Acessar o armazenamento usando uma entidade de serviço e o Microsoft Entra ID (Azure Active Directory)

Observação

Este artigo descreve padrões herdados para configurar o acesso ao Azure Data Lake Storage Gen2.

O Databricks recomenda usar identidades gerenciadas do Azure como credenciais de armazenamento do Catálogo do Unity, para se conectar ao Azure Data Lake Storage Gen2 em vez de entidades de serviço. As identidades gerenciadas têm o benefício de permitir que o Catálogo do Unity acesse contas de armazenamento protegidas por regras de rede, o que não é possível usando entidades de serviço, e eliminam a necessidade de gerenciar e girar segredos. Para obter mais informações, confira Usar as identidades gerenciadas do Azure no Catálogo do Unity para acessar o armazenamento.

Registrar um aplicativo com o Microsoft Entra ID (anteriormente Azure Active Directory) cria uma entidade de serviço que você pode usar para fornecer acesso às contas de armazenamento do Azure.

Em seguida, configure o acesso a essas entidades de serviço usando-as como credenciais de armazenamento no Catálogo do Unity ou credenciais armazenadas com segredos.

Registrar um aplicativo do Microsoft Entra ID

Registrar um aplicativo do Microsoft Entra ID (antigo Azure Active Directory) e atribuir permissões apropriadas criará uma entidade de serviço que pode acessar os recursos do Azure Data Lake Storage Gen2 ou do Armazenamento de Blobs.

Para registrar um aplicativo do Microsoft Entra ID, você deve ter a função de Application Administrator ou a permissão de Application.ReadWrite.All no Microsoft Entra ID.

1. No portal do Azure, acesse o serviço Microsoft Entra ID.
2. Em Gerenciar, clique em Registros de Aplicativo.
3. Clique em + Novo registro. Insira um nome para o aplicativo e clique em Registrar.
4. Clique em Certificados e segredos.
5. Clique em + Novo segredo do cliente
6. Adicione uma descrição para o segredo e clique em Adicionar.
7. Copie e salve o valor do novo segredo.
8. Na visão geral do registro de aplicativo, copie e salve a ID do aplicativo (cliente)e a ID do diretório (locatário).

Atribuir funções

Você controla o acesso aos recursos de armazenamento atribuindo funções a um registro de aplicativo do Microsoft Entra ID associado à conta de armazenamento. Talvez você precise de outras funções, dependendo dos requisitos específicos.

Para atribuir funções em uma conta de armazenamento, você deve ter a função RBAC do Administrador de Acesso do Usuário do Azure ou Proprietário na conta de armazenamento.

1. No portal do Azure, vá para o serviço Contas de armazenamento.
2. Selecione a conta de armazenamento do Azure a ser usada com esse registro de aplicativo.
3. Clique em Controle de Acesso (IAM).
4. Clique em + Adicionare selecione Adicionar atribuição de função no menu suspenso.
5. Defina o campo Selecionar para o nome do aplicativo do Microsoft Entra ID e defina a Função como Colaborador de dados de BLOB de armazenamento.
6. Clique em Save (Salvar).

Para habilitar o acesso aos eventos de arquivo na conta de armazenamento usando a entidade de serviço, você deve ter a função RBAC do Administrador de Acesso do Usuário do Azure ou Proprietário no grupo de recursos do Azure, em que sua conta do Azure Data Lake Storage Gen2 está.

1. Siga as etapas acima e atribua o Colaborador de Dados da Fila de Armazenamento e as funções Colaborador da Conta de Armazenamento da entidade de serviço.
2. Navegue até o grupo de recursos do Azure no qual sua conta do Azure Data Lake Storage Gen2 está.
3. Acesse Controle de Acesso (IAM), clique em + Adicionar e selecione Adicionar atribuição de função.
4. Selecione a função Colaborador de EventGrid EventSubscription e clique em Avançar.
5. Em Atribuir acesso, selecione Entidade de Serviço.
6. Clique em +Selecionar Membros, selecione sua entidade de serviço e clique em Examinar e Atribuir.

Como alternativa, limite o acesso concedendo apenas à função Colaborador de Dados da Fila de Armazenamento a entidade de serviço e não concedendo funções ao grupo de recursos. Nesse caso, o Azure Databricks não pode configurar eventos de arquivo em seu nome.