serviço gerenciado de credenciamento

Este artigo descreve como listar, view, atualizar, conceder permissões e excluir credenciais de serviço, que são objetos seguros Unity Catalog que permitem que o senhor controle o acesso a serviços externos na nuvem.

Veja também:

• Para obter uma introdução e saber como criar credenciais de serviço: gerenciar o acesso ao serviço de nuvem externo usando credenciais de serviço
• Para saber como fazer referência a credenciais de serviço em seu código e especificar uma credencial de serviço default para um recurso compute: Use as credenciais de serviço Unity Catalog para se conectar a um serviço de nuvem externo.

Antes de começar

Para realizar a tarefa descrita neste artigo, o senhor deve atender aos seguintes requisitos:

• Um workspace do Databricks habilitado para o Unity Catalog.

• Para listar ou view uma credencial de serviço, o senhor deve ter um dos seguintes privilégios ou funções:

  • BROWSE privilégio no catálogo principal
  • CREATE SERVICE CREDENTIAL na metastore
  • ACCESS na credencial de serviço
  • Proprietário da credencial de serviço
  • Administrador do Metastore

• Para executar qualquer uma das outras tarefas listadas neste artigo, o senhor deve ser o proprietário da credencial do serviço ou um administrador da metastore.

• Se o senhor usar o SQL comando para listar, view, ou atualizar a credencial do serviço, precisará do compute no Databricks Runtime 16.2 ou superior. Não há exigência de versão do Databricks Runtime se o senhor usar o Catalog Explorer ou a API REST.

Listar credenciais de serviço

Para view a lista de todas as credenciais de serviço em um metastore, o senhor pode usar o Catalog Explorer ou um comando SQL.

Catalog Explorer

1. Na barra lateral, clique em Catálogo .
2. Na página de acesso rápido , clique no botão External data (Dados externos ) > e vá para Credentials (Credenciais ) tab.
3. Classifique as credenciais por Finalidade (STORAGE ou serviço).

SQL

Execute o seguinte comando em um notebook.

SQL

SHOW SERVICE CREDENTIALS;

visualizar uma credencial de serviço

Para view as propriedades de uma credencial de serviço, o senhor pode usar o Catalog Explorer ou um comando SQL.

Catalog Explorer

1. Na barra lateral, clique em Catálogo .
2. Na página de acesso rápido , clique no botão External data (Dados externos ) > e vá para Credentials (Credenciais ) tab.
3. Clique no nome de uma credencial de serviço para ver suas propriedades.

SQL

Execute o seguinte comando em um notebook. Substitua <credential-name> pelo nome da credencial.

SQL

DESCRIBE SERVICE CREDENTIAL <credential-name>;

Mostrar concessões em uma credencial de serviço

Para mostrar as concessões em uma credencial de serviço, use um comando como o seguinte. Opcionalmente, você pode filtrar os resultados para mostrar somente as concessões para o principal especificado.

SQL

SHOW GRANTS [<principal>] ON SERVICE CREDENTIAL <service-credential-name>;

Substitua os valores temporários:

• <principal>: O endereço email do usuário de nível accountou o nome do grupo de nível account ao qual foi concedida a permissão.
• <service-credential-name>: O nome de uma credencial de serviço.

nota

Se um grupo ou nome de usuário contiver um espaço ou símbolo @, use marcações invertidas ao redor dele (não apóstrofos). Por exemplo, equipe financeira .

Conceder permissões para usar uma credencial de serviço para acessar um serviço de nuvem externo

Para conceder permissão para usar uma credencial de serviço para acessar um serviço de nuvem externo, conclua as etapas a seguir. O senhor pode usar o Catalog Explorer ou SQL comando:

Catalog Explorer

1. Na barra lateral, clique em Catálogo .

2. Na página de acesso rápido , clique no botão External data (Dados externos ) > e vá para Credentials (Credenciais ) tab.

3. Clique no nome de uma credencial de serviço para abrir a página de detalhes.

4. Clique em Permissões .

5. Para conceder permissão a usuários ou grupos, selecione cada identidade e clique em Conceder .

   • Selecione ACCESS para conceder a capacidade de usar a credencial de serviço para acessar um serviço ou serviço de nuvem externo.
   • Selecione CREATE CONNECTION para conceder a capacidade de criar uma conexão Lakehouse Federation em Unity Catalog usando essa credencial de serviço. Veja as conexões de gerenciar para a Lakehouse Federation.

6. Para revogar permissões de usuários ou grupos, selecione cada identidade e clique em Revogar .

SQL

Para conceder acesso, execute um dos seguintes comandos em um Notebook, substituindo os valores do espaço reservado:

• <principal>: endereço de e-mail do usuário no nível da conta ou o nome do grupo no nível da conta a quem conceder a permissão.
• <service-credential-name>: O nome de uma credencial de serviço.

nota

Se um grupo ou nome de usuário contiver um espaço, um hífen (-) ou o símbolo @, use marcações invertidas ao redor dele (não apóstrofos). Por exemplo, ```finance team`.``

SQL

GRANT ACCESS ON SERVICE CREDENTIAL <service-credential-name> TO <principal>;

Se o senhor quiser conceder a capacidade de criar uma conexão Lakehouse Federation em Unity Catalog usando essa credencial de serviço, use o seguinte:

SQL

GRANT CREATE CONNECTION ON SERVICE CREDENTIAL <service-credential-name> TO <principal>;

Para revogar o acesso, substitua GRANT por REVOKE nesses exemplos.

Alterar o proprietário de uma credencial de serviço

O criador de uma credencial de serviço é seu proprietário inicial. Para alterar o proprietário para um usuário ou grupo de nível accountdiferente, o senhor pode usar o Catalog Explorer ou um comando SQL.

Catalog Explorer

1. Na barra lateral, clique em Catálogo .
2. Na página de acesso rápido , clique no botão External data (Dados externos ) > e vá para Credentials (Credenciais ) tab.
3. Clique no nome de uma credencial de serviço para abrir a caixa de diálogo de edição.
4. Clique ao lado de Proprietário .
5. Digite para pesquisar um diretor e selecioná-lo.
6. Clique em Salvar .

SQL

Execute o seguinte comando em um notebook. Substitua os valores temporários:

• <credential-name>: nome da credencial.
• <principal>: O endereço email de um usuário de nível accountou o nome de um grupo de nível account.

SQL

ALTER SERVICE CREDENTIAL <credential-name> OWNER TO <principal>;

Renomear uma credencial de serviço

Para renomear uma credencial de serviço, o senhor pode usar o Catalog Explorer ou um comando SQL.

Catalog Explorer

1. Na barra lateral, clique em Catálogo .
2. Na página de acesso rápido , clique no botão External data (Dados externos ) > e vá para Credentials (Credenciais ) tab.
3. Clique no nome de uma credencial de serviço para abrir a caixa de diálogo de edição.
4. Renomeie a credencial de serviço e salve-a.

SQL

Execute o seguinte comando em um notebook. Substitua os valores temporários:

• <credential-name>: nome da credencial.
• <new-credential-name>: novo nome para a credencial.

SQL

ALTER SERVICE CREDENTIAL <credential-name> RENAME TO <new-credential-name>;

Excluir uma credencial de serviço

Para excluir (descartar) uma credencial de serviço, o senhor deve ser o proprietário dela. Para excluir uma credencial de serviço, o senhor pode usar o Catalog Explorer ou um comando SQL.

Catalog Explorer

1. Na barra lateral, clique em Catálogo .
2. Na página de acesso rápido , clique no botão External data (Dados externos ) > e vá para Credentials (Credenciais ) tab.
3. Clique no nome de uma credencial de serviço para abrir a caixa de diálogo de edição.
4. Clique no botão Excluir .

SQL

Execute o seguinte comando em um notebook. Substitua <credential-name> pelo nome da credencial. As partes do comando que estão entre colchetes são opcionais.

IF EXISTS não retorna um erro se a credencial não existir.

SQL

DROP SERVICE CREDENTIAL [IF EXISTS] <credential-name>;