Compartir a través de

Administración de credenciales de almacenamiento

En esta página se describe cómo enumerar, ver, actualizar, conceder permisos y eliminar credenciales de almacenamiento.

Databricks recomienda conceder solo CREATE EXTERNAL LOCATION y ningún otro privilegio en las credenciales de almacenamiento.

En esta página se describe cómo administrar las credenciales de almacenamiento mediante el Explorador de catálogos y comandos SQL. Para obtener información sobre el uso de la CLI de Databricks o Terraform en su lugar, consulte la documentación de Databricks Terraform y ¿Qué es la CLI de Databricks?.

Obtención de una lista de las credenciales de almacenamiento

Para ver la lista de todas las credenciales de almacenamiento de un metastore, puede usar Catalog Explorer o un comando SQL.

Explorador de catálogo

  1. En la barra lateral, haga clic en Icono de datos.Catálogo.
  2. Haga clic en el botón Datos >externos y vaya a la pestaña Credenciales.
  3. Ordene las credenciales por propósito (ALMACENAMIENTO o SERVICIO).

SQL

Ejecute el siguiente comando en un cuaderno o en el editor de Databricks SQL:

SHOW STORAGE CREDENTIALS;

Visualización de una credencial de almacenamiento

Para ver las propiedades de una credencial de almacenamiento, puede usar Catalog Explorer o un comando SQL.

Explorador de catálogo

  1. En la barra lateral, haga clic en Icono de datos.Catálogo.
  2. Haga clic en el botón Datos >externos y vaya a la pestaña Credenciales.
  3. Haga clic en el nombre de una credencial de almacenamiento para abrir sus propiedades.

SQL

Ejecute el siguiente comando en un cuaderno o en el editor de Databricks SQL: Reemplace <credential-name> por el nombre de la credencial.

DESCRIBE STORAGE CREDENTIAL <credential-name>;

Asignación de una credencial de almacenamiento a áreas de trabajo específicas

De forma predeterminada, se puede acceder a una credencial de almacenamiento desde todas las áreas de trabajo del metastore. Esto significa que si a un usuario se le ha concedido un privilegio (por CREATE EXTERNAL LOCATIONejemplo, ) en esa credencial de almacenamiento, puede ejercer ese privilegio desde cualquier área de trabajo asociada al metastore. Si usa áreas de trabajo para aislar el acceso a datos de usuario, puede permitir el acceso a una credencial de almacenamiento solo desde áreas de trabajo específicas. Esta característica se conoce como enlace del área de trabajo o aislamiento de credenciales de almacenamiento.

Un caso de uso típico para enlazar una credencial de almacenamiento a áreas de trabajo específicas es el escenario en el que un administrador de la nube configura una credencial de almacenamiento mediante una credencial de cuenta en la nube de producción y quiere asegurarse de que los usuarios de Azure Databricks usen esta credencial para crear ubicaciones externas solo en el área de trabajo de producción.

Para obtener más información sobre el enlace del área de trabajo, consulte Limitar el acceso de catálogo a áreas de trabajo específicas.

Nota:

Se hace referencia a los enlaces del área de trabajo cuando se ejercen los privilegios con respecto a las credenciales de almacenamiento. Por ejemplo, si un usuario crea una ubicación externa mediante una credencial de almacenamiento, el enlace del área de trabajo en la credencial de almacenamiento solo se comprueba cuando se crea la ubicación externa. Una vez creada la ubicación externa, funcionará independientemente de los enlaces del área de trabajo configurados en la credencial de almacenamiento.

Enlace de una credencial de almacenamiento a una o varias áreas de trabajo

Para asignar una credencial de almacenamiento a áreas de trabajo específicas, puede usar el Explorador de catálogos o la CLI de Databricks.

Permisos necesarios: administrador de metastore, propietario de credenciales de almacenamiento o MANAGE en la credencial de almacenamiento.

Nota:

Los administradores de metastore pueden ver todas las credenciales de almacenamiento en un metastore mediante el Explorador de catálogos y los propietarios de credenciales de almacenamiento pueden ver todas las credenciales de almacenamiento que poseen en un metastore, independientemente de si la credencial de almacenamiento está asignada al área de trabajo actual. Las credenciales de almacenamiento que no están asignadas al área de trabajo aparecen atenuadas.

Explorador de catálogo

  1. Inicie sesión en un área de trabajo vinculada al metastore.

  2. En la barra lateral, haga clic en Icono de datos.Catálogo.

  3. Haga clic en el botón Datos >externos y vaya a la pestaña Credenciales.

  4. Seleccione la credencial de almacenamiento y vaya a la pestaña Áreas de trabajo.

  5. En la pestaña Áreas de trabajo, desactive la casilla Todas las áreas de trabajo tienen acceso.

    Si el catálogo ya está enlazado a una o varias áreas de trabajo, esta casilla ya está desactivada.

