serviço gerenciado de credenciamento
Prévia
Este recurso está em visualização pública.
Este artigo descreve como listar, view, atualizar, conceder permissões e excluir credenciais de serviço, que são Unity Catalog objetos seguros que permitem que o senhor controle o acesso a cloud serviços externos.
Veja também:
Para obter uma introdução e saber como criar credenciais de serviço: gerenciar o acesso ao serviço externo cloud usando credenciais de serviço
Para saber como fazer referência às credenciais de serviço em seu código e especificar uma credencial de serviço default para um recurso compute: Use as credenciais de serviço Unity Catalog para se conectar a um serviço externo cloud .
Antes de começar
Para realizar a tarefa descrita neste artigo, o senhor deve atender aos seguintes requisitos:
Um workspace do Databricks habilitado para o Unity Catalog.
Para listar ou view uma credencial de serviço, o senhor deve ter um dos seguintes privilégios ou funções:
BROWSE
privilégio no catálogo principalCREATE SERVICE CREDENTIAL
na metastoreACCESS
na credencial de serviçoProprietário da credencial de serviço
Administrador do Metastore
Para executar qualquer uma das outras tarefas listadas neste artigo, o senhor deve ser o proprietário da credencial do serviço ou um administrador da metastore.
Se o senhor usar o SQL comando para listar, view, ou atualizar a credencial do serviço, precisará do compute em Databricks Runtime 15.4 LTS ou acima. Não há exigência de versão do Databricks Runtime se o senhor usar o Catalog Explorer ou a API REST.
Listar credenciais de serviço
Para view a lista de todas as credenciais de serviço em um metastore, o senhor pode usar o Catalog Explorer ou um comando SQL.
Na barra lateral, clique em Catálogo.
Na página de acesso rápido, clique no botão External data > e vá para Credentials tab.
Classifique as credenciais por Finalidade (STORAGE ou serviço).
Execute o seguinte comando em um notebook.
SHOW SERVICE CREDENTIALS;
Exibir uma credencial de serviço
Para view as propriedades de uma credencial de serviço, o senhor pode usar o Catalog Explorer ou um comando SQL.
Na barra lateral, clique em Catálogo.
Na página de acesso rápido, clique no botão External data > e vá para Credentials tab.
Clique no nome de uma credencial de serviço para ver suas propriedades.
Execute o seguinte comando em um notebook. Substitua <credential-name>
pelo nome da credencial.
DESCRIBE SERVICE CREDENTIAL <credential-name>;
Mostrar concessões em uma credencial de serviço
Para mostrar as concessões em uma credencial de serviço, use um comando como o seguinte. Opcionalmente, você pode filtrar os resultados para mostrar somente as concessões para o principal especificado.
SHOW GRANTS [<principal>] ON SERVICE CREDENTIAL <service-credential-name>;
Substitua os valores temporários:
<principal>
: O endereço email do usuário de nível accountou o nome do grupo de nível account ao qual foi concedida a permissão.<service-credential-name>
: O nome de uma credencial de serviço.
Observação
Se um grupo ou nome de usuário contiver um espaço ou símbolo @
, use marcações invertidas ao redor dele (não apóstrofos). Por exemplo,
finance team` `.
Conceder permissões para usar uma credencial de serviço para acessar um serviço de nuvem externo
Para conceder permissão para usar uma credencial de serviço para acessar um serviço externo cloud, conclua os seguintes passos. O senhor pode usar o Catalog Explorer ou SQL comando:
Na barra lateral, clique em Catálogo.
Na página de acesso rápido, clique no botão External data > e vá para Credentials tab.
Clique no nome de uma credencial de serviço para abrir a página de detalhes.
Clique em Permissões.
Para conceder permissão a usuários ou grupos, selecione cada identidade e clique em Conceder.
Selecione ACCESS para conceder a capacidade de usar a credencial de serviço para acessar um serviço ou serviço externo cloud.
Selecione CREATE CONNECTION para conceder a capacidade de criar uma conexão Lakehouse Federation em Unity Catalog usando essa credencial de serviço. Veja as conexões de gerenciar para a Lakehouse Federation.
Para revogar permissões de usuários ou grupos, selecione cada identidade e clique em Revogar.
Para conceder acesso, execute um dos seguintes comandos em um Notebook, substituindo os valores do espaço reservado:
<principal>
: endereço de e-mail do usuário no nível da conta ou o nome do grupo no nível da conta a quem conceder a permissão.<service-credential-name>
: O nome de uma credencial de serviço.
Observação
Se um grupo ou nome de usuário contiver um espaço, um hífen (-
) ou o símbolo @
, use marcações invertidas ao redor dele (não apóstrofos). Por exemplo, `finance team`.
GRANT ACCESS ON SERVICE CREDENTIAL <service-credential-name> TO <principal>;
Se o senhor quiser conceder a capacidade de criar uma conexão Lakehouse Federation em Unity Catalog usando essa credencial de serviço, use o seguinte:
GRANT CREATE CONNECTION ON SERVICE CREDENTIAL <service-credential-name> TO <principal>;
Para revogar o acesso, substitua GRANT
por REVOKE
nesses exemplos.
Alterar o proprietário de uma credencial de serviço
O criador de uma credencial de serviço é seu proprietário inicial. Para alterar o proprietário para um usuário ou grupo de nível accountdiferente, o senhor pode usar o Catalog Explorer ou um comando SQL.
Na barra lateral, clique em Catálogo.
Na página de acesso rápido, clique no botão External data > e vá para Credentials tab.
Clique no nome de uma credencial de serviço para abrir a caixa de diálogo de edição.
Clique ao lado de Proprietário.
Digite para pesquisar um diretor e selecioná-lo.
Clique em Salvar.
Execute o seguinte comando em um notebook. Substitua os valores temporários:
<credential-name>
: nome da credencial.<principal>
: O endereço email de um usuário de nível accountou o nome de um grupo de nível account.
ALTER SERVICE CREDENTIAL <credential-name> OWNER TO <principal>;
Renomear uma credencial de serviço
Para renomear uma credencial de serviço, o senhor pode usar o Catalog Explorer ou um comando SQL.
Na barra lateral, clique em Catálogo.
Na página de acesso rápido, clique no botão External data > e vá para Credentials tab.
Clique no nome de uma credencial de serviço para abrir a caixa de diálogo de edição.
Renomeie a credencial de serviço e salve-a.
Execute o seguinte comando em um notebook. Substitua os valores temporários:
<credential-name>
: nome da credencial.<new-credential-name>
: novo nome para a credencial.
ALTER SERVICE CREDENTIAL <credential-name> RENAME TO <new-credential-name>;
Excluir uma credencial de serviço
Para excluir (descartar) uma credencial de serviço, o senhor deve ser o proprietário dela. Para excluir uma credencial de serviço, o senhor pode usar o Catalog Explorer ou um comando SQL.
Na barra lateral, clique em Catálogo.
Na página de acesso rápido, clique no botão External data > e vá para Credentials tab.
Clique no nome de uma credencial de serviço para abrir a caixa de diálogo de edição.
Clique no botão Excluir .
Execute o seguinte comando em um notebook. Substitua <credential-name>
pelo nome da credencial. As partes do comando que estão entre colchetes são opcionais.
IF EXISTS
não retorna um erro se a credencial não existir.
DROP SERVICE CREDENTIAL [IF EXISTS] <credential-name>;