Acessar armazenamento usando uma entidade de serviço & Microsoft Entra ID (Azure Ative Directory)

Nota

Este artigo descreve padrões herdados para configurar o acesso ao Azure Data Lake Storage Gen2.

O Databricks recomenda usar identidades gerenciadas do Azure como credenciais de armazenamento do Catálogo Unity para se conectar ao Azure Data Lake Storage Gen2 em vez de entidades de serviço. As identidades gerenciadas têm o benefício de permitir que o Unity Catalog acesse contas de armazenamento protegidas por regras de rede, o que não é possível usando entidades de serviço, e eliminam a necessidade de gerenciar e girar segredos. Para obter mais informações, consulte Usar identidades gerenciadas do Azure no Catálogo Unity para acessar o armazenamento.

Registrar um aplicativo com o Microsoft Entra ID (anteriormente Azure Ative Directory) cria uma entidade de serviço que você pode usar para fornecer acesso às contas de armazenamento do Azure.

Em seguida, você pode configurar o acesso a essas entidades de serviço usando-as como credenciais de armazenamento no Unity Catalog ou credenciais armazenadas com segredos.

Registrar um aplicativo Microsoft Entra ID

Registrar um aplicativo Microsoft Entra ID (anteriormente Azure Ative Directory) e atribuir permissões apropriadas criará uma entidade de serviço que pode acessar os recursos do Azure Data Lake Storage Gen2 ou Blob Storage.

Para registrar um aplicativo Microsoft Entra ID, você deve ter a Application Administrator função ou a Application.ReadWrite.All permissão no Microsoft Entra ID.

1. No portal do Azure, vá para o serviço Microsoft Entra ID .
2. Em Gerir, clique em Registos de Aplicações.
3. Clique em + Novo registo. Introduza um nome para a aplicação e clique em Registar.
4. Clique em Certificados & Segredos.
5. Clique em + Novo segredo do cliente.
6. Adicione uma descrição para o segredo e clique em Adicionar.
7. Copie e salve o valor do novo segredo.
8. Na visão geral do registro do aplicativo, copie e salve o ID do aplicativo (cliente) e o ID do diretório (locatário).

Atribuir funções

Você controla o acesso aos recursos de armazenamento atribuindo funções a um registro de aplicativo Microsoft Entra ID associado à conta de armazenamento. Talvez seja necessário atribuir outras funções, dependendo dos requisitos específicos.

Para atribuir funções em uma conta de armazenamento, você deve ter a função RBAC do Azure Proprietário ou Administrador de Acesso de Usuário na conta de armazenamento.

1. No portal do Azure, vá para o serviço Contas de armazenamento .
2. Selecione uma conta de armazenamento do Azure para usar com este registro de aplicativo.
3. Clique em Controle de acesso (IAM).
4. Clique em + Adicionar e selecione Adicionar atribuição de função no menu suspenso.
5. Defina o campo Select como o nome do aplicativo Microsoft Entra ID e defina Role como Storage Blob Data Contributor.
6. Clique em Guardar.

Para habilitar o acesso a eventos de arquivo na conta de armazenamento usando a entidade de serviço, você deve ter a função RBAC do Azure Proprietário ou Administrador de Acesso de Usuário no grupo de recursos do Azure em que sua conta do Azure Data Lake Storage Gen2 está.

1. Siga as etapas acima e atribua as funções de Colaborador de Dados da Fila de Armazenamento e Colaborador da Conta de Armazenamento à entidade de serviço.
2. Navegue até o grupo de recursos do Azure no qual sua conta do Azure Data Lake Storage Gen2 está.
3. Vá para Controle de Acesso (IAM), clique em + Adicionar e selecione Adicionar atribuição de função.
4. Selecione a função EventGrid EventSubscription Contributor e clique em Next.
5. Em Atribuir acesso a, selecione Entidade de serviço.
6. Clique em +Selecionar Membros, selecione sua entidade de serviço e clique em Revisar e Atribuir.

Como alternativa, você pode limitar o acesso concedendo apenas a função de Colaborador de Dados da Fila de Armazenamento à entidade de serviço e não concedendo nenhuma função ao seu grupo de recursos. Nesse caso, o Azure Databricks não pode configurar eventos de arquivo em seu nome.