Azure Data Lake Storage 2. Nesil bağlanmak için depolama kimlik bilgileri oluşturma

Makale
05/24/2024

Bu makalede, Azure Data Lake Storage 2. Nesil bağlanmak için Unity Kataloğu'nda depolama kimlik bilgilerinin nasıl oluşturulacağı açıklanır.

Unity Kataloğu, tabloları ve birimleri barındıran temel bulut depolamasına erişimi yönetmek için aşağıdaki nesne türlerini kullanır:

Depolama kimlik bilgileri, bulut depolamaya erişim sağlayan uzun vadeli bir bulut kimlik bilgilerini kapsüller.
Dış konumlar , depolama kimlik bilgilerine ve bulut depolama yoluna başvuru içerir.

Daha fazla bilgi için bkz. Unity Kataloğu'nu kullanarak bulut nesne depolamaya Bağlan.

Unity Kataloğu, Azure Databricks için iki bulut depolama seçeneğini destekler: Azure Data Lake Storage 2. Nesil kapsayıcılar ve Cloudflare R2 demetleri. Cloudflare R2, veri çıkış ücretlerinden kaçınmak istediğiniz Delta Sharing kullanım örneklerine yöneliktir. Azure Data Lake Storage 2. Nesil diğer kullanım örneklerinin çoğu için uygundur. Bu makalede, Azure Data Lake Storage 2. Nesil kapsayıcılar için depolama kimlik bilgileri oluşturmaya odaklanmaktadır. Cloudflare R2 için bkz . Cloudflare R2'ye bağlanmak için depolama kimlik bilgisi oluşturma.

Azure Data Lake Storage 2. Nesil kapsayıcısına erişim için bir depolama kimlik bilgisi oluşturmak için, Azure yönetilen kimliğine başvuran ve depolama kapsayıcısına izinler atayan bir Azure Databricks erişim bağlayıcısı oluşturursunuz. Ardından bu erişim bağlayıcısını depolama kimlik bilgisi tanımında başvurursunuz.

Gereksinimler

Azure Databricks'te:

Unity Kataloğu için etkinleştirilen Azure Databricks çalışma alanı.
CREATE STORAGE CREDENTIAL ayrıcalığına bağlı Unity Kataloğu meta veri deposunda. Hesap yöneticileri ve meta veri deposu yöneticileri varsayılan olarak bu ayrıcalığı alır.

Not

Yönetilen kimlik kullanan bir depolama kimlik bilgisi oluşturmak için hizmet sorumlularının hesap yöneticisi rolüne sahip olması gerekir. Hizmet sorumlusuna temsilci seçemezsiniz CREATE STORAGE CREDENTIAL . Bu, hem Azure Databricks hizmet sorumluları hem de Microsoft Entra Id (eski adıyla Azure Active Directory) hizmet sorumluları için geçerlidir.

Azure kiracınızda:

Verilere erişmek istediğiniz çalışma alanıyla aynı bölgedeki Azure Data Lake Storage 2. Nesil depolama kapsayıcısı.

Azure Data Lake Storage 2. Nesil depolama hesabının hiyerarşik ad alanı olmalıdır.
Azure kaynak grubunun katkıda bulunanı veya sahibi.
Depolama hesabında Kullanıcı Erişimi Yönetici istrator Azure RBAC rolüne sahip bir kullanıcı veya sahip.

Yönetilen kimlik kullanarak depolama kimlik bilgisi oluşturma

Depolama kapsayıcınıza erişim yetkisi veren kimlik olarak Azure yönetilen kimliği veya hizmet sorumlusu kullanabilirsiniz. Yönetilen kimlikler kesinlikle önerilir. Unity Kataloğu'nun ağ kurallarıyla korunan depolama hesaplarına erişmesine izin verme avantajına sahiptir. Bu, hizmet sorumluları kullanılarak mümkün değildir ve gizli dizileri yönetme ve döndürme gereksinimini ortadan kaldırır. Hizmet sorumlusu kullanmak istiyorsanız bkz . Hizmet sorumlusu (eski) kullanarak Unity Kataloğu yönetilen depolama alanı oluşturma.

Azure portalında, Unity Kataloğu için yönetilen kimlik yapılandırma başlığındaki yönergeleri kullanarak bir Azure Databricks erişim bağlayıcısı oluşturun ve erişmek istediğiniz depolama kapsayıcısında bu bağlayıcıya izinler atayın.

Azure Databricks erişim bağlayıcısı, yönetilen kimlikleri bir Azure Databricks hesabına bağlamanızı sağlayan birinci taraf bir Azure kaynağıdır. Depolama kimlik bilgilerini eklemek için Azure'daki erişim bağlayıcısı kaynağında Katkıda Bulunan rolüne veya daha yüksek bir role sahip olmanız gerekir.

