Udostępnij przez

Zarządzanie poświadczeniami pamięci masowej

Na tej stronie opisano sposób wyświetlania, wyświetlania, aktualizowania, udzielania uprawnień i usuwania poświadczeń magazynu.

Usługa Databricks zaleca przyznanie tylko i CREATE EXTERNAL LOCATION żadnych innych uprawnień do poświadczeń magazynu.

Na tej stronie opisano sposób zarządzania poświadczeniami magazynu przy użyciu Eksploratora wykazu i poleceń SQL. Aby uzyskać informacje na temat korzystania z interfejsu wiersza polecenia usługi Databricks lub narzędzia Terraform, zobacz dokumentację narzędzia Terraform usługi Databricks i co to jest interfejs wiersza polecenia usługi Databricks?.

Wyświetlanie listy poświadczeń magazynu

Aby wyświetlić listę wszystkich poświadczeń magazynu w magazynie metadanych, możesz użyć Eksploratora wykazu lub polecenia SQL.

Eksplorator wykazu

  1. Na pasku bocznym kliknij ikonę Dane.Wykaz.
  2. Kliknij przycisk Dane >zewnętrzne i przejdź do karty Poświadczenia.
  3. Posortuj poświadczenia według przeznaczenia (STORAGE lub SERVICE).

SQL

Uruchom następujące polecenie w notesie lub edytorze SQL usługi Databricks.

SHOW STORAGE CREDENTIALS;

Wyświetlanie poświadczeń magazynu

Aby wyświetlić właściwości poświadczeń magazynu, możesz użyć Eksploratora wykazu lub polecenia SQL.

Eksplorator wykazu

  1. Na pasku bocznym kliknij ikonę Dane.Wykaz.
  2. Kliknij przycisk Dane >zewnętrzne i przejdź do karty Poświadczenia.
  3. Kliknij nazwę poświadczenia magazynu, aby wyświetlić jego właściwości.

SQL

Uruchom następujące polecenie w notesie lub edytorze SQL usługi Databricks. Zastąp <credential-name> ciąg nazwą poświadczenia.

DESCRIBE STORAGE CREDENTIAL <credential-name>;

Przypisywanie poświadczeń magazynu do określonych obszarów roboczych

Domyślnie poświadczenie magazynu jest dostępne ze wszystkich obszarów roboczych w metastore. Oznacza to, że jeśli użytkownik otrzymał uprawnienie (na przykład CREATE EXTERNAL LOCATION) na danym poświadczeniu pamięci, może korzystać z tego uprawnienia z dowolnego obszaru roboczego dołączonego do magazynu metadanych. Jeśli używasz obszarów roboczych do izolowania dostępu do danych użytkownika, możesz zezwolić na dostęp do poświadczenia dostępu do magazynu tylko z określonych obszarów roboczych. Ta funkcja jest znana jako powiązanie obszaru roboczego lub izolacja poświadczeń przechowywania.

Typowym przypadkiem użycia powiązania poświadczeń magazynu z określonymi obszarami roboczymi jest scenariusz, w którym administrator chmury konfiguruje poświadczenia magazynu przy użyciu poświadczeń konta w chmurze produkcyjnej i chcesz upewnić się, że użytkownicy usługi Azure Databricks używają tego poświadczenia do tworzenia lokalizacji zewnętrznych tylko w obszarze roboczym produkcyjnym.

Aby uzyskać więcej informacji na temat powiązania obszaru roboczego, zobacz Ograniczanie dostępu wykazu do określonych obszarów roboczych.

Uwaga

Powiązania obszaru roboczego są przywoływane, gdy realizowane są uprawnienia związane z poświadczeniami magazynu. Na przykład, jeśli użytkownik utworzy lokalizację zewnętrzną przy pomocy poświadczenia magazynu, powiązanie obszaru roboczego z poświadczeniem magazynu jest sprawdzane tylko w momencie tworzenia lokalizacji zewnętrznej. Po utworzeniu lokalizacji zewnętrznej będzie ona działać niezależnie od powiązań obszaru roboczego skonfigurowanych na poświadczeniu magazynu.

