Accedere all'archiviazione usando un'entità servizio e l'ID Microsoft Entra (Azure Active Directory)

  • Articolo

Nota

Questo articolo descrive i modelli legacy per la configurazione dell'accesso ad Azure Data Lake Storage Gen2.

Databricks consiglia di usare le identità gestite di Azure come credenziali di archiviazione di Unity Catalog per connettersi ad Azure Data Lake Storage Gen2 anziché alle entità servizio. Le identità gestite hanno il vantaggio di consentire a Unity Catalog di accedere agli account di archiviazione protetti dalle regole di rete, che non è possibile usare le entità servizio e di rimuovere la necessità di gestire e ruotare i segreti. Per altre informazioni, vedere Usare le identità gestite di Azure nel catalogo unity per accedere all'archiviazione.

La registrazione di un'applicazione con Microsoft Entra ID crea un'entità servizio che è possibile usare per fornire l'accesso agli account di archiviazione di Azure.

È quindi possibile configurare l'accesso a queste entità servizio usandole come credenziali di archiviazione in Unity Catalog o credenziali archiviate con segreti.

Registrare un'applicazione Microsoft Entra ID

La registrazione di un'applicazione Microsoft Entra ID (in precedenza Azure Active Directory) e l'assegnazione delle autorizzazioni appropriate creerà un'entità servizio in grado di accedere alle risorse di Archiviazione BLOB o Azure Data Lake Storage Gen2.

Per registrare un'applicazione Microsoft Entra ID, è necessario avere il Application Administrator ruolo o l'autorizzazione Application.ReadWrite.All in Microsoft Entra ID.

  1. Nella portale di Azure passare al servizio Microsoft Entra ID.
  2. In Gestisci fare clic su Registrazioni app.
  3. Fare clic su + Nuova registrazione. Immettere un nome per l'applicazione e fare clic su Registra.
  4. Fare clic su Certificati e segreti.
  5. Fare clic su + Nuovo segreto client.
  6. Aggiungere una descrizione per il segreto e fare clic su Aggiungi.
  7. Copiare e salvare il valore per il nuovo segreto.
  8. Nella panoramica della registrazione dell'applicazione copiare e salvare l'ID applicazione (client) e l'ID directory (tenant).

Assegnazione di ruoli

È possibile controllare l'accesso alle risorse di archiviazione assegnando ruoli a una registrazione dell'applicazione Microsoft Entra ID associata all'account di archiviazione. Potrebbe essere necessario assegnare altri ruoli in base a requisiti specifici.

Per assegnare ruoli in un account di archiviazione, è necessario avere il ruolo Proprietario o Amministratore accesso utenti di Azure controllo degli accessi in base al ruolo di Azure nell'account di archiviazione.

  1. Nel portale di Azure passare al servizio Account di archiviazione.
  2. Selezionare un account di archiviazione di Azure da usare con la registrazione dell'applicazione.
  3. Fare clic su Controllo di accesso (IAM).
  4. Fare clic su + Aggiungi dal menu a discesa, selezionare Aggiungi assegnazione di ruolo.
  5. Impostare il campo Seleziona sul nome dell'applicazione Microsoft Entra ID e impostare Ruolo su Collaboratore ai dati del BLOB di archiviazione.
  6. Fare clic su Salva.

Per abilitare l'accesso agli eventi di file nell'account di archiviazione usando l'entità servizio, è necessario avere il ruolo Proprietario o Amministratore accesso utenti di Azure nel gruppo di risorse di Azure in cui si trova l'account Azure Data Lake Storage Gen2.

  1. Seguire i passaggi precedenti e assegnare il ruolo Collaboratore ai dati della coda di archiviazione e Collaboratore account di archiviazione dell'entità servizio.
  2. Passare al gruppo di risorse di Azure in cui si trova l'account Azure Data Lake Storage Gen2.
  3. Passare a Controllo di accesso (IAM), fare clic su + Aggiungi e selezionare Aggiungi assegnazione di ruolo.
  4. Selezionare il ruolo Collaboratore EventGrid EventSubscription e fare clic su Avanti.
  5. In Assegna accesso a selezionare Entità servizio.
  6. Fare clic su +Seleziona membri, selezionare l'entità servizio e fare clic su Rivedi e assegna.

In alternativa, è possibile limitare l'accesso concedendo solo al ruolo Collaboratore ai dati della coda di archiviazione l'entità servizio e senza concedere ruoli al gruppo di risorse. In questo caso, Azure Databricks non può configurare eventi di file per conto dell'utente.