Compartir a través de

Administración de credenciales de almacenamiento

  • Artículo

En este artículo se describe cómo enumerar, ver, actualizar, conceder permisos y eliminar credenciales de almacenamiento.

Databricks recomienda conceder solo CREATE EXTERNAL LOCATION y ningún otro privilegio en las credenciales de almacenamiento.

En este artículo se describe cómo administrar las credenciales de almacenamiento mediante el Explorador de catálogos y comandos SQL en un cuaderno o una consulta SQL de Databricks. Para obtener información sobre el uso de la CLI de Databricks o Terraform en su lugar, consulte la documentación de Databricks Terraform y ¿Qué es la CLI de Databricks?.

Obtención de una lista de las credenciales de almacenamiento

Para ver la lista de todas las credenciales de almacenamiento de un metastore, puede usar Catalog Explorer o un comando SQL.

Explorador de catálogos

  1. En la barra lateral, haga clic en Catalog iconCatálogo.
  2. En la parte inferior de la pantalla, haga clic en Datos externos > Credenciales de almacenamiento.

Sql

Ejecute el siguiente comando en un cuaderno o en el editor de Databricks SQL:

SHOW STORAGE CREDENTIALS;

Visualización de una credencial de almacenamiento

Para ver las propiedades de una credencial de almacenamiento, puede usar Catalog Explorer o un comando SQL.

Explorador de catálogos

  1. En la barra lateral, haga clic en Catalog iconCatálogo.
  2. En la parte inferior de la pantalla, haga clic en Datos externos > Credenciales de almacenamiento.
  3. Haga clic en el nombre de una credencial de almacenamiento para abrir sus propiedades.

Sql

Ejecute el siguiente comando en un cuaderno o en el editor de Databricks SQL: Reemplace <credential-name> por el nombre de la credencial.

DESCRIBE STORAGE CREDENTIAL <credential-name>;

Mostrar concesiones en una credencial de almacenamiento

Para mostrar los permisos concedidos con relación a una credencial de almacenamiento, use un comando como el siguiente. También puede filtrar los resultados para mostrar únicamente los permisos concedidos con relación a la entidad de seguridad especificada:

SHOW GRANTS [<principal>] ON STORAGE CREDENTIAL <storage-credential-name>;

Reemplace los valores de marcador de posición:

  • <principal>: dirección de correo electrónico del usuario (o nombre del grupo) de nivel de cuenta al que se debe conceder el permiso.
  • <storage-credential-name>: nombre de una credencial de almacenamiento.

Nota:

Si un nombre de grupo contiene un espacio, use tildes agudas (no apóstrofos).

Concesión de permisos para crear ubicaciones externas

Para conceder permiso para crear una ubicación externa mediante una credencial de almacenamiento, siga estos pasos:

Explorador de catálogos

  1. En la barra lateral, haga clic en Catalog iconCatálogo.
  2. En la parte inferior de la pantalla, haga clic en Datos externos > Credenciales de almacenamiento.
  3. Haga clic en el nombre de una credencial de almacenamiento para abrir sus propiedades.
  4. Haga clic en Permisos.
  5. Para conceder permiso a usuarios o grupos, seleccione cada identidad y, luego, haga clic en Conceder.
  6. Para revocar permisos a usuarios o grupos, seleccione de cada identidad y, luego, haga clic en Revocar.

Sql

Ejecute el siguiente comando en un cuaderno o en el editor de consultas SQL:

GRANT CREATE EXTERNAL LOCATION ON STORAGE CREDENTIAL <storage-credential-name> TO <principal>;

Reemplace los valores de marcador de posición:

  • <principal>: dirección de correo electrónico del usuario (o nombre del grupo) de nivel de cuenta al que se debe conceder el permiso.
  • <storage-credential-name>: nombre de una credencial de almacenamiento.

Nota:

Si un nombre de grupo contiene un espacio, use tildes agudas (no apóstrofos).

Cambio del propietario de una credencial de almacenamiento

El creador de una credencial de almacenamiento es su propietario inicial. Para cambiar el propietario a un usuario o grupo de nivel de cuenta diferente, haga lo siguiente:

Ejecute el siguiente comando en un cuaderno o en el editor de Databricks SQL: Reemplace los valores de marcador de posición:

  • <credential-name>: nombre de la credencial.
  • <principal>: dirección de correo electrónico de un usuario de nivel de cuenta o nombre de un grupo de nivel de cuenta.
ALTER STORAGE CREDENTIAL <credential-name> OWNER TO <principal>;

Marcar una credencial de almacenamiento como de solo lectura

Si desea que los usuarios tengan acceso de solo lectura a todos los datos administrados por una credencial de almacenamiento, puede usar el Explorador de catálogos para marcar la credencial de almacenamiento como de solo lectura.

Hacer que las credenciales de almacenamiento sean de solo lectura significa que cualquier almacenamiento configurado con esa credencial es de solo lectura.

Puede marcar las credenciales de almacenamiento como de solo lectura al crearlas.

También puede usar el Explorador de catálogos para cambiar el estado de solo lectura después de crear una credencial de almacenamiento:

  1. En el Explorador de catálogos, busque la credencial de almacenamiento, haga clic en el menú Kebab menu kebab (también conocido como menú de tres puntos) en la fila del objeto y seleccione Editar.
  2. En el cuadro de diálogo de edición, seleccione la opción Solo lectura.

Cambio del nombre de una credencial de almacenamiento

Para cambiar el nombre de una credencial de almacenamiento, puede usar Catalog Explorer o un comando SQL.

Explorador de catálogos

  1. En la barra lateral, haga clic en Catalog iconCatálogo.
  2. En la parte inferior de la pantalla, haga clic en Datos externos > Credenciales de almacenamiento.
  3. Haga clic en el nombre de una credencial de almacenamiento para abrir el cuadro de diálogo de edición.
  4. Cambie el nombre de la credencial y guárdela.

Sql

Ejecute el siguiente comando en un cuaderno o en el editor de Databricks SQL: Reemplace los valores de marcador de posición:

  • <credential-name>: nombre de la credencial.
  • <new-credential-name>: nuevo nombre de la credencial.
ALTER STORAGE CREDENTIAL <credential-name> RENAME TO <new-credential-name>;

Eliminación de una credencial de almacenamiento

Para eliminar (anular) una credencial de almacenamiento, debe ser su propietario. Para eliminar una credencial de almacenamiento, puede usar Catalog Explorer o un comando SQL.

Explorador de catálogos

  1. En la barra lateral, haga clic en Catalog iconCatálogo.
  2. En la parte inferior de la pantalla, haga clic en Datos externos > Credenciales de almacenamiento.
  3. Haga clic en el nombre de una credencial de almacenamiento para abrir el cuadro de diálogo de edición.
  4. Haga clic en el botón Eliminar .

Sql

Ejecute el siguiente comando en un cuaderno o en el editor de Databricks SQL: Reemplace <credential-name> por el nombre de la credencial. Las partes del comando que están entre corchetes son opcionales. De manera predeterminada, si una ubicación externa usa la credencial, esta no se elimina. Reemplace <credential-name> por el nombre de la credencial.

IF EXISTS no devuelve un error si la credencial no existe.

DROP STORAGE CREDENTIAL [IF EXISTS] <credential-name>;