Gérer les informations d'identification de stockage

Cette page explique comment répertorier, afficher, mettre à jour, accorder des autorisations et supprimer des informations d’identification de stockage.

Databricks vous recommande d’accorder uniquement CREATE EXTERNAL LOCATION et aucun autre privilège sur les informations d’identification de stockage.

Cette page explique comment gérer les informations d’identification de stockage à l’aide de l’Explorateur de catalogues et des commandes SQL. Pour plus d’informations sur l’utilisation de l’interface CLI Databricks ou Terraform à la place, consultez la documentation Databricks Terraform et Qu’est-ce que l’interface CLI Databricks ?.

Liste des informations d’identification de stockage

Pour afficher la liste de toutes les informations d’identification de stockage d’un metastore, vous pouvez utiliser Catalog Explorer ou une commande SQL.

Explorateur de catalogues

1. Dans la barre latérale, cliquez sur Catalogue.
2. Cliquez sur le bouton Données >externes et accédez à l’onglet Informations d’identification.
3. Triez les informations d’identification par objectif (STOCKAGE ou SERVICE).

SQL

Exécutez la commande suivante dans un notebook ou dans l’éditeur Databricks SQL.

SHOW STORAGE CREDENTIALS;

Voir des informations d’identification de stockage

Pour afficher les propriétés des informations d’identification de stockage, vous pouvez utiliser Catalog Explorer ou une commande SQL.

Explorateur de catalogues

1. Dans la barre latérale, cliquez sur Catalogue.
2. Cliquez sur le bouton Données >externes et accédez à l’onglet Informations d’identification.
3. Cliquez sur le nom d’une information d’identification de stockage pour afficher ses propriétés.

SQL

Exécutez la commande suivante dans un notebook ou dans l’éditeur Databricks SQL. Remplacez <credential-name> par le nom de vos informations d'identification.

DESCRIBE STORAGE CREDENTIAL <credential-name>;

Affecter des informations d’identification de stockage à des espaces de travail spécifiques

Par défaut, les informations d’identification de stockage sont accessibles depuis tous les espaces de travail du metastore. Cela signifie que si un utilisateur a reçu un privilège (tel que CREATE EXTERNAL LOCATION) sur ces informations d’identification de stockage, il peut exercer ce privilège à partir d’un espace de travail attaché au metastore. Si vous utilisez des espaces de travail pour isoler l’accès aux données utilisateur, vous pouvez autoriser l’accès à des informations d’identification de stockage uniquement à partir d’espaces de travail spécifiques. Cette fonctionnalité est connue sous le nom de liaison d'espace de travail ou d'isolation de l'autorisation de stockage.

Un cas d’usage classique pour lier une autorisation de stockage à des espaces de travail spécifiques est le scénario dans lequel un administrateur cloud configure une autorisation de stockage en utilisant des identifiants de compte cloud de production, et vous voulez vous assurer que les utilisateurs d'Azure Databricks utilisent cette autorisation pour créer des emplacements externes uniquement dans l'espace de travail de production.

Pour plus d’informations sur la liaison d’espace de travail, consultez Limiter l’accès au catalogue à des espaces de travail spécifiques.

Lier des informations d’identification de stockage à un ou plusieurs espaces de travail

Pour affecter des informations d’identification de stockage à des espaces de travail spécifiques, vous pouvez utiliser Catalog Explorer ou Databricks CLI.

Autorisations requises : administrateur metastore, propriétaire des identifiants de stockage ou détenteur d'accès aux identifiants de stockage.

Explorateur de catalogues

1. Connectez-vous à un espace de travail lié au metastore.

2. Dans la barre latérale, cliquez sur Catalogue.

3. Cliquez sur le bouton Données >externes et accédez à l’onglet Informations d’identification.

4. Sélectionnez les informations d’identification de stockage et accédez à l’onglet Espaces de travail.

5. Sous l’onglet Espaces de travail , désactivez la case à cocher Tous les espaces de travail ont accès .

   Si vos informations d’identification de stockage sont déjà liées à un ou plusieurs espaces de travail, cette case à cocher est déjà désactivée.

6. Cliquez sur Affecter à des espaces de travail, puis entrez ou recherchez les espaces de travail que vous souhaitez attribuer.

Pour révoquer l’accès, accédez à l’onglet Espaces de travail, sélectionnez l’espace de travail, puis cliquez sur Révoquer. Pour autoriser l’accès depuis tous les espaces de travail, cochez la case Tous les espaces de travail ont accès.

