Поделиться через

Доступ к хранилищу с помощью субъекта-службы и идентификатора Microsoft Entra (Azure Active Directory)

  • Статья

Примечание.

В этой статье описываются устаревшие шаблоны для настройки доступа к Azure Data Lake Storage 2-го поколения.

Databricks рекомендует использовать управляемые удостоверения Azure в качестве учетных данных хранилища каталога Unity для подключения к Azure Data Lake Storage 2-го поколения вместо субъектов-служб. Управляемые удостоверения имеют преимущество, позволяя каталогу Unity получать доступ к учетным записям хранения, защищенным правилами сети, что невозможно с помощью субъектов-служб, и они удаляют необходимость управления и смены секретов. Дополнительные сведения см. в статье Об использовании управляемых удостоверений Azure в каталоге Unity для доступа к хранилищу.

Регистрация приложения с помощью идентификатора Microsoft Entra создает субъект-службу, который можно использовать для предоставления доступа к учетным записям хранения Azure.

Затем вы можете настроить доступ к этим субъектам-службам, используя их в качестве учетных данных хранения в каталоге Unity или учетных данных, хранящихся с секретами.

Регистрация приложения идентификатора Microsoft Entra

Регистрация приложения Microsoft Entra ID (ранее Azure Active Directory) и назначение соответствующих разрешений создаст субъект-службу, который может получить доступ к ресурсам хранилища Azure Data Lake Storage 2-го поколения или BLOB-объектов.

Чтобы зарегистрировать приложение идентификатора Microsoft Entra, необходимо иметь Application Administrator роль или Application.ReadWrite.All разрешение в идентификаторе Microsoft Entra.

  1. В портал Azure перейдите в службу идентификатора Microsoft Entra.
  2. В разделе Управление щелкните Регистрация приложений.
  3. Щелкните + Новая регистрация. Введите имя приложения и щелкните Зарегистрировать.
  4. Щелкните " Сертификаты и секреты".
  5. Щелкните + Создать секрет клиента.
  6. Добавьте описание секрета и нажмите кнопку Добавить.
  7. Скопируйте и сохраните значение для нового секрета.
  8. В обзоре регистрации приложения скопируйте и сохраните Идентификатор приложения (клиента) и Идентификатор каталога (клиента).

Назначение ролей

Вы управляете доступом к ресурсам хранилища путем назначения ролей регистрации приложения Идентификатора Майкрософт, связанной с учетной записью хранения. В зависимости от конкретных требований может потребоваться назначить другие роли.

Чтобы назначить роли в учетной записи хранения, необходимо иметь роль владельца или администратора доступа пользователей Azure RBAC в учетной записи хранения.

  1. На портале Azure перейдите в службу Учетные записи хранения.
  2. Выберите учетную запись Azure, которая будет использоваться с этой регистрацией приложения.
  3. Выберите Управление доступом (IAM).
  4. Щелкните + Добавить, а затем выберите Добавить назначение ролей в раскрывающееся меню.
  5. Задайте для поля Select имя приложения идентификатора Microsoft Entra ID и задайте роль участнику данных BLOB-объектов хранилища.
  6. Нажмите кнопку Сохранить.

Чтобы включить доступ к событиям файлов в учетной записи хранения с помощью субъекта-службы, необходимо иметь роль владельца или администратора доступа пользователей Azure RBAC в группе ресурсов Azure, в которую находится ваша учетная запись Azure Data Lake Storage 2-го поколения.

  1. Выполните описанные выше действия и назначьте участника данных очереди хранилища и роли участника учетной записи хранения субъект-службу.
  2. Перейдите к группе ресурсов Azure, в которой находится учетная запись Azure Data Lake Storage 2-го поколения.
  3. Выберите Управление доступом (IAM), щелкните + Добавить и выберите Добавить назначение роли.
  4. Выберите роль участника EventGrid EventSubscription и нажмите кнопку "Далее".
  5. В разделе "Назначение доступа" выберите субъект-служба.
  6. Нажмите кнопку +Выбрать участников, выберите субъект-службу и нажмите кнопку "Рецензирование" и " Назначить".

Кроме того, можно ограничить доступ, предоставив роль участника данных очереди хранилища субъекту-службе и не предоставляя ролей группе ресурсов. В этом случае Azure Databricks не может настраивать события файлов от вашего имени.