Autenticação para trabalhar com lojas online
Este artigo descreve como configurar a autenticação para publicar tabelas de recursos em lojas online e procurar recursos em lojas online.
A tabela mostra os métodos de autenticação suportados para cada ação:
provedor de armazenamento on-line |
Publicar |
Pesquisa de recursos na Model ServingMLflow legado |
Pesquisa de recursos no Model Serving |
---|---|---|---|
Amazon DynamoDB (qualquer versão do cliente recurso engenharia ou cliente recurso Store v0.3.8 e acima) |
instance profile anexado a clustersDatabricks ou Segredos do Databricks usando |
Segredos do Databricks usando instance profile não são suportados para pesquisa de recurso herdado. |
instance profile anexado a um endpointde serviço do Databricks ou Segredos do Databricks usando . |
Amazon Aurora (compatível com MySQL) |
Segredos do Databricks usando |
Segredos do Databricks usando |
Não suportado. |
Amazon RDS MySQL |
Segredos do Databricks usando |
Segredos do Databricks usando |
Não suportado. |
Autenticação para publicar tabelas de recursos em lojas online
Para publicar tabelas de recursos em um armazenamento online, você deve fornecer autenticação de gravação.
Databricks recomenda que você forneça autenticação de gravação por meio de um instance profile anexado a clustersDatabricks. Como alternativa, você pode armazenar credenciais em segredos do Databricks e, em seguida, referir-se a eles em um write_secret_prefix
ao publicar.
O instance profile ou usuário do IAM deve ter todas as seguintes permissões:
dynamodb:DeleteItem
dynamodb:DeleteTable
dynamodb:PartiQLSelect
dynamodb:DescribeTable
dynamodb:PartiQLInsert
dynamodb:GetItem
dynamodb:CreateGlobalTable
dynamodb:BatchGetItem
dynamodb:UpdateTimeToLive
dynamodb:BatchWriteItem
dynamodb:ConditionCheckItem
dynamodb:PutItem
dynamodb:PartiQLUpdate
dynamodb:Scan
dynamodb:Query
dynamodb:UpdateItem
dynamodb:DescribeTimeToLive
dynamodb:CreateTable
dynamodb:UpdateGlobalTableSettings
dynamodb:UpdateTable
dynamodb:PartiQLDelete
dynamodb:DescribeTableReplicaAutoScaling
Forneça autenticação de gravação por meio de um instance profile anexado a clustersDatabricks
Em clusters executando Databricks Runtime 10,5 MLe acima, você pode usar o instance profile anexado ao cluster para autenticação de gravação ao publicar em lojas online do DynamoDB.
Observação
Use estas passos apenas para autenticação de gravação ao publicar nas lojas online do DynamoDB.
Crie um instance profile que tenha permissão de gravação para o armazenamento online.
Anexe o instance profile a clusters Databricks seguindo estas duas passos:
Selecione os clusters com o instance profile anexado para executar o código para publicar no armazenamento online. Você não precisa fornecer credenciais secretas explícitas ou
write_secret_prefix
para a especificação de armazenamento online.
Fornecer credenciais de gravação usando segredos do Databricks
Siga as instruções em Usar segredos do Databricks.
Autenticação para procurar recursos de lojas online com modelos MLflow atendidos
Para permitir que modelos MLflow hospedados pelo Databricks se conectem a lojas online e procurem valores de recursos, você deve fornecer autenticação de leitura.
A Databricks recomenda que você forneça autenticação de pesquisa por meio de um instance profile anexado a um modelo servido pelo Databricks. Como alternativa, você pode armazenar credenciais em secrets do Databricks e depois consultá-las em um read_secret_prefix
ao publicar.
Forneça autenticação de pesquisa por meio de um instance profile configurado para um modelo servido
Crie um instance profile que tenha permissão de gravação para o armazenamento online.
Configure seu endpoint de serviço do Databricks para usar instance profile. .. note:: Ao publicar sua tabela, você não precisa especificar um
read_prefix
, e qualquerread_prefix
especificado é substituído pelo instance profile.
Fornecer credenciais de leitura usando segredos do Databricks
Siga as instruções em Usar segredos do Databricks.
Use segredos do Databricks para autenticação de leitura e gravação.
Esta seção mostra os passos a seguir para configurar a autenticação com segredos do Databricks. Para obter exemplos de código que ilustram como usar esses segredos, consulte Publish features to an storage online.
Crie dois Secret Scope que contenham credenciais para o armazenamento online: um para acesso somente leitura (mostrado aqui como
<read-scope>
) e outro para acesso de leitura/gravação (mostrado aqui como<write-scope>
). Como alternativa, você pode reutilizar Secret Scope existente.Se você pretende usar um instance profile para autenticação de gravação (configurado no nível clusters Databricks), não é necessário incluir o
<write-scope>
. Se você pretende usar um instance profile para autenticação de leitura (configurado no nível endpoint Databricks Serving), não é necessário incluir o<read-scope>
.Escolha um nome exclusivo para o armazenamento on-line de destino, mostrado aqui como
<prefix>
.Para DynamoDB (funciona com qualquer versão do cliente recurso engenharia e cliente recurso Store v0.3.8 e acima), crie os seguintes segredos:
ID key de acesso para o usuário do IAM com acesso somente leitura ao armazenamento de destino online:
databricks secrets put-secret <read-scope> <prefix>-access-key-id
key de acesso secreta para o usuário do IAM com acesso somente leitura ao armazenamento de destino online:
databricks secrets put-secret <read-scope> <prefix>-secret-access-key
ID key de acesso para o usuário do IAM com acesso de leitura/gravação ao armazenamento de destino online:
databricks secrets put-secret <write-scope> <prefix>-access-key-id
key de acesso secreta para o usuário do IAM com acesso de leitura e gravação ao armazenamento de destino online:
databricks secrets put-secret <write-scope> <prefix>-secret-access-key
Para armazenamentos SQL, crie os seguintes segredos:
Usuário com acesso somente leitura ao armazenamento de destino online:
databricks secrets put-secret <read-scope> <prefix>-user
Senha para usuário com acesso somente leitura ao armazenamento de destino online:
databricks secrets put-secret <read-scope> <prefix>-password
Usuário com acesso de leitura e gravação ao armazenamento de destino online:
databricks secrets put-secret <write-scope> <prefix>-user
Senha para usuário com acesso de leitura e gravação ao armazenamento de destino online:
databricks secrets put-secret <write-scope> <prefix>-password
Observação
Há um limite para o número de Secret Scope por workspace. Para evitar atingir esse limite, o senhor pode definir e compartilhar um único Secret Scope para acessar todas as lojas on-line.