다음을 통해 공유

스토리지 자격 증명 관리

이 페이지에서는 스토리지 자격 증명을 나열, 보기, 업데이트, 권한 부여 및 삭제하는 방법을 설명합니다.

Databricks는 스토리지 자격 증명에 대한 권한만 CREATE EXTERNAL LOCATION 부여하고 다른 권한은 부여하지 않는 것이 좋습니다.

이 페이지에서는 카탈로그 탐색기 및 SQL 명령을 사용하여 스토리지 자격 증명을 관리하는 방법을 설명합니다. 대신 Databricks CLI 또는 Terraform을 사용하는 방법에 대한 자세한 내용은 Databricks Terraform 설명서Databricks CLI란?을 참조하세요.

스토리지 자격 증명 나열

메타스토어의 모든 스토리지 자격 증명 목록을 보려면 카탈로그 탐색기 또는 SQL 명령을 사용할 수 있습니다.

카탈로그 탐색기

  1. 사이드바에서 데이터 아이콘을 클릭합니다.카탈로그.
  2. 외부 데이터 > 단추를 클릭하고 자격 증명 탭으로 이동합니다.
  3. 용도(STORAGE 또는 서비스)를 기준으로 자격 증명을 정렬합니다.

SQL (영문)

Notebook 또는 Databricks SQL 편집기에서 다음 명령을 실행합니다.

SHOW STORAGE CREDENTIALS;

스토리지 자격 증명 보기

스토리지 자격 증명의 속성을 보려면 카탈로그 탐색기 또는 SQL 명령을 사용할 수 있습니다.

카탈로그 탐색기

  1. 사이드바에서 데이터 아이콘을 클릭합니다.카탈로그.
  2. 외부 데이터 > 단추를 클릭하고 자격 증명 탭으로 이동합니다.
  3. 속성을 보려면 스토리지 자격 증명의 이름을 클릭합니다.

SQL (영문)

Notebook 또는 Databricks SQL 편집기에서 다음 명령을 실행합니다. <credential-name>을 자격 증명 이름으로 바꿉니다.

DESCRIBE STORAGE CREDENTIAL <credential-name>;

특정 작업 영역에 스토리지 자격 증명 할당

기본적으로 메타스토어의 모든 작업 영역에서 스토리지 자격 증명에 액세스할 수 있습니다. 즉, 사용자에게 해당 스토리지 자격 증명에 대한 권한(예: CREATE EXTERNAL LOCATION)이 부여된 경우 metastore에 연결된 모든 작업 영역에서 해당 권한을 행사할 수 있습니다. 작업 영역을 사용하여 사용자 데이터 액세스를 격리하는 경우 특정 작업 영역에서만 스토리지 자격 증명에 대한 액세스를 허용할 수 있습니다. 이 기능을 작업 영역 바인딩 또는 스토리지 자격 증명 격리라고 합니다.

스토리지 자격 증명을 특정 작업 영역에 바인딩하는 일반적인 사용 사례는 클라우드 관리자가 프로덕션 클라우드 계정 자격 증명을 사용하여 스토리지 자격 증명을 구성하고 Azure Databricks 사용자가 이 자격 증명을 사용하여 프로덕션 작업 영역에서만 외부 위치를 만들도록 하는 시나리오입니다.

작업 영역 바인딩에 대한 자세한 내용은 특정 작업 영역에 대한 카탈로그 액세스 제한을 참조하세요.

참고 항목

스토리지 자격 증명에 대한 권한이 실행될 때 작업 영역 바인딩이 참조됩니다. 예를 들어 사용자가 스토리지 자격 증명을 사용하여 외부 위치를 만드는 경우 스토리지 자격 증명의 작업 영역 바인딩은 외부 위치를 만들 때만 확인됩니다. 외부 위치를 만든 후에는 스토리지 자격 증명에 구성된 작업 영역 바인딩과 독립적으로 작동합니다.