  6. Haga clic en Asignar a áreas de trabajo y escriba o busque las áreas de trabajo que desea asignar.

Para revocar el acceso, vaya a la pestaña Áreas de trabajo, seleccione el área de trabajo y haga clic en Revocar. Para permitir el acceso desde todas las áreas de trabajo, active la casilla Todas las áreas de trabajo tienen acceso.

Interfaz de línea de comandos (CLI)

Hay dos grupos de comandos de la CLI de Databricks y dos pasos necesarios para asignar una credencial de almacenamiento a un espacio de trabajo.

En los ejemplos siguientes, reemplace <profile-name> con el nombre del perfil de configuración de autenticación de Azure Databricks. Debe incluir el valor de un token de acceso personal, además del nombre de la instancia del área de trabajo y el identificador de área de trabajo donde generó el token de acceso personal. Consulte Autenticación de token de acceso personal (en desuso).

  1. Use el comando del grupo storage-credentials de update para establecer las credenciales de almacenamiento de isolation mode a ISOLATED.

    databricks storage-credentials update <my-storage-credential> \
--isolation-mode ISOLATED \
--profile <profile-name>

    El valor predeterminado de isolation-mode es OPEN para todas las áreas de trabajo asociadas al metastore.

  2. Utiliza el comando workspace-bindings del grupo update-bindings para asignar los espacios de trabajo a la credencial de almacenamiento.

    databricks workspace-bindings update-bindings storage-credential <my-storage-credential> \
--json '{
  "add": [{"workspace_id": <workspace-id>}...],
  "remove": [{"workspace_id": <workspace-id>}...]
}' --profile <profile-name>

    Use las propiedades "add" y "remove" para agregar o quitar enlaces de área de trabajo.

    Nota:

    El enlace de solo lectura (BINDING_TYPE_READ_ONLY) no está disponible para las credenciales de almacenamiento. Por lo tanto, no hay ninguna razón para establecer binding_type para el enlace de credenciales de almacenamiento.

Para enumerar todas las asignaciones de área de trabajo de una credencial de almacenamiento, use el workspace-bindings comando del grupo de get-bindings comandos:

databricks workspace-bindings get-bindings storage-credential <my-storage-credential> \
--profile <profile-name>

Desenlace una credencial de almacenamiento de un área de trabajo

Las instrucciones para revocar el acceso del área de trabajo a una credencial de almacenamiento mediante el Explorador de catálogos o el grupo de comandos de la CLI de workspace-bindings se incluyen en Enlazar una credencial de almacenamiento a una o varias áreas de trabajo.

Mostrar concesiones en una credencial de almacenamiento

Para ver las concesiones en una credencial de almacenamiento, puede usar el Explorador de catálogos o un comando SQL.

Explorador de catálogo

  1. En la barra lateral, haga clic en Icono de datos.Catálogo.
  2. Haga clic en el botón Datos >externos y vaya a la pestaña Credenciales.
  3. Haga clic en el nombre de una credencial de almacenamiento.
  4. Haga clic en Permisos.

SQL

Para mostrar los permisos concedidos con relación a una credencial de almacenamiento, use un comando como el siguiente. También puede filtrar los resultados para mostrar únicamente los permisos concedidos con relación a la entidad de seguridad especificada:

SHOW GRANTS [<principal>] ON STORAGE CREDENTIAL <storage-credential-name>;

Reemplace los valores de marcador de posición:

  • <principal>: dirección de correo electrónico del usuario (o nombre del grupo) de nivel de cuenta al que se debe conceder el permiso. Si un grupo o nombre de usuario contiene un espacio o @ símbolo, use tics atrás alrededor de él (no apóstrofos). Por ejemplo , equipo financiero.
  • <storage-credential-name>: nombre de una credencial de almacenamiento.

Concesión de permisos para crear ubicaciones externas

Para conceder permiso para crear una ubicación externa mediante una credencial de almacenamiento, siga estos pasos:

Explorador de catálogo

  1. En la barra lateral, haga clic en Icono de datos.Catálogo.
  2. Haga clic en el botón Datos >externos y vaya a la pestaña Credenciales.
  3. Haga clic en el nombre de una credencial de almacenamiento para abrir la página de detalles.
  4. Haga clic en Permisos.
  5. Para conceder permiso a usuarios o grupos, seleccione cada identidad y, luego, haga clic en Conceder.
  6. Para revocar permisos a usuarios o grupos, seleccione de cada identidad y, luego, haga clic en Revocar.

