Gerenciar credenciais de serviço
Importante
Esse recurso está em uma versão prévia.
Este artigo descreve como listar, exibir, atualizar, conceder permissões e excluir credenciais de serviço, que são objetos protegíveis do Catálogo do Unity que permitem controlar o acesso a serviços de nuvem externos.
Consulte também:
- Para obter uma introdução e saber como criar credenciais de serviço: Gerenciar o acesso a serviços de nuvem externos usando credenciais de serviço
- Para saber como referenciar credenciais de serviço em seu código e especificar uma credencial de serviço padrão para um recurso de computação: Use as credenciais de serviço do Catálogo do Unity para se conectar a serviços de nuvem externos.
Antes de começar
Para executar as tarefas descritas neste artigo, você deve atender aos seguintes requisitos:
- Um workspace do Azure Databricks habilitado para o Catálogo do Unity.
- Para listar ou exibir uma credencial de serviço, você deve ter um dos seguintes privilégios ou funções:
BROWSEprivilégio no catálogo paiCREATE SERVICE CREDENTIALno metastoreACCESSna credencial de serviço- Proprietário da credencial de serviço
- Administrador de metastore
- Para executar qualquer uma das outras tarefas listadas neste artigo, você deve ser o proprietário da credencial de serviço ou um administrador de metastore.
- Se você usar comandos SQL para listar, exibir ou atualizar a credencial de serviço, precisará de computação no Databricks Runtime 15.4 LTS ou superior. Não haverá nenhum requisito de versão do Databricks Runtime se você usar o Explorador de Catálogos ou a API REST.
Listar credenciais de serviço
Para exibir a lista de todas as credenciais de serviço em um metastore, você pode usar o Explorador de Catálogos ou um comando SQL.
Explorador do Catálogo
- Na barra lateral, clique em
Catálogo. - Na página Acesso rápido, clique no botão Dados externos >e vá para a guia Credenciais.
- Classifique as credenciais por Finalidade (ARMAZENAMENTO ou SERVIÇO).
SQL
Execute o comando a seguir em um notebook.
SHOW SERVICE CREDENTIALS;
Exibir uma credencial de serviço
Para exibir as propriedades de uma credencial de serviço, você pode usar o Explorador de Catálogos ou um comando SQL.
Explorador do Catálogo
- Na barra lateral, clique em Catálogo.
- Na página Acesso rápido, clique no botão Dados externos >e vá para a guia Credenciais.
- Clique no nome de uma credencial de serviço para ver suas propriedades.
SQL
Execute o comando a seguir em um notebook. Substitua <credential-name> pelo nome da credencial.
DESCRIBE SERVICE CREDENTIAL <credential-name>;
Mostrar concessões em uma credencial de serviço
Para mostrar concessões em uma credencial de serviço, use um comando como o seguinte. Opcionalmente, você pode filtrar os resultados para mostrar apenas as concessões da entidade de segurança especificada.
SHOW GRANTS [<principal>] ON SERVICE CREDENTIAL <service-credential-name>;
Substitua os valores de espaço reservado:
<principal>: o endereço de e-mail do usuário no nível da conta ou o nome do grupo no nível da conta que recebeu a permissão.<service-credential-name>: O nome de uma credencial de serviço.
Observação
Se um grupo ou nome de usuário contiver um espaço ou @ símbolo, use acentos graves ao redor dele (não apóstrofos). Por exemplo, equipe financeira.
Conceder permissões para usar uma credencial de serviço para acessar um serviço de nuvem externo
Para conceder permissão para usar uma credencial de serviço para acessar um serviço de nuvem externo, conclua as etapas a seguir. Você pode usar comandos do Explorador de Catálogos ou SQL:
Explorador do Catálogo
- Na barra lateral, clique em Catálogo.
- Na página Acesso rápido, clique no botão Dados externos >e vá para a guia Credenciais.
- Clique no nome de uma credencial de serviço para abrir a página de detalhes.
- Clique em Permissões.
