Azure Data Lake Storage bağlanmak için bir depolama kimlik bilgisi oluşturma

Bu sayfada, Azure Data Lake Storage bağlanmak için Unity Kataloğu'nda depolama kimlik bilgilerinin nasıl oluşturulacağı açıklanır. Unity Kataloğu tarafından desteklenen diğer bulut depolama seçenekleri hakkında bilgi için bkz. Unity Kataloğu tarafından desteklenen bulut depolama seçenekleri.

Depolama kimlik bilgileri, bulut depolamaya erişim sağlayan uzun vadeli bir bulut kimlik bilgisi içerir. Dış depolamaya erişimi yönetmek için Unity Kataloğu'nda dış konumlar oluşturduğunuzda bulut depolama yolu ile birlikte depolama kimlik bilgilerine başvurursunuz.

Azure Data Lake Storage'a erişim sağlayan bir depolama kimlik bilgisi oluşturma

Depolama kapsayıcınıza erişim yetkisi veren kimlik olarak ya Azure yönetilen kimlik ya da hizmet önceliği kullanabilirsiniz. Yönetilen kimlikler kesinlikle önerilir. Unity Kataloğu'nun ağ kurallarıyla korunan depolama hesaplarına erişmesine izin verme avantajına sahiptir, bu da hizmet sorumluları kullanılarak mümkün değildir ve ayrıca gizli dizileri yönetme ve döndürme gereksinimini ortadan kaldırır. Hizmet sorumlusu kullanmak istiyorsanız, Hizmet sorumlusu (eski) kullanarak Unity Kataloğu yönetilen depolama alanı oluşturma bölümüne bakın.

Gereksinimler

Azure Databricks:

• Unity Kataloğu için etkinleştirilen Azure Databricks çalışma alanı.
• CREATE STORAGE CREDENTIAL ayrıcalığı, çalışma alanına bağlı Unity Catalog meta veri deposunda. Hesap yöneticileri ve meta veri deposu yöneticileri varsayılan olarak bu ayrıcalığı alır.

Azure kiracınızda:

• Azure Data Lake Storage depolama kapsayıcısı. Çıkış ücretlerini önlemek için bu, verilere erişmek istediğiniz çalışma alanıyla aynı bölgede olmalıdır.

  Azure Data Lake Storage depolama hesabının hiyerarşik ad alanı olmalıdır.

• Azure kaynak grubunun katkıda bulunanı veya sahibi.

• Depolama hesabının sahibi veya Azure RBAC rolüyle Kullanıcı Erişim Yöneticisi olan bir kullanıcı.

Depolama kimlik bilgilerini oluşturma

1. Azure portalında bir Azure Databricks erişim bağlayıcısı oluşturun ve Unity Kataloğu için yönetilen kimlik yapılandırma yönergelerini kullanarak erişmek istediğiniz depolama kapsayıcısına erişim izinleri atayın.

   Azure Databricks erişim bağlayıcısı, yönetilen kimlikleri bir Azure Databricks hesabına bağlamanızı sağlayan birinci taraf bir Azure kaynağıdır. Depolama kimlik bilgilerini eklemek için Azure erişim bağlayıcısı kaynağında Contributor rolüne veya daha yüksek bir role sahip olmanız gerekir.

   Erişim bağlayıcısının kaynak kimliğini not edin.

2. Unity Kataloğu özellikli Azure Databricks çalışma alanınızda CREATE STORAGE CREDENTIAL ayrıcalığına sahip bir kullanıcı olarak oturum açın.

   Meta veri deposu yöneticisi ve hesap yöneticisi rolleri bu ayrıcalığı içerir.