하나 이상의 작업 영역에 스토리지 자격 증명 바인딩

특정 작업 영역에 스토리지 자격 증명을 할당하려면 카탈로그 탐색기 또는 Databricks CLI를 사용할 수 있습니다.

권한이 필요한: Metastore 관리자, 스토리지 자격 증명 소유자 또는 스토리지 자격 증명에 대한 MANAGE 권한 보유자.

참고 항목

Metastore 관리자는 카탈로그 탐색기를 사용하여 메타스토어의 모든 스토리지 자격 증명을 볼 수 있으며 스토리지 자격 증명 소유자는 스토리지 자격 증명이 현재 작업 영역에 할당되었는지 여부에 관계없이 메타스토어에서 소유한 모든 스토리지 자격 증명을 볼 수 있습니다. 작업 영역에 할당되지 않은 스토리지 자격 증명이 회색으로 표시됩니다.

카탈로그 탐색기

  1. 메타스토어에 연결된 작업 영역에 로그인합니다.

  2. 사이드바에서 데이터 아이콘을 클릭합니다.카탈로그.

  3. 외부 데이터 > 단추를 클릭하고 자격 증명 탭으로 이동합니다.

  4. 스토리지 자격 증명을 선택하고 작업 영역 탭으로 이동합니다.

  5. 작업 영역 탭에서 모든 작업 영역에 액세스 권한이 있는지 확인란의 선택을 취소 합니다.

    스토리지 자격 증명이 이미 하나 이상의 작업 영역에 바인딩된 경우 이 확인란은 이미 선택 취소되어 있습니다.

  6. 작업 영역에 할당을 클릭하고 할당할 작업 영역을 입력하거나 찾습니다.

액세스 권한을 취소하려면 작업 영역 탭으로 이동하여 작업 영역을 선택하고 해지(Revoke)를 클릭합니다. 모든 작업 영역에서 액세스를 허용하려면 모든 작업 영역에 액세스 권한이 있는지 확인란을 선택합니다.

CLI

두 개의 Databricks CLI 명령 그룹과 작업 영역에 스토리지 자격 증명을 할당하는 데 필요한 두 단계가 있습니다.

다음 예제에서는 <profile-name>를 Azure Databricks 인증 구성 프로필의 이름으로 바꿉니다. 개인 액세스 토큰을 생성한 작업 영역의 작업 영역 인스턴스 이름 및 작업 영역 ID 외에도 개인 액세스 토큰의 값을 포함해야 합니다. 개인 액세스 토큰 인증(사용되지 않음)을 참조하세요.

  1. storage-credentials 명령 그룹의 update 명령을 사용하여 스토리지 자격 증명 isolation mode 을 다음으로 ISOLATED설정합니다.

    databricks storage-credentials update <my-storage-credential> \
--isolation-mode ISOLATED \
--profile <profile-name>

    기본값 isolation-modeOPEN 메타스토어에 연결된 모든 작업 영역에 적용됩니다.

  2. workspace-bindings 명령 그룹의 update-bindings 명령을 사용하여 스토리지 자격 증명에 작업 영역을 할당합니다.

    databricks workspace-bindings update-bindings storage-credential <my-storage-credential> \
--json '{
  "add": [{"workspace_id": <workspace-id>}...],
  "remove": [{"workspace_id": <workspace-id>}...]
}' --profile <profile-name>

    "add""remove" 속성을 사용하여 작업 영역 바인딩을 추가하거나 제거합니다.

    참고 항목

    스토리지 자격 증명에는 읽기 전용 바인딩(BINDING_TYPE_READ_ONLY)을 사용할 수 없습니다. 따라서 스토리지 자격 증명 바인딩에 대해 설정할 binding_type 이유가 없습니다.

