Comparteix via

Uso de identidades administradas de Azure con Azure Databricks

En esta página se muestra cómo configurar y usar la autenticación de identidades administradas de Azure para automatizar las cuentas y áreas de trabajo de Azure Databricks.

Azure administra automáticamente las identidades de Microsoft Entra ID para que las aplicaciones se autentiquen con recursos que admiten la autenticación de Identificador de Entra de Microsoft, incluidas las cuentas y áreas de trabajo de Azure Databricks. Este método de autenticación obtiene identificadores de Microsoft Entra ID sin necesidad de que gestiones credenciales.

En esta página se explica cómo crear una identidad administrada asignada por el usuario y asignarla a la cuenta de Azure Databricks, el área de trabajo y la máquina virtual de Azure (VM de Azure). A continuación, instale y configure la CLI de Databricks en la máquina virtual de Azure para usar la autenticación de identidades administradas de Azure y ejecutar comandos para automatizar la cuenta y el área de trabajo de Azure Databricks.

Nota:

Las identidades administradas de los recursos de Azure son diferentes de las entidades de servicio administradas de Microsoft Entra ID, que Azure Databricks también admite para la autenticación. Para obtener información sobre cómo usar las entidades de servicio administradas de Microsoft Entra ID para la autenticación de Azure Databricks en su lugar, consulte:

Requisitos

Paso 1: Crear una identidad administrada asignada por el usuario

Cree una identidad administrada asignada por el usuario para los recursos de Azure. Azure admite identidades administradas asignadas por el sistema y asignadas por el usuario. Databricks recomienda usar identidades administradas asignadas por el usuario para la autenticación de identidades administradas de Azure con Azure Databricks.

Para crear una identidad administrada asignada por el usuario, siga las instrucciones de Administración de identidades administradas asignadas por el usuario mediante Azure Portal.

Después de crear la identidad administrada, copie el valor de Id. de cliente de la página de información general de la identidad administrada. Necesitará este valor en los pasos 2, 3 y 7.

Paso 2: Asignación de la identidad administrada a su cuenta

Asigne la identidad administrada a su cuenta de Azure Databricks. Databricks trata las identidades administradas como entidades de servicio. Si no necesita acceso a nivel de cuenta, salte al paso 3.

Siga las instrucciones en Agregar service principals a su cuenta. Elija Microsoft Entra ID administrado y pegue el ID de cliente del Paso 1 como ID de aplicación para Microsoft Entra.

Paso 3: Asignación de la identidad administrada al área de trabajo

Asigne la identidad administrada al área de trabajo de Azure Databricks. Databricks trata las identidades administradas como entidades de servicio. Siga las instrucciones en Asignar un principal de servicio a un espacio de trabajo.

Al agregar la entidad de servicio:

  • Si el área de trabajo está habilitada para la federación de identidades: Seleccione el principal de servicio que creó en el paso 2.
  • Si el área de trabajo no está habilitada para la federación de identidades: use el identificador de cliente del paso 1 como ApplicationId.

Paso 4: Obtención del identificador de