使用Azure Active Directory访问存储

向Azure Active Directory (Azure AD)注册应用程序将创建一个服务主体,您可以使用它来提供对Azure存储帐户的访问。然后,可以使用存储的凭据配置对这些服务主体的访问秘密

Databricks建议使用适用于集群或SQL仓库的Azure Active Directory服务主体来配置数据访问。看到访问Azure数据湖存储Gen2和Blob存储而且数据访问配置

注册一个Azure Active Directory应用程序

注册Azure AD应用程序并分配适当的权限将创建一个可以访问Azure数据湖存储Gen2或Blob存储资源的服务主体。

  1. 在Azure门户中,转到Azure活动目录服务。

  2. 管理,点击应用程序注册

  3. 点击+新注册.输入应用程序的名称并单击注册

  4. 点击证书与秘密

  5. 点击+新客户端的秘密

  6. 为秘密添加描述并单击添加

  7. 复制并保存新秘密的值。

  8. 在应用程序注册概述中,复制并保存应用程序(客户端)ID而且目录(租户)ID

Databricks建议使用秘密

分配角色

通过将角色分配给与存储帐户关联的Azure AD应用程序注册,可以控制对存储资源的访问。此示例将存储Blob数据贡献者到Azure存储帐户。您可能需要根据具体需求分配其他角色。

  1. 在Azure门户中,转到存储账户服务。

  2. 选择要与此应用程序注册一起使用的Azure存储帐户。

  3. 点击访问控制(IAM)

  4. 点击+添加并选择添加角色分配从下拉菜单。

  5. 设置选择字段设置为Azure AD应用程序名称和设置角色存储Blob数据贡献者

  6. 点击保存