Interface de ligne de commande (CLI)

Il existe deux groupes de commandes Databricks CLI et deux étapes nécessaires pour affecter des informations d’identification de stockage à un espace de travail.

Dans les exemples suivants, remplacez <profile-name> par le nom de votre profil de configuration d’authentification Azure Databricks. Il doit inclure la valeur d’un jeton d’accès personnel, en plus du nom de l’instance de l’espace de travail et de l’ID d’espace de travail de l’espace de travail où vous avez généré le jeton d’accès personnel. Consultez l’authentification par jeton d’accès personnel (déconseillée).

1. Utilisez la commande storage-credentials du groupe de commandes update pour définir les informations d’identification de stockage à isolation modeISOLATED.

   databricks storage-credentials update <my-storage-credential> \
   --isolation-mode ISOLATED \
   --profile <profile-name>
   

   La valeur par défaut isolation-mode concerne OPEN tous les espaces de travail attachés au metastore.

2. Utilisez la commande du groupe de commande workspace-bindings pour affecter les espaces de travail aux identifiants de stockage update-bindings.

   databricks workspace-bindings update-bindings storage-credential <my-storage-credential> \
   --json '{
     "add": [{"workspace_id": <workspace-id>}...],
     "remove": [{"workspace_id": <workspace-id>}...]
   }' --profile <profile-name>
   

   Utilisez les propriétés "add" et "remove" pour ajouter ou supprimer des liaisons d’espace de travail.

   Remarque

   La liaison en lecture seule (BINDING_TYPE_READ_ONLY) n’est pas disponible pour les informations d’identification de stockage. Par conséquent, il n’existe aucune raison de définir binding_type pour la liaison d’informations d’identification de stockage.

Pour répertorier toutes les attributions d’espace de travail pour un identifiant de stockage, utilisez la commande workspace-bindings du groupe de commandes get-bindings :

databricks workspace-bindings get-bindings storage-credential <my-storage-credential> \
--profile <profile-name>

Dissocier des informations d’identification de stockage à partir d’un espace de travail

Les instructions pour révoquer l’accès d’un espace de travail à des informations d’identification de stockage en utilisant Catalog Explorer ou le groupe de commandes CLI workspace-bindings sont incluses dans Lier des informations d’identification de stockage à un ou plusieurs espaces de travail.

Afficher les octrois sur des informations d’identification de stockage

Pour afficher les octrois sur des informations d’identification de stockage, vous pouvez utiliser l’Explorateur catalogue ou une commande SQL.

Explorateur de catalogues

1. Dans la barre latérale, cliquez sur Catalogue.
2. Cliquez sur le bouton Données >externes et accédez à l’onglet Informations d’identification.
3. Cliquez sur le nom d’une information d’identification de stockage.
4. Cliquez sur Autorisations.

SQL

Pour afficher les autorisations sur les informations d’identification de stockage, utilisez une commande semblable à la suivante. Vous pouvez éventuellement filtrer les résultats pour afficher uniquement les autorisations pour le principal spécifié.

SHOW GRANTS [<principal>] ON STORAGE CREDENTIAL <storage-credential-name>;

Remplacez les valeurs d’espace réservé :

• <principal>:Adresse de messagerie de l’utilisateur au niveau du compte ou nom du groupe de niveaux de comptes auquel accorder l’autorisation. Si un groupe ou un nom d’utilisateur contient un espace ou @ un symbole, utilisez des cycles précédents autour de celui-ci (et non des apostrophes). Par exemple, l’équipe financière.
• <storage-credential-name>: Nom d’une information d’identification de stockage.

Accorder des autorisations pour créer des emplacements externes

Pour accorder l’autorisation de créer un emplacement externe à l’aide d’informations d’identification de stockage, effectuez ces étapes :

Explorateur de catalogues

1. Dans la barre latérale, cliquez sur Catalogue.
2. Cliquez sur le bouton Données >externes et accédez à l’onglet Informations d’identification.
3. Cliquez sur le nom des informations d’identification de stockage pour ouvrir la page de détails.
4. Cliquez sur Autorisations.
5. Pour accorder l’autorisation d’accès aux utilisateurs ou aux groupes, sélectionnez chaque identité, puis cliquez sur accorder.
6. Pour révoquer les autorisations des utilisateurs ou des groupes, sélectionnez chaque identité, puis cliquez sur Révoquer.