3. Kenar çubuğunda Katalog'a gidin.

4. Bağlan>Kimlik Bilgileri'ne tıklayın.

5. Kimlik bilgisi oluştur'u seçin.

6. Depolama kimlik bilgilerini seçin.

7. Credential Type olarak Azure Managed Identity seçin.

8. Kimlik bilgileri için bir ad girin ve erişim bağlayıcısının kaynak kimliğini şu biçimde girin:

   /subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.Databricks/accessConnectors/<connector-name>
   

9. (İsteğe bağlı) Erişim bağlayıcısını kullanıcı tarafından atanan bir yönetilen kimlik kullanarak oluşturduysanız, Kullanıcı tarafından atanan yönetilen kimlik kimliği alanına yönetilen kimliğin kaynak kimliğini şu biçimde girin:

   /subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<managed-identity-name>
   

10. (İsteğe bağlı) Kullanıcıların bu depolama kimlik bilgilerini kullanan dış konumlara salt okunur erişimi olmasını istiyorsanız Salt okunur'a tıklayın. Daha fazla bilgi için Depolama kimlik bilgisini salt okunur olarak işaretleme kısmına bakın.

11. Oluştur’a tıklayın.

12. (İsteğe bağlı) Depolama kimlik bilgilerini belirli çalışma alanlarına bağlayın.

    Varsayılan olarak, tüm ayrıcalıklı kullanıcılar meta veri deposuna bağlı herhangi bir çalışma alanında depolama kimlik bilgilerini kullanabilir. Yalnızca belirli çalışma alanlarından erişime izin vermek istiyorsanız, Çalışma Alanları sekmesine gidin ve çalışma alanları atayın. Bkz. (İsteğe bağlı) Belirli çalışma alanlarına depolama kimlik bilgisi atama.

13. Bu depolama kimlik bilgilerine başvuran bir dış konum oluşturun.

(İsteğe bağlı) Belirli çalışma alanlarına depolama kimlik bilgisi atama

Varsayılan olarak, bir depolama kimlik bilgilerine meta veri deposundaki tüm çalışma alanlarından erişilebilir. Bu, bir kullanıcıya söz konusu depolama kimlik bilgileri üzerinde bir ayrıcalık (örneğin CREATE EXTERNAL LOCATION) verilmişse, meta veri deposuna bağlı herhangi bir çalışma alanından bu ayrıcalığı kullanabileceği anlamına gelir. Kullanıcı veri erişimini yalıtmak için çalışma alanları kullanıyorsanız, depolama kimlik bilgilerine yalnızca belirli çalışma alanlarından erişim izni vermek isteyebilirsiniz. Bu özellik çalışma alanı bağlaması veya depolama kimlik bilgisi yalıtımı olarak bilinir.

Depolama kimlik bilgilerini belirli çalışma alanlarına bağlamaya yönelik tipik bir kullanım örneği, bulut yöneticisinin üretim bulut hesabı kimlik bilgilerini kullanarak depolama kimlik bilgilerini yapılandırdığı ve Azure Databricks kullanıcıların bu kimlik bilgilerini yalnızca üretim çalışma alanında dış konumlar oluşturmak için kullandığından emin olmak istediğiniz senaryodur.

Çalışma alanı bağlama hakkında daha fazla bilgi için bkz . (İsteğe bağlı) Belirli çalışma alanlarına dış konum atama ve Katalog erişimini belirli çalışma alanlarıyla sınırlama.

Not

Çalışma alanı bağlamalarına, depolama kimlik bilgilerine karşı ayrıcalıklar kullanıldığında başvurulur. Örneğin, bir kullanıcı depolama kimlik bilgilerini kullanarak bir dış konum oluşturursa, depolama kimlik bilgilerindeki çalışma alanı bağlaması yalnızca dış konum oluşturulduğunda denetlener. Dış konum oluşturulduktan sonra, depolama kimlik bilgileri üzerinde yapılandırılan çalışma alanı bağlamalarından bağımsız olarak çalışır.

Depolama kimlik bilgilerini bir veya daha fazla çalışma alanına bağlama

Belirli çalışma alanlarına depolama kimlik bilgileri atamak için Katalog Gezgini'ni veya Databricks CLI'yi kullanabilirsiniz.

Gerekli İzinler: Meta veri deposu yöneticisi, depolama kimlik bilgisi sahibi veya depolama kimlik bilgisi üzerinde MANAGE.