스토리지 자격 증명에 대한 모든 작업 영역 할당을 나열하려면 명령 그룹의 workspace-bindings 명령을 사용합니다get-bindings.

databricks workspace-bindings get-bindings storage-credential <my-storage-credential> \
--profile <profile-name>

작업 영역에서 스토리지 자격 증명 바인딩 해제

카탈로그 탐색기 또는 workspace-bindings CLI 명령 그룹을 사용하여 스토리지 자격 증명에 대한 작업 영역 액세스를 취소하기 위한 지침은 하나 이상의 작업 영역에 스토리지 자격 증명 바인딩에 포함되어 있습니다.

스토리지 자격 증명에 부여 표시

스토리지 자격 증명에서 부여를 보려면 카탈로그 탐색기 또는 SQL 명령을 사용할 수 있습니다.

카탈로그 탐색기

  1. 사이드바에서 데이터 아이콘을 클릭합니다.카탈로그.
  2. 외부 데이터 > 단추를 클릭하고 자격 증명 탭으로 이동합니다.
  3. 스토리지 자격 증명의 이름을 클릭합니다.
  4. 사용 권한을 클릭합니다.

SQL (영문)

스토리지 자격 증명에 대한 권한 부여를 표시하려면 다음과 같은 명령을 사용합니다. 선택적으로 결과를 필터링하여 지정된 보안 주체에 대한 권한 부여만 표시할 수 있습니다.

SHOW GRANTS [<principal>] ON STORAGE CREDENTIAL <storage-credential-name>;

자리 표시자 값을 바꾸세요.

  • <principal>: 계정 수준 사용자의 이메일 주소 또는 권한을 부여할 계정 수준 그룹의 이름입니다. 그룹 또는 사용자 이름에 공백이나 @ 기호가 포함된 경우 아포스트로피가 아닌 백틱을 사용합니다. 예를 들어 재무 팀 입니다.
  • <storage-credential-name>: 스토리지 자격 증명의 이름입니다.

외부 위치를 만들 수 있는 권한 부여

스토리지 자격 증명을 사용하여 외부 위치를 만들 수 있는 권한을 부여하려면 다음 단계를 완료합니다.

카탈로그 탐색기

  1. 사이드바에서 데이터 아이콘을 클릭합니다.카탈로그.
  2. 외부 데이터 > 단추를 클릭하고 자격 증명 탭으로 이동합니다.
  3. 스토리지 자격 증명의 이름을 클릭하여 세부 정보 페이지를 엽니다.
  4. 사용 권한을 클릭합니다.
  5. 사용자 또는 그룹에 권한을 부여하려면 각 ID를 선택한 다음 부여를 클릭합니다.
  6. 사용자 또는 그룹의 권한을 취소하려면 각 ID를 선택하고 취소를 클릭합니다.

SQL (영문)

Notebook 또는 SQL 쿼리 편집기에서 다음 명령을 실행합니다.

GRANT CREATE EXTERNAL LOCATION ON STORAGE CREDENTIAL <storage-credential-name> TO <principal>;

자리 표시자 값을 바꾸세요.

  • <principal>: 계정 수준 사용자의 이메일 주소 또는 권한을 부여할 계정 수준 그룹의 이름입니다. 그룹 또는 사용자 이름에 공백이나 @ 기호가 포함된 경우 아포스트로피가 아닌 백틱을 사용합니다. 예를 들어 재무 팀 입니다.
  • <storage-credential-name>: 스토리지 자격 증명의 이름입니다.

스토리지 자격 증명의 소유자 변경

스토리지 자격 증명의 작성자는 초기 소유자입니다. 소유자를 다른 계정 수준 사용자 또는 그룹으로 변경하려면 카탈로그 탐색기 또는 SQL 명령을 사용할 수 있습니다.

카탈로그 탐색기

  1. 사이드바에서 데이터 아이콘을 클릭합니다.카탈로그.
  2. 외부 데이터 > 단추를 클릭하고 자격 증명 탭으로 이동합니다.
  3. 스토리지 자격 증명의 이름을 클릭합니다.
  4. 소유자 옆을 클릭합니다편집 아이콘.
  5. 주체를 검색하고 선택하려면 입력하세요.
  6. 저장을 클릭합니다.

