サービスプリンシパルとMicrosoft Entra ID ( Azure Active Directory ) を使用してストレージにアクセスする

Microsoft Entra ID を使用してアプリケーションを登録すると、 Azure storage アカウントへのアクセスを提供するために使用できるサービス プリンシパルが作成されます。

その後、 シークレットと共に保存された資格情報を使用して、これらのサービスプリンシパルへのアクセスを構成できます。 Databricks では Microsoft クラスターまたはウェアハウスをスコープとする Entra ID サービスプリンシパルを使用して、データ アクセスを構成する SQLことをお勧めします。 「Azure Data Lake Storage Gen2 と Blob Storage に接続する」と「データ アクセス構成を有効にする」を参照してください。

Microsoft Entra ID アプリケーションを登録する

登録する Microsoft Entra ID (旧称 Azure Active Directory) アプリケーション を作成し、適切なアクセス許可を割り当てると、Azure Data Lake Storage Gen2 または Blob Storage リソースにアクセスできるサービス プリンシパルが作成されます。

Microsoft Entra ID アプリケーションを登録するには、Microsoft Entra ID の Application Administrator ロールまたは Application.ReadWrite.All 権限が必要です。

1. Azure portal で、 Microsoft Entra ID サービスに移動します。

2. [管理] で [アプリの登録] をクリックします。

3. [ + 新規登録] をクリックします。 アプリケーションの名前を入力し、[ 登録する] をクリックします。

4. [ Certificates & Secrets] をクリックします。

5. 「+ 新しいクライアントのシークレット」をクリックします。

6. シークレットの説明を追加し、「 追加」をクリックします。

7. 新しいシークレットの値をコピーして保存します。

8. アプリケーション登録の概要で、 アプリケーション (クライアント ) ID と ディレクトリ (テナント) ID をコピーして保存します。

ロールの割り当て

ストレージ リソースへのアクセスを制御するには、ストレージ アカウントに関連付けられている Microsoft Entra ID アプリケーション登録にロールを割り当てます。 特定の要件に応じて、他のロールを割り当てる必要がある場合があります。

ストレージ アカウントにロールを割り当てるには、ストレージ アカウントに対する所有者またはユーザー アクセス管理者の Azure RBAC ロールが必要です。

1. Azure portal で、 ストレージ アカウント サービスに移動します。

2. このアプリケーションの登録で使用する Azure ストレージ アカウントを選択します。

3. 「 アクセス制御 (IAM)」をクリックします。

4. [ + 追加 ] をクリックし、ドロップダウン メニューから [ ロールの割り当てを追加 ] を選択します。

5. [ 選択 ] フィールドを Microsoft Entra ID アプリケーション名に設定し、 [ ロール ] を [ストレージ BLOB データ共同作成者] に設定します。

6. [保存]をクリックします。