Not

Meta veri deposu yöneticileri Katalog Gezgini'ni kullanarak bir meta veri deposundaki tüm depolama kimlik bilgilerini görebilir ve depolama kimlik bilgileri sahipleri, depolama kimlik bilgilerinin geçerli çalışma alanına atanıp atanmadığından bağımsız olarak bir meta veri deposunda sahip oldukları tüm depolama kimlik bilgilerini görebilir. Çalışma alanına atanmamış depolama kimlik bilgileri gri renkte görünür.

Katalog Gezgini

1. Meta veri deposuyla bağlantılı bir çalışma alanına giriş yapın.

2. Kenar çubuğunda Katalog'a gidin.

3. Bağlan>Kimlik Bilgileri'ne tıklayın.

4. Depolama kimlik bilgilerini seçin ve Çalışma Alanları sekmesine gidin.

5. Çalışma Alanları sekmesinde Tüm çalışma alanlarının erişimi var onay kutusunu temizleyin.

   Depolama kimlik bilgileriniz zaten bir veya daha fazla çalışma alanına bağlıysa, bu onay kutusu zaten temizlenir.

6. Çalışma alanlarına ata'ya tıklayın ve atamak istediğiniz çalışma alanlarını girin veya bulun.

Erişimi iptal etmek için Çalışma Alanları sekmesine gidin, çalışma alanını seçin ve İptal Et'e tıklayın. Tüm çalışma alanlarından erişime izin vermek için Tüm çalışma alanlarının erişimi var onay kutusunu seçin.

CLI

İki Databricks CLI komut grubu ve çalışma alanına depolama kimlik bilgisi atamak için gereken iki adım vardır.

Aşağıdaki örneklerde <profile-name> yerine Azure Databricks kimlik doğrulama yapılandırma profilinizin adını yazın. Kişisel erişim belirtecini oluşturduğunuz çalışma alanının adı ve kimliğinin yanı sıra, kişisel erişim belirtecinin değerini de içermelidir. Bkz Kişisel erişim belirteci kimlik doğrulaması (eski).

1. storage-credentials Depolama kimlik bilgilerini updateisolation modeolarak ayarlamak için komut grubunun ISOLATED komutunu kullanın:

   databricks storage-credentials update <my-storage-credential> \
   --isolation-mode ISOLATED \
   --profile <profile-name>
   

   Varsayılan isolation-mode, meta veri deposuna bağlı tüm çalışma alanlarında OPEN olarak ayarlanmıştır.

2. workspace-bindings Çalışma alanlarını depolama kimlik bilgilerine atamak için komut grubunun update-bindings komutunu kullanın:

   databricks workspace-bindings update-bindings storage-credential <my-storage-credential> \
   --json '{
     "add": [{"workspace_id": <workspace-id>}...],
     "remove": [{"workspace_id": <workspace-id>}...]
   }' --profile <profile-name>
   

   "add" ve "remove" özelliklerini, çalışma alanı bağlamalarını eklemek veya kaldırmak için kullanın.

   Not

   Depolama kimlik bilgileri için salt okunur bağlama (BINDING_TYPE_READ_ONLY) kullanılamaz. Bu nedenle, depolama kimlik bilgileri bağlaması için ayarlamak binding_type için bir neden yoktur.

Depolama kimlik bilgileri için tüm çalışma alanı atamalarını listelemek amacıyla workspace-bindings komut grubunun get-bindings komutunu kullanın.

databricks workspace-bindings get-bindings storage-credential <my-storage-credential> \
--profile <profile-name>

Çalışma alanından depolama kimlik bilgilerini çöz

Katalog Gezgini'ni veya workspace-bindings CLI komut grubunu kullanarak bir depolama kimlik bilgilerine çalışma alanı erişimini iptal etme yönergeleri, Depolama kimlik bilgilerini bir veya daha fazla çalışma alanına bağlama bölümüne eklenir.

Sonraki adımlar

• Diğer kullanıcılara depolama kimlik bilgilerini görüntüleme, güncelleştirme, silme ve kullanma izni verme. Bkz. Depolama kimlik bilgilerini yönetme.

• Depolama kimlik bilgilerini kullanarak dış konumları tanımlayın. Bkz. Bulut depolamayı Azure Databricks bağlamak için dış konum oluşturma.