Gerenciar credenciais de armazenamento

Esta página descreve como listar, exibir, atualizar, conceder permissões e excluir credenciais de armazenamento.

A Databricks recomenda que você conceda apenas CREATE EXTERNAL LOCATION e nenhum outro privilégio nas credenciais de armazenamento.

Esta página descreve como gerenciar credenciais de armazenamento usando o Gerenciador de Catálogos e comandos SQL. Para obter informações sobre como, alternativamente, usar a CLI ou o Terraform do Databricks, confira a Documentação do Terraform no Databricks e O que é a CLI do Databricks?

Listar credenciais de armazenamento

Para exibir a lista de todas as credenciais de armazenamento em um metastore, você pode usar o Explorador do Catálogo ou um comando SQL.

Explorador do Catálogo

1. Na barra lateral, clique no Catálogo.
2. Clique no botão Dados >externos e vá para a guia Credenciais.
3. Classifique as credenciais por Finalidade (ARMAZENAMENTO ou SERVIÇO).

SQL

Execute o comando a seguir em um bloco de anotações ou no editor de SQL do Databricks.

SHOW STORAGE CREDENTIALS;

Exibir uma credencial de armazenamento

Para exibir as propriedades de uma credencial de armazenamento, você pode usar o Explorador do Catálogo ou um comando SQL.

Explorador do Catálogo

1. Na barra lateral, clique no Catálogo.
2. Clique no botão Dados >externos e vá para a guia Credenciais.
3. Clique no nome de uma credencial de armazenamento para ver suas propriedades.

SQL

Execute o comando a seguir em um bloco de anotações ou no editor de SQL do Databricks. Substitua <credential-name> pelo nome da credencial.

DESCRIBE STORAGE CREDENTIAL <credential-name>;

Atribuir uma credencial de armazenamento a workspaces específicos

Por padrão, uma credencial de armazenamento é acessível de todos os workspaces no metastore. Isso significa que, se um usuário recebeu um privilégio (como CREATE EXTERNAL LOCATION) nessa credencial de armazenamento, poderá exercer esse privilégio de qualquer workspace anexado ao metastore. Se você utiliza workspaces para isolar o acesso aos dados dos usuários, talvez queira permitir o acesso a uma credencial de armazenamento somente de workspaces específicos. Essa funcionalidade é conhecida como associação de workspace ou isolamento de credencial de armazenamento.

Um caso de uso comum para associar uma credencial de armazenamento a workspaces específicos é quando um administrador de nuvem configura uma credencial de armazenamento usando uma credencial de conta de nuvem de produção e quer garantir que os usuários do Azure Databricks usem essa credencial apenas para criar locais externos no workspace de produção.

Para obter mais informações sobre a associação de workspace, consulte Limitar o acesso do catálogo a workspaces específicos.

Associar uma credencial de armazenamento a um ou mais workspaces

Para atribuir uma credencial de armazenamento a workspaces específicos, você pode usar o Gerenciador de Catálogos ou a CLI do Databricks.

Permissões necessárias: administrador do metastore, proprietário da credencial de armazenamento ou MANAGE na credencial de armazenamento.

Explorador do Catálogo

1. Faça logon em um workspace vinculado ao metastore.

2. Na barra lateral, clique no Catálogo.

3. Clique no botão Dados >externos e vá para a guia Credenciais.

4. Selecione a credencial de armazenamento e vá para a guia Workspaces.

5. Na guia Workspaces, desmarque a caixa de seleção Todos os workspaces têm acesso.

   Se a credencial de armazenamento já estiver associada a um ou mais workspaces, essa caixa de seleção já estará desmarcada.

6. Clique em Atribuir a workspaces e insira ou localize os workspaces que quer atribuir.

Para revogar o acesso, vá para a guia Workspaces, selecione o workspace e clique em Revogar. Para permitir o acesso de todos os espaços de trabalho, marque a caixa de seleção Todos os espaços de trabalho têm acesso.

