Mengakses penyimpanan menggunakan perwakilan layanan & ID Microsoft Entra(Azure Active Directory)

Catatan

Artikel ini menjelaskan pola warisan untuk mengonfigurasi akses ke Azure Data Lake Storage Gen2.

Databricks merekomendasikan penggunaan identitas terkelola Azure sebagai kredensial penyimpanan Unity Catalog untuk menyambungkan ke Azure Data Lake Storage Gen2 alih-alih perwakilan layanan. Identitas terkelola memiliki manfaat memungkinkan Katalog Unity mengakses akun penyimpanan yang dilindungi oleh aturan jaringan, yang tidak dimungkinkan menggunakan perwakilan layanan, dan mereka menghapus kebutuhan untuk mengelola dan memutar rahasia. Untuk informasi selengkapnya, lihat Menggunakan identitas terkelola Azure di Unity Catalog untuk mengakses penyimpanan.

Mendaftarkan aplikasi dengan MICROSOFT Entra ID (sebelumnya Azure Active Directory) membuat perwakilan layanan yang dapat Anda gunakan untuk menyediakan akses ke akun penyimpanan Azure.

Anda kemudian dapat mengonfigurasi akses ke perwakilan layanan ini menggunakannya sebagai kredensial penyimpanan di Katalog Unity atau kredensial yang disimpan dengan rahasia.

Mendaftarkan aplikasi ID Microsoft Entra

Mendaftarkan aplikasi ID Microsoft Entra (sebelumnya Azure Active Directory) dan menetapkan izin yang sesuai akan membuat perwakilan layanan yang dapat mengakses sumber daya Azure Data Lake Storage Gen2 atau Blob Storage.

Untuk mendaftarkan aplikasi ID Microsoft Entra, Anda harus memiliki Application Administrator peran atau Application.ReadWrite.All izin di ID Microsoft Entra.

1. Di portal Azure, buka layanan ID Microsoft Entra.
2. Di bawah Kelola, klik Pendaftaran Aplikasi.
3. Klik + Pendaftaran baru. Masukkan nama untuk aplikasi dan klik Daftar.
4. Klik Sertifikat & Rahasia.
5. Klik + Rahasia klien baru.
6. Tambahkan deskripsi untuk rahasia dan klik Tambahkan.
7. Salin dan simpan nilai untuk rahasia baru.
8. Dalam ikhtisar pendaftaran aplikasi, salin dan simpan ID Aplikasi (klien) dan ID Direktori (penyewa).

Menetapkan peran

Anda mengontrol akses ke sumber daya penyimpanan dengan menetapkan peran ke pendaftaran aplikasi ID Microsoft Entra yang terkait dengan akun penyimpanan. Anda mungkin perlu menetapkan peran lain tergantung pada persyaratan tertentu.

Untuk menetapkan peran pada akun penyimpanan, Anda harus memiliki peran Pemilik atau Administrator Akses Pengguna Azure RBAC di akun penyimpanan.

1. Di portal Microsoft Azure, pergi ke layanan Akun penyimpanan.
2. Pilih akun penyimpanan Azure untuk digunakan dengan pendaftaran aplikasi ini.
3. Klik Access Control (IAM).
4. Pilih +Tambah, dan pilih Tambahkan penetapan peran dari menu dropdown.
5. Atur bidang Pilih ke nama aplikasi ID Microsoft Entra dan atur Peran ke Kontributor Data Blob Penyimpanan.
6. Klik Simpan.

Untuk mengaktifkan akses peristiwa file di akun penyimpanan menggunakan perwakilan layanan, Anda harus memiliki peran Pemilik atau Administrator Akses Pengguna Azure RBAC pada grup sumber daya Azure tempat akun Azure Data Lake Storage Gen2 Anda berada.

1. Ikuti langkah-langkah di atas dan tetapkan Kontributor Data Antrean Penyimpanan dan Kontributor Akun Penyimpanan memerankan perwakilan layanan Anda.
2. Navigasikan ke grup sumber daya Azure tempat akun Azure Data Lake Storage Gen2 Anda berada.
3. Buka Kontrol Akses (IAM), klik + Tambahkan, dan pilih Tambahkan penetapan peran.
4. Pilih peran EventGrid EventSubscription Contributor dan klik Berikutnya.
5. Di bawah Tetapkan akses ke, pilih Perwakilan Layanan.
6. Klik +Pilih Anggota, pilih perwakilan layanan Anda, dan klik Tinjau dan Tetapkan.

Atau, Anda dapat membatasi akses hanya dengan memberikan peran Kontributor Data Antrean Penyimpanan perwakilan layanan dan tidak memberikan peran ke grup sumber daya Anda. Dalam hal ini, Azure Databricks tidak dapat mengonfigurasi peristiwa file atas nama Anda.