서비스 주체 및 Microsoft Entra ID(Azure Active Directory)를 사용하여 스토리지에 액세스
참고 항목
이 문서에서는 Azure Data Lake Storage Gen2에 대한 액세스를 구성하기 위한 레거시 패턴을 설명합니다.
Databricks는 서비스 주체 대신 Azure Data Lake Storage Gen2에 연결하기 위해 Azure 관리 ID를 Unity 카탈로그 스토리지 자격 증명으로 사용하는 것이 좋습니다. 관리 ID는 Unity 카탈로그가 네트워크 규칙에 의해 보호되는 스토리지 계정에 액세스할 수 있도록 허용하는 이점이 있으며, 서비스 주체를 사용할 수 없으며 비밀을 관리하고 회전할 필요가 없습니다. 자세한 내용은 Unity 카탈로그에서 Azure 관리 ID를 사용하여 스토리지에 액세스하는 방법을 참조하세요.
Microsoft Entra ID를 사용하여 애플리케이션을 등록하면 Azure Storage 계정에 대한 액세스를 제공하는 데 사용할 수 있는 서비스 주체가 만들어집니다.
그런 다음 이러한 서비스 주체에 대한 액세스를 Unity 카탈로그의 스토리지 자격 증명 또는 비밀과 함께 저장된 자격 증명으로 사용하여 구성할 수 있습니다.
Microsoft Entra ID 애플리케이션 등록
Microsoft Entra ID(이전의 Azure Active Directory) 애플리케이션 을 등록하고 적절한 권한을 할당하면 Azure Data Lake Storage Gen2 또는 Blob Storage 리소스에 액세스할 수 있는 서비스 주체가 만들어집니다.
Microsoft Entra ID 애플리케이션을 등록하려면 Microsoft Entra ID의 Application Administrator
Application.ReadWrite.All
역할 또는 권한이 있어야 합니다.
- Azure Portal에서 Microsoft Entra ID 서비스로 이동합니다.
- 관리 아래에서 앱 등록을 클릭합니다.
- + 새 등록을 클릭합니다. 애플리케이션의 이름을 입력하고 등록을 클릭합니다.
- 인증서 및 비밀을 클릭합니다.
- + 새 클라이언트 암호를 클릭합니다.
- 비밀에 대한 설명을 추가하고 추가를 클릭합니다.
- 새 비밀에 대한 값을 복사하여 저장합니다.
- 애플리케이션 등록 개요에서 애플리케이션(클라이언트) ID 및 디렉터리(테넌트) ID를 복사하여 저장합니다.
역할 할당
스토리지 계정과 연결된 Microsoft Entra ID 애플리케이션 등록에 역할을 할당하여 스토리지 리소스에 대한 액세스를 제어합니다. 특정 요구 사항에 따라 다른 역할을 할당해야 할 수도 있습니다.
스토리지 계정에 역할을 할당하려면 스토리지 계정에 소유자 또는 사용자 액세스 관리자 Azure RBAC 역할이 있어야 합니다.
- Azure Portal에서 스토리지 계정 서비스로 이동합니다.
- 이 애플리케이션 등록에 사용할 Azure 스토리지 계정을 선택합니다.
- 액세스 제어(IAM)를 클릭합니다.
- + 추가를 클릭하고, 드롭다운 메뉴에서 역할 할당 추가를 선택합니다.
- 선택 필드를 Microsoft Entra ID 애플리케이션 이름으로 설정하고 역할을 Storage Blob 데이터 기여자로 설정합니다.
- 저장을 클릭합니다.
서비스 주체를 사용하여 스토리지 계정에서 파일 이벤트 액세스를 사용하도록 설정하려면 Azure Data Lake Storage Gen2 계정이 있는 Azure 리소스 그룹에 소유자 또는 사용자 액세스 관리자 Azure RBAC 역할이 있어야 합니다.
- 위의 단계를 수행하고 서비스 주체의 스토리지 큐 데이터 기여자 및 스토리지 계정 기여자 역할을 할당합니다.
- Azure Data Lake Storage Gen2 계정이 있는 Azure 리소스 그룹으로 이동합니다.
- 액세스 제어(IAM)로 이동하여 +추가를 선택한 다음, 역할 할당 추가를 선택합니다.
- EventGrid EventSubscription 기여자 역할을 선택하고 다음을 클릭합니다.
- 액세스 권한 할당에서 서비스 주체를 선택합니다.
- +구성원 선택, 서비스 주체 선택, 검토 및 할당을 차례로 클릭합니다.
또는 스토리지 큐 데이터 기여자 역할에 서비스 주체를 부여하고 리소스 그룹에 역할을 부여하지 않음으로써 액세스를 제한할 수 있습니다. 이 경우 Azure Databricks는 사용자 대신 파일 이벤트를 구성할 수 없습니다.