Share via

Tároló hitelesítő adatainak létrehozása az Azure Data Lake Storage Gen2-hez való csatlakozáshoz

  • Cikk

Ez a cikk azt ismerteti, hogyan hozhat létre tároló hitelesítő adatokat a Unity Katalógusban az Azure Data Lake Storage Gen2-hez való csatlakozáshoz.

A táblákat és köteteket tartalmazó mögöttes felhőalapú tárolóhoz való hozzáférés kezeléséhez a Unity Catalog a következő objektumtípusokat használja:

  • A tárolási hitelesítő adatok hosszú távú felhőalapú hitelesítő adatokat foglalnak magában, amely hozzáférést biztosít a felhőbeli tárolókhoz.
  • A külső helyek egy tárolási hitelesítő adatokra és egy felhőbeli tárolási útvonalra mutató hivatkozást tartalmaznak.

További információ: Csatlakozás felhőobjektum-tárolóba a Unity Catalog használatával.

A Unity Catalog két felhőalapú tárolási lehetőséget támogat az Azure Databrickshez: az Azure Data Lake Storage Gen2-tárolókat és a Cloudflare R2-gyűjtőket. A Cloudflare R2 elsősorban deltamegosztási használati esetekhez készült, amelyekben el szeretné kerülni az adatforgalom díját. Az Azure Data Lake Storage Gen2 a legtöbb más használati esethez megfelelő. Ez a cikk az Azure Data Lake Storage Gen2-tárolók tárolási hitelesítő adatainak létrehozását ismerteti. A Cloudflare R2 esetében lásd : Tároló hitelesítő adatainak létrehozása a Cloudflare R2-hez való csatlakozáshoz.

Egy Azure Data Lake Storage Gen2-tárolóhoz való hozzáféréshez szükséges tárolási hitelesítő adatok létrehozásához létre kell hoznia egy Azure Databricks hozzáférési összekötőt, amely egy Azure-beli felügyelt identitásra hivatkozik, és engedélyeket rendel hozzá a tárolóhoz. Ezután hivatkozhat erre a hozzáférési összekötőre a tároló hitelesítő adatainak definíciójában.

Követelmények

Az Azure Databricksben:

  • A Unity Cataloghoz engedélyezett Azure Databricks-munkaterület.

  • CREATE STORAGE CREDENTIAL jogosultságot a munkaterülethez csatolt Unity Catalog metaadattárban. A fiókadminisztrátor és a metaadattár-rendszergazdák alapértelmezés szerint rendelkeznek ezzel a jogosultsággal.

    Feljegyzés

    A szolgáltatásneveknek fiókadminisztrátori szerepkörrel kell rendelkezniük egy felügyelt identitást használó tároló hitelesítő adatok létrehozásához. Szolgáltatásnévre nem delegálható CREATE STORAGE CREDENTIAL . Ez az Azure Databricks szolgáltatásnevekre és a Microsoft Entra ID (korábbi nevén Azure Active Directory) szolgáltatásnevekre is vonatkozik.

Az Azure-bérlőben:

  • Egy Azure Data Lake Storage Gen2 tároló ugyanabban a régióban, ahonnan az adatokat el szeretné érni.

    Az Azure Data Lake Storage Gen2-tárfióknak hierarchikus névtérrel kell rendelkeznie.

  • Azure-erőforráscsoport közreműködője vagy tulajdonosa.

  • Tulajdonos vagy felhasználó, Rendszergazda istrator Azure RBAC-szerepkörrel rendelkező felhasználó a tárfiókban.

Tároló hitelesítő adatainak létrehozása felügyelt identitással

Használhat azure-beli felügyelt identitást vagy szolgáltatásnevet a tárolóhoz való hozzáférést engedélyező identitásként. A felügyelt identitások használata erősen ajánlott. Előnyük, hogy lehetővé teszik a Unity Catalog számára, hogy hozzáférjenek a hálózati szabályok által védett tárfiókokhoz, ami szolgáltatásnevek használatával nem lehetséges, és szükségtelenné teszik a titkos kulcsok kezelését és elforgatását. Ha szolgáltatásnevet szeretne használni, olvassa el a Unity Catalog által felügyelt tároló létrehozása szolgáltatásnévvel (örökölt) című témakört.

  1. Az Azure Portalon hozzon létre egy Azure Databricks hozzáférési összekötőt, és rendelje hozzá az engedélyeket a elérni kívánt tárolóhoz a Unity Catalog felügyelt identitásának konfigurálása című témakörben található utasítások alapján.

    Az Azure Databricks hozzáférési összekötő egy belső Azure-erőforrás, amellyel felügyelt identitásokat csatlakoztathat egy Azure Databricks-fiókhoz. A tároló hitelesítő adatainak hozzáadásához rendelkeznie kell a közreműködői szerepkörsel vagy annál magasabb szintű hozzáférés-összekötő-erőforrással az Azure-ban.

    Jegyezze fel a hozzáférési összekötő erőforrás-azonosítóját.

  2. Jelentkezzen be a Unity Catalog-kompatibilis Azure Databricks-munkaterületre olyan felhasználóként, aki rendelkezik jogosultsággal CREATE STORAGE CREDENTIAL .

    A metaadattár-rendszergazdai és a fiókadminisztrátori szerepkör is tartalmazza ezt a jogosultságot. Ha szolgáltatásnévként van bejelentkezve (akár Microsoft Entra-azonosító, akár natív Azure Databricks-szolgáltatásnév), akkor a felügyelt identitást használó tároló hitelesítő adatok létrehozásához fiókadminisztrátori szerepkörrel kell rendelkeznie.

  3. Kattintson a Katalógus gombraKatalógus ikon.

  4. Kattintson a +Hozzáadás gombra, és válassza a Tároló hitelesítő adatainak hozzáadása lehetőséget a menüből.

    Ez a beállítás nem jelenik meg, ha nem rendelkezik jogosultsággal CREATE STORAGE CREDENTIAL .

  5. Válassza ki az Azure Managed Identity hitelesítő adattípusát.

  6. Adja meg a hitelesítő adatok nevét, és adja meg a hozzáférési összekötő erőforrás-azonosítóját a következő formátumban:

    /subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.Databricks/accessConnectors/<connector-name>

  7. (Nem kötelező) Ha a hozzáférési összekötőt felhasználó által hozzárendelt felügyelt identitással hozta létre, adja meg a felügyelt identitás erőforrás-azonosítóját a felhasználó által hozzárendelt felügyelt identitásazonosító mezőben a következő formátumban:

    /subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<managed-identity-name>

  8. (Nem kötelező) Ha azt szeretné, hogy a felhasználók csak olvasási hozzáféréssel rendelkezzenek a tároló hitelesítő adatait használó külső helyekhez, válassza az Írásvédett lehetőséget. További információ: Tároló hitelesítő adatainak megjelölése írásvédettként.

  9. Kattintson a Mentés gombra.

  10. Hozzon létre egy külső helyet , amely erre a tárolási hitelesítő adatra hivatkozik.

Következő lépések

Megtekintheti, frissítheti, törölheti és engedélyezheti más felhasználók számára a tárolási hitelesítő adatok használatát. Lásd: Tárolási hitelesítő adatok kezelése.

Külső helyeket tárolási hitelesítő adatokkal határozhat meg. Lásd: Külső hely létrehozása a felhőbeli tároló Azure Databrickshez való csatlakoztatásához.