Pular para o conteúdo principal

Autenticação para trabalhar com lojas on-line

Este artigo descreve como configurar a autenticação para a publicação de tabelas de recursos em lojas on-line e a busca de recursos em lojas on-line.

A tabela mostra os métodos de autenticação suportados para cada ação:

armazenamento online provider

Publicar

Recurso lookup in Legacy MLflow servindo modelo

recurso lookup in servindo modelo

Amazon DynamoDB (qualquer versão do cliente Recurso Engenharia ou do cliente Recurso Store v0.3.8 e superiores)

perfil de instância anexado a um clustering Databricks ou Segredos do Databricks usando write_secret_prefix em AmazonDynamoDBSpec

Databricks segredos usando read_secret_prefix em AmazonDynamoDBSpec. não são compatíveis com a pesquisa de recurso legado.

perfil de instância anexado a um endpoint do Databricks Serving ou Databricks segredos usando read_secret_prefix em AmazonDynamoDBSpec. .

Amazon Aurora (compatível com MySQL)

Databricks segredos usando write_secret_prefix em AmazonRdsMySqlSpec.

Databricks segredos usando read_secret_prefix em AmazonRdsMySqlSpec.

Não compatível.

Amazon RDS MySQL

Databricks segredos usando write_secret_prefix em AmazonRdsMySqlSpec.

Databricks segredos usando read_secret_prefix em AmazonRdsMySqlSpec.

Não compatível.

Autenticação para publicação de tabelas de recursos em lojas on-line

Para publicar tabelas de recursos em um armazenamento on-line, o senhor deve fornecer autenticação de gravação.

Databricks recomenda que o senhor forneça autenticação de gravação por meio de um instance profile anexado a um clustering Databricks. Como alternativa, o senhor pode armazenar credenciais nos segredos do Databricks e fazer referência a elas em um write_secret_prefix ao publicar.

O usuário instance profile ou IAM deve ter todas as permissões a seguir:

  • dynamodb:DeleteItem
  • dynamodb:DeleteTable
  • dynamodb:PartiQLSelect
  • dynamodb:DescribeTable
  • dynamodb:PartiQLInsert
  • dynamodb:GetItem
  • dynamodb:CreateGlobalTable
  • dynamodb:BatchGetItem
  • dynamodb:UpdateTimeToLive
  • dynamodb:BatchWriteItem
  • dynamodb:ConditionCheckItem
  • dynamodb:PutItem
  • dynamodb:PartiQLUpdate
  • dynamodb:Scan
  • dynamodb:Query
  • dynamodb:UpdateItem
  • dynamodb:DescribeTimeToLive
  • dynamodb:CreateTable
  • dynamodb:UpdateGlobalTableSettings
  • dynamodb:UpdateTable
  • dynamodb:PartiQLDelete
  • dynamodb:DescribeTableReplicaAutoScaling

Fornecer autenticação de gravação por meio de um instance profile anexado a um clustering Databricks

Em clusters executando Databricks Runtime 10,5 MLe acima, você pode usar o instance profile anexado ao cluster para autenticação de gravação ao publicar em lojas online do DynamoDB.

nota

Use estas passos apenas para autenticação de gravação ao publicar nas lojas online do DynamoDB.

  1. Criar um instance profile que tenha permissão de gravação no armazenamento on-line.

  2. Anexe o instance profile a clusters Databricks seguindo estas duas passos:

    1. Adicione o site instance profile a Databricks.
    2. Inicie um clustering com o endereço instance profile.

  3. Selecione o clustering com o anexo instance profile para executar o código a ser publicado no armazenamento on-line. O senhor não precisa fornecer credenciais secretas explícitas ou write_secret_prefix para a especificação do armazenamento on-line.

Fornecer credenciais de gravação usando segredos do Databricks

Siga as instruções em Use Databricks secrets.

Autenticação para pesquisa de recursos em lojas on-line com modelos MLflow atendidos

Para permitir que os modelos Databricks-hosted MLflow se conectem a lojas on-line e procurem valores de recurso, o senhor deve fornecer autenticação de leitura.

Databricks recomenda que o senhor forneça autenticação de pesquisa por meio de um instance profile anexado a um modelo servido pelo Databricks. Como alternativa, o senhor pode armazenar credenciais nos segredos do Databricks e fazer referência a elas em um read_secret_prefix ao publicar.

Fornecer autenticação de pesquisa por meio de um instance profile configurado para um modelo de serviço

  1. Criar um instance profile que tenha permissão de gravação no armazenamento on-line.

  2. Configure o site Databricks que serve endpoint para usar instance profile.

nota

Ao publicar a tabela, o senhor não precisa especificar um read_prefix, e qualquer read_prefix especificado é substituído pelo instance profile.

Fornecer credenciais de leitura usando segredos do Databricks

Siga as instruções em Use Databricks secrets.

Use os segredos do Databricks para autenticação de leitura e gravação.

Esta seção mostra as etapas a serem seguidas para configurar a autenticação com os segredos do Databricks. Para obter exemplos de código que ilustram como usar esses segredos, consulte Publicar recurso em um armazenamento on-line.

  1. Crie dois escopos secretos que contenham credenciais para o armazenamento on-line: um para acesso somente de leitura (mostrado aqui como <read-scope>) e outro para acesso de leitura e gravação (mostrado aqui como <write-scope>). Como alternativa, o senhor pode reutilizar o Secret Scope existente.

    Se o senhor pretende usar um instance profile para autenticação de gravação (configurado no nível de clustering do Databricks ), não é necessário incluir o <write-scope>. Se o senhor pretende usar um instance profile para autenticação de leitura (configurado no nível Databricks Serving endpoint ), não é necessário incluir o <read-scope>.

  2. Escolha um nome exclusivo para o armazenamento on-line de destino, mostrado aqui como <prefix>.

    Para o DynamoDB (funciona com qualquer versão do cliente Recurso Engenharia e com o cliente Recurso Store v0.3.8 e superiores), crie os seguintes segredos:

    • Acesso key ID do usuário IAM com acesso somente leitura ao armazenamento on-line de destino: databricks secrets put-secret <read-scope> <prefix>-access-key-id
    • Acesso secreto key para o usuário IAM com acesso somente leitura ao armazenamento on-line de destino: databricks secrets put-secret <read-scope> <prefix>-secret-access-key
    • Acesso key ID do usuário IAM com acesso de leitura e gravação ao armazenamento on-line de destino: databricks secrets put-secret <write-scope> <prefix>-access-key-id
    • Acesso secreto key para o usuário IAM com acesso de leitura e gravação ao armazenamento on-line de destino: databricks secrets put-secret <write-scope> <prefix>-secret-access-key

    Para armazenamentos SQL, crie os seguintes segredos:

    • Usuário com acesso somente de leitura ao armazenamento on-line de destino: databricks secrets put-secret <read-scope> <prefix>-user
    • Senha do usuário com acesso somente de leitura ao armazenamento on-line de destino: databricks secrets put-secret <read-scope> <prefix>-password
    • Usuário com acesso de leitura e gravação ao armazenamento on-line de destino: databricks secrets put-secret <write-scope> <prefix>-user
    • Senha do usuário com acesso de leitura e gravação ao armazenamento on-line de destino: databricks secrets put-secret <write-scope> <prefix>-password
nota

Há um limite para o número de Secret Scope por workspace. Para evitar atingir esse limite, o senhor pode definir e compartilhar um único escopo secreto para acessar todas as lojas on-line.

Última atualização em