使用Azure Active Directory服務主體配置對Azure存儲的訪問

向Azure Active Directory (Azure AD)注冊應用程序會創建一個服務主體,您可以使用它來提供對Azure存儲帳戶的訪問。然後可以使用存儲的憑證配置對這些服務主體的訪問秘密

Databricks建議使用集群範圍內的Azure Active Directory服務主體或Databricks SQL端點來配置數據訪問。看到使用Databricks訪問Azure數據湖存儲Gen2和Blob存儲而且配置雲存儲接入

注冊一個Azure Active Directory應用程序

注冊一個Azure AD應用程序並分配適當的權限將創建一個可以訪問Azure數據湖存儲Gen2或Blob存儲資源的服務主體。

  1. 在Azure門戶中,轉到Azure活動目錄服務。

  2. 管理,點擊應用程序注冊

  3. 點擊+新的注冊.輸入應用程序的名稱並單擊注冊

  4. 點擊證書和秘密

  5. 點擊+新客戶端的秘密

  6. 為秘密添加描述並單擊添加

  7. 複製並保存新秘密的值。

  8. 在應用程序注冊概覽中,複製並保存應用程序(客戶端)ID而且目錄(租戶)ID

Databricks建議使用秘密

分配角色

通過將角色分配給與存儲帳戶關聯的Azure AD應用程序注冊,可以控製對存儲資源的訪問。此示例將存儲Blob數據貢獻器到Azure存儲帳戶。您可能需要根據特定的需求分配其他角色。

  1. 在Azure門戶中,轉到存儲賬戶服務。

  2. 選擇與此應用程序注冊一起使用的Azure存儲帳戶。

  3. 點擊訪問控製(我)

  4. 點擊+添加並選擇添加角色分配從下拉菜單。

  5. 設置選擇字段設置為Azure AD應用程序名稱並設置角色存儲Blob數據貢獻器

  6. 點擊保存