참고
이 문서에서는 Azure Data Lake Storage에 대한 액세스를 구성하기 위한 레거시 패턴을 설명합니다.
Databricks는 서비스 주체 대신 Azure Data Lake Storage에 연결하기 위해 Azure 관리 ID를 Unity 카탈로그 스토리지 자격 증명으로 사용하는 것이 좋습니다. 관리 ID는 Unity Catalog가 네트워크 규칙에 의해 보호되는 스토리지 계정에 액세스할 수 있도록 하여 서비스 주체로는 할 수 없는 작업을 수행할 수 있게 합니다. 또한, 비밀을 관리하고 순환할 필요가 없다는 장점이 있습니다. 자세한 내용은 Unity 카탈로그에서 Azure 관리 ID를 사용하여 스토리지에 액세스하는 방법을 참조하세요.
Microsoft Entra ID를 사용하여 애플리케이션을 등록하면 Azure Storage 계정에 대한 액세스를 제공하는 데 사용할 수 있는 서비스 주체가 만들어집니다.
그런 다음 이러한 서비스 주체에 대한 액세스를 Unity 카탈로그의 스토리지 자격 증명 또는 비밀과 함께 저장된 자격 증명으로 사용하여 구성할 수 있습니다.
Microsoft Entra ID 애플리케이션 등록
Microsoft Entra ID(이전의 Azure Active Directory) 애플리케이션 등록하고 적절한 권한을 할당하면 Azure Data Lake Storage 또는 Blob Storage 리소스에 액세스할 수 있는 서비스 주체가 만들어집니다.
Microsoft Entra ID 애플리케이션을 등록하려면 Microsoft Entra ID의 Application AdministratorApplication.ReadWrite.All 역할 또는 권한이 있어야 합니다.
- Azure Portal에서 Microsoft Entra ID 서비스로 이동합니다.
- 관리 아래에서 앱 등록을 클릭합니다.
- + 새 등록을 클릭합니다. 애플리케이션의 이름을 입력하고 등록을 클릭합니다.
- 인증서 및 비밀을 클릭합니다.
- + 새 클라이언트 암호를 클릭합니다.
- 비밀에 대한 설명을 추가하고 추가를 클릭합니다.
- 새 비밀에 대한 값을 복사하여 저장합니다.
- 애플리케이션 등록 개요에서 애플리케이션(클라이언트) ID 및 디렉터리(테넌트) ID를 복사하여 저장합니다.
역할 할당
스토리지 계정과 연결된 Microsoft Entra ID 애플리케이션 등록에 역할을 할당하여 스토리지 리소스에 대한 액세스를 제어합니다. 특정 요구 사항에 따라 다른 역할을 할당해야 할 수도 있습니다.
스토리지 계정에 역할을 할당하려면 스토리지 계정에 소유자 또는 사용자 액세스 관리자 Azure RBAC 역할이 있어야 합니다.
- Azure Portal에서 스토리지 계정 서비스로 이동합니다.
- 이 애플리케이션 등록에 사용할 Azure 스토리지 계정을 선택합니다.
- 액세스 제어(IAM)를 클릭합니다.
- + 추가를 클릭하고, 드롭다운 메뉴에서 역할 할당 추가를 선택합니다.
- 선택 필드를 Microsoft Entra ID 애플리케이션 이름으로 설정하고 역할을 Storage Blob 데이터 기여자로 설정합니다.
- 저장을 클릭합니다.
서비스 주체를 사용하여 외부 위치에 대한 파일 이벤트를 사용하도록 설정하려면 외부 위치에 대한 파일 이벤트 사용(권장)을 참조하세요.