خريطة نماذج أمن هندسة علوم & البيانات إلى databricks SQL

توضح هذه المقالة كيفية تكوين مسؤولي Azure Databricks Databricks SQL في مساحة عمل التي تم تكوينها بالفعل الوصول إلى كائنات البيانات في & مساحة عمل "هندسة علوم البيانات". اتبع الخطوات الموجودة في المقطع الذي يتوافق مع طراز أمان الكتلة في & "هندسة علوم البيانات".

تكوين الوصول باستخدام الكتل الممكنة للتحكم في الوصول إلى الجدول

اتبع هذا الدليل إذا كنت تستخدم الكتل الممكنة للتحكم في الوصول إلى الجدول في مساحة عمل هندسة علوم البيانات وتريد & الوصول إلى البيانات من Databricks SQL.

بالنسبة للبيانات التي تريد الاستعلام عنها في Databricks SQL، يقوم المسؤولون بتكوين الوصول إلى التخزين السحابي الأساسي باستخدام أساس الخدمة. تشترك نقاط نهاية SQL البيانات في نفس بيانات اعتماد الوصول إلى التخزين السحابي.

المتطلبات

  • حساب Azure Databricks على خطة Premium.
  • SQL نقطة نهاية Databricks.
  • المجموعات التي تمثل المستخدمين الذين ستمنحهم حق الوصول إلى البيانات.

الخطوة 1: الحصول على التكوين الأساسي للخدمة من الكتل تمكين التحكم في الوصول إلى الجدول

يقوم مسؤولو Azure Databricks بتنفيذ هذه الخطوة في & مساحة عمل هندسة علوم البيانات.

لكل كتلة ممكنة للتحكم في الوصول إلى الجدول، انتقل إلى تكوين الكتلة ونسخ التكوين الأساسي للخدمة. تكوين الوصول إلى البيانات يحتوي على النموذج التالي:

spark.hadoop.fs.azure.account.auth.type.<storage-account-name>.dfs.core.windows.net OAuth
spark.hadoop.fs.azure.account.oauth.provider.type.<storage-account-name>.dfs.core.windows.net org.apache.hadoop.fs.azurebfs.oauth2.ClientCredsTokenProvider
spark.hadoop.fs.azure.account.oauth2.client.id.<storage-account-name>.dfs.core.windows.net <application-id>
spark.hadoop.fs.azure.account.oauth2.client.secret.<storage-account-name>.dfs.core.windows.net {{<secret-name>/<secret-scope>}}
spark.hadoop.fs.azure.account.oauth2.client.endpoint.<storage-account-name>.dfs.core.windows.net https://login.microsoftonline.com/<directory-id>/oauth2/token
  • معرف التطبيق: معرف يعرف تطبيق Azure AD بشكل فريد.
  • معرف الدليل: معرف يعرف بشكل فريد مثيل Azure AD (يسمى معرف الدليل (المستأجر) في Azure Databricks).
  • اسم النطاق: اسم النطاق السري الذي تم إنشاؤه.
  • الاسم السري: اسم السر الذي تم إنشاؤه.

الخطوة 2: تكوين البيانات SQL لاستخدام أساسيات الخدمة للوصول إلى البيانات

راجع تكوين SQL Databricks لاستخدام أساسيات الخدمة للوصول إلى البيانات.

تكوين الوصول باستخدام أساسيات الخدمة على مستوى الكتلة

اتبع الخطوات الموجودة في هذا المقطع إذا كنت تستخدم أساسيات الخدمة على مستوى الكتلة في مساحة عمل هندسة علوم البيانات وتريد & الوصول إلى البيانات من Databricks SQL.

بالنسبة للبيانات التي تريد الاستعلام عنها في Databricks SQL، يتم تكوين الوصول إلى التخزين السحابي الأساسي باستخدام أساس الخدمة. تشترك نقاط نهاية SQL Databricks في نفس أساسيات خدمة الوصول إلى التخزين السحابي.

ملاحظة

في Databricks SQL عنصر تحكم الوصول إلى الجدول هو نموذج الأمان الوحيد ويتم تمكين عنصر تحكم الوصول إلى الجدول دائما. في هندسة علوم & البيانات، يجب على مسؤولي Azure Databricks تمكين التحكم في الوصول إلى الجدول بشكل صريح.

المتطلبات

  • حساب Azure Databricks على خطة Premium.
  • SQL نقطة نهاية Databricks.
  • المجموعات التي تمثل المستخدمين الذين سيحصلون على الوصول إلى البيانات.

الخطوة 1: (اختياري) إنشاء أساس خدمة لكل حساب تخزين تخزين Azure بحيرة البيانات Gen2

ملاحظة

يمكنك إعادة استخدام أساسيات الخدمة الموجودة: يمكن إعادة استخدام أي أساس خدمة موجود مستخدم في مساحة عمل Data Science & Engineering ل Databricks SQL. لهذا الخيار، يمكنك تخطي هذه الخطوة.

توصي Databricks بإعادة استخدام مديري الخدمات الحاليين إذا تم تكوينهم على مستوى حساب التخزين أو منح الوصول الموجود على هذا المستوى.

راجع الخطوة 1: (اختياري) إنشاء أساس خدمة لكل حساب تخزين تخزين Azure بحيرة البيانات Gen2.

