Accedere all'archiviazione usando un'entità servizio e Microsoft Entra ID (Azure Active Directory)

  • Articolo

Nota

Questo articolo descrive i modelli legacy per la configurazione dell'accesso ad Azure Data Lake Archiviazione Gen2.

Databricks consiglia di usare le identità gestite di Azure come credenziali di archiviazione di Unity Catalog per connettersi ad Azure Data Lake Archiviazione Gen2 anziché alle entità servizio. Le identità gestite hanno il vantaggio di consentire a Unity Catalog di accedere agli account di archiviazione protetti dalle regole di rete, che non è possibile usare le entità servizio e di rimuovere la necessità di gestire e ruotare i segreti. Per altre informazioni, vedere Usare le identità gestite di Azure nel catalogo unity per accedere all'archiviazione.

La registrazione di un'applicazione con Microsoft Entra ID (in precedenza Azure Active Directory) crea un'entità servizio che è possibile usare per fornire l'accesso agli account di archiviazione di Azure.

È quindi possibile configurare l'accesso a queste entità servizio usandole come credenziali di archiviazione in Unity Catalog o credenziali archiviate con segreti.

Registrare un'applicazione Microsoft Entra ID

La registrazione di un'applicazione Microsoft Entra ID (in precedenza Azure Active Directory) e l'assegnazione delle autorizzazioni appropriate creerà un'entità servizio in grado di accedere alle risorse di Azure Data Lake Archiviazione Gen2 o BLOB Archiviazione.

Per registrare un'applicazione Microsoft Entra ID, è necessario avere il Application Administrator ruolo o l'autorizzazione Application.ReadWrite.All in Microsoft Entra ID.

  1. Nella portale di Azure passare al servizio Microsoft Entra ID.
  2. In Gestisci fare clic su Registrazioni app.
  3. Fare clic su + Nuova registrazione. Immettere un nome per l'applicazione e fare clic su Registra.
  4. Fare clic su Certificati e segreti.
  5. Fare clic su + Nuovo segreto client.
  6. Aggiungere una descrizione per il segreto e fare clic su Aggiungi.
  7. Copiare e salvare il valore per il nuovo segreto.
  8. Nella panoramica della registrazione dell'applicazione copiare e salvare l'ID applicazione (client) e l'ID directory (tenant).

Assegnazione di ruoli

È possibile controllare l'accesso alle risorse di archiviazione assegnando ruoli a una registrazione dell'applicazione Microsoft Entra ID associata all'account di archiviazione. Potrebbe essere necessario assegnare altri ruoli in base a requisiti specifici.

Per assegnare ruoli in un account di archiviazione, è necessario avere il ruolo Proprietario o Accesso utenti Amministrazione istrator di Controllo degli accessi in base al ruolo di Azure nell'account di archiviazione.

  1. Nel portale di Azure passare al servizio Account di archiviazione.
  2. Selezionare un account di archiviazione di Azure da usare con la registrazione dell'applicazione.
  3. Fare clic su Controllo di accesso (IAM).
  4. Fare clic su + Aggiungi e selezionare Aggiungi assegnazione di ruolo dal menu a discesa.
  5. Impostare il campo Seleziona sul nome dell'applicazione Microsoft Entra ID e impostare Ruolo su Archiviazione Collaboratore dati BLOB.
  6. Fare clic su Salva.

Per abilitare l'accesso agli eventi di file nell'account di archiviazione usando l'entità servizio, è necessario disporre del ruolo Proprietario o Accesso utenti Amministrazione istrator di Azure nel gruppo di risorse di Azure in cui si trova l'account Azure Data Lake Archiviazione Gen2.

  1. Seguire i passaggi precedenti e assegnare il ruolo Collaboratore dati coda Archiviazione e collaboratore account Archiviazione l'entità servizio.
  2. Passare al gruppo di risorse di Azure in cui si trova l'account Azure Data Lake Archiviazione Gen2.
  3. Passare a Controllo di accesso (IAM), fare clic su + Aggiungi e selezionare Aggiungi assegnazione di ruolo.
  4. Selezionare il ruolo Collaboratore EventGrid EventSubscription e fare clic su Avanti.
  5. In Assegna accesso a selezionare Entità servizio.
  6. Fare clic su +Seleziona membri, selezionare l'entità servizio e fare clic su Rivedi e assegna.

In alternativa, è possibile limitare l'accesso concedendo solo il ruolo collaboratore ai dati della coda di Archiviazione l'entità servizio e senza concedere ruoli al gruppo di risorse. In questo caso, Azure Databricks non può configurare eventi di file per conto dell'utente.