Configuración del acceso al almacenamiento en la nube

En este artículo se describe cómo los administradores de SQL databricks configuran una nueva área de trabajo para el acceso a los objetos de datos.

Nota

  • Si usa tablas administradas Azure Databricks no es necesario configurar el acceso al almacenamiento en la nube.
  • Los puntos de conexión SQL databricks comparten las mismas credenciales de acceso de almacenamiento en la nube.

Para configurar el acceso a datos para Databricks SQL, siga los pasos de esta sección:

Requisitos

  • Azure Databricks cuenta en el plan Premium cliente
  • Un punto de conexión SQL Databricks
  • Grupos que representan a los usuarios a los que va a dar acceso a los datos

Paso 1: (Opcional) Creación de una entidad de servicio para cada cuenta de almacenamiento de Azure Data Lake Storage Gen2

Si desea reutilizar las entidades de servicio existentes, puede omitir este paso.

Databricks recomienda configurar una entidad de servicio por cuenta de almacenamiento para el acceso desde Databricks SQL.

Un Azure Databricks realiza los pasos siguientes en el área de Azure Portal y un área de trabajo de Ingeniería & de ciencia de datos.

Para cada cuenta de almacenamiento de Azure, cree una entidad de servicio dedicada siguiendo estos pasos:

  1. Registro de una aplicación de Azure Active Directory
  2. Creación de un ámbito de secreto compatible con Azure Key Vault
  3. Guardar el secreto de cliente en El almacén de claves de Azure

Registre las siguientes propiedades, ya que las necesitará para configurar el acceso al almacenamiento en la nube en Databricks SQL:

  • application-id:identificador que identifica de forma única la Azure Active Directory aplicación.
  • directory-id:identificador que identifica de forma única la instancia de Azure Active Directory (denominada identificador de directorio (inquilino) en Azure Databricks).
  • scope-name:nombre del ámbito del secreto creado.
  • secret-name:el nombre del secreto creado.

Paso 2: Conceder a las entidades de servicio acceso a las cuentas de Azure Data Lake Storage Gen2

Un Azure Databricks realiza los pasos siguientes en el Azure Portal.

Para cada cuenta de Almacenamiento de Azure con datos que se va a consultar desde Databricks SQL, conceda a una entidad de servicio acceso a la cuenta de almacenamiento mediante la asignación del rol Colaborador de Blob Storage o Lector de datos de Blob Storage en el nivel de cuenta de almacenamiento .

Registre el nombre de la cuenta de almacenamiento por entidad de servicio. Si usa una sola entidad de servicio, conceda acceso a todas las cuentas de almacenamiento a la entidad de servicio.

Nota

Use el control de acceso basado en rol (RBAC) de Azure para administrar el acceso a los datos al almacenamiento en la nube.

Paso 3: Configurar Databricks SQL usar entidades de servicio para el acceso a datos

Un administrador de SQL databricks especifica la configuración de acceso a datos en la consola de administración SQL Databricks.

  1. Haga User Settings IconConfiguración en la parte inferior de la barra lateral y seleccione SQL Admin Console.

  2. Haga clic en SQL endpoint Configuración pestaña .

    Data access configuration

  3. En el campo Configuración de acceso a datos, haga clic en el botón Agregar entidad de servicio.

    Add service principal

    Configure las propiedades necesarias y haga clic en Agregar. Repita el procedimiento para cada cuenta de almacenamiento a la que desee habilitar el acceso desde Databricks SQL.

  4. Haga clic en Save(Guardar).

Paso 4: Definición de privilegios de acceso a datos mediante el control de acceso a tablas

Un Azure Databricks o propietario de objetos de datos realiza este paso en el editor SQL datos. Conceden privilegios a usuarios o grupos mediante la emisión de instrucciones GRANT (Databricks SQL).

Para cada grupo de usuarios, asigne permisos a los objetos . Es habitual hacerlo en el nivel de base de datos. Esto podría ser tan sencillo como que un administrador o propietario emita el siguiente comando en Databricks SQL:

GRANT USAGE, SELECT, READ_METADATA ON DATABASE sales TO `analysts`

Este comando proporciona acceso de lectura al grupo analysts en la base de sales datos. Los privilegios se heredan, por lo que conceder permiso de lectura en la base de datos permite el acceso de lectura a todas las tablas y vistas almacenadas en la base de datos, incluidos los objetos futuros agregados a la base de datos. Para obtener una explicación detallada de los privilegios que se pueden conceder a usuarios y grupos, vea Privilegios.

Paso 5: (Opcional) Establecer propietario

Un Azure Databricks realiza este paso en un cuaderno de un área de trabajo de Ingeniería de & ciencia de datos.

Los administradores establecen propietariosmediante instrucciones ALTER TABLE (Databricks SQL). La opción más sencilla es establecer el propietario en un grupo de administradores. Como alternativa, para habilitar un modelo de seguridad delegado, puede seleccionar distintos propietarios para cada base de datos, lo que ofrece a cada uno la capacidad de administrar permisos en los objetos de la base de datos.