Přístup k úložišti pomocí instančního objektu a Id Microsoft Entra (Azure Active Directory)

  • Článek

Poznámka:

Tento článek popisuje starší vzory konfigurace přístupu ke službě Azure Data Lake Storage Gen2.

Databricks doporučuje používat spravované identity Azure jako přihlašovací údaje k úložišti Unity Catalog pro připojení k Azure Data Lake Storage Gen2 místo instančních objektů. Spravované identity mají výhodu povolení katalogu Unity pro přístup k účtům úložiště chráněným pravidly sítě, což není možné pomocí instančních objektů, a odstraňují potřebu správy a obměny tajných kódů. Další informace najdete v tématu Použití spravovaných identit Azure v Katalogu Unity pro přístup k úložišti.

Registrace aplikace pomocí Microsoft Entra ID vytvoří instanční objekt, který můžete použít k poskytnutí přístupu k účtům úložiště Azure.

Pak můžete nakonfigurovat přístup k těmto instančním objektům pomocí přihlašovacích údajů úložiště v katalogu Unity nebo přihlašovacích údajů uložených s tajnými kódy.

Registrace aplikace Microsoft Entra ID

Registrace aplikace Microsoft Entra ID (dříve Azure Active Directory) a přiřazení příslušných oprávnění vytvoří instanční objekt, který bude mít přístup k prostředkům Azure Data Lake Storage Gen2 nebo Blob Storage.

Pokud chcete zaregistrovat aplikaci Microsoft Entra ID, musíte mít Application Administrator roli nebo Application.ReadWrite.All oprávnění v Microsoft Entra ID.

  1. Na webu Azure Portal přejděte do služby Microsoft Entra ID .
  2. V části Spravovat klikněte na Registrace aplikací.
  3. Klikněte na + Nová registrace. Zadejte název aplikace a klikněte na Zaregistrovat.
  4. Klikněte na Certifikáty a tajné kódy.
  5. Klikněte na + Nový tajný klíč klienta.
  6. Přidejte popis tajného kódu a klikněte na Přidat.
  7. Zkopírujte a uložte hodnotu nového tajného kódu.
  8. V přehledu registrace aplikace zkopírujte a uložte ID aplikace (klienta) a ID adresáře (tenanta).

Přiřazení rolí

Přístup k prostředkům úložiště řídíte přiřazením rolí k registraci aplikace Microsoft Entra ID přidružené k účtu úložiště. V závislosti na konkrétních požadavcích možná budete muset přiřadit jiné role.

Pokud chcete přiřadit role k účtu úložiště, musíte mít v účtu úložiště roli Vlastník nebo Správce uživatelských přístupů Azure RBAC.

  1. Na webu Azure Portal přejděte do služby Účty úložiště.
  2. Vyberte účet úložiště Azure, který se má použít s touto registrací aplikace.
  3. Klikněte na Řízení přístupu (IAM).
  4. V rozevírací nabídce klikněte na + Přidat a vyberte Přidat přiřazení role.
  5. Nastavte pole Vybrat na název aplikace Microsoft Entra ID a nastavte roli na Přispěvatel dat objektů blob úložiště.
  6. Klikněte na Uložit.

Pokud chcete povolit přístup k událostem souboru v účtu úložiště pomocí instančního objektu, musíte mít roli Vlastník nebo Správce uživatelských přístupů Azure RBAC ve skupině prostředků Azure, ve které je váš účet Azure Data Lake Storage Gen2.

  1. Postupujte podle výše uvedených kroků a přiřaďte roli Přispěvatel dat fronty úložiště a Přispěvatel účtu úložiště, které je vaším instančním objektem.
  2. Přejděte do skupiny prostředků Azure, ve které je váš účet Azure Data Lake Storage Gen2.
  3. Přejděte do řízení přístupu (IAM), klikněte na + Přidat a vyberte Přidat přiřazení role.
  4. Vyberte roli Přispěvatel EventGrid EventSubscription a klikněte na Další.
  5. V části Přiřadit přístup vyberte Instanční objekt.
  6. Klikněte na +Vybrat členy, vyberte instanční objekt a klikněte na Zkontrolovat a přiřadit.

Případně můžete přístup omezit tak, že udělíte roli Přispěvatel dat fronty úložiště instančnímu objektu a neudělíte vaší skupině prostředků žádné role. V takovém případě Azure Databricks nemůže za vás konfigurovat události souborů.