다음을 통해 공유

서비스 자격 증명을 사용하여 외부 클라우드 서비스에 대한 액세스 관리

  • 아티클

Important

이 기능은 공개 미리 보기 상태입니다.

이 문서에서는 Azure Databricks에서 외부 클라우드 서비스로의 액세스를 제어할 수 있는 서비스 자격 증명 개체를 Unity Catalog에 만드는 방법을 설명합니다. Unity 카탈로그의 서비스 자격 증명은 이러한 서비스에 대한 액세스 권한을 부여하는 장기 클라우드 자격 증명을 캡슐화합니다.

서비스 자격 증명은 Unity 카탈로그 관리 스토리지 위치 또는 외부 스토리지 위치로 사용되는 클라우드 스토리지에 대한 액세스를 제어하기 위한 것이 아닙니다. 이러한 사용 사례의 경우 스토리지 자격 증명을 사용합니다. Unity 카탈로그를 사용하여 클라우드 스토리지에 대한 액세스 관리를 참조하세요.

Azure 서비스에 액세스하기 위한 서비스 자격 증명을 만들려면 Azure 관리 ID를 참조하는 Azure Databricks 액세스 커넥터를 만들어 서비스 또는 서비스에 대한 권한을 할당합니다. 그런 다음 서비스 자격 증명 정의에서 해당 액세스 커넥터를 참조합니다.

시작하기 전에

서비스 자격 증명을 만들기 전에 다음 요구 사항을 충족해야 합니다.

Azure Databricks에서:

  • Unity 카탈로그에 사용할 수 있는 Azure Databricks 작업 영역입니다.

  • 작업 영역에 연결된 Unity 카탈로그 메타스토어에 대한 CREATE SERVICE CREDENTIAL 권한 계정 관리자 및 메타스토어 관리자는 기본적으로 이러한 권한을 가집니다. 작업 영역이 자동으로 Unity 카탈로그에 사용하도록 설정된 경우 작업 영역 관리자도 이 권한을 갖습니다.

    참고 항목

    관리 ID를 사용하는 서비스 자격 증명을 만들려면 서비스 주체에 계정 관리자 역할이 있어야 합니다. 서비스 주체에 위임 CREATE SERVICE CREDENTIAL 할 수 없습니다. 이는 Azure Databricks 서비스 주체와 Microsoft Entra ID 서비스 주체 모두에 적용됩니다.

Azure 테넌트에서:

  • 데이터에 액세스하려는 작업 영역과 동일한 지역에 있는 Azure 서비스입니다.
  • Azure 리소스 그룹의 기여자 또는 소유자 역할입니다.
  • 서비스 계정의 소유자 또는 사용자 액세스 관리자 Azure RBAC 역할입니다.

관리 ID를 사용하여 서비스 자격 증명 만들기

서비스 계정에 대한 액세스 권한을 부여하는 ID를 구성하려면 Azure 관리 ID를 Azure Databricks 계정에 연결하는 Azure Databricks 액세스 커넥터를 사용합니다. 액세스 커넥터가 이미 정의된 경우 다음 절차에서 2단계로 건너뛸 수 있습니다.

참고 항목

관리 ID 대신 서비스 주체를 사용할 수 있지만 관리 ID를 사용하는 것이 좋습니다. 관리 ID는 Unity 카탈로그가 네트워크 규칙으로 보호되는 서비스 계정에 액세스할 수 있도록 허용하는 이점이 있으며, 서비스 주체를 사용할 수 없으며 비밀을 관리하고 회전할 필요가 없습니다. 서비스 주체를 사용해야 하는 경우 서비스 주체(레거시)를 사용하여 Unity 카탈로그 관리 스토리지 만들기를 참조하세요.

  1. Azure Portal에서 Unity 카탈로그에 대한 관리 ID 구성의 지침을 사용하여 Azure Databricks 액세스 커넥터를 만들고 액세스하려는 서비스에 대한 권한을 할당합니다.

    Azure Databricks 액세스 커넥터는 관리 ID를 Azure Databricks 계정에 연결할 수 있는 자사 Azure 리소스입니다. 서비스 자격 증명을 추가하려면 Azure의 액세스 커넥터 리소스에 대한 기여자 역할 이상이 있어야 합니다.

    2단계의 지침을 따르는 대신, 스토리지 계정에 대한 관리 ID 액세스 권한을 부여하고 관리 ID에 서비스 계정에 대한 액세스 권한을 부여합니다.

    액세스 커넥터의 리소스 ID를 기록해 둡니다.

  2. 시작하기 전에 나열된 요구 사항을 충족하는 사용자로 Azure Databricks 작업 영역에 로그인합니다.

  3. 카탈로그 아이콘 카탈로그를 클릭합니다.

  4. 빠른 액세스 페이지에서 외부 데이터 > 단추를 클릭하고 자격 증명 탭으로 이동하여 자격 증명 만들기를 선택합니다.

  5. 서비스 자격 증명을 선택합니다.

  6. 자격 증명 이름, 선택적 주석 및 액세스 커넥터의 리소스 ID를 형식으로 입력합니다.

    /subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.Databricks/accessConnectors/<connector-name>

  7. (선택 사항) 사용자 할당 관리 ID를 사용하여 액세스 커넥터를 만든 경우 사용자 할당 관리 ID 필드에 관리 ID 의 리소스 ID 를 형식으로 입력합니다.

