Povolení konfigurace přístupu k datům

  • Článek

Tento článek popisuje konfigurace přístupu k datům prováděné správci Azure Databricks pro všechny sklady SQL pomocí uživatelského rozhraní.

Poznámka

Pokud je pro katalog Unity povolený váš pracovní prostor, nemusíte provádět kroky v tomto článku. Unity Catalog ve výchozím nastavení podporuje sklady SQL.

Informace o konfiguraci všech skladů SQL pomocí rozhraní REST API najdete v tématu ROZHRANÍ SQL Warehouses API.

Důležité

Změna těchto nastavení restartuje všechny spuštěné služby SQL Warehouse.

Obecný přehled toho, jak povolit přístup k datům, najdete v tématu Přehled řízení přístupu.

Poznámka

Databricks doporučuje místo profilů instancí používat svazky katalogu Unity nebo externí umístění pro připojení ke cloudovému úložišti objektů. Katalog Unity zjednodušuje zabezpečení a zásady správného řízení vašich dat tím, že poskytuje centrální místo pro správu a auditování přístupu k datům ve více pracovních prostorech ve vašem účtu. Podívejte se na téma Co je katalog Unity? a doporučení pro použití externích umístění.

Než začnete

  • Abyste mohli nakonfigurovat nastavení pro všechny služby SQL Warehouse, musíte být správcem pracovního prostoru Azure Databricks.

Konfigurace instančního objektu

Pokud chcete nakonfigurovat přístup pro vaše služby SQL Warehouse k účtu úložiště Azure Data Lake Storage Gen2 pomocí instančních objektů, postupujte takto:

  1. Zaregistrujte aplikaci Microsoft Entra ID a poznamenejte si následující vlastnosti:

    • ID aplikace (klienta): ID, které jednoznačně identifikuje aplikaci Microsoft Entra ID.
    • ID adresáře (tenanta): ID, které jednoznačně identifikuje instanci Microsoft Entra ID (označovanou jako ID adresáře (tenanta) v Azure Databricks.
    • Tajný klíč klienta: Hodnota tajného klíče klienta vytvořeného pro tuto registraci aplikace. Aplikace použije tento tajný řetězec k prokázání své identity.

  2. V účtu úložiště přidejte přiřazení role pro aplikaci zaregistrovanou v předchozím kroku, aby získal přístup k účtu úložiště.

  3. Vytvořte obor tajných kódů založený na službě Azure Key Vault nebo obor tajných kódů s vymezeným oborem Databricks a poznamenejte si hodnotu vlastnosti názvu oboru:

    • Název oboru: Název vytvořeného oboru tajného kódu.

  4. Pokud používáte Azure Key Vault, přejděte do části Tajné kódy a vytvořte nový tajný kód s názvem podle vašeho výběru. Pomocí "tajného klíče klienta", který jste získali v kroku 1, vyplňte pole "hodnota" tohoto tajného klíče. Poznamenejte si název tajného kódu, který jste právě zvolili.

    • Název tajného kódu: Název vytvořeného tajného klíče služby Azure Key Vault.

  5. Pokud používáte obor založený na Databricks, vytvořte nový tajný kód pomocí rozhraní příkazového řádku Databricks a použijte ho k uložení tajného klíče klienta, který jste získali v kroku 1. Poznamenejte si tajný klíč, který jste zadali v tomto kroku.

    • Tajný klíč: Klíč vytvořeného tajného klíče založeného na Databricks.

    Poznámka

    Volitelně můžete vytvořit další tajný klíč pro uložení ID klienta, které jste získali v kroku 1.

  6. Klikněte na své uživatelské jméno v horním panelu pracovního prostoru a v rozevíracím seznamu vyberte Správa Nastavení.

  7. Klikněte na kartu nastavení SQL Warehouse.

  8. V poli Konfigurace přístupu k datům klikněte na tlačítko Přidat instanční objekt .

  9. Nakonfigurujte vlastnosti účtu úložiště Azure Data Lake Storage Gen2.

  10. Klikněte na tlačítko Přidat.

    ADLS2 storage account

    Uvidíte, že nové položky byly přidány do textového pole Konfigurace přístupu k datům.

  11. Klikněte na možnost Uložit.

Poznámka

Položky textového pole Konfigurace přístupu k datům můžete také upravit přímo.

Důležité

Chcete-li nastavit vlastnost konfigurace na hodnotu tajného kódu bez vystavení hodnoty tajného kódu sparku, nastavte hodnotu na {{secrets/<secret-scope>/<secret-name>}}. Nahraďte <secret-scope> oborem tajného kódu a <secret-name> názvem tajného kódu. Hodnota musí začínat {{secrets/ a končit }}. Další informace o této syntaxi najdete v tématu Syntaxe pro odkazování na tajné kódy ve vlastnosti konfigurace Sparku nebo proměnné prostředí.

Konfigurace vlastností přístupu k datům pro sql warehouse

Konfigurace všech skladů s vlastnostmi přístupu k datům:

  1. Klikněte na své uživatelské jméno v horním panelu pracovního prostoru a v rozevíracím seznamu vyberte Správa Nastavení.

  2. Klikněte na kartu Nastavení SQL Warehouse.

  3. Do textového pole Konfigurace přístupu k datům zadejte páry klíč-hodnota obsahující vlastnosti metastoru.

    Důležité

    Pokud chcete nastavit vlastnost konfigurace Sparku na hodnotu tajného kódu bez zveřejnění hodnoty tajného kódu do Sparku, nastavte hodnotu na {{secrets/<secret-scope>/<secret-name>}}. Nahraďte <secret-scope> oborem tajného kódu a <secret-name> názvem tajného kódu. Hodnota musí začínat {{secrets/ a končit .}} Další informace o této syntaxi najdete v tématu Syntaxe pro odkazování na tajné kódy ve vlastnosti konfigurace Sparku nebo proměnné prostředí.

  4. Klikněte na možnost Uložit.

Vlastnosti přístupu k datům můžete nakonfigurovat také pomocí zprostředkovatele Databricks Terraform a databricks_sql_global_config.

Podporované vlastnosti

Sql Warehouse podporují následující vlastnosti. U položky, která končí *, jsou podporovány všechny vlastnosti v rámci této předpony. Například spark.sql.hive.metastore.* označuje, že obě spark.sql.hive.metastore.jars a spark.sql.hive.metastore.version jsou podporovány, stejně jako všechny ostatní vlastnosti, které začínají spark.sql.hive.metastorena .

U vlastností, jejichž hodnoty obsahují citlivé informace, můžete citlivé informace uložit do tajného kódu a nastavit hodnotu vlastnosti na název tajného kódu pomocí následující syntaxe: secrets/<secret-scope>/<secret-name>

  • spark.sql.hive.metastore.*
  • spark.sql.warehouse.dir
  • spark.hadoop.datanucleus.*
  • spark.hadoop.fs.*
  • spark.hadoop.hive.*
  • spark.hadoop.javax.jdo.option.*
  • spark.hive.*

Další informace o nastavení těchto vlastností naleznete v tématu Externí metastore Hive.