Share via

Vytvoření přihlašovacích údajů úložiště pro připojení k Azure Data Lake Storage Gen2

  • Článek

Tento článek popisuje, jak vytvořit přihlašovací údaje úložiště v katalogu Unity pro připojení k Azure Data Lake Storage Gen2.

Ke správě přístupu k podkladovému cloudovému úložišti, které obsahuje tabulky a svazky, používá Katalog Unity následující typy objektů:

  • Přihlašovací údaje úložiště zapouzdřují dlouhodobé přihlašovací údaje cloudu, které poskytují přístup ke cloudovému úložišti.
  • Externí umístění obsahují odkaz na přihlašovací údaje úložiště a cestu cloudového úložiště.

Další informace najdete v tématu Připojení do cloudového úložiště objektů pomocí katalogu Unity.

Unity Catalog podporuje dvě možnosti cloudového úložiště pro Azure Databricks: kontejnery Azure Data Lake Storage Gen2 a kontejnery Cloudflare R2. Cloudflare R2 je určen především pro případy použití rozdílového sdílení, ve kterých se chcete vyhnout poplatkům za výchozí přenos dat. Azure Data Lake Storage Gen2 je vhodný pro většinu ostatních případů použití. Tento článek se zaměřuje na vytváření přihlašovacích údajů úložiště pro kontejnery Azure Data Lake Storage Gen2. Informace o Cloudflare R2 najdete v tématu Vytvoření přihlašovacích údajů úložiště pro připojení ke Cloudflare R2.

Pokud chcete vytvořit přihlašovací údaje úložiště pro přístup ke kontejneru Azure Data Lake Storage Gen2, vytvoříte přístupový konektor Azure Databricks, který odkazuje na spravovanou identitu Azure a přiřadí jí oprávnění ke kontejneru úložiště. Potom na tento přístupový konektor odkazujete v definici přihlašovacích údajů úložiště.

Požadavky

V Azure Databricks:

  • Pracovní prostor Azure Databricks povolený pro katalog Unity

  • CREATE STORAGE CREDENTIAL oprávnění k metastoru katalogu Unity připojenému k pracovnímu prostoru. Správci účtů a správci metastoru mají ve výchozím nastavení toto oprávnění.

    Poznámka:

    Instanční objekty musí mít roli správce účtu, aby bylo možné vytvořit přihlašovací údaje úložiště, které používají spravovanou identitu. Instančnímu objektu nemůžete delegovat CREATE STORAGE CREDENTIAL . To platí pro instanční objekty Azure Databricks i instanční objekty Microsoft Entra ID (dříve Azure Active Directory).

Ve vašem tenantovi Azure:

  • Kontejner úložiště Azure Data Lake Storage Gen2 ve stejné oblasti jako pracovní prostor, ze kterého chcete získat přístup k datům.

    Účet úložiště Azure Data Lake Storage Gen2 musí mít hierarchický obor názvů.

  • Přispěvatel nebo vlastník skupiny prostředků Azure

  • Vlastník nebo uživatel s rolí Uživatelský přístup Správa istrator Azure RBAC v účtu úložiště.

Vytvoření přihlašovacích údajů úložiště pomocí spravované identity

Jako identitu, která autorizuje přístup k kontejneru úložiště, můžete použít spravovanou identitu Azure nebo instanční objekt. Spravované identity se důrazně doporučují. Mají výhodu, že katalogu Unity umožňují přístup k účtům úložiště chráněným pravidly sítě, což není možné pomocí instančních objektů, a odeberou potřebu správy a obměny tajných kódů. Pokud chcete použít instanční objekt, přečtěte si téma Vytvoření spravovaného úložiště Katalogu Unity pomocí instančního objektu (starší verze).

  1. Na webu Azure Portal vytvořte přístupový konektor Azure Databricks a přiřaďte ho oprávnění ke kontejneru úložiště, ke kterému chcete získat přístup, pomocí pokynů v tématu Konfigurace spravované identity pro katalog Unity.

    Přístupový konektor Azure Databricks je prostředek Azure, který umožňuje připojit spravované identity k účtu Azure Databricks. Abyste mohli přidat přihlašovací údaje úložiště, musíte mít roli Přispěvatel nebo vyšší u prostředku přístupového konektoru v Azure.

    Poznamenejte si ID prostředku přístupového konektoru.

  2. Přihlaste se k pracovnímu prostoru Azure Databricks s podporou katalogu Unity jako uživatel s CREATE STORAGE CREDENTIAL oprávněním.

    Mezi role správce metastoru i správce účtu patří toto oprávnění. Pokud jste přihlášeni jako instanční objekt (bez ohledu na to, jestli se jedná o ID Microsoft Entra nebo nativní instanční objekt Azure Databricks), musíte mít roli správce účtu, abyste vytvořili přihlašovací údaje úložiště, které používají spravovanou identitu.

  3. Klikněte na Ikona kataloguKatalog.

  4. Klikněte na tlačítko +Přidat a v nabídce vyberte Přidat přihlašovací údaje úložiště.

    Tato možnost se nezobrazí, pokud nemáte CREATE STORAGE CREDENTIAL oprávnění.

  5. Vyberte typ přihlašovacích údajů spravované identity Azure.

  6. Zadejte název přihlašovacích údajů a zadejte ID prostředku přístupového konektoru ve formátu:

    /subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.Databricks/accessConnectors/<connector-name>

  7. (Volitelné) Pokud jste vytvořili přístupový konektor pomocí spravované identity přiřazené uživatelem, zadejte ID prostředku spravované identity do pole ID spravované identity přiřazené uživatelem ve formátu:

    /subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<managed-identity-name>

  8. (Volitelné) Pokud chcete, aby uživatelé měli přístup jen pro čtení k externím umístěním, která používají tyto přihlašovací údaje úložiště, vyberte Jen pro čtení. Další informace najdete v tématu Označení přihlašovacích údajů úložiště jako jen pro čtení.

  9. Klikněte na Uložit.

  10. Vytvořte externí umístění , které odkazuje na toto přihlašovací údaje úložiště.

Další kroky

Můžete zobrazit, aktualizovat, odstranit a udělit ostatním uživatelům oprávnění k používání přihlašovacích údajů úložiště. Viz Správa přihlašovacích údajů úložiště.

Externí umístění můžete definovat pomocí přihlašovacích údajů úložiště. Viz Vytvoření externího umístění pro připojení cloudového úložiště k Azure Databricks.