サービスプリンシパル & Microsoft Entra ID(Azure Active Directory) を使用したストレージへのアクセス

Entra ID を持つアプリケーションはMicrosoftAzure Storage アカウントへのアクセスを提供するために使用できるサービスプリンシパルを作成します。

その後、 シークレットと共に保存された資格情報を使用して、これらのサービスプリンシパルへのアクセスを構成できます。 Databricks では Microsoft クラスタリングまたは SQLウェアハウスを対象とする Entra ID サービスプリンシパルを使用して、データ アクセスを構成することをお勧めします。 「Azure データレイク ストレージへの接続」および「Blob Storage とデータ アクセス構成」を参照してください。

Microsoft Entra ID アプリケーションを登録する

Microsoft Entra ID (旧称 Azure Active Directory) アプリケーションを登録し、適切なアクセス許可を割り当てると、Azure データレイク Storage または Blob Storage リソースにアクセスできるサービスプリンシパルが作成されます。

Microsoft Entra ID アプリケーションを登録するには、Microsoft Entra ID の Application Administrator ロールまたは Application.ReadWrite.All アクセス許可が必要です。

1. Azure portal で、 Microsoft Entra ID サービスに移動します。
2. [管理] で、[ アプリの登録] をクリックします。
3. [+ 新規登録 ] をクリックします。アプリケーションの名前を入力し、[ 登録する ] をクリックします。
4. 「証明書とシークレット 」をクリックします。
5. 「 + 新しいクライアントのシークレット 」をクリックします。
6. シークレットの説明を追加し、[ 追加 ] をクリックします。
7. 新しいシークレットの値をコピーして保存します。
8. アプリケーション登録の概要で、 アプリケーション (クライアント) ID と ディレクトリ (テナント) ID をコピーして保存します。

ロールの割り当て

ストレージ リソースへのアクセスを制御するには、ストレージ アカウントに関連付けられている Microsoft Entra ID アプリケーション登録にロールを割り当てます。 特定の要件に応じて、他のロールを割り当てる必要がある場合があります。

ストレージ アカウントにロールを割り当てるには、ストレージ アカウントの所有者またはユーザー アクセス管理者の Azure RBAC ロールが必要です。

1. Azure portal で、 ストレージ アカウント サービスに移動します。
2. このアプリケーション登録で使用する Azure ストレージ アカウントを選択します。
3. アクセス制御(IAM) をクリックします。
4. + 追加 をクリックし、ドロップダウン メニューから ロールの割り当てを追加 を選択します。
5. [選択 ] フィールドを Microsoft Entra ID アプリケーション名に設定し、[ ロール ] を [ストレージ BLOB データ共同作成者 ] に設定します。
6. [ 保存 ]をクリックします。