    /subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<managed-identity-name>

  8. 만들기를 클릭합니다.

  9. 서비스 자격 증명 생성 대화 상자에서 외부 ID를 복사합니다.

    서비스 자격 증명 세부 정보 페이지에서 언제든지 외부 ID를 볼 수도 있습니다.

  10. 완료를 클릭합니다.

(선택 사항) 특정 작업 영역에 서비스 자격 증명 할당

Important

이 기능은 공개 미리 보기 상태입니다.

기본적으로 메타스토어의 모든 작업 영역에서 서비스 자격 증명에 액세스할 수 있습니다. 즉, 사용자에게 해당 서비스 자격 증명에 대한 권한이 부여된 경우 metastore에 연결된 모든 작업 영역에서 해당 권한을 행사할 수 있습니다. 작업 영역을 사용하여 사용자 데이터 액세스를 격리하는 경우 특정 작업 영역에서만 서비스 자격 증명에 대한 액세스를 허용할 수 있습니다. 이 기능을 작업 영역 바인딩 또는 서비스 자격 증명 격리라고 합니다.

서비스 자격 증명을 특정 작업 영역에 바인딩하는 일반적인 사용 사례는 클라우드 관리자가 프로덕션 클라우드 계정 자격 증명을 사용하여 서비스 자격 증명을 구성하고 Azure Databricks 사용자가 이 자격 증명을 사용하여 프로덕션 작업 영역에서만 외부 클라우드 서비스에 액세스하도록 하는 시나리오입니다.

작업 영역 바인딩에 대한 자세한 내용은 (선택 사항) 특정 작업 영역에 스토리지 자격 증명 할당 및 특정 작업 영역에 대한 카탈로그 액세스 제한을 참조하세요.

하나 이상의 작업 영역에 서비스 자격 증명 바인딩

특정 작업 영역에 서비스 자격 증명을 할당하려면 카탈로그 탐색기를 사용합니다.

필요한 권한: Metastore 관리자 또는 서비스 자격 증명 소유자입니다.

참고 항목

Metastore 관리자는 카탈로그 탐색기를 사용하여 메타스토어의 모든 서비스 자격 증명을 볼 수 있으며 서비스 자격 증명 소유자는 서비스 자격 증명이 현재 작업 영역에 할당되었는지 여부에 관계없이 메타스토어에서 소유한 모든 서비스 자격 증명을 볼 수 있습니다. 작업 영역에 할당되지 않은 서비스 자격 증명이 회색으로 표시됩니다.

  1. 메타스토어에 연결된 작업 영역에 로그인합니다.

  2. 사이드바에서 카탈로그를 클릭합니다 카탈로그 아이콘 .

  3. 빠른 액세스 페이지에서 외부 데이터 >단추를 클릭하고 자격 증명 탭으로 이동합니다.

  4. 서비스 자격 증명을 선택하고 작업 영역 탭으로 이동합니다.

  5. 작업 영역 탭에서 모든 작업 영역에 액세스 권한이 있는지 확인란의 선택을 취소 합니다.

    서비스 자격 증명이 하나 이상의 작업 영역에 이미 바인딩된 경우 이 확인란은 이미 선택 취소되어 있습니다.

  6. 작업 영역에 할당을 클릭하고 할당할 작업 영역을 입력하거나 찾습니다.

액세스 권한을 취소하려면 작업 영역 탭으로 이동하여 작업 영역을 선택하고 해지(Revoke)를 클릭합니다. 모든 작업 영역에서 액세스를 허용하려면 모든 작업 영역에 액세스 권한이 있는지 확인란을 선택합니다.

다음 단계

  • 서비스 자격 증명을 사용할 수 있는 권한을 다른 사용자에게 보고, 업데이트하고, 삭제하고, 부여하는 방법을 알아봅니다. 서비스 자격 증명 관리를 참조하세요.
  • 코드에서 서비스 자격 증명을 사용하는 방법을 알아봅니다. Unity 카탈로그 서비스 자격 증명을 사용하여 외부 클라우드 서비스에 연결하는 방법을 참조 하세요.

제한 사항

다음과 같은 제한 사항이 적용됩니다.

  • Databricks Runtime 15.4 LTS에는 Python 지원만 포함됩니다.
  • SQL 웨어하우스는 지원되지 않습니다.
  • 서비스 자격 증명에 대해 수행된 작업에 대한 일부 감사 이벤트가 테이블에 표시되지 system.access.audit 않습니다. 서비스 자격 증명을 생성, 삭제, 업데이트, 읽기, 나열 또는 사용한 사용자에 대한 감사 정보를 사용할 수 있습니다. 감사 로그 시스템 테이블 참조를 참조하세요.
  • 서비스 자격 증명 미리 보기 INFORMATION_SCHEMA.STORAGE_CREDENTIALS 중에는 스토리지 자격 증명과 서비스 자격 증명이 모두 표시되고 INFORMATION_SCHEMA.STORAGE_CREDENTIAL_PRIVILEGES (사용되지 않음) 스토리지 자격 증명과 서비스 자격 증명에 모두 적용되는 권한이 표시됩니다. 이는 수정될 잘못된 미리 보기 동작이며 계속하기 위해 이 동작에 의존해서는 안 됩니다. 대신 스토리지 및 INFORMATION_SCHEMA.CREDENTIAL_PRIVILEGES 서비스 자격 증명을 모두 사용해야 INFORMATION_SCHEMA.CREDENTIALS 합니다.