SQL

Exécutez la commande suivante dans un notebook ou dans l’éditeur de requête SQL :

GRANT CREATE EXTERNAL LOCATION ON STORAGE CREDENTIAL <storage-credential-name> TO <principal>;

Remplacez les valeurs d’espace réservé :

• <principal>:Adresse de messagerie de l’utilisateur au niveau du compte ou nom du groupe de niveaux de comptes auquel accorder l’autorisation. Si un groupe ou un nom d’utilisateur contient un espace ou @ un symbole, utilisez des cycles précédents autour de celui-ci (et non des apostrophes). Par exemple, l’équipe financière.
• <storage-credential-name>: Nom d’une information d’identification de stockage.

Modifier le propriétaire d’une information d’identification de stockage

Le créateur des informations d'authentification de stockage est son propriétaire initial. Pour remplacer le propriétaire par un autre utilisateur ou groupe au niveau du compte, vous pouvez utiliser l’Explorateur catalogue ou une commande SQL.

Explorateur de catalogues

1. Dans la barre latérale, cliquez sur Catalogue.
2. Cliquez sur le bouton Données >externes et accédez à l’onglet Informations d’identification.
3. Cliquez sur le nom d’une information d’identification de stockage.
4. Cliquez en regard du propriétaire.
5. Tapez pour rechercher un principal et sélectionnez-le.
6. Cliquez sur Enregistrer.

SQL

Exécutez la commande suivante dans un notebook ou dans l’éditeur Databricks SQL. Remplacez les valeurs d’espace réservé :

• <credential-name>: Nom des informations d'identification.
• <principal> : Adresse e-mail d’un utilisateur au niveau du compte ou nom d’un groupe au niveau du compte.

ALTER STORAGE CREDENTIAL <credential-name> OWNER TO <principal>;

Marquer des informations d’identification de stockage en lecture seule

Si vous souhaitez que les utilisateurs aient un accès en lecture seule à toutes les données gérées par des informations d’identification de stockage, vous pouvez utiliser Catalog Explorer pour marquer les informations d’identification de stockage en lecture seule.

La définition d’informations d’identification de stockage en lecture seule signifie que tout stockage configuré avec ces informations d’identification est en lecture seule.

Vous pouvez marquer les informations d’identification de stockage comme étant en lecture seule lorsque vous les créez.

Vous pouvez également utiliser Catalog Explorer pour changer l’état en lecture seule après avoir créé des informations d’identification de stockage :

1. Dans l’Explorateur de catalogues, recherchez les identifiants de stockage, cliquez sur l’icône du menu kebab sur la ligne de l’objet, puis sélectionnez Modifier.
2. Dans la boîte de dialogue de modification, sélectionnez l’option Lecture seule.

Renommez les informations d’identification de stockage

Pour renommer des informations d’identification de stockage, vous pouvez utiliser Catalog Explorer ou une commande SQL.

Explorateur de catalogues

1. Dans la barre latérale, cliquez sur Catalogue.
2. Cliquez sur le bouton Données >externes et accédez à l’onglet Informations d’identification.
3. Cliquez sur le nom des informations d’identification de stockage pour ouvrir la boîte de dialogue de modification.
4. Renommez les informations d’identification de stockage et enregistrez-les.

SQL

Exécutez la commande suivante dans un notebook ou dans l’éditeur Databricks SQL. Remplacez les valeurs d’espace réservé :

• <credential-name>: Nom des informations d'identification.
• <new-credential-name>:Nouveau nom pour les informations d’identification.

ALTER STORAGE CREDENTIAL <credential-name> RENAME TO <new-credential-name>;

Supprimer des informations d’identification de stockage

Pour supprimer des informations d’identification de stockage, vous devez en être le propriétaire. Pour supprimer des informations d’identification de stockage, vous pouvez utiliser Catalog Explorer ou une commande SQL.

Explorateur de catalogues

1. Dans la barre latérale, cliquez sur Catalogue.
2. Cliquez sur le bouton Données >externes et accédez à l’onglet Informations d’identification.
3. Cliquez sur le nom des informations d’identification de stockage pour ouvrir la boîte de dialogue de modification.
4. Cliquez sur le bouton Supprimer .

SQL

Exécutez la commande suivante dans un notebook ou dans l’éditeur Databricks SQL. Remplacez <credential-name> par le nom de vos informations d'identification. Les parties de la commande entre crochets sont facultatives. Par défaut, si les informations d’identification sont utilisées par un emplacement externe, elles ne sont pas supprimées. Remplacez <credential-name> par le nom de vos informations d'identification.

IF EXISTS ne retourne pas d’erreur si les informations d’identification n’existent pas.

DROP STORAGE CREDENTIAL [IF EXISTS] <credential-name>;