Gerenciar credenciais de armazenamento
Este artigo descreve como listar, ver, atualizar, conceder permissões para credenciais de armazenamento e excluí-las.
A Databricks recomenda que você conceda apenas CREATE EXTERNAL LOCATION e nenhum outro privilégio nas credenciais de armazenamento.
Este artigo descreve como gerenciar credenciais de armazenamento usando comandos SQL e do Explorador de Catálogos. Para obter informações sobre como, alternativamente, usar a CLI ou o Terraform do Databricks, confira a Documentação do Terraform no Databricks e O que é a CLI do Databricks?
Listar credenciais de armazenamento
Para exibir a lista de todas as credenciais de armazenamento em um metastore, você pode usar o Explorador do Catálogo ou um comando SQL.
Explorador do Catálogo
- Na barra lateral, clique em
Catálogo. - Na página Acesso rápido, clique no botão Dados externos >e vá para a guia Credenciais.
- Classifique as credenciais por Finalidade (ARMAZENAMENTO ou SERVIÇO).
SQL
Execute o comando a seguir em um bloco de anotações ou no editor de SQL do Databricks.
SHOW STORAGE CREDENTIALS;
Exibir uma credencial de armazenamento
Para exibir as propriedades de uma credencial de armazenamento, você pode usar o Explorador do Catálogo ou um comando SQL.
Explorador do Catálogo
- Na barra lateral, clique em Catálogo.
- Na página Acesso rápido, clique no botão Dados externos >e vá para a guia Credenciais.
- Clique no nome de uma credencial de armazenamento para ver suas propriedades.
SQL
Execute o comando a seguir em um bloco de anotações ou no editor de SQL do Databricks. Substitua <credential-name> pelo nome da credencial.
DESCRIBE STORAGE CREDENTIAL <credential-name>;
Mostrar as concessões em uma credencial de armazenamento
Para mostrar as concessões em uma credencial de armazenamento, use um comando semelhante ao seguinte. Opcionalmente, você pode filtrar os resultados para mostrar apenas as concessões da entidade de segurança especificada.
SHOW GRANTS [<principal>] ON STORAGE CREDENTIAL <storage-credential-name>;
Substitua os valores de espaço reservado:
<principal>: o endereço de email do usuário de nível de conta ou o nome do grupo de nível de conta ao qual conceder a permissão.<storage-credential-name>: o nome de uma credencial de armazenamento.
Observação
Se um grupo ou nome de usuário contiver um espaço ou @ símbolo, use acentos graves ao redor dele (não apóstrofos). Por exemplo, equipe financeira.
Conceder permissões para criar locais externos
Para conceder a permissão para criar um local externo usando uma credencial de armazenamento, execute as seguintes etapas:
Explorador do Catálogo
- Na barra lateral, clique em Catálogo.
- Na página Acesso rápido, clique no botão Dados externos >e vá para a guia Credenciais.
- Clique no nome de uma credencial de armazenamento para abrir a página de detalhes.
- Clique em Permissões.
- Para conceder permissões a usuários ou grupos, selecione cada identidade e clique em Conceder.
- Para revogar permissões de usuários ou grupos, selecione cada identidade e clique em Revogar.
SQL
Execute o comando a seguir em um notebook ou no editor de SQL do Databricks:
GRANT CREATE EXTERNAL LOCATION ON STORAGE CREDENTIAL <storage-credential-name> TO <principal>;
Substitua os valores de espaço reservado:
<principal>: o endereço de email do usuário de nível de conta ou o nome do grupo de nível de conta ao qual conceder a permissão.<storage-credential-name>: o nome de uma credencial de armazenamento.
Observação
Se um grupo ou nome de usuário contiver um espaço ou @ símbolo, use acentos graves ao redor dele (não apóstrofos). Por exemplo, equipe financeira.
Alterar o proprietário de uma credencial de armazenamento
O criador de uma credencial de armazenamento é seu proprietário inicial. Para alterar o proprietário para um usuário ou grupo de nível de conta diferente, você pode usar o Explorador de Catálogos ou um comando SQL.
Explorador do Catálogo
- Na barra lateral, clique em Catálogo.
- Na página Acesso rápido, clique no botão Dados externos >e vá para a guia Credenciais.
- Clique no nome de uma credencial de armazenamento para abrir a caixa de diálogo de edição.
- Clique em
ao lado de Proprietário. - Digite para pesquisar uma entidade de segurança e selecioná-la.
- Clique em Save (Salvar).
SQL
Execute o comando a seguir em um bloco de anotações ou no editor de SQL do Databricks. Substitua os valores de espaço reservado:
<credential-name>: o nome da credencial.<principal>: o endereço de email de um usuário de nível de conta ou o nome de um grupo de nível de conta.
ALTER STORAGE CREDENTIAL <credential-name> OWNER TO <principal>;
Marcar uma credencial de armazenamento como somente leitura
Se quiser que os usuários tenham acesso somente leitura a todos os dados gerenciados por uma credencial de armazenamento, use o Catalog Explorer para marcar a credencial de armazenamento como somente leitura.
Tornar as credenciais de armazenamento somente leitura significa que qualquer armazenamento configurado com essas credenciais será somente leitura.
Você pode marcar as credenciais de armazenamento como somente leitura quando criá-las.
Você também pode usar o Catalog Explorer para alterar o status somente leitura depois de criar uma credencial de armazenamento:
- No Catalog Explorer, localize a credencial de armazenamento, clique no menu de três linhas horizontais
na linha do objeto e selecione Editar. - Na caixa de diálogo de edição, selecione a opção Somente leitura.
Renomear uma credencial de armazenamento
Para renomear uma credencial de armazenamento, você pode usar o Explorador do Catálogo ou um comando SQL.
Explorador do Catálogo
- Na barra lateral, clique em Catálogo.
- Na página Acesso rápido, clique no botão Dados externos >e vá para a guia Credenciais.
- Clique no nome de uma credencial de armazenamento para abrir a caixa de diálogo de edição.
- Renomeie a credencial de armazenamento e salve-a.
SQL
Execute o comando a seguir em um bloco de anotações ou no editor de SQL do Databricks. Substitua os valores de espaço reservado:
<credential-name>: o nome da credencial.<new-credential-name>: Um novo nome para a credencial.
ALTER STORAGE CREDENTIAL <credential-name> RENAME TO <new-credential-name>;
Excluir uma credencial de armazenamento
Para excluir (remover) uma credencial de armazenamento, você deve ser o proprietário. Para excluir uma credencial de armazenamento, você pode usar o Explorador do Catálogo ou um comando SQL.
Explorador do Catálogo
- Na barra lateral, clique em Catálogo.
- Na página Acesso rápido, clique no botão Dados externos >e vá para a guia Credenciais.
- Clique no nome de uma credencial de armazenamento para abrir a caixa de diálogo de edição.
- Clique no botão Excluir .
SQL
Execute o comando a seguir em um bloco de anotações ou no editor de SQL do Databricks. Substitua <credential-name> pelo nome da credencial. Os trechos do comando que estão entre colchetes são opcionais. Por padrão, se a credencial estiver sendo usada em um local externo, ela não será excluída. Substitua <credential-name> pelo nome da credencial.
IF EXISTS não retornará um erro se a credencial não existir.
DROP STORAGE CREDENTIAL [IF EXISTS] <credential-name>;