Hizmet sorumlusu ve Microsoft Entra Id(Azure Active Directory) kullanarak depolamaya erişme

Not

Bu makalede, Azure Data Lake Storage 2. Nesil erişimi yapılandırmaya yönelik eski desenler açıklanmaktadır.

Databricks, hizmet sorumluları yerine Azure Data Lake Storage 2. Nesil bağlanmak için Unity Kataloğu depolama kimlik bilgileri olarak Azure yönetilen kimliklerinin kullanılmasını önerir. Yönetilen kimlikler Unity Kataloğu'nun ağ kurallarıyla korunan depolama hesaplarına erişmesine izin verme avantajına sahiptir. Bu, hizmet sorumluları kullanılarak mümkün değildir ve gizli dizileri yönetme ve döndürme gereksinimini ortadan kaldırır. Daha fazla bilgi için bkz . Depolamaya erişmek için Unity Kataloğu'nda Azure yönetilen kimliklerini kullanma.

Bir uygulamayı Microsoft Entra ID'ye kaydetmek, Azure depolama hesaplarına erişim sağlamak için kullanabileceğiniz bir hizmet sorumlusu oluşturur.

Daha sonra bu hizmet sorumlularına erişimi Unity Kataloğu'nda depolama kimlik bilgileri olarak veya gizli dizilerle depolanan kimlik bilgileri olarak yapılandırabilirsiniz.

Microsoft Entra ID uygulamasını kaydetme

Bir Microsoft Entra Id (eski adıYla Azure Active Directory) uygulamasını kaydetmek ve uygun izinler atamak, Azure Data Lake Storage 2. Nesil veya Blob Depolama kaynaklarına erişebilen bir hizmet sorumlusu oluşturur.

Bir Microsoft Entra Id uygulamasını kaydetmek için, Microsoft Entra Id'de role veya izne Application.ReadWrite.All sahip Application Administrator olmanız gerekir.

  1. Azure portalında Microsoft Entra ID hizmetine gidin.
  2. Yönet'in altında Uygulama Kayıtları'ne tıklayın.
  3. + Yeni kayıt'a tıklayın. Uygulama için bir ad girin ve Kaydet'e tıklayın.
  4. Sertifikalar ve Gizli Diziler'e tıklayın.
  5. + Yeni istemci gizli dizisi'ne tıklayın.
  6. Gizli dizi için bir açıklama ekleyin ve Ekle'ye tıklayın.
  7. Yeni gizli dizi için değeri kopyalayın ve kaydedin.
  8. Uygulama kaydına genel bakış bölümünde Uygulama (istemci) kimliğini ve Dizin (kiracı) kimliğini kopyalayıp kaydedin.

Rol atama

Depolama hesabıyla ilişkilendirilmiş bir Microsoft Entra ID uygulama kaydına roller atayarak depolama kaynaklarına erişimi denetleyebilirsiniz. Belirli gereksinimlere bağlı olarak başka roller atamanız gerekebilir.

Depolama hesabında rol atamak için depolama hesabında Sahip veya Kullanıcı Erişim Yöneticisi Azure RBAC rolüne sahip olmanız gerekir.

  1. Azure portalında Depolama hesapları hizmetine gidin.
  2. Bu uygulama kaydıyla kullanmak için bir Azure depolama hesabı seçin.
  3. Erişim Denetimi (IAM) öğesine tıklayın.
  4. + Ekle'ye tıklayın ve açılan menüden Rol ataması ekle'yi seçin.
  5. Select alanını Microsoft Entra ID uygulama adı olarak ayarlayın ve Rol değerini Depolama Blob Verileri Katkıda Bulunanı olarak ayarlayın.
  6. Kaydet'e tıklayın.

Hizmet sorumlusunu kullanarak depolama hesabında dosya olayı erişimini etkinleştirmek için, Azure Data Lake Storage 2. Nesil hesabınızın içinde olduğu Azure kaynak grubunda Sahip veya Kullanıcı Erişim Yöneticisi Azure RBAC rolüne sahip olmanız gerekir.

  1. Yukarıdaki adımları izleyin ve Depolama Kuyruğu Veri Katkıda Bulunanı ve Depolama Hesabı Katkıda Bulunanı rollerini hizmet sorumlunuz olarak atayın.
  2. Azure Data Lake Storage 2. Nesil hesabınızın içinde olduğu Azure kaynak grubuna gidin.
  3. Erişim Denetimi 'ne (IAM) gidin, + Ekle'ye tıklayın ve Rol ataması ekle'yi seçin.
  4. EventGrid EventSubscription Katkıda Bulunanı rolünü seçin ve İleri'ye tıklayın.
  5. Erişim ata'nın altında Hizmet Sorumlusu'na tıklayın.
  6. +Üyeleri Seç'e tıklayın, hizmet sorumlunuzu seçin ve Gözden Geçir ve Ata'ya tıklayın.

Alternatif olarak, yalnızca Depolama Kuyruğu Veri Katkıda Bulunanı rolüne hizmet sorumlusu vererek ve kaynak grubunuz için hiçbir rol vermeyerek erişimi sınırlayabilirsiniz. Bu durumda Azure Databricks dosya olaylarını sizin yerinize yapılandıramaz.