serviço gerenciado de credenciamento

Este artigo descreve como listar, view, atualizar, conceder permissões e excluir credenciais de serviço, que são objetos seguros Unity Catalog que permitem que o senhor controle o acesso a serviços externos na nuvem.

Veja também:

• Para obter uma introdução e saber como criar credenciais de serviço: gerenciar o acesso ao serviço de nuvem externo usando credenciais de serviço
• Para saber como fazer referência a credenciais de serviço em seu código e especificar uma credencial de serviço default para um recurso compute: Use as credenciais de serviço Unity Catalog para se conectar a um serviço de nuvem externo.

Antes de começar

Para realizar a tarefa descrita neste artigo, o senhor deve atender aos seguintes requisitos:

• Um workspace do Databricks habilitado para o Unity Catalog.

• Para listar ou view uma credencial de serviço, o senhor deve ter um dos seguintes privilégios ou funções:

  • BROWSE privilégio no catálogo principal
  • CREATE SERVICE CREDENTIAL na metastore
  • ACCESS na credencial de serviço
  • Proprietário da credencial de serviço
  • Administrador do Metastore

• Para executar qualquer uma das outras tarefas listadas neste artigo, o senhor deve ser o proprietário da credencial do serviço ou um administrador da metastore.

• Se o senhor usar o SQL comando para listar, view, ou atualizar a credencial do serviço, precisará do compute em Databricks Runtime 15.4 LTS ou acima. Não há exigência de versão do Databricks Runtime se o senhor usar o Catalog Explorer ou a API REST.

Listar credenciais de serviço

Para view a lista de todas as credenciais de serviço em um metastore, o senhor pode usar o Catalog Explorer ou um comando SQL.

Catalog Explorer

1. In the sidebar, click Catalog.
2. On the Quick access page, click the External data > button and go to the Credentials tab.
3. Sort the credentials by Purpose (STORAGE or SERVICE).

SQL

Run the following command in a notebook.

SQL

SHOW SERVICE CREDENTIALS;

visualizar uma credencial de serviço

Para view as propriedades de uma credencial de serviço, o senhor pode usar o Catalog Explorer ou um comando SQL.

Catalog Explorer

1. In the sidebar, click Catalog.
2. On the Quick access page, click the External data > button and go to the Credentials tab.
3. Click the name of a service credential to see its properties.

SQL

Run the following command in a notebook. Replace <credential-name> with the name of the credential.

SQL

DESCRIBE SERVICE CREDENTIAL <credential-name>;

Mostrar concessões em uma credencial de serviço

Para mostrar as concessões em uma credencial de serviço, use um comando como o seguinte. Opcionalmente, você pode filtrar os resultados para mostrar somente as concessões para o principal especificado.

SQL

SHOW GRANTS [<principal>] ON SERVICE CREDENTIAL <service-credential-name>;

Substitua os valores temporários:

• <principal>: O endereço email do usuário de nível accountou o nome do grupo de nível account ao qual foi concedida a permissão.
• <service-credential-name>: O nome de uma credencial de serviço.

nota

Se um grupo ou nome de usuário contiver um espaço ou símbolo @, use marcações invertidas ao redor dele (não apóstrofos). Por exemplo, equipe financeira .

Conceder permissões para usar uma credencial de serviço para acessar um serviço de nuvem externo

Para conceder permissão para usar uma credencial de serviço para acessar um serviço de nuvem externo, conclua as etapas a seguir. O senhor pode usar o Catalog Explorer ou SQL comando:

Catalog Explorer

1. In the sidebar, click Catalog.
2. On the Quick access page, click the External data > button and go to the Credentials tab.
3. Click the name of a service credential to open the details page.
4. Click Permissions.
5. To grant permission to users or groups, select each identity, then click Grant.
   • Select ACCESS to grant the ability to use the service credential to access an external cloud service or services.
   • Select CREATE CONNECTION to grant the ability to create a Lakehouse Federation connection in Unity Catalog using this service credential. See Manage connections for Lakehouse Federation.
6. To revoke permissions from users or groups, select each identity, then click Revoke.

SQL

To grant access, run one of the following commands in a notebook, replacing the placeholder values:

• <principal>: The email address of the account-level user or the name of the account level group to whom to grant the permission.

• <service-credential-name>: The name of a service credential.

nota

If a group or username contains a space, dash (-), or @ symbol, use back-ticks around it (not apostrophes). For example, `finance team`.

SQL

GRANT ACCESS ON SERVICE CREDENTIAL <service-credential-name> TO <principal>;

If you want to grant the ability to create a Lakehouse Federation connection in Unity Catalog using this service credential, use the following:

SQL

GRANT CREATE CONNECTION ON SERVICE CREDENTIAL <service-credential-name> TO <principal>;

To revoke access, replace GRANT with REVOKE in these examples.

Alterar o proprietário de uma credencial de serviço

O criador de uma credencial de serviço é seu proprietário inicial. Para alterar o proprietário para um usuário ou grupo de nível accountdiferente, o senhor pode usar o Catalog Explorer ou um comando SQL.

Catalog Explorer

1. In the sidebar, click Catalog.
2. On the Quick access page, click the External data > button and go to the Credentials tab.
3. Click the name of a service credential to open the edit dialog.
4. Click next to Owner.
5. Type to search for a principal and select it.
6. Click Save.

SQL

Run the following command in a notebook. Replace the placeholder values:

• <credential-name>: The name of the credential.
• <principal>: The email address of an account-level user or the name of an account-level group.

SQL

ALTER SERVICE CREDENTIAL <credential-name> OWNER TO <principal>;

Renomear uma credencial de serviço

Para renomear uma credencial de serviço, o senhor pode usar o Catalog Explorer ou um comando SQL.

Catalog Explorer

1. In the sidebar, click Catalog.
2. On the Quick access page, click the External data > button and go to the Credentials tab.
3. Click the name of a service credential to open the edit dialog.
4. Rename the service credential and save it.

SQL

Run the following command in a notebook. Replace the placeholder values:

• <credential-name>: The name of the credential.
• <new-credential-name>: A new name for the credential.

SQL

ALTER SERVICE CREDENTIAL <credential-name> RENAME TO <new-credential-name>;

Excluir uma credencial de serviço

Para excluir (descartar) uma credencial de serviço, o senhor deve ser o proprietário dela. Para excluir uma credencial de serviço, o senhor pode usar o Catalog Explorer ou um comando SQL.

Catalog Explorer

1. In the sidebar, click Catalog.
2. On the Quick access page, click the External data > button and go to the Credentials tab.
3. Click the name of a service credential to open the edit dialog.
4. Click the Delete button.

SQL

Run the following command in a notebook. Replace <credential-name> with the name of the credential. Portions of the command that are in brackets are optional.

IF EXISTS does not return an error if the credential does not exist.

SQL

DROP SERVICE CREDENTIAL [IF EXISTS] <credential-name>;