Hantera autentiseringsuppgifter för lagring

På den här sidan beskrivs hur du listar, visar, uppdaterar, beviljar behörigheter för och tar bort autentiseringsuppgifter för lagring.

Databricks rekommenderar att du endast beviljar CREATE EXTERNAL LOCATION och inga andra behörigheter för lagringsuppgifter.

På den här sidan beskrivs hur du hanterar autentiseringsuppgifter för lagring med hjälp av Catalog Explorer- och SQL-kommandon. Information om hur du använder Databricks CLI eller Terraform i stället finns i Dokumentationen om Databricks Terraform och Vad är Databricks CLI?.

Lista autentiseringsuppgifter för lagring

Om du vill visa listan över alla autentiseringsuppgifter för lagring i ett metaarkiv kan du använda Catalog Explorer eller ett SQL-kommando.

Katalogutforskaren

1. I sidofältet klickar du på Katalog.
2. På sidan Snabbåtkomst klickar du på knappen Externa data > och går till fliken autentiseringsuppgifter.
3. Sortera autentiseringsuppgifterna efter Syfte (LAGRING eller TJÄNST).

SQL

Kör följande kommando i en notebook-fil eller Databricks SQL-redigeraren.

SHOW STORAGE CREDENTIALS;

Visa en lagringsautentiseringsuppgift

Om du vill visa egenskaperna för en lagringsautentiseringsuppgift kan du använda Catalog Explorer eller ett SQL-kommando.

Katalogutforskaren

1. I sidofältet klickar du på Katalog.
2. På sidan Snabbåtkomst klickar du på knappen Externa data > och går till fliken autentiseringsuppgifter.
3. Klicka på namnet på en lagringsautentiseringsuppgift för att se dess egenskaper.

SQL

Kör följande kommando i en notebook-fil eller Databricks SQL-redigeraren. Ersätt <credential-name> med namnet på autentiseringsuppgiften.

DESCRIBE STORAGE CREDENTIAL <credential-name>;

Tilldela en lagringsautentiseringsuppgift till specifika arbetsytor

Som standard är en lagringsautentiseringsuppgift tillgänglig från alla arbetsytor i metaarkivet. Det innebär att om en användare har beviljats behörighet (till exempel ) för lagringsautentiseringsuppgifterna kan de utöva den behörigheten från alla arbetsytor som CREATE EXTERNAL LOCATIONär kopplade till metaarkivet. Om du använder arbetsytor för att isolera åtkomst till användardata kanske du endast vill tillåta åtkomst till lagringsautentiseringsuppgifter från specifika arbetsytor. Den här funktionen kallas för bindning av arbetsytor eller isolering av lagringsautentiseringsuppgifter.

Ett vanligt användningsfall för att binda en lagringsautentiseringsuppgift till specifika arbetsytor är scenariot där en molnadministratör konfigurerar en lagringsautentiseringsuppgift med hjälp av autentiseringsuppgifter för ett produktionsmolnkonto, och du vill se till att Azure Databricks-användare använder den här autentiseringsuppgiften för att endast skapa externa platser på produktionsarbetsytan.

Mer information om bindning av arbetsytor finns i Begränsa katalogåtkomst till specifika arbetsytor.

Binda en lagringsautentiseringsuppgift till en eller flera arbetsytor

Om du vill tilldela en lagringsautentiseringsuppgift till specifika arbetsytor kan du använda Catalog Explorer eller Databricks CLI.

behörigheter som krävs: Metastore-administratör, ägare av lagringsautentisering eller MANAGE för lagringsautentiseringen.

Katalogutforskaren

1. Logga in på en arbetsyta som är länkad till metaarkivet.

2. I sidofältet klickar du på Katalog.

3. På sidan Snabbåtkomst klickar du på knappen Externa data > och går till fliken autentiseringsuppgifter.

4. Välj lagringsautentiseringsuppgifterna och gå till fliken Arbetsytor.

5. På fliken Arbetsytor avmarkerar du kryssrutan Alla arbetsytor har åtkomst .

   Om lagringsautentiseringsuppgifterna redan är bundna till en eller flera arbetsytor är den här kryssrutan redan avmarkerad.

6. Klicka på Tilldela till arbetsytor och ange eller hitta de arbetsytor som du vill tilldela.

Om du vill återkalla åtkomsten går du till fliken Arbetsytor, väljer arbetsytan och klickar på Återkalla. Om du vill tillåta åtkomst från alla arbetsytor markerar du kryssrutan Alla arbetsytor har åtkomst.

Kommandoradsgränssnitt (CLI)

Det finns två Databricks CLI-kommandogrupper och två steg som krävs för att tilldela en lagringsautentiseringsuppgift till en arbetsyta.

I följande exempel ersätter du <profile-name> med namnet på din Konfigurationsprofil för Azure Databricks-autentisering. Det bör innehålla värdet för en personlig åtkomsttoken, utöver arbetsytans instansnamn och arbetsyte-ID för arbetsytan där du genererade den personliga åtkomsttoken. Se Personlig åtkomsttokenautentisering (inaktuell).

1. storage-credentials Använd kommandogruppens update kommando för att ange lagringsautentiseringsuppgifterna isolation mode till ISOLATED:

   databricks storage-credentials update <my-storage-credential> \
   --isolation-mode ISOLATED \
   --profile <profile-name>
   

   Standardinställningen isolation-mode är OPEN för alla arbetsytor som är kopplade till metaarkivet.

2. workspace-bindings Använd kommandogruppens update-bindings kommando för att tilldela arbetsytorna till lagringsautentiseringsuppgifterna:

   databricks workspace-bindings update-bindings storage-credential <my-storage-credential> \
   --json '{
     "add": [{"workspace_id": <workspace-id>}...],
     "remove": [{"workspace_id": <workspace-id>}...]
   }' --profile <profile-name>
   

   Använd egenskaperna "add" och "remove" för att lägga till eller ta bort arbetsytebindningar.

   Kommentar

   Skrivskyddad bindning (BINDING_TYPE_READ_ONLY) är inte tillgänglig för lagringsbehörigheter. Därför finns det ingen anledning att ange binding_type för bindning av lagringsuppgifter.

Om du vill visa en lista över alla arbetsytetilldelningar för en lagringsautentiseringsuppgift använder du workspace-bindings kommandogruppens get-bindings kommando:

databricks workspace-bindings get-bindings storage-credential <my-storage-credential> \
--profile <profile-name>

Koppla bort en lagringsautentiseringsuppgift från en arbetsyta

Instruktioner för att återkalla arbetsytans åtkomst till en lagringsautentiseringsuppgift med hjälp av Catalog Explorer eller kommandogruppen workspace-bindings CLI ingår i Binda en lagringsautentiseringsuppgift till en eller flera arbetsytor.

Visa bidrag för en lagringsautentiseringsuppgift

Om du vill visa bidragen för en lagringsautentiseringsuppgift kan du använda Catalog Explorer eller ett SQL-kommando.

Katalogutforskaren

1. I sidofältet klickar du på Katalog.
2. På sidan Snabbåtkomst klickar du på knappen Externa data > och går till fliken autentiseringsuppgifter.
3. Klicka på namnet på en lagringsautentiseringsuppgift.
4. Klicka på Behörigheter.

SQL

Om du vill visa bidrag för en lagringsautentiseringsuppgift använder du ett kommando som följande. Du kan också filtrera resultaten så att endast bidragen för det angivna huvudkontot visas.

SHOW GRANTS [<principal>] ON STORAGE CREDENTIAL <storage-credential-name>;

Ersätt platshållarvärdena:

• <principal>: E-postadressen till användaren på kontonivå eller namnet på den kontonivågrupp som behörigheten ska beviljas. Om en grupp eller ett användarnamn innehåller ett blanksteg eller @ en symbol använder du back-ticks runt den (inte apostrofer). Till exempel ekonomiteam .
• <storage-credential-name>: Namnet på en lagringsautentiseringsuppgift.

Bevilja behörigheter för att skapa externa platser

Utför följande steg för att ge behörighet att skapa en extern plats med hjälp av en lagringsautentiseringsuppgift:

Katalogutforskaren

1. I sidofältet klickar du på Katalog.
2. På sidan Snabbåtkomst klickar du på knappen Externa data > och går till fliken autentiseringsuppgifter.
3. Klicka på namnet på en lagringsautentiseringsuppgift för att öppna informationssidan.
4. Klicka på Behörigheter.
5. Om du vill bevilja behörighet till användare eller grupper väljer du varje identitet och klickar sedan på Bevilja.
6. Om du vill återkalla behörigheter från användare eller grupper väljer du varje identitet och klickar sedan på Återkalla.

SQL

Kör följande kommando i en notebook-fil eller SQL-frågeredigeraren:

GRANT CREATE EXTERNAL LOCATION ON STORAGE CREDENTIAL <storage-credential-name> TO <principal>;

Ersätt platshållarvärdena:

• <principal>: E-postadressen till användaren på kontonivå eller namnet på den kontonivågrupp som behörigheten ska beviljas. Om en grupp eller ett användarnamn innehåller ett blanksteg eller @ en symbol använder du back-ticks runt den (inte apostrofer). Till exempel ekonomiteam .
• <storage-credential-name>: Namnet på en lagringsautentiseringsuppgift.

Ändra ägaren till en lagringsautentiseringsuppgift

En skapare av lagringsautentiseringsuppgifter är dess första ägare. Om du vill ändra ägaren till en annan användare eller grupp på kontonivå kan du använda Catalog Explorer eller ett SQL-kommando.

Katalogutforskaren

1. I sidofältet klickar du på Katalog.
2. På sidan Snabbåtkomst klickar du på knappen Externa data > och går till fliken autentiseringsuppgifter.
3. Klicka på namnet på en lagringsautentiseringsuppgift.
4. Klicka bredvid Ägare.
5. Skriv för att söka efter ett huvudobjekt och välj det.
6. Klicka på Spara.

SQL

Kör följande kommando i en notebook-fil eller Databricks SQL-redigeraren. Ersätt platshållarvärdena:

• <credential-name>: Namnet på autentiseringsuppgifterna.
• <principal>: E-postadressen till en användare på kontonivå eller namnet på en grupp på kontonivå.

ALTER STORAGE CREDENTIAL <credential-name> OWNER TO <principal>;

Markera en lagringsautentiseringsuppgift som skrivskyddad

Om du vill att användarna ska ha skrivskyddad åtkomst till alla data som hanteras av en lagringsautentiseringsuppgift kan du använda Catalog Explorer för att markera lagringsautentiseringsuppgifterna som skrivskyddade.

Att göra autentiseringsuppgifterna skrivskyddade innebär att alla lagringsuppgifter som konfigurerats med den autentiseringsuppgiften är skrivskyddade.

Du kan markera autentiseringsuppgifter för lagring som skrivskyddade när du skapar dem.

Du kan också använda Catalog Explorer för att ändra skrivskyddad status när du har skapat en lagringsautentiseringsuppgift:

1. Leta reda på lagringsautentiseringsuppgifterna i Katalogutforskaren, klicka på På menyn för kebab på objektraden väljer du Redigera.
2. I redigeringsdialogrutan väljer du alternativet Skrivskyddad.

Byt namn på en lagringsautentiseringsuppgift

Om du vill byta namn på en lagringsautentiseringsuppgift kan du använda Catalog Explorer eller ett SQL-kommando.

Katalogutforskaren

1. I sidofältet klickar du på Katalog.
2. På sidan Snabbåtkomst klickar du på knappen Externa data > och går till fliken autentiseringsuppgifter.
3. Klicka på namnet på en lagringsautentiseringsuppgift för att öppna redigeringsdialogrutan.
4. Byt namn på lagringsautentiseringsuppgifterna och spara den.

SQL

Kör följande kommando i en notebook-fil eller Databricks SQL-redigeraren. Ersätt platshållarvärdena:

• <credential-name>: Namnet på autentiseringsuppgifterna.
• <new-credential-name>: Ett nytt namn på autentiseringsuppgifterna.

ALTER STORAGE CREDENTIAL <credential-name> RENAME TO <new-credential-name>;

Ta bort en lagringsautentiseringsuppgift

Om du vill ta bort (ta bort) en lagringsautentiseringsuppgift måste du vara dess ägare. Om du vill ta bort en lagringsautentiseringsuppgift kan du använda Catalog Explorer eller ett SQL-kommando.

Katalogutforskaren

1. I sidofältet klickar du på Katalog.
2. På sidan Snabbåtkomst klickar du på knappen Externa data > och går till fliken autentiseringsuppgifter.
3. Klicka på namnet på en lagringsautentiseringsuppgift för att öppna redigeringsdialogrutan.
4. Klicka på knappen Ta bort.

SQL

Kör följande kommando i en notebook-fil eller Databricks SQL-redigeraren. Ersätt <credential-name> med namnet på autentiseringsuppgiften. Delar av kommandot som är inom hakparenteser är valfria. Om autentiseringsuppgifterna som standard används av en extern plats tas den inte bort. Ersätt <credential-name> med namnet på autentiseringsuppgiften.

IF EXISTS returnerar inget fel om autentiseringsuppgifterna inte finns.

DROP STORAGE CREDENTIAL [IF EXISTS] <credential-name>;