Uzyskiwanie dostępu do magazynu przy użyciu jednostki usługi i identyfikatora entra firmy Microsoft (Azure Active Directory)

  • Artykuł

Uwaga

W tym artykule opisano starsze wzorce konfigurowania dostępu do usługi Azure Data Lake Storage Gen2.

Usługa Databricks zaleca używanie tożsamości zarządzanych platformy Azure jako poświadczeń magazynu wykazu aparatu Unity w celu nawiązania połączenia z usługą Azure Data Lake Storage Gen2 zamiast jednostek usługi. Tożsamości zarządzane mają korzyść z umożliwienia wykazowi aparatu Unity uzyskiwania dostępu do kont magazynu chronionych przez reguły sieci, które nie są możliwe przy użyciu jednostek usługi, i usuwają konieczność zarządzania wpisami tajnymi i obracania ich. Aby uzyskać więcej informacji, zobacz Używanie tożsamości zarządzanych platformy Azure w wykazie aparatu Unity do uzyskiwania dostępu do magazynu.

Zarejestrowanie aplikacji w usłudze Microsoft Entra ID (dawniej Azure Active Directory) powoduje utworzenie jednostki usługi, której można użyć do zapewnienia dostępu do kont usługi Azure Storage.

Następnie można skonfigurować dostęp do tych jednostek usługi przy użyciu ich jako poświadczeń magazynu w katalogu aparatu Unity lub poświadczeń przechowywanych z wpisami tajnymi.

Rejestrowanie aplikacji Microsoft Entra ID

Zarejestrowanie aplikacji Microsoft Entra ID (dawniej Azure Active Directory) i przypisanie odpowiednich uprawnień spowoduje utworzenie jednostki usługi, która może uzyskać dostęp do zasobów usługi Azure Data Lake Storage Gen2 lub Blob Storage.

Aby zarejestrować aplikację Microsoft Entra ID, musisz mieć Application Administrator rolę lub uprawnienie w identyfikatorze Application.ReadWrite.All Entra firmy Microsoft.

  1. W witrynie Azure Portal przejdź do usługi Microsoft Entra ID .
  2. W obszarze Zarządzanie kliknij pozycję Rejestracje aplikacji.
  3. Kliknij pozycję + Nowa rejestracja. Wprowadź nazwę aplikacji i kliknij przycisk Zarejestruj.
  4. Kliknij pozycję Certyfikaty i wpisy tajne.
  5. Kliknij pozycję + Nowy klucz tajny klienta.
  6. Dodaj opis wpisu tajnego i kliknij przycisk Dodaj.
  7. Skopiuj i zapisz wartość nowego wpisu tajnego.
  8. W przeglądzie rejestracji aplikacji skopiuj i zapisz identyfikator aplikacji (klienta) i identyfikator katalogu (dzierżawy).

Przypisywanie ról

Dostęp do zasobów magazynu można kontrolować, przypisując role do rejestracji aplikacji Microsoft Entra ID skojarzonej z kontem magazynu. W zależności od określonych wymagań może być konieczne przypisanie innych ról.

Aby przypisać role na koncie magazynu, musisz mieć rolę Właściciel lub Dostęp użytkowników Administracja istrator RBAC platformy Azure na koncie magazynu.

  1. W witrynie Azure Portal przejdź do usługi Konta magazynu.
  2. Wybierz konto usługi Azure Storage do użycia z tą rejestracją aplikacji.
  3. Kliknij pozycję Kontrola dostępu (Zarządzanie dostępem i tożsamościami).
  4. Kliknij pozycję + Dodaj i wybierz pozycję Dodaj przypisanie roli z menu rozwijanego.
  5. Ustaw pole Wybierz na nazwę aplikacji Microsoft Entra ID i ustaw pozycję Rola na Współautor danych obiektu blob usługi Storage.
  6. Kliknij przycisk Zapisz.

Aby włączyć dostęp do zdarzeń plików na koncie magazynu przy użyciu jednostki usługi, musisz mieć rolę właściciela lub dostępu użytkowników Administracja istrator roli RBAC platformy Azure w grupie zasobów platformy Azure, w której znajduje się konto usługi Azure Data Lake Storage Gen2.

  1. Wykonaj powyższe kroki i przypisz rolę Współautor danych kolejki magazynu i Współautor konta magazynu jednostki usługi.
  2. Przejdź do grupy zasobów platformy Azure, w ramach którego znajduje się twoje konto usługi Azure Data Lake Storage Gen2.
  3. Przejdź do pozycji Kontrola dostępu (zarządzanie dostępem i tożsamościami), kliknij pozycję + Dodaj i wybierz pozycję Dodaj przypisanie roli.
  4. Wybierz rolę EventGrid EventSubscription Contributor i kliknij przycisk Dalej.
  5. W obszarze Przypisz dostęp do wybierz pozycję Jednostka usługi.
  6. Kliknij pozycję +Wybierz członków, wybierz jednostkę usługi, a następnie kliknij pozycję Przejrzyj i przypisz.

Alternatywnie możesz ograniczyć dostęp, udzielając roli Współautor danych kolejki magazynu tylko jednostce usługi i udzielaniu żadnych ról grupie zasobów. W takim przypadku usługa Azure Databricks nie może skonfigurować zdarzeń plików w Twoim imieniu.