Toegang tot opslag met behulp van een service-principal en Microsoft Entra ID (Azure Active Directory)

Notitie

In dit artikel worden verouderde patronen beschreven voor het configureren van toegang tot Azure Data Lake Storage Gen2.

Databricks raadt aan om beheerde Azure-identiteiten te gebruiken als Unity Catalog-opslagreferenties om verbinding te maken met Azure Data Lake Storage Gen2 in plaats van service-principals. Beheerde identiteiten hebben het voordeel dat Unity Catalog toegang heeft tot opslagaccounts die worden beveiligd door netwerkregels, wat niet mogelijk is met behulp van service-principals, en ze verwijderen de noodzaak om geheimen te beheren en te roteren. Zie Beheerde Identiteiten van Azure gebruiken in Unity Catalog voor toegang tot opslag voor meer informatie.

Als u een toepassing registreert bij Microsoft Entra ID (voorheen Azure Active Directory), maakt u een service-principal die u kunt gebruiken om toegang te bieden tot Azure-opslagaccounts.

Vervolgens kunt u de toegang tot deze service-principals configureren met behulp van deze service-principals als opslagreferenties in Unity Catalog of referenties die zijn opgeslagen met geheimen.

Een Microsoft Entra ID-toepassing registreren

Als u een Microsoft Entra ID-toepassing (voorheen Azure Active Directory) registreert en de juiste machtigingen toewijst, wordt een service-principal gemaakt die toegang heeft tot Azure Data Lake Storage Gen2- of Blob Storage-resources.

Als u een Microsoft Entra ID-toepassing wilt registreren, moet u de Application Administrator rol of de Application.ReadWrite.All machtiging hebben in Microsoft Entra-id.

1. Ga in Azure Portal naar de Microsoft Entra ID-service .
2. Klik onder Beheren op App-registraties.
3. Klik op + Nieuwe registratie. Voer een naam in voor de toepassing en klik op Registreren.
4. Klik op Certificaten en geheimen.
5. Klik op + Nieuw clientgeheim.
6. Voeg een beschrijving toe voor het geheim en klik op Toevoegen.
7. Kopieer en sla de waarde voor het nieuwe geheim op.
8. Kopieer en sla in het overzicht van de toepassingsregistratie de toepassings-id (client) en de map-id (tenant) op.

Rollen toewijzen

U kunt de toegang tot opslagbronnen beheren door rollen toe te wijzen aan een Microsoft Entra ID-toepassingsregistratie die is gekoppeld aan het opslagaccount. Mogelijk moet u andere rollen toewijzen, afhankelijk van specifieke vereisten.

Als u rollen wilt toewijzen aan een opslagaccount, moet u de rol Eigenaar of Gebruikerstoegang hebben Beheer istrator Azure RBAC in het opslagaccount.

1. Ga in Azure Portal naar de service Opslagaccounts .
2. Selecteer een Azure-opslagaccount dat u met deze toepassingsregistratie wilt gebruiken.
3. Klik op Toegangsbeheer (IAM).
4. Klik op + Toevoegen en selecteer Roltoewijzing toevoegen in de vervolgkeuzelijst.
5. Stel het veld Selecteren in op de naam van de Microsoft Entra-id-toepassing en stel Rol in op Inzender voor opslagblobgegevens.
6. Klik op Opslaan.

Als u bestands gebeurtenistoegang wilt inschakelen voor het opslagaccount met behulp van de service-principal, moet u de rol Eigenaar of Gebruikerstoegang hebben Beheer istrator Azure RBAC in de Azure-resourcegroep waarin uw Azure Data Lake Storage Gen2-account zich bevindt.

1. Volg de bovenstaande stappen en wijs de bijdrager voor opslagwachtrijgegevens en de rol Inzender voor opslagaccounts toe aan uw service-principal.
2. Navigeer naar de Azure-resourcegroep waarin uw Azure Data Lake Storage Gen2-account zich bevindt.
3. Ga naar Toegangsbeheer (IAM), klik op + Toevoegen en selecteer Roltoewijzing toevoegen.
4. Selecteer de rol EventGrid EventSubscription-inzender en klik op Volgende.
5. Selecteer onder Toegang toewijzen aan de service-principal.
6. Klik op +Leden selecteren, selecteer uw service-principal en klik op Controleren en toewijzen.

U kunt de toegang ook beperken door alleen de rol Inzender voor opslagwachtrijgegevens toe te kennen aan de service-principal en geen rollen toe te kennen aan uw resourcegroep. In dit geval kan Azure Databricks geen bestandsevenementen namens u configureren.