Autenticação para trabalhar com lojas online

Este artigo descreve como configurar a autenticação para publicar tabelas de recursos em lojas online e procurar recursos em lojas online.

A tabela mostra os métodos de autenticação suportados para cada ação:

provedor de armazenamento on-line

Publicar

Pesquisa de recursos na Model ServingMLflow legado

Pesquisa de recursos no Model Serving

Amazon DynamoDB (qualquer versão do cliente recurso engenharia ou cliente recurso Store v0.3.8 e acima)

instance profile anexado a clustersDatabricks

ou

Segredos do Databricks usando write_secret_prefix em AmazonDynamoDBSpec

Segredos do Databricks usando read_secret_prefix em AmazonDynamoDBSpec.

instance profile não são suportados para pesquisa de recurso herdado.

instance profile anexado a um endpointde serviço do Databricks

ou

Segredos do Databricks usando read_secret_prefix em AmazonDynamoDBSpec.

.

Amazon Aurora (compatível com MySQL)

Segredos do Databricks usando write_secret_prefix em AmazonRdsMySqlSpec.

Segredos do Databricks usando read_secret_prefix em AmazonRdsMySqlSpec.

Não suportado.

Amazon RDS MySQL

Segredos do Databricks usando write_secret_prefix em AmazonRdsMySqlSpec.

Segredos do Databricks usando read_secret_prefix em AmazonRdsMySqlSpec.

Não suportado.

Autenticação para publicar tabelas de recursos em lojas online

Para publicar tabelas de recursos em um armazenamento online, você deve fornecer autenticação de gravação.

Databricks recomenda que você forneça autenticação de gravação por meio de um instance profile anexado a clustersDatabricks. Como alternativa, você pode armazenar credenciais em segredos do Databricks e, em seguida, referir-se a eles em um write_secret_prefix ao publicar.

O instance profile ou usuário do IAM deve ter todas as seguintes permissões:

  • dynamodb:DeleteItem

  • dynamodb:DeleteTable

  • dynamodb:PartiQLSelect

  • dynamodb:DescribeTable

  • dynamodb:PartiQLInsert

  • dynamodb:GetItem

  • dynamodb:CreateGlobalTable

  • dynamodb:BatchGetItem

  • dynamodb:UpdateTimeToLive

  • dynamodb:BatchWriteItem

  • dynamodb:ConditionCheckItem

  • dynamodb:PutItem

  • dynamodb:PartiQLUpdate

  • dynamodb:Scan

  • dynamodb:Query

  • dynamodb:UpdateItem

  • dynamodb:DescribeTimeToLive

  • dynamodb:CreateTable

  • dynamodb:UpdateGlobalTableSettings

  • dynamodb:UpdateTable

  • dynamodb:PartiQLDelete

  • dynamodb:DescribeTableReplicaAutoScaling

Forneça autenticação de gravação por meio de um instance profile anexado a clustersDatabricks

Em clusters executando Databricks Runtime 10,5 MLe acima, você pode usar o instance profile anexado ao cluster para autenticação de gravação ao publicar em lojas online do DynamoDB.

Observação

Use estas passos apenas para autenticação de gravação ao publicar nas lojas online do DynamoDB.

  1. Crie um instance profile que tenha permissão de gravação para o armazenamento online.

  2. Anexe o instance profile a clusters Databricks seguindo estas duas passos:

    1. Adicione o instance profile ao Databricks.

    2. Inicie clusters com o instance profile.

  3. Selecione os clusters com o instance profile anexado para executar o código para publicar no armazenamento online. Você não precisa fornecer credenciais secretas explícitas ou write_secret_prefix para a especificação de armazenamento online.

Fornecer credenciais de gravação usando segredos do Databricks

Siga as instruções em Usar segredos do Databricks.

Autenticação para procurar recursos de lojas online com modelos MLflow atendidos

Para permitir que modelos MLflow hospedados pelo Databricks se conectem a lojas online e procurem valores de recursos, você deve fornecer autenticação de leitura.

A Databricks recomenda que você forneça autenticação de pesquisa por meio de um instance profile anexado a um modelo servido pelo Databricks. Como alternativa, você pode armazenar credenciais em secrets do Databricks e depois consultá-las em um read_secret_prefix ao publicar.

Forneça autenticação de pesquisa por meio de um instance profile configurado para um modelo servido

  1. Crie um instance profile que tenha permissão de gravação para o armazenamento online.

    1. Configure seu endpoint de serviço do Databricks para usar instance profile. .. note:: Ao publicar sua tabela, você não precisa especificar um read_prefix, e qualquer read_prefix especificado é substituído pelo instance profile.

Fornecer credenciais de leitura usando segredos do Databricks

Siga as instruções em Usar segredos do Databricks.

Use segredos do Databricks para autenticação de leitura e gravação.

Esta seção mostra os passos a seguir para configurar a autenticação com segredos do Databricks. Para obter exemplos de código que ilustram como usar esses segredos, consulte Publish features to an storage online.

  1. Crie dois escopos secretos que contenham credenciais para o armazenamento on-line: um para acesso somente de leitura (mostrado aqui como <read-scope>) e outro para acesso de leitura e gravação (mostrado aqui como <write-scope>). Como alternativa, o senhor pode reutilizar o Secret Scope existente.

    Se você pretende usar um instance profile para autenticação de gravação (configurado no nível clusters Databricks), não é necessário incluir o <write-scope>. Se você pretende usar um instance profile para autenticação de leitura (configurado no nível endpoint Databricks Serving), não é necessário incluir o <read-scope>.

  2. Escolha um nome exclusivo para o armazenamento on-line de destino, mostrado aqui como <prefix>.

    Para DynamoDB (funciona com qualquer versão do cliente recurso engenharia e cliente recurso Store v0.3.8 e acima), crie os seguintes segredos:

    • ID key de acesso para o usuário do IAM com acesso somente leitura ao armazenamento de destino online: databricks secrets put-secret <read-scope> <prefix>-access-key-id

    • key de acesso secreta para o usuário do IAM com acesso somente leitura ao armazenamento de destino online: databricks secrets put-secret <read-scope> <prefix>-secret-access-key

    • ID key de acesso para o usuário do IAM com acesso de leitura/gravação ao armazenamento de destino online: databricks secrets put-secret <write-scope> <prefix>-access-key-id

    • key de acesso secreta para o usuário do IAM com acesso de leitura e gravação ao armazenamento de destino online: databricks secrets put-secret <write-scope> <prefix>-secret-access-key

    Para armazenamentos SQL, crie os seguintes segredos:

    • Usuário com acesso somente leitura ao armazenamento de destino online: databricks secrets put-secret <read-scope> <prefix>-user

    • Senha para usuário com acesso somente leitura ao armazenamento de destino online: databricks secrets put-secret <read-scope> <prefix>-password

    • Usuário com acesso de leitura e gravação ao armazenamento de destino online: databricks secrets put-secret <write-scope> <prefix>-user

    • Senha para usuário com acesso de leitura e gravação ao armazenamento de destino online: databricks secrets put-secret <write-scope> <prefix>-password

Observação

Há um limite para o número de Secret Scope por workspace. Para evitar atingir esse limite, o senhor pode definir e compartilhar um único escopo secreto para acessar todas as lojas on-line.