Erişim bağlayıcısının kaynak kimliğini not edin.
Unity Kataloğu özellikli Azure Databricks çalışma alanınızda ayrıcalığı olan CREATE STORAGE CREDENTIAL bir kullanıcı olarak oturum açın.

Meta veri deposu yöneticisi ve hesap yöneticisi rolleri bu ayrıcalığı içerir. Hizmet sorumlusu olarak oturum açtıysanız (Microsoft Entra Kimliği veya yerel Azure Databricks hizmet sorumlusu) yönetilen kimlik kullanan bir depolama kimlik bilgisi oluşturmak için hesap yöneticisi rolüne sahip olmanız gerekir.
Katalog'a tıklayın.
+Ekle düğmesine tıklayın ve menüden Depolama kimlik bilgisi ekle'yi seçin.

Ayrıcalığınız yoksa CREATE STORAGE CREDENTIAL bu seçenek görünmez.
Azure Yönetilen Kimliği kimlik bilgisi türünü seçin.

Kimlik bilgileri için bir ad girin ve erişim bağlayıcısının kaynak kimliğini şu biçimde girin:

/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.Databricks/accessConnectors/<connector-name>

(İsteğe bağlı) Erişim bağlayıcısını kullanıcı tarafından atanan bir yönetilen kimlik kullanarak oluşturduysanız, Kullanıcı tarafından atanan yönetilen kimlik kimliği alanına yönetilen kimliğin kaynak kimliğini şu biçimde girin:
```
/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<managed-identity-name>
```
(İsteğe bağlı) Kullanıcıların bu depolama kimlik bilgilerini kullanan dış konumlara salt okunur erişimi olmasını istiyorsanız Salt okunur'a tıklayın. Daha fazla bilgi için bkz . Depolama kimlik bilgilerini salt okunur olarak işaretleme.
Kaydet'e tıklayın.
(İsteğe bağlı) Depolama kimlik bilgilerini belirli çalışma alanlarına bağlayın.

Varsayılan olarak, tüm ayrıcalıklı kullanıcılar meta veri deposuna bağlı herhangi bir çalışma alanında depolama kimlik bilgilerini kullanabilir. Yalnızca belirli çalışma alanlarından erişime izin vermek istiyorsanız, Çalışma Alanları sekmesine gidin ve çalışma alanları atayın. Bkz. (İsteğe bağlı) Belirli çalışma alanlarına depolama kimlik bilgisi atama.
Bu depolama kimlik bilgilerine başvuran bir dış konum oluşturun.

(İsteğe bağlı) Belirli çalışma alanlarına depolama kimlik bilgisi atama

Önemli

Bu özellik Genel Önizlemededir.

Varsayılan olarak, bir depolama kimlik bilgilerine meta veri deposundaki tüm çalışma alanlarından erişilebilir. Bu, bir kullanıcıya söz konusu depolama kimlik bilgileri üzerinde bir ayrıcalık (örneğin CREATE EXTERNAL LOCATION) verilmişse, meta veri deposuna bağlı herhangi bir çalışma alanından bu ayrıcalığı kullanabileceği anlamına gelir. Kullanıcı veri erişimini yalıtmak için çalışma alanları kullanıyorsanız, depolama kimlik bilgilerine yalnızca belirli çalışma alanlarından erişim izni vermek isteyebilirsiniz. Bu özellik çalışma alanı bağlaması veya depolama kimlik bilgisi yalıtımı olarak bilinir.

Depolama kimlik bilgilerini belirli çalışma alanlarına bağlamaya yönelik tipik bir kullanım örneği, bulut yöneticisinin üretim bulut hesabı kimlik bilgilerini kullanarak depolama kimlik bilgilerini yapılandırdığı ve Azure Databricks kullanıcılarının bu kimlik bilgilerini yalnızca üretim çalışma alanında dış konumlar oluşturmak için kullandığından emin olmak istediğiniz senaryodur.

Çalışma alanı bağlama hakkında daha fazla bilgi için bkz . (İsteğe bağlı) Belirli çalışma alanlarına dış konum atama ve Çalışma alanı kataloğu bağlama örneği.

Not

Depolama kimlik bilgilerine karşı ayrıcalıklar kullanıldığında çalışma alanı bağlamalarına başvurulur. Örneğin, bir kullanıcı depolama kimlik bilgilerini kullanarak bir dış konum oluşturursa, depolama kimlik bilgilerindeki çalışma alanı bağlaması yalnızca dış konum oluşturulduğunda denetlener. Dış konum oluşturulduktan sonra, depolama kimlik bilgileri üzerinde yapılandırılan çalışma alanı bağlamalarından bağımsız olarak çalışır.

Depolama kimlik bilgilerini bir veya daha fazla çalışma alanına bağlama

Belirli çalışma alanlarına depolama kimlik bilgileri atamak için Katalog Gezgini'ni veya Unity Kataloğu REST API'sini kullanabilirsiniz.

