簡化數據訪問湖Azure的廣告憑據透傳

2019年10月24日在合作夥伴

分享這篇文章

Azure磚彙集了最好的Apache火花,三角洲湖,Azure雲。親密的夥伴關係提供了與Azure服務集成,包括Azure的基於雲的基於角色的訪問控製,Azure Active Directory (AAD)Azure的雲存儲Azure湖數據存儲(ADLS)。

即使有了這些緊密集成,數據訪問控製繼續證明我們的用戶麵臨的挑戰。beplay体育app下载地址客戶想要控製哪些用戶可以訪問哪些數據和審計誰正在訪問什麼。他們想要一個簡單的解決方案,與現有的集成控製。Azure廣告憑據透傳是我們解決這些請求。

得到的早期預覽O ' reilly的新電子書一步一步的指導你需要開始使用三角洲湖。

Azure數據存儲Gen2湖

Azure數據存儲(ADLS)代湖今年早些時候發布的,迅速成為在Azure的標準數據存儲分析消費。ADLS Gen2使分層文件係統擴展Azure Blob存儲功能,並提供增強可管理性、安全性和性能。

分層文件係統為ADLS Gen2提供細粒度的訪問控製。基於角色的訪問控製(RBAC)可以用來給予頂級角色分配資源和POSIX兼容嗎訪問控製列表(acl)細粒度權限的文件夾和文件允許的水平。這些特性允許用戶安全地訪問他們的數據Azure磚使用Azure Blob文件係統(沛富)司機,為磚運行時。

即使沛富司機在磚本地運行時,消費者仍然發現很難從一個訪問ADLS Azure磚集群以安全的方式。beplay体育app下载地址訪問ADLS從磚的主要方法是使用一個Azure廣告服務主體和OAuth 2.0要麼直接或通過安裝DBFS。雖然這仍然是理想的方式來連接ETL工作,它有一些局限性交互用例:

從一個訪問ADLS Azure磚集群需要由一個服務主體的委托為每個用戶的權限。憑據應該存儲在秘密。這將創建複雜性Azure廣告和Azure磚管理員。
安裝一個文件係統在Azure磚DBFS允許所有用戶工作區訪問安裝ADLS帳戶。這需要客戶設置多個Azurebeplay体育app下载地址磚工作區為不同的角色和訪問控製與存儲帳戶訪問,從而增加複雜性。
當評估ADLS直接或掛載點,用戶在一個磚集群共享相同的身份當訪問資源。這意味著沒有審計跟蹤的用戶訪問數據等進行日誌記錄存儲分析

為了解決這個問題,我們考慮如何擴大無縫的單點登錄集成達到ADLS Azure的廣告。

Azure廣告憑據透傳允許您進行身份驗證無縫湖Azure數據存儲(Gen1和代)從Azure磚集群使用相同的Azure廣告標識用來登錄Azure磚。數據訪問控製通過ADLS角色和acl您已經設置,可以分析在Azure存儲分析。

當你使集群Azure廣告憑據透傳,命令你運行在集群能夠讀和寫你的數據在ADLS而不需要配置服務主體的憑證訪問存儲。為了使用憑證透傳,就啟用新的“Azure數據存儲憑證湖透傳”集群配置。

透傳是可用的高並發性和標準集群。目前,Python和SQL支持高並發性集群,隔離命令由不同的用戶,以確保憑證不能泄露在不同會話。這允許多個用戶共享一個透傳集群和訪問ADLS使用自己的身份。

Python標準集群,SQL, Scala和R都支持和用戶隔離通過限製單個用戶的集群。

Azure廣告透傳允許強大的數據訪問控製為ADLS Gen2支持RBAC和acl。用戶可以授予整個存儲賬戶通過RBAC或一個文件係統使用acl /文件夾/文件。透傳將確保用戶隻能訪問他們的數據曾被授予訪問通過Azure ADLS Gen2廣告。

自透傳標識個人用戶,審核可以通過啟用ADLS日誌記錄通過存儲分析。所有ADLS訪問將被直接綁定到用戶通過OAuth用戶ID存儲分析日誌中。

Azure廣告憑據透傳提供端到端安全從Azure磚Azure湖存儲數據。這個特性提供了無縫的訪問控製你的數據,沒有額外的設置。你可以放心地讓你的分析師、數據科學家,工程師和數據使用的強大的功能磚統一分析平台Beplay体育安卓版本在保持數據安全!

2019年10月24日通過安娜Shrestinian,麥克康奈爾,阿Garg和Navin艾伯特在合作夥伴

Azure磚彙集了最好的Apache火花,三角洲湖,Azure雲。密切的夥伴關係提供了集成與Azure服務……