Povolení konfigurace přístupu k datům

Tento článek popisuje konfigurace přístupu k datům prováděné správci Azure Databricks pro všechny sklady SQL pomocí uživatelského rozhraní.

Poznámka:

Pokud je pro katalog Unity povolený váš pracovní prostor, nemusíte provádět kroky v tomto článku. Unity Catalog ve výchozím nastavení podporuje sklady SQL.

Databricks doporučuje místo profilů instancí používat svazky katalogu Unity nebo externí umístění pro připojení ke cloudovému úložišti objektů. Katalog Unity zjednodušuje zabezpečení a zásady správného řízení vašich dat tím, že poskytuje centrální místo pro správu a auditování přístupu k datům ve více pracovních prostorech ve vašem účtu. Podívejte se na téma Co je katalog Unity? a doporučení pro použití externích umístění.

Informace o konfiguraci všech skladů SQL pomocí rozhraní REST API najdete v tématu ROZHRANÍ SQL Warehouses API.

Důležité

Změna těchto nastavení restartuje všechny spuštěné služby SQL Warehouse.

Obecný přehled toho, jak povolit přístup k datům, najdete v tématu Seznamy řízení přístupu.

Požadavky

  • Abyste mohli nakonfigurovat nastavení pro všechny služby SQL Warehouse, musíte být správcem pracovního prostoru Azure Databricks.

Konfigurace instančního objektu

Pokud chcete nakonfigurovat přístup pro vaše služby SQL Warehouse k účtu úložiště Azure Data Lake Storage Gen2 pomocí instančních objektů, postupujte takto:

  1. Zaregistrujte aplikaci Microsoft Entra ID (dříve Azure Active Directory) a poznamenejte si následující vlastnosti:

    • ID aplikace (klienta): ID, které jednoznačně identifikuje aplikaci Microsoft Entra ID.
    • ID adresáře (tenanta): ID, které jednoznačně identifikuje instanci Microsoft Entra ID (označovanou jako ID adresáře (tenanta) v Azure Databricks.
    • Tajný klíč klienta: Hodnota tajného klíče klienta vytvořeného pro tuto registraci aplikace. Aplikace použije tento tajný řetězec k prokázání své identity.
  2. V účtu úložiště přidejte přiřazení role pro aplikaci zaregistrovanou v předchozím kroku, aby získal přístup k účtu úložiště.

  3. Vytvořte obor tajných kódů založený na službě Azure Key Vault nebo obor tajných kódů s vymezeným oborem Databricks a poznamenejte si hodnotu vlastnosti názvu oboru:

    • Název oboru: Název vytvořeného oboru tajného kódu.
  4. Pokud používáte Azure Key Vault, přejděte do části Tajné kódy a přečtěte si téma Vytvoření tajného kódu v oboru založeném na službě Azure Key Vault. Pak použijte "tajný klíč klienta", který jste získali v kroku 1, k naplnění pole "hodnota" tohoto tajného klíče. Poznamenejte si název tajného kódu, který jste právě zvolili.

    • Název tajného kódu: Název vytvořeného tajného klíče služby Azure Key Vault.
  5. Pokud používáte obor založený na Databricks, vytvořte nový tajný kód pomocí rozhraní příkazového řádku Databricks a použijte ho k uložení tajného klíče klienta, který jste získali v kroku 1. Poznamenejte si tajný klíč, který jste zadali v tomto kroku.

    • Tajný klíč: Klíč vytvořeného tajného klíče založeného na Databricks.

    Poznámka:

    Volitelně můžete vytvořit další tajný kód pro uložení ID klienta získaného v kroku 1.

  6. Klikněte na své uživatelské jméno v horním panelu pracovního prostoru a v rozevíracím seznamu vyberte Nastavení .

  7. Klikněte na kartu Výpočty .

  8. Klikněte na Spravovat vedle skladů SQL.

  9. V poli Konfigurace přístupu k datům klikněte na tlačítko Přidat instanční objekt .

  10. Nakonfigurujte vlastnosti účtu úložiště Azure Data Lake Storage Gen2.

  11. Klikněte na tlačítko Přidat.

    Účet úložiště ADLS2

    Uvidíte, že nové položky byly přidány do textového pole Konfigurace přístupu k datům.

  12. Klikněte na Uložit.

Položky textového pole Konfigurace přístupu k datům můžete také upravit přímo.

Konfigurace vlastností přístupu k datům pro sql warehouse

Konfigurace všech skladů s vlastnostmi přístupu k datům:

  1. Klikněte na své uživatelské jméno v horním panelu pracovního prostoru a v rozevíracím seznamu vyberte Nastavení .

  2. Klikněte na kartu Výpočty .

  3. Klikněte na Spravovat vedle skladů SQL.

  4. Do textového pole Konfigurace přístupu k datům zadejte páry klíč-hodnota obsahující vlastnosti metastoru.

    Důležité

    Pokud chcete nastavit vlastnost konfigurace Sparku na hodnotu tajného kódu bez zveřejnění hodnoty tajného kódu do Sparku, nastavte hodnotu na {{secrets/<secret-scope>/<secret-name>}}. Nahraďte <secret-scope> oborem tajného kódu a <secret-name> názvem tajného kódu. Hodnota musí začínat {{secrets/ a končit .}} Další informace o této syntaxi najdete v tématu Syntaxe pro odkazování na tajné kódy ve vlastnosti konfigurace Sparku nebo proměnné prostředí.

  5. Klikněte na Uložit.

Vlastnosti přístupu k datům můžete nakonfigurovat také pomocí zprostředkovatele Databricks Terraform a databricks_sql_global_config.

Podporované vlastnosti

  • U položky, která končí *, jsou podporovány všechny vlastnosti v rámci této předpony.

    Například spark.sql.hive.metastore.* označuje, že obě spark.sql.hive.metastore.jars a spark.sql.hive.metastore.version jsou podporovány, a všechny ostatní vlastnosti, které začínají spark.sql.hive.metastore.

  • U vlastností, jejichž hodnoty obsahují citlivé informace, můžete citlivé informace uložit do tajného kódu a nastavit hodnotu vlastnosti na název tajného kódu pomocí následující syntaxe: secrets/<secret-scope>/<secret-name>

Sql Warehouse podporují následující vlastnosti:

  • spark.sql.hive.metastore.*
  • spark.sql.warehouse.dir
  • spark.hadoop.datanucleus.*
  • spark.hadoop.fs.*
  • spark.hadoop.hive.*
  • spark.hadoop.javax.jdo.option.*
  • spark.hive.*

Další informace o nastavení těchto vlastností naleznete v tématu Externí metastore Hive.