancsát get-bindings :

databricks workspace-bindings get-bindings storage-credential <my-storage-credential> \
--profile <profile-name>

Tároló hitelesítő adatainak leválasztása munkaterületről

A Katalóguskezelő vagy a CLI parancscsoport használatával a munkaterület hozzáférésének a katalóguskezelővel vagy a workspace-bindings PARANCSSOR-paranccsal történő visszavonására vonatkozó utasításokat a tár hitelesítő adatainak egy vagy több munkaterülethez való kötése tartalmazza.

Következő lépések

Megtekintheti, frissítheti, törölheti és engedélyezheti más felhasználók számára a tárolási hitelesítő adatok használatát. Lásd: Tárolási hitelesítő adatok kezelése.

Külső helyeket tárolási hitelesítő adatokkal határozhat meg. Lásd: Külső hely létrehozása a felhőbeli tároló Azure Databrickshez való csatlakoztatásához.