Gerekli izinler: Meta veri deposu yöneticisi veya depolama kimlik bilgisi sahibi.

Not

Meta veri deposu yöneticileri Katalog Gezgini'ni kullanarak bir meta veri deposundaki tüm depolama kimlik bilgilerini görebilir ve depolama kimlik bilgileri sahipleri, depolama kimlik bilgilerinin geçerli çalışma alanına atanıp atanmadığından bağımsız olarak bir meta veri deposunda sahip oldukları tüm depolama kimlik bilgilerini görebilir. Çalışma alanına atanmamış Depolama kimlik bilgileri gri görünür.

Katalog gezgini

Meta veri deposuna bağlı bir çalışma alanında oturum açın.
Kenar çubuğunda Katalog'a tıklayın.
Ekranın alt kısmında Dış Veri > Depolama kimlik bilgileri'ne tıklayın.
Depolama kimlik bilgilerini seçin ve Çalışma Alanları sekmesine gidin.
Çalışma Alanları sekmesinde Tüm çalışma alanlarının erişimi var onay kutusunu temizleyin.

Depolama kimlik bilgileriniz zaten bir veya daha fazla çalışma alanına bağlıysa, bu onay kutusu zaten temizlenir.
Çalışma alanlarına ata'ya tıklayın ve atamak istediğiniz çalışma alanlarını girin veya bulun.

Erişimi iptal etmek için Çalışma Alanları sekmesine gidin, çalışma alanını seçin ve İptal Et'e tıklayın. Tüm çalışma alanlarından erişime izin vermek için Tüm çalışma alanlarının erişimi var onay kutusunu seçin.

Api

Bir çalışma alanına depolama kimlik bilgisi atamak için iki API ve iki adım gerekir. Aşağıdaki örneklerde değerini çalışma alanı örneğinizin adıyla değiştirin <workspace-url> . Çalışma alanı örneği adını ve çalışma alanı kimliğini almayı öğrenmek için bkz . Çalışma alanı nesnelerinin tanımlayıcılarını alma. Erişim belirteçlerini alma hakkında bilgi edinmek için bkz . Azure Databricks otomasyonu için kimlik doğrulaması - genel bakış.

catalogs Depolama kimlik bilgilerini olarak ayarlamak için ISOLATEDAPI'yi isolation mode kullanın:

curl -L -X PATCH 'https://<workspace-url>/api/2.1/unity-catalog/storage-credentials/<my-storage-credential> \
-H 'Authorization: Bearer <my-token> \
-H 'Content-Type: application/json' \
--data-raw '{
 "isolation_mode": "ISOLATED"
 }'

Varsayılan değer isolation mode , OPEN meta veri deposuna bağlı tüm çalışma alanlarıdır.

Çalışma alanlarını kataloğa atamak için güncelleştirme bindings API'sini kullanın:
```
curl -L -X PATCH 'https://<workspace-url>/api/2.1/unity-catalog/bindings/storage-credentials/<my-storage-credential> \
-H 'Authorization: Bearer <my-token> \
-H 'Content-Type: application/json' \
--data-raw '{
  "add": [{"workspace_id": <workspace-id>,...],
  "remove": [{"workspace_id": <workspace-id>,...]
}'
```
"add" Çalışma alanı bağlamaları eklemek veya kaldırmak için ve "remove" özelliklerini kullanın.

.. not:: Depolama kimlik bilgileri için salt okunur bağlama (BINDING_TYPE_READ_ONLY) kullanılamaz. Bu nedenle, depolama kimlik bilgisi bağlaması için bağlama türünü ayarlamak için bir neden yoktur.

Depolama kimlik bilgilerine yönelik tüm çalışma alanı atamalarını listelemek için liste bindings API'sini kullanın:

   curl -L -X GET 'https://<workspace-url>/api/2.1/unity-catalog/bindings/storage-credentials/<my-storage-credential> \
   -H 'Authorization: Bearer <my-token> \

Çalışma alanından depolama kimlik bilgilerini bağlama

Katalog Gezgini'ni veya bindings API'yi kullanarak bir depolama kimlik bilgilerine çalışma alanı erişimini iptal etme yönergeleri, Depolama kimlik bilgilerini bir veya daha fazla çalışma alanına bağlama bölümüne eklenir.

Sonraki adımlar

Diğer kullanıcılara depolama kimlik bilgilerini kullanma iznini görüntüleyebilir, güncelleştirebilir, silebilir ve ve vekleyebilirsiniz. Bkz. Depolama kimlik bilgilerini yönetme.

Depolama kimlik bilgilerini kullanarak dış konumlar tanımlayabilirsiniz. Bkz. Bulut depolamayı Azure Databricks'e bağlamak için dış konum oluşturma.

Aracılığıyla paylaş