Zwiąż poświadczenie magazynu z jednym lub więcej obszarami roboczymi

Aby przypisać poświadczenia magazynu do określonych obszarów roboczych, możesz użyć Eksploratora katalogu lub interfejsu wiersza polecenia usługi Databricks.

Wymagane uprawnienia: administrator metadanych, właściciel poświadczeń magazynowych lub MANAGE dotyczących poświadczeń magazynu.

Uwaga

Administratorzy katalogu metadanych mogą wyświetlać wszystkie poświadczenia magazynu przy użyciu Eksploratora Katalogu, a właściciele poświadczeń magazynu mogą zobaczyć wszystkie poświadczenia, których są właścicielami w metadanych — niezależnie od tego, czy poświadczenie magazynu jest przypisane do bieżącego obszaru roboczego. Poświadczenia magazynu, które nie są przypisane do obszaru roboczego, są wyszarane.

Eksplorator wykazu

  1. Zaloguj się do obszaru roboczego połączonego z magazynem metadanych.

  2. Na pasku bocznym kliknij ikonę Dane.Wykaz.

  3. Kliknij przycisk Dane >zewnętrzne i przejdź do karty Poświadczenia.

  4. Wybierz poświadczenie magazynu i przejdź do karty Obszary robocze.

  5. Na karcie Obszary robocze wyczyść pole wyboru Wszystkie obszary robocze mają dostęp.

    Jeśli poświadczenie magazynu jest już powiązane z co najmniej jednym obszarem roboczym, to pole wyboru zostało już wyczyszczone.

  6. Kliknij Przypisz do obszarów roboczych i znajdź lub wprowadź obszary robocze, które chcesz przypisać.

Aby odwołać dostęp, przejdź do karty Obszary robocze, wybierz obszar roboczy, a następnie kliknij pozycję Odwołaj. Aby zezwolić na dostęp ze wszystkich obszarów roboczych, zaznacz pole wyboru Wszystkie obszary robocze mają dostęp.

CLI

Istnieją dwie grupy poleceń CLI Databricks i dwa kroki wymagane do przypisania poświadczeń magazynu do obszaru roboczego.

W poniższych przykładach zastąp <profile-name> nazwą profilu konfiguracji uwierzytelniania dla Azure Databricks. Powinna ona zawierać wartość osobistego tokenu dostępu, a także nazwę instancji i identyfikator obszaru roboczego, gdzie został wygenerowany ten token. Zobacz Osobiste uwierzytelnianie tokenu dostępu (przestarzałe).

  1. Użyj polecenia grupy storage-credentialsupdate, aby ustawić poświadczenia magazynu isolation mode na wartość ISOLATED.

    databricks storage-credentials update <my-storage-credential> \
--isolation-mode ISOLATED \
--profile <profile-name>

    Domyślna wartość isolation-mode jest OPEN dla wszystkich obszarów roboczych powiązanych z magazynem metadanych.

  2. Użyj polecenia w grupie workspace-bindings poleceń update-bindings, aby przypisać obszary robocze do poświadczeń magazynu.

    databricks workspace-bindings update-bindings storage-credential <my-storage-credential> \
--json '{
  "add": [{"workspace_id": <workspace-id>}...],
  "remove": [{"workspace_id": <workspace-id>}...]
}' --profile <profile-name>

    Użyj właściwości "add" i "remove", aby dodać lub usunąć powiązania obszaru roboczego.

    Uwaga

    Powiązanie przeznaczone do odczytu (BINDING_TYPE_READ_ONLY) nie jest dostępne dla danych uwierzytelniających magazynu. W związku z tym nie ma powodu, aby ustawić binding_type dla powiązania poświadczeń magazynu.