الخطوة 2: منح الوصول الأساسي لخدمة التخزين السحابي الأساسي

مسؤول Azure Databricks تنفيذ الخطوات التالية في المدخل Azure & ومساحة عمل هندسة علوم البيانات.

إذا قمت بإنشاء أساسيات خدمة جديدة، منحها حق الوصول إلى تخزين ADLS وتخطي الخطوات التالية.

إذا قمت بإعادة استخدام أساسيات الخدمة من & مساحة عمل "هندسة علوم البيانات"، اتبع الخطوات التالية:

  1. تحديد حسابات التخزين التي تريد الوصول إليها من Databricks SQL & ومستخدمي كتلة مساحة عمل هندسة البيانات المستخدمة للوصول إلى تلك البيانات.
  2. في & مساحة عمل هندسة علوم البيانات:
    1. انقر فوق حساب في الشريط الجانبي.

    2. حدد الكتلة المستخدمة للوصول إلى البيانات.

    3. توسيع الإعدادات المتقدمة.

    4. نسخ تكوين الوصول إلى البيانات من تكوين Spark. تكوين الوصول إلى البيانات يحتوي على النموذج التالي:

      spark.hadoop.fs.azure.account.auth.type.<storage-account-name>.dfs.core.windows.net OAuth
      spark.hadoop.fs.azure.account.oauth.provider.type.<storage-account-name>.dfs.core.windows.net org.apache.hadoop.fs.azurebfs.oauth2.ClientCredsTokenProvider
      spark.hadoop.fs.azure.account.oauth2.client.id.<storage-account-name>.dfs.core.windows.net <application-id>
      spark.hadoop.fs.azure.account.oauth2.client.secret.<storage-account-name>.dfs.core.windows.net {{<secret-name>/<secret-scope>}}
      spark.hadoop.fs.azure.account.oauth2.client.endpoint.<storage-account-name>.dfs.core.windows.net https://login.microsoftonline.com/<directory-id>/oauth2/token
      

لكل كتلة، لاحظ المجموعات التي لديها يمكن إرفاق أو امتيازات أعلى في الكتلة لإعلام عباراتك في الخطوة 4.

الخطوة 3: تكوين نقاط النهاية SQL لاستخدام أساس الخدمة للوصول إلى البيانات

راجع الخطوة 3: تكوين البيانات SQL لاستخدام أساسيات الخدمة للوصول إلى البيانات.

الخطوة 4: تعريف امتيازات الوصول إلى البيانات

راجع الخطوة 4: تعريف امتيازات الوصول إلى البيانات باستخدام عنصر تحكم الوصول إلى الجدول.

الخطوة 5: تعيين مالكي الكائنات

راجع الخطوة 5: (اختياري) تعيين مالك.

تكوين الوصول باستخدام الكتل المكونة لتمرير بيانات الاعتماد

اتبع الخطوات الموجودة في هذا المقطع إذا كنت تستخدم الكتل المكونة لتمرير بيانات الاعتماد في مساحة عمل هندسة علوم البيانات وتريد & الوصول إلى البيانات من Databricks SQL.

بالنسبة للبيانات التي تريد الاستعلام عنها في Databricks SQL، يتم تكوين الوصول إلى التخزين السحابي الأساسي باستخدام. Databricks SQL endpoints all share the same cloud storage access credentials.

المتطلبات

  • حساب Azure Databricks على خطة Premium.
  • SQL نقطة نهاية Databricks.
  • المجموعات التي تمثل المستخدمين الذين ستمنحهم حق الوصول إلى البيانات.

الخطوة 1: (اختياري) إنشاء أساس خدمة لكل حساب تخزين بحيرة البيانات Azure Gen2

ملاحظة

  • يمكنك إعادة استخدام أساسيات الخدمة الموجودة: يمكن إعادة استخدام أي أساس خدمة موجود مستخدم في مساحة عمل Data Science & Engineering ل Databricks SQL. لهذا الخيار، يمكنك تخطي هذه الخطوة.
  • توصي Databricks بإعادة استخدام مديري الخدمات الحاليين إذا تم تكوينهم على مستوى حساب التخزين أو منح الوصول الموجود على هذا المستوى.

راجع الخطوة 1: (اختياري) إنشاء أساس خدمة لكل حساب تخزين تخزين Azure بحيرة البيانات Gen2.

الخطوة 2: منح الوصول الأساسي لخدمة التخزين السحابي الأساسي

راجع الخطوة 2: منح أساسيات الخدمة الوصول إلى حسابات تخزين بحيرة البيانات Azure Gen2.

بالإضافة إلى ذلك، قم بتسجيل ACLs المستندة إلى الملفات لكل مجموعة لكل حساب تخزين لإعلام العبارات الخاصة بك GRANT في الخطوة 4.

الخطوة 3: تكوين نقاط النهاية SQL لاستخدام أساس الخدمة للوصول إلى البيانات

راجع الخطوة 3: تكوين البيانات SQL لاستخدام أساسيات الخدمة للوصول إلى البيانات.

الخطوة 4: تعريف امتيازات الوصول إلى البيانات

راجع الخطوة 4: تعريف امتيازات الوصول إلى البيانات باستخدام عنصر تحكم الوصول إلى الجدول.

الخطوة 5: تعيين مالكي الكائنات

راجع الخطوة 5: (اختياري) تعيين مالك.