Tárterület elérése szolgáltatás elvével > Microsoft Entra ID (Azure Active Directory)

  • Cikk

Feljegyzés

Ez a cikk az Azure Data Lake Storage Gen2-hez való hozzáférés konfigurálásának örökölt mintáit ismerteti.

A Databricks azt javasolja, hogy a Szolgáltatásnevek helyett azure-beli felügyelt identitásokat használjon Unity Catalog storage-hitelesítő adatokként az Azure Data Lake Storage Gen2-hez való csatlakozáshoz. A felügyelt identitások előnye, hogy lehetővé teszik a Unity Catalog számára a hálózati szabályok által védett tárfiókok elérését, ami szolgáltatásnevek használatával nem lehetséges, és szükségtelenné teszik a titkos kulcsok kezelését és elforgatását. További információ: Azure-beli felügyelt identitások használata a Unity Katalógusban a tároló eléréséhez.

Egy alkalmazás Microsoft Entra-azonosítóval (korábbi nevén Azure Active Directory) való regisztrálásával létrejön egy szolgáltatásnév, amellyel hozzáférést biztosíthat az Azure Storage-fiókokhoz.

Ezután konfigurálhatja a hozzáférést ezekhez a szolgáltatásnevekhez, és használhatja őket tárolási hitelesítő adatokként a Unity Katalógusban, vagy titkos kulcsokkal tárolt hitelesítő adatokként.

Microsoft Entra ID-alkalmazás regisztrálása

Ha regisztrál egy Microsoft Entra-azonosítót (korábbi nevén Azure Active Directory-alkalmazást ) és hozzárendeli a megfelelő engedélyeket, létre fog hozni egy szolgáltatásnevet, amely hozzáfér az Azure Data Lake Storage Gen2- vagy Blob Storage-erőforrásokhoz.

A Microsoft Entra ID-alkalmazás regisztrálásához rendelkeznie kell a Application Administrator Microsoft Entra ID szerepkörével vagy Application.ReadWrite.All engedélyével.

  1. Az Azure Portalon nyissa meg a Microsoft Entra ID szolgáltatást.
  2. A Kezelés csoportban kattintson az Alkalmazásregisztrációk elemre.
  3. Kattintson az + Új regisztráció elemre. Adja meg az alkalmazás nevét, és kattintson a Regisztráció gombra.
  4. Kattintson a Tanúsítványok és titkos kódok elemre.
  5. Kattintson az + Új ügyfélkód elemre.
  6. Adjon meg egy leírást a titkos kódhoz, és kattintson a Hozzáadás gombra.
  7. Másolja és mentse az új titkos kód értékét.
  8. Az alkalmazásregisztráció áttekintésében másolja és mentse az alkalmazás (ügyfél) azonosítóját és a címtár (bérlő) azonosítóját.

Szerepkörök hozzárendelése

A tárerőforrásokhoz való hozzáférést úgy szabályozhatja, hogy szerepköröket rendel hozzá a tárfiókhoz társított Microsoft Entra ID-alkalmazásregisztrációhoz. Előfordulhat, hogy más szerepköröket kell hozzárendelnie adott követelményektől függően.

Szerepkörök tárfiókhoz való hozzárendeléséhez tulajdonosi vagy felhasználói hozzáférésű Rendszergazda istrator Azure RBAC-szerepkörrel kell rendelkeznie a tárfiókon.

  1. Az Azure Portalon nyissa meg a Storage-fiókok szolgáltatást.
  2. Válasszon ki egy Azure Storage-fiókot az alkalmazásregisztrációhoz.
  3. Kattintson a Hozzáférés-vezérlés (IAM) elemre.
  4. Kattintson a + Szerepkör-hozzárendelés hozzáadása elemre a legördülő menüben.
  5. Állítsa a Select mezőt a Microsoft Entra ID alkalmazás nevére, és állítsa a szerepkört a Storage Blob Data Contributor értékre.
  6. Kattintson a Mentés gombra.

Ha a szolgáltatásnévvel engedélyezni szeretné a fájlesemény-hozzáférést a tárfiókon, tulajdonosi vagy felhasználói hozzáférés Rendszergazda istrator Azure RBAC-szerepkörrel kell rendelkeznie azon az Azure-erőforráscsoporton, amelyben az Azure Data Lake Storage Gen2-fiókja található.

  1. Kövesse a fenti lépéseket, és rendelje hozzá a storage-üzenetsor adatszolgáltatóját és a tárfiók-közreműködői szerepköröket a szolgáltatásnévhez.
  2. Lépjen arra az Azure-erőforráscsoportra, amelyben az Azure Data Lake Storage Gen2-fiókja található.
  3. Lépjen a Hozzáférés-vezérlés (IAM) lapra, kattintson a + Hozzáadás gombra, és válassza a Szerepkör-hozzárendelés hozzáadása lehetőséget.
  4. Válassza ki az EventGrid EventSubscription Közreműködő szerepkört, és kattintson a Tovább gombra.
  5. A Hozzáférés hozzárendelése területen válassza a Szolgáltatásnév lehetőséget.
  6. Kattintson a +Tagok kijelölése elemre, válassza ki a szolgáltatásnevet, majd kattintson a Véleményezés és hozzárendelés parancsra.

Másik lehetőségként korlátozhatja a hozzáférést úgy is, hogy csak a Storage Queue Data Contributor szerepkört adja meg a szolgáltatásnévnek, és nem ad szerepköröket az erőforráscsoportnak. Ebben az esetben az Azure Databricks nem konfigurálhat fájleseményeket az Ön nevében.