Aby wyświetlić listę wszystkich przypisań obszarów roboczych dla zasobu magazynu, użyj workspace-bindings polecenia grupy get-bindings poleceń.

databricks workspace-bindings get-bindings storage-credential <my-storage-credential> \
--profile <profile-name>

Odłącz poświadczenie magazynu z obszaru roboczego

Instrukcje dotyczące odwoływania dostępu obszaru roboczego do poświadczeń magazynu przy użyciu Eksploratora Katalogu lub workspace-bindings grupy poleceń interfejsu wiersza polecenia znajdują się w sekcji Powiązanie poświadczeń magazynu z co najmniej jednym obszarem roboczym.

Pokazywanie dotacji na poświadczenie magazynu

Aby wyświetlić dotacje na poświadczenia magazynu, możesz użyć Eksploratora wykazu lub polecenia SQL.

Eksplorator wykazu

  1. Na pasku bocznym kliknij ikonę Dane.Wykaz.
  2. Kliknij przycisk Dane >zewnętrzne i przejdź do karty Poświadczenia.
  3. Kliknij nazwę poświadczenia magazynu.
  4. Kliknij pozycję Uprawnienia.

SQL

Aby wyświetlić granty na poświadczeniu magazynu, użyj polecenia podobnego do poniższego. Opcjonalnie możesz filtrować wyniki, aby wyświetlić tylko dotacje dla określonego podmiotu zabezpieczeń.

SHOW GRANTS [<principal>] ON STORAGE CREDENTIAL <storage-credential-name>;

Zastąp wartości zastępcze:

  • <principal>: adres e-mail użytkownika na poziomie konta lub nazwa grupy na poziomie konta, do której ma być przyznane uprawnienie. Jeśli grupa lub nazwa użytkownika zawiera spację lub @ symbol, użyj wokół niej znaczników odwrotnych (a nie apostrofów). Na przykład zespół finansowy.
  • <storage-credential-name>: nazwa poświadczenia magazynu.

Udzielanie uprawnień do tworzenia lokalizacji zewnętrznych

Aby udzielić uprawnień do utworzenia lokalizacji zewnętrznej przy użyciu poświadczeń magazynu, wykonaj następujące kroki:

Eksplorator wykazu

  1. Na pasku bocznym kliknij ikonę Dane.Wykaz.
  2. Kliknij przycisk Dane >zewnętrzne i przejdź do karty Poświadczenia.
  3. Kliknij nazwę poświadczenia magazynu, aby otworzyć stronę szczegółów.
  4. Kliknij pozycję Uprawnienia.
  5. Aby udzielić uprawnień użytkownikom lub grupom, zaznacz każdą tożsamość, a następnie kliknij pozycję Udziel.
  6. Aby odwołać uprawnienia od użytkowników lub grup, wybierz każdą tożsamość, a następnie kliknij przycisk Odwołaj.

SQL

Uruchom następujące polecenie w notesie lub edytorze zapytań SQL:

GRANT CREATE EXTERNAL LOCATION ON STORAGE CREDENTIAL <storage-credential-name> TO <principal>;

Zastąp wartości zastępcze:

  • <principal>: adres e-mail użytkownika na poziomie konta lub nazwa grupy na poziomie konta, do której ma być przyznane uprawnienie. Jeśli grupa lub nazwa użytkownika zawiera spację lub @ symbol, użyj wokół niej znaczników odwrotnych (a nie apostrofów). Na przykład zespół finansowy.
  • <storage-credential-name>: nazwa poświadczenia magazynu.

Zmienianie właściciela poświadczeń magazynu

Twórca poświadczeń magazynu jest jego początkowym właścicielem. Aby zmienić właściciela na innego użytkownika lub grupę na poziomie konta, możesz użyć Eksploratora wykazu lub polecenia SQL.

Eksplorator wykazu

  1. Na pasku bocznym kliknij ikonę Dane.Wykaz.
  2. Kliknij przycisk Dane >zewnętrzne i przejdź do karty Poświadczenia.
  3. Kliknij nazwę poświadczenia magazynu.
  4. Kliknij Ikona Edytuj przycisk obok pozycji Właściciel.
  5. Wpisz, aby wyszukać podmiot i wybrać go.
  6. Kliknij przycisk Zapisz.

SQL

Uruchom następujące polecenie w notesie lub edytorze SQL usługi Databricks. Zastąp wartości zastępcze:

  • <credential-name>: nazwa poświadczenia.
  • <principal>: adres e-mail użytkownika na poziomie konta lub nazwa grupy na poziomie konta.
ALTER STORAGE CREDENTIAL <credential-name> OWNER TO <principal>;

Oznaczanie poświadczeń magazynu jako tylko do odczytu

Jeśli chcesz, aby użytkownicy mieli dostęp tylko do odczytu do wszystkich danych zarządzanych przez poświadczenia magazynu, możesz użyć Eksploratora wykazu, aby oznaczyć poświadczenia magazynu jako tylko do odczytu.

Tworzenie poświadczeń magazynu tylko do odczytu oznacza, że każdy magazyn skonfigurowany przy użyciu tego poświadczenia jest tylko do odczytu.

Poświadczenia magazynu można oznaczyć jako tylko do odczytu podczas ich tworzenia.

Eksplorator wykazu umożliwia również zmianę stanu tylko do odczytu po utworzeniu poświadczeń magazynu:

  1. W Eksploratorze wykazu znajdź poświadczenia magazynu, kliknij ikonę menu kebab w wierszu obiektu i wybierz pozycję Edytuj.
  2. W oknie dialogowym edycji wybierz opcję Tylko do odczytu.

Zmienianie nazwy poświadczeń magazynu

Aby zmienić nazwę poświadczeń magazynu, możesz użyć Eksploratora wykazu lub polecenia SQL.

Eksplorator wykazu

  1. Na pasku bocznym kliknij ikonę Dane.Wykaz.
  2. Kliknij przycisk Dane >zewnętrzne i przejdź do karty Poświadczenia.
  3. Kliknij nazwę poświadczenia magazynu, aby otworzyć okno dialogowe edycji.
  4. Zmień nazwę poświadczenia magazynu i zapisz je.

SQL

Uruchom następujące polecenie w notesie lub edytorze SQL usługi Databricks. Zastąp wartości zastępcze:

  • <credential-name>: nazwa poświadczenia.
  • <new-credential-name>: nowa nazwa poświadczenia.
ALTER STORAGE CREDENTIAL <credential-name> RENAME TO <new-credential-name>;

Usuwanie poświadczeń magazynu

Aby usunąć (usunąć) poświadczenia magazynu, musisz być jego właścicielem. Aby usunąć poświadczenia magazynu, możesz użyć Eksploratora wykazu lub polecenia SQL.

Eksplorator wykazu

  1. Na pasku bocznym kliknij ikonę Dane.Wykaz.
  2. Kliknij przycisk Dane >zewnętrzne i przejdź do karty Poświadczenia.
  3. Kliknij nazwę poświadczenia magazynu, aby otworzyć okno dialogowe edycji.
  4. Kliknij przycisk Usuń.

SQL

Uruchom następujące polecenie w notesie lub edytorze SQL usługi Databricks. Zastąp <credential-name> ciąg nazwą poświadczenia. Fragmenty polecenia, które znajdują się w nawiasach kwadratowych, są opcjonalne. Domyślnie, jeśli poświadczenie jest używane przez lokalizację zewnętrzną, nie jest usuwane. Zastąp <credential-name> ciąg nazwą poświadczenia.

IF EXISTS nie zwraca błędu, jeśli poświadczenie nie istnieje.

DROP STORAGE CREDENTIAL [IF EXISTS] <credential-name>;
  • Last updated on