- Para conceder permissões a usuários ou grupos, selecione cada identidade e clique em Conceder.
- Selecione ACCESS para conceder a capacidade de usar a credencial de serviço para acessar um serviço ou serviços de nuvem externos.
- Selecione CREATE CONNECTION para conceder a capacidade de criar uma conexão de Federação do Lakehouse no Catálogo do Unity usando essa credencial de serviço. Consulte Gerenciar conexões para a Federação de Lakehouse.
- Para revogar permissões de usuários ou grupos, selecione cada identidade e clique em Revogar.
SQL
Para conceder acesso, execute um dos seguintes comandos em um notebook, substituindo os valores de espaço reservado:
<principal>: o endereço de email do usuário de nível de conta ou o nome do grupo de nível de conta ao qual conceder a permissão.<service-credential-name>: O nome de uma credencial de serviço.
Observação
Se um grupo ou nome de usuário contiver um espaço, traço (-) ou @ símbolo, use acentos graves ao redor dele (não apóstrofos). Por exemplo, `finance team`.
GRANT ACCESS ON SERVICE CREDENTIAL <service-credential-name> TO <principal>;
Se você quiser conceder a capacidade de criar uma conexão de Federação do Lakehouse no Catálogo do Unity usando essa credencial de serviço, use o seguinte:
GRANT CREATE CONNECTION ON SERVICE CREDENTIAL <service-credential-name> TO <principal>;
Para revogar o acesso, substitua GRANT por REVOKE nestes exemplos.
Alterar o proprietário de uma credencial de serviço
O criador de uma credencial de serviço é seu proprietário inicial. Para alterar o proprietário para um usuário ou grupo de nível de conta diferente, você pode usar o Explorador de Catálogos ou um comando SQL.
Explorador do Catálogo
- Na barra lateral, clique em Catálogo.
- Na página Acesso rápido, clique no botão Dados externos >e vá para a guia Credenciais.
- Clique no nome de uma credencial de serviço para abrir a caixa de diálogo de edição.
- Clique em
ao lado de Proprietário. - Digite para pesquisar uma entidade de segurança e selecioná-la.
- Clique em Save (Salvar).
SQL
Execute o comando a seguir em um notebook. Substitua os valores de espaço reservado:
<credential-name>: o nome da credencial.<principal>: o endereço de email de um usuário de nível de conta ou o nome de um grupo de nível de conta.
ALTER SERVICE CREDENTIAL <credential-name> OWNER TO <principal>;
Renomear uma credencial de serviço
Para renomear uma credencial de serviço, você pode usar o Explorador de Catálogos ou um comando SQL.
Explorador do Catálogo
- Na barra lateral, clique em Catálogo.
- Na página Acesso rápido, clique no botão Dados externos >e vá para a guia Credenciais.
- Clique no nome de uma credencial de serviço para abrir a caixa de diálogo de edição.
- Renomeie a credencial de serviço e salve-a.
SQL
Execute o comando a seguir em um notebook. Substitua os valores de espaço reservado:
<credential-name>: o nome da credencial.<new-credential-name>: Um novo nome para a credencial.
ALTER SERVICE CREDENTIAL <credential-name> RENAME TO <new-credential-name>;
Excluir uma credencial de serviço
Para excluir (descartar) uma credencial de serviço, você deve ser seu proprietário. Para excluir uma credencial de serviço, você pode usar o Explorador de Catálogos ou um comando SQL.
Explorador do Catálogo
- Na barra lateral, clique em Catálogo.
- Na página Acesso rápido, clique no botão Dados externos >e vá para a guia Credenciais.
- Clique no nome de uma credencial de serviço para abrir a caixa de diálogo de edição.
- Clique no botão Excluir .
SQL
Execute o comando a seguir em um notebook. Substitua <credential-name> pelo nome da credencial. Os trechos do comando que estão entre colchetes são opcionais.
IF EXISTS não retornará um erro se a credencial não existir.
DROP SERVICE CREDENTIAL [IF EXISTS] <credential-name>;