Tárterület elérése szolgáltatásnévvel > Microsoft Entra ID (Azure Active Directory)
Feljegyzés
Ez a cikk az Azure Data Lake Storage Gen2-hez való hozzáférés konfigurálásának örökölt mintáit ismerteti.
A Databricks azt javasolja, hogy a Szolgáltatásnevek helyett azure-beli felügyelt identitásokat használjon Unity Catalog storage-hitelesítő adatokként az Azure Data Lake Storage Gen2-hez való csatlakozáshoz. A felügyelt identitások előnye, hogy lehetővé teszik a Unity Catalog számára a hálózati szabályok által védett tárfiókok elérését, ami szolgáltatásnevek használatával nem lehetséges, és szükségtelenné teszik a titkos kulcsok kezelését és elforgatását. További információ: Azure-beli felügyelt identitások használata a Unity Katalógusban a tároló eléréséhez.
Egy alkalmazás Microsoft Entra-azonosítóval (korábbi nevén Azure Active Directory) való regisztrálásával létrejön egy szolgáltatásnév, amellyel hozzáférést biztosíthat az Azure Storage-fiókokhoz.
Ezután konfigurálhatja a hozzáférést ezekhez a szolgáltatásnevekhez, és használhatja őket tárolási hitelesítő adatokként a Unity Katalógusban, vagy titkos kulcsokkal tárolt hitelesítő adatokként.
Microsoft Entra ID-alkalmazás regisztrálása
Ha regisztrál egy Microsoft Entra-azonosítót (korábbi nevén Azure Active Directory-alkalmazást ) és hozzárendeli a megfelelő engedélyeket, létre fog hozni egy szolgáltatásnevet, amely hozzáfér az Azure Data Lake Storage Gen2- vagy Blob Storage-erőforrásokhoz.
A Microsoft Entra ID-alkalmazás regisztrálásához rendelkeznie kell a Application Administrator
Microsoft Entra ID szerepkörével vagy Application.ReadWrite.All
engedélyével.
- Az Azure Portalon nyissa meg a Microsoft Entra ID szolgáltatást.
- A Kezelés csoportban kattintson az Alkalmazásregisztrációk elemre.
- Kattintson az + Új regisztráció elemre. Adja meg az alkalmazás nevét, és kattintson a Regisztráció gombra.
- Kattintson a Tanúsítványok és titkos kódok elemre.
- Kattintson az + Új ügyfélkód elemre.
- Adjon meg egy leírást a titkos kódhoz, és kattintson a Hozzáadás gombra.
- Másolja és mentse az új titkos kód értékét.
- Az alkalmazásregisztráció áttekintésében másolja és mentse az alkalmazás (ügyfél) azonosítóját és a címtár (bérlő) azonosítóját.
Szerepkörök hozzárendelése
A tárerőforrásokhoz való hozzáférést úgy szabályozhatja, hogy szerepköröket rendel hozzá a tárfiókhoz társított Microsoft Entra ID-alkalmazásregisztrációhoz. Előfordulhat, hogy más szerepköröket kell hozzárendelnie adott követelményektől függően.
Szerepkörök tárfiókhoz való hozzárendeléséhez tulajdonosi vagy felhasználói hozzáférésű Rendszergazda istrator Azure RBAC-szerepkörrel kell rendelkeznie a tárfiókon.
- Az Azure Portalon nyissa meg a Storage-fiókok szolgáltatást.
- Válasszon ki egy Azure Storage-fiókot az alkalmazásregisztrációhoz.
- Kattintson a Hozzáférés-vezérlés (IAM) elemre.
- Kattintson a + Szerepkör-hozzárendelés hozzáadása elemre a legördülő menüben.
- Állítsa a Select mezőt a Microsoft Entra ID alkalmazás nevére, és állítsa a szerepkört a Storage Blob Data Contributor értékre.
- Kattintson a Mentés gombra.
Ha a szolgáltatásnévvel engedélyezni szeretné a fájlesemény-hozzáférést a tárfiókon, tulajdonosi vagy felhasználói hozzáférés Rendszergazda istrator Azure RBAC-szerepkörrel kell rendelkeznie azon az Azure-erőforráscsoporton, amelyben az Azure Data Lake Storage Gen2-fiókja található.
- Kövesse a fenti lépéseket, és rendelje hozzá a storage-üzenetsor adatszolgáltatóját és a tárfiók-közreműködői szerepköröket a szolgáltatásnévhez.
- Lépjen arra az Azure-erőforráscsoportra, amelyben az Azure Data Lake Storage Gen2-fiókja található.
- Lépjen a Hozzáférés-vezérlés (IAM) lapra, kattintson a + Hozzáadás gombra, és válassza a Szerepkör-hozzárendelés hozzáadása lehetőséget.
- Válassza ki az EventGrid EventSubscription Közreműködő szerepkört, és kattintson a Tovább gombra.
- A Hozzáférés hozzárendelése területen válassza a Szolgáltatásnév lehetőséget.
- Kattintson a +Tagok kijelölése elemre, válassza ki a szolgáltatásnevet, majd kattintson a Véleményezés és hozzárendelés parancsra.
Másik lehetőségként korlátozhatja a hozzáférést úgy is, hogy csak a Storage Queue Data Contributor szerepkört adja meg a szolgáltatásnévnek, és nem ad szerepköröket az erőforráscsoportnak. Ebben az esetben az Azure Databricks nem konfigurálhat fájleseményeket az Ön nevében.