CLI

Existem dois grupos de comandos de CLI do Databricks e duas etapas necessárias para atribuir um catálogo a um workspace.

Nos exemplos a seguir, substitua <profile-name> pelo nome do seu perfil de configuração de autenticação do Azure Databricks. Isso deverá incluir o valor de um token de acesso pessoal, além do nome da instância do workspace e da ID do workspace em que você gerou o token de acesso pessoal. Consulte autenticação de token de acesso pessoal (obsoletado).

1. Use o comando do grupo de comandos storage-credentials para definir a credencial de armazenamento update como isolation mode:

   databricks storage-credentials update <my-storage-credential> \
   --isolation-mode ISOLATED \
   --profile <profile-name>
   

   O isolation-mode padrão é OPEN para todos os workspaces anexados ao metastore.

2. Use o comando do grupo workspace-bindingsupdate-bindings para atribuir os workspaces à credencial de armazenamento:

   databricks workspace-bindings update-bindings storage-credential <my-storage-credential> \
   --json '{
     "add": [{"workspace_id": <workspace-id>}...],
     "remove": [{"workspace_id": <workspace-id>}...]
   }' --profile <profile-name>
   

   Use as propriedades "add" e "remove" para adicionar ou remover associações de workspace.

   Observação

   A associação somente leitura (BINDING_TYPE_READ_ONLY) não está disponível para credenciais de armazenamento. Portanto, não há motivo para definir binding_type como a associação de credenciais de armazenamento.

Para listar todas as atribuições de workspace para uma credencial de armazenamento, use o workspace-bindings comando do grupo de get-bindings comandos:

databricks workspace-bindings get-bindings storage-credential <my-storage-credential> \
--profile <profile-name>

Desassociar uma credencial de armazenamento de um workspace

As instruções para revogar o acesso ao workspace a uma credencial de armazenamento usando o Gerenciador de Catálogos ou o grupo de comandos da CLI workspace-bindings estão incluídas em Associar uma credencial de armazenamento a um ou mais workspaces.

Mostrar as concessões em uma credencial de armazenamento

Para exibir as concessões em uma credencial de armazenamento, você pode usar o Gerenciador de Catálogos ou um comando SQL.

Explorador do Catálogo

1. Na barra lateral, clique no Catálogo.
2. Clique no botão Dados >externos e vá para a guia Credenciais.
3. Clique no nome de uma credencial de armazenamento.
4. Clique em Permissões.

SQL

Para mostrar as concessões em uma credencial de armazenamento, use um comando semelhante ao seguinte. Opcionalmente, você pode filtrar os resultados para mostrar apenas as concessões da entidade de segurança especificada.

SHOW GRANTS [<principal>] ON STORAGE CREDENTIAL <storage-credential-name>;

Substitua os valores de espaço reservado:

• <principal>: o endereço de email do usuário de nível de conta ou o nome do grupo de nível de conta ao qual conceder a permissão. Se um grupo ou nome de usuário contiver um espaço ou @ símbolo, use acentos graves ao redor dele (não apóstrofos). Por exemplo, equipe financeira.
• <storage-credential-name>: o nome de uma credencial de armazenamento.

Conceder permissões para criar locais externos

Para conceder a permissão para criar um local externo usando uma credencial de armazenamento, execute as seguintes etapas:

Explorador do Catálogo

1. Na barra lateral, clique no Catálogo.
2. Clique no botão Dados >externos e vá para a guia Credenciais.
3. Clique no nome de uma credencial de armazenamento para abrir a página de detalhes.
4. Clique em Permissões.
5. Para conceder permissões a usuários ou grupos, selecione cada identidade e clique em Conceder.
6. Para revogar permissões de usuários ou grupos, selecione cada identidade e clique em Revogar.

SQL

Execute o comando a seguir em um notebook ou no editor de SQL do Databricks:

GRANT CREATE EXTERNAL LOCATION ON STORAGE CREDENTIAL <storage-credential-name> TO <principal>;

Substitua os valores de espaço reservado:

• <principal>: o endereço de email do usuário de nível de conta ou o nome do grupo de nível de conta ao qual conceder a permissão. Se um grupo ou nome de usuário contiver um espaço ou @ símbolo, use acentos graves ao redor dele (não apóstrofos). Por exemplo, equipe financeira.
• <storage-credential-name>: o nome de uma credencial de armazenamento.

Alterar o proprietário de uma credencial de armazenamento

O criador de uma credencial de armazenamento é seu proprietário inicial. Para alterar o proprietário para um usuário ou grupo de nível de conta diferente, você pode usar o Explorador de Catálogos ou um comando SQL.

Explorador do Catálogo

1. Na barra lateral, clique no Catálogo.
2. Clique no botão Dados >externos e vá para a guia Credenciais.
3. Clique no nome de uma credencial de armazenamento.
4. Clique em ao lado de Proprietário.
5. Digite para pesquisar uma entidade de segurança e selecioná-la.
6. Clique em Save (Salvar).

SQL

Execute o comando a seguir em um bloco de anotações ou no editor de SQL do Databricks. Substitua os valores de espaço reservado:

• <credential-name>: o nome da credencial.
• <principal>: o endereço de email de um usuário de nível de conta ou o nome de um grupo de nível de conta.

ALTER STORAGE CREDENTIAL <credential-name> OWNER TO <principal>;

Marcar uma credencial de armazenamento como somente leitura

Se quiser que os usuários tenham acesso somente leitura a todos os dados gerenciados por uma credencial de armazenamento, use o Catalog Explorer para marcar a credencial de armazenamento como somente leitura.

Tornar as credenciais de armazenamento somente leitura significa que qualquer armazenamento configurado com essas credenciais será somente leitura.

Você pode marcar as credenciais de armazenamento como somente leitura quando criá-las.

Você também pode usar o Catalog Explorer para alterar o status somente leitura depois de criar uma credencial de armazenamento:

1. No Gerenciador de Catálogos, localize a credencial de armazenamento, clique no Menu kebab na linha do objeto e selecione Editar.
2. Na caixa de diálogo de edição, selecione a opção Somente leitura.

Renomear uma credencial de armazenamento

Para renomear uma credencial de armazenamento, você pode usar o Explorador do Catálogo ou um comando SQL.

Explorador do Catálogo

1. Na barra lateral, clique no Catálogo.
2. Clique no botão Dados >externos e vá para a guia Credenciais.
3. Clique no nome de uma credencial de armazenamento para abrir a caixa de diálogo de edição.
4. Renomeie a credencial de armazenamento e salve-a.

SQL

Execute o comando a seguir em um bloco de anotações ou no editor de SQL do Databricks. Substitua os valores de espaço reservado:

• <credential-name>: o nome da credencial.
• <new-credential-name>: Um novo nome para a credencial.

ALTER STORAGE CREDENTIAL <credential-name> RENAME TO <new-credential-name>;

Excluir uma credencial de armazenamento

Para excluir (remover) uma credencial de armazenamento, você deve ser o proprietário. Para excluir uma credencial de armazenamento, você pode usar o Explorador do Catálogo ou um comando SQL.

Explorador do Catálogo

1. Na barra lateral, clique no Catálogo.
2. Clique no botão Dados >externos e vá para a guia Credenciais.
3. Clique no nome de uma credencial de armazenamento para abrir a caixa de diálogo de edição.
4. Clique no botão Excluir .

SQL

Execute o comando a seguir em um bloco de anotações ou no editor de SQL do Databricks. Substitua <credential-name> pelo nome da credencial. Os trechos do comando que estão entre colchetes são opcionais. Por padrão, se a credencial estiver sendo usada em um local externo, ela não será excluída. Substitua <credential-name> pelo nome da credencial.

IF EXISTS não retornará um erro se a credencial não existir.

DROP STORAGE CREDENTIAL [IF EXISTS] <credential-name>;