Få åtkomst till lagring med hjälp av tjänstens huvudnamn och Microsoft Entra-ID (Azure Active Directory)

Kommentar

Den här artikeln beskriver äldre mönster för att konfigurera åtkomst till Azure Data Lake Storage Gen2.

Databricks rekommenderar att du använder Azure-hanterade identiteter som autentiseringsuppgifter för Unity Catalog-lagring för att ansluta till Azure Data Lake Storage Gen2 i stället för tjänstens huvudnamn. Hanterade identiteter har fördelen att ge Unity Catalog åtkomst till lagringskonton som skyddas av nätverksregler, vilket inte är möjligt med hjälp av tjänstens huvudnamn, och de tar bort behovet av att hantera och rotera hemligheter. Mer information finns i Använda Azure-hanterade identiteter i Unity Catalog för att få åtkomst till lagring.

När du registrerar ett program med Microsoft Entra-ID (tidigare Azure Active Directory) skapas ett huvudnamn för tjänsten som du kan använda för att ge åtkomst till Azure-lagringskonton.

Du kan sedan konfigurera åtkomst till dessa tjänsthuvudnamn med hjälp av dem som autentiseringsuppgifter för lagring i Unity Catalog eller autentiseringsuppgifter som lagras med hemligheter.

Registrera ett Microsoft Entra-ID-program

Genom att registrera ett Microsoft Entra-ID (tidigare Azure Active Directory) och tilldela lämpliga behörigheter skapas ett huvudnamn för tjänsten som kan komma åt Azure Data Lake Storage Gen2- eller Blob Storage-resurser.

Om du vill registrera ett Microsoft Entra-ID-program måste du ha Application Administrator rollen eller behörigheten Application.ReadWrite.All i Microsoft Entra-ID.

1. Gå till Microsoft Entra ID-tjänsten i Azure-portalen.
2. Under Hantera klickar du på Appregistreringar.
3. Klicka på + Ny registrering. Ange ett namn för programmet och klicka på Registrera.
4. Klicka på Certifikat och hemligheter.
5. Klicka på + Ny klienthemlighet.
6. Lägg till en beskrivning av hemligheten och klicka på Lägg till.
7. Kopiera och spara värdet för den nya hemligheten.
8. I översikten över programregistrering kopierar och sparar du program-ID :t (klient- och katalog-ID:t).

Tilldela roller

Du styr åtkomsten till lagringsresurser genom att tilldela roller till en Microsoft Entra ID-programregistrering som är associerad med lagringskontot. Du kan behöva tilldela andra roller beroende på specifika krav.

Om du vill tilldela roller för ett lagringskonto måste du ha rollen Ägare eller Användaråtkomstadministratör för Azure RBAC på lagringskontot.

1. Gå till tjänsten Lagringskonton i Azure-portalen.
2. Välj ett Azure Storage-konto som ska användas med den här programregistreringen.
3. Klicka på Åtkomstkontroll (IAM).
4. Klicka på + Lägg till och välj Lägg till rolltilldelning på den nedrullningsbara menyn.
5. Ange fältet Välj till Programnamnet för Microsoft Entra-ID och ange Roll till Storage Blob Data-deltagare.
6. Klicka på Spara.

Om du vill aktivera filhändelseåtkomst på lagringskontot med tjänstens huvudnamn måste du ha rollen Ägare eller Administratör för användaråtkomst för Azure RBAC i azure-resursgruppen som ditt Azure Data Lake Storage Gen2-konto finns i.

1. Följ stegen ovan och tilldela rollen Lagringsködatadeltagare och Lagringskontodeltagare till tjänstens huvudnamn.
2. Gå till den Azure-resursgrupp som ditt Azure Data Lake Storage Gen2-konto finns i.
3. Gå till Åtkomstkontroll (IAM), klicka på + Lägg till och välj Lägg till rolltilldelning.
4. Välj rollen EventGrid EventSubscription-deltagare och klicka på Nästa.
5. Under Tilldela åtkomst till väljer du Tjänstens huvudnamn.
6. Klicka på +Välj medlemmar, välj tjänstens huvudnamn och klicka på Granska och tilldela.

Du kan också begränsa åtkomsten genom att endast bevilja rollen Storage Queue Data Contributor tjänstens huvudnamn och inte bevilja några roller till din resursgrupp. I det här fallet kan Azure Databricks inte konfigurera filhändelser åt dig.