SQL (영문)

Notebook 또는 Databricks SQL 편집기에서 다음 명령을 실행합니다. 자리 표시자 값을 바꾸세요.

  • <credential-name>: 자격 증명의 이름입니다.
  • <principal>: 계정 수준 사용자의 이메일 주소 또는 계정 수준 그룹의 이름입니다.
ALTER STORAGE CREDENTIAL <credential-name> OWNER TO <principal>;

스토리지 자격 증명을 읽기 전용으로 표시

사용자가 스토리지 자격 증명으로 관리되는 모든 데이터에 대한 읽기 전용 액세스 권한을 갖도록 하려면 카탈로그 탐색기를 사용하여 스토리지 자격 증명을 읽기 전용으로 표시할 수 있습니다.

스토리지 자격 증명을 읽기 전용으로 만들면 해당 자격 증명으로 구성된 모든 스토리지가 읽기 전용임을 의미합니다.

스토리지 자격 증명을 만들 때 읽기 전용으로 표시할 수 있습니다.

저장소 자격 증명을 만든 후 카탈로그 탐색기를 사용하여 읽기 전용 상태를 변경할 수도 있습니다.

  1. 카탈로그 탐색기에서 스토리지 자격 증명을 찾고 , Kebab 메뉴 아이콘 을 클릭합니다. 개체 행의 kebab 메뉴에서 편집을 선택합니다.
  2. 편집 대화 상자에서 읽기 전용 옵션을 선택합니다.

스토리지 자격 증명 이름 바꾸기

스토리지 자격 증명의 이름을 바꾸려면 카탈로그 탐색기 또는 SQL 명령을 사용할 수 있습니다.

카탈로그 탐색기

  1. 사이드바에서 데이터 아이콘을 클릭합니다.카탈로그.
  2. 외부 데이터 > 단추를 클릭하고 자격 증명 탭으로 이동합니다.
  3. 스토리지 자격 증명의 이름을 클릭하여 편집 대화 상자를 엽니다.
  4. 스토리지 자격 증명의 이름을 바꾸고 저장합니다.

SQL (영문)

Notebook 또는 Databricks SQL 편집기에서 다음 명령을 실행합니다. 자리 표시자 값을 바꾸세요.

  • <credential-name>: 자격 증명의 이름입니다.
  • <new-credential-name>: 자격 증명의 새 이름입니다.
ALTER STORAGE CREDENTIAL <credential-name> RENAME TO <new-credential-name>;

스토리지 자격 증명 삭제

스토리지 자격 증명을 삭제(삭제)하려면 해당 소유자가 되어야 합니다. 스토리지 자격 증명을 삭제하려면 카탈로그 탐색기 또는 SQL 명령을 사용할 수 있습니다.

카탈로그 탐색기

  1. 사이드바에서 데이터 아이콘을 클릭합니다.카탈로그.
  2. 외부 데이터 > 단추를 클릭하고 자격 증명 탭으로 이동합니다.
  3. 스토리지 자격 증명의 이름을 클릭하여 편집 대화 상자를 엽니다.
  4. 삭제 단추를 클릭합니다.

SQL (영문)

Notebook 또는 Databricks SQL 편집기에서 다음 명령을 실행합니다. <credential-name>을 자격 증명 이름으로 바꿉니다. 대괄호로 묶인 명령 부분은 선택 사항입니다. 기본적으로 자격 증명이 외부 위치에서 사용되는 경우 삭제되지 않습니다. <credential-name>을 자격 증명 이름으로 바꿉니다.

자격 증명이 존재하지 않는 경우 IF EXISTS은 오류를 반환하지 않습니다.

DROP STORAGE CREDENTIAL [IF EXISTS] <credential-name>;
  • Last updated on