SQL

Ejecute el siguiente comando en un cuaderno o en el editor de consultas SQL:

GRANT CREATE EXTERNAL LOCATION ON STORAGE CREDENTIAL <storage-credential-name> TO <principal>;

Reemplace los valores de marcador de posición:

  • <principal>: dirección de correo electrónico del usuario (o nombre del grupo) de nivel de cuenta al que se debe conceder el permiso. Si un grupo o nombre de usuario contiene un espacio o @ símbolo, use tics atrás alrededor de él (no apóstrofos). Por ejemplo , equipo financiero.
  • <storage-credential-name>: nombre de una credencial de almacenamiento.

Cambio del propietario de una credencial de almacenamiento

El creador de una credencial de almacenamiento es su propietario inicial. Para cambiar el propietario a otro usuario o grupo de nivel de cuenta, puede usar el Explorador de catálogos o un comando SQL.

Explorador de catálogo

  1. En la barra lateral, haga clic en Icono de datos.Catálogo.
  2. Haga clic en el botón Datos >externos y vaya a la pestaña Credenciales.
  3. Haga clic en el nombre de una credencial de almacenamiento.
  4. Haga clic icono Editar junto a Propietario.
  5. Escriba para buscar una entidad de seguridad y selecciónela.
  6. Haga clic en Save(Guardar).

SQL

Ejecute el siguiente comando en un cuaderno o en el editor de Databricks SQL: Reemplace los valores de marcador de posición:

  • <credential-name>: nombre de la credencial.
  • <principal>: dirección de correo electrónico de un usuario de nivel de cuenta o nombre de un grupo de nivel de cuenta.
ALTER STORAGE CREDENTIAL <credential-name> OWNER TO <principal>;

Marcar una credencial de almacenamiento como de solo lectura

Si desea que los usuarios tengan acceso de solo lectura a todos los datos administrados por una credencial de almacenamiento, puede usar el Explorador de catálogos para marcar la credencial de almacenamiento como de solo lectura.

Hacer que las credenciales de almacenamiento sean de solo lectura significa que cualquier almacenamiento configurado con esa credencial es de solo lectura.

Puede marcar las credenciales de almacenamiento como de solo lectura al crearlas.

También puede usar el Explorador de catálogos para cambiar el estado de solo lectura después de crear una credencial de almacenamiento:

  1. En el Explorador de catálogos, busque la credencial de almacenamiento, haga clic en el icono de menú Kebab. menú kebab en la fila del objeto y seleccione Editar.
  2. En el cuadro de diálogo de edición, seleccione la opción Solo lectura.

Cambio del nombre de una credencial de almacenamiento

Para cambiar el nombre de una credencial de almacenamiento, puede usar Catalog Explorer o un comando SQL.

Explorador de catálogo

  1. En la barra lateral, haga clic en Icono de datos.Catálogo.
  2. Haga clic en el botón Datos >externos y vaya a la pestaña Credenciales.
  3. Haga clic en el nombre de una credencial de almacenamiento para abrir el cuadro de diálogo de edición.
  4. Cambie el nombre de la credencial y guárdela.

SQL

Ejecute el siguiente comando en un cuaderno o en el editor de Databricks SQL: Reemplace los valores de marcador de posición:

  • <credential-name>: nombre de la credencial.
  • <new-credential-name>: nuevo nombre de la credencial.
ALTER STORAGE CREDENTIAL <credential-name> RENAME TO <new-credential-name>;

Eliminación de una credencial de almacenamiento

Para eliminar (anular) una credencial de almacenamiento, debe ser su propietario. Para eliminar una credencial de almacenamiento, puede usar Catalog Explorer o un comando SQL.

Explorador de catálogo

  1. En la barra lateral, haga clic en Icono de datos.Catálogo.
  2. Haga clic en el botón Datos >externos y vaya a la pestaña Credenciales.
  3. Haga clic en el nombre de una credencial de almacenamiento para abrir el cuadro de diálogo de edición.
  4. Haga clic en el botón Eliminar .

SQL

Ejecute el siguiente comando en un cuaderno o en el editor de Databricks SQL: Reemplace <credential-name> por el nombre de la credencial. Las partes del comando que están entre corchetes son opcionales. De manera predeterminada, si una ubicación externa usa la credencial, esta no se elimina. Reemplace <credential-name> por el nombre de la credencial.

IF EXISTS no devuelve un error si la credencial no existe.

DROP STORAGE CREDENTIAL [IF EXISTS] <credential-name>;
  • Last updated on