serviço gerenciado de credenciamento

Prévia

Este recurso está em visualização pública.

Este artigo descreve como listar, view, atualizar, conceder permissões e excluir credenciais de serviço, que são Unity Catalog objetos seguros que permitem que o senhor controle o acesso a cloud serviços externos.

Veja também:

• Para obter uma introdução e saber como criar credenciais de serviço: gerenciar o acesso ao serviço externo cloud usando credenciais de serviço

• Para saber como fazer referência às credenciais de serviço em seu código e especificar uma credencial de serviço default para um recurso compute: Use as credenciais de serviço Unity Catalog para se conectar a um serviço externo cloud .

Antes de começar

Para realizar a tarefa descrita neste artigo, o senhor deve atender aos seguintes requisitos:

• Um workspace do Databricks habilitado para o Unity Catalog.

• Para listar ou view uma credencial de serviço, o senhor deve ter um dos seguintes privilégios ou funções:

  • BROWSE privilégio no catálogo principal

  • CREATE SERVICE CREDENTIAL na metastore

  • ACCESS na credencial de serviço

  • Proprietário da credencial de serviço

  • Administrador do Metastore

• Para executar qualquer uma das outras tarefas listadas neste artigo, o senhor deve ser o proprietário da credencial do serviço ou um administrador da metastore.

• Se o senhor usar o SQL comando para listar, view, ou atualizar a credencial do serviço, precisará do compute em Databricks Runtime 15.4 LTS ou acima. Não há exigência de versão do Databricks Runtime se o senhor usar o Catalog Explorer ou a API REST.

Listar credenciais de serviço

Para view a lista de todas as credenciais de serviço em um metastore, o senhor pode usar o Catalog Explorer ou um comando SQL.

1. Na barra lateral, clique em Catálogo.

2. Na página de acesso rápido, clique no botão External data > e vá para Credentials tab.

3. Classifique as credenciais por Finalidade (STORAGE ou serviço).

Execute o seguinte comando em um notebook.

SHOW SERVICE CREDENTIALS;

Exibir uma credencial de serviço

Para view as propriedades de uma credencial de serviço, o senhor pode usar o Catalog Explorer ou um comando SQL.

1. Na barra lateral, clique em Catálogo.

2. Na página de acesso rápido, clique no botão External data > e vá para Credentials tab.

3. Clique no nome de uma credencial de serviço para ver suas propriedades.

Execute o seguinte comando em um notebook. Substitua <credential-name> pelo nome da credencial.

DESCRIBE SERVICE CREDENTIAL <credential-name>;

Mostrar concessões em uma credencial de serviço

Para mostrar as concessões em uma credencial de serviço, use um comando como o seguinte. Opcionalmente, você pode filtrar os resultados para mostrar somente as concessões para o principal especificado.

SHOW GRANTS [<principal>] ON SERVICE CREDENTIAL <service-credential-name>;

Substitua os valores temporários:

• <principal>: O endereço email do usuário de nível accountou o nome do grupo de nível account ao qual foi concedida a permissão.

• <service-credential-name>: O nome de uma credencial de serviço.

Observação

Se um grupo ou nome de usuário contiver um espaço ou símbolo @, use marcações invertidas ao redor dele (não apóstrofos). Por exemplo, finance team` `.

Conceder permissões para usar uma credencial de serviço para acessar um serviço de nuvem externo

Para conceder permissão para usar uma credencial de serviço para acessar um serviço externo cloud, conclua os seguintes passos. O senhor pode usar o Catalog Explorer ou SQL comando:

1. Na barra lateral, clique em Catálogo.

2. Na página de acesso rápido, clique no botão External data > e vá para Credentials tab.

3. Clique no nome de uma credencial de serviço para abrir a página de detalhes.

4. Clique em Permissões.

5. Para conceder permissão a usuários ou grupos, selecione cada identidade e clique em Conceder.

   • Selecione ACCESS para conceder a capacidade de usar a credencial de serviço para acessar um serviço ou serviço externo cloud.

   • Selecione CREATE CONNECTION para conceder a capacidade de criar uma conexão Lakehouse Federation em Unity Catalog usando essa credencial de serviço. Veja as conexões de gerenciar para a Lakehouse Federation.

6. Para revogar permissões de usuários ou grupos, selecione cada identidade e clique em Revogar.

Para conceder acesso, execute um dos seguintes comandos em um Notebook, substituindo os valores do espaço reservado:

• <principal>: endereço de e-mail do usuário no nível da conta ou o nome do grupo no nível da conta a quem conceder a permissão.

• <service-credential-name>: O nome de uma credencial de serviço.

Observação

Se um grupo ou nome de usuário contiver um espaço, um hífen (-) ou o símbolo @, use marcações invertidas ao redor dele (não apóstrofos). Por exemplo, `finance team`.

GRANT ACCESS ON SERVICE CREDENTIAL <service-credential-name> TO <principal>;

Se o senhor quiser conceder a capacidade de criar uma conexão Lakehouse Federation em Unity Catalog usando essa credencial de serviço, use o seguinte:

GRANT CREATE CONNECTION ON SERVICE CREDENTIAL <service-credential-name> TO <principal>;

Para revogar o acesso, substitua GRANT por REVOKE nesses exemplos.

Alterar o proprietário de uma credencial de serviço

O criador de uma credencial de serviço é seu proprietário inicial. Para alterar o proprietário para um usuário ou grupo de nível accountdiferente, o senhor pode usar o Catalog Explorer ou um comando SQL.

1. Na barra lateral, clique em Catálogo.

2. Na página de acesso rápido, clique no botão External data > e vá para Credentials tab.

3. Clique no nome de uma credencial de serviço para abrir a caixa de diálogo de edição.

4. Clique ao lado de Proprietário.

5. Digite para pesquisar um diretor e selecioná-lo.

6. Clique em Salvar.

Execute o seguinte comando em um notebook. Substitua os valores temporários:

• <credential-name>: nome da credencial.

• <principal>: O endereço email de um usuário de nível accountou o nome de um grupo de nível account.

ALTER SERVICE CREDENTIAL <credential-name> OWNER TO <principal>;

Renomear uma credencial de serviço

Para renomear uma credencial de serviço, o senhor pode usar o Catalog Explorer ou um comando SQL.

1. Na barra lateral, clique em Catálogo.

2. Na página de acesso rápido, clique no botão External data > e vá para Credentials tab.

3. Clique no nome de uma credencial de serviço para abrir a caixa de diálogo de edição.

4. Renomeie a credencial de serviço e salve-a.

Execute o seguinte comando em um notebook. Substitua os valores temporários:

• <credential-name>: nome da credencial.

• <new-credential-name>: novo nome para a credencial.

ALTER SERVICE CREDENTIAL <credential-name> RENAME TO <new-credential-name>;

Excluir uma credencial de serviço

Para excluir (descartar) uma credencial de serviço, o senhor deve ser o proprietário dela. Para excluir uma credencial de serviço, o senhor pode usar o Catalog Explorer ou um comando SQL.

1. Na barra lateral, clique em Catálogo.

2. Na página de acesso rápido, clique no botão External data > e vá para Credentials tab.

3. Clique no nome de uma credencial de serviço para abrir a caixa de diálogo de edição.

4. Clique no botão Excluir .

Execute o seguinte comando em um notebook. Substitua <credential-name> pelo nome da credencial. As partes do comando que estão entre colchetes são opcionais.

IF EXISTS não retorna um erro se a credencial não existir.

DROP SERVICE CREDENTIAL [IF EXISTS] <credential-name>;