重要
本文档已停用,可能不会更新。
本文介绍用于配置对Azure Data Lake Storage的访问的旧模式。
Databricks 建议使用 Azure 管理的身份作为 Unity Catalog 的存储凭据来连接到 Azure Data Lake Storage,而不是服务主体。 托管标识的优点是支持 Unity Catalog 访问受网络规则保护的存储帐户(而使用服务主体无法实现此目的),并且无需管理和轮换机密。 有关详细信息,请参阅 在 Unity 目录中使用Azure托管标识来访问存储。
将应用程序注册到Microsoft Entra ID会创建一个服务主体,可用于提供对Azure存储帐户的访问权限。
然后,您可以将这些服务主体的访问权限配置为 Unity Catalog 中的存储凭据,或作为使用机密存储的凭据。
注册Microsoft Entra ID应用程序
注册Microsoft Entra ID(前Azure Active Directory)应用程序并分配适当的权限将创建可访问Azure Data Lake Storage或Blob Storage资源的服务主体。
若要注册Microsoft Entra ID应用程序,必须在 Microsoft Entra ID 中具有 Application Administrator 角色或 Application.ReadWrite.All 权限。
在Azure门户中,转到 Microsoft Entra ID 服务。
在“管理”下,单击“应用注册” 。
单击“+ 新建注册”。 输入应用程序的名称,然后单击“注册”。
单击“证书和机密”。
单击“+ 新建客户端密码”。
添加机密说明,并单击“添加”。
复制新密钥的值并保存。
在应用程序注册概述中,复制并保存“应用程序(客户端) ID”和“目录(租户) ID” 。
分配角色
通过将角色分配给与存储帐户关联的Microsoft Entra ID应用程序注册来控制对存储资源的访问。 可能需要根据特定要求分配其他角色。
若要在存储帐户上分配角色,必须在存储帐户上具有所有者或用户访问管理员Azure RBAC 角色。
在Azure门户中,转到 Storage 帐户服务。
选择要用于此应用程序注册的Azure存储帐户。
单击Access Control (IAM)。
单击“+ 添加”,然后从下拉菜单中选择“添加角色分配” 。
将 Select 字段设置为Microsoft Entra ID应用程序名称,并将 Role 设置为 Storage Blob 数据参与者。
单击“ 保存”。
若要使用服务主体为外部位置启用文件事件,请参阅 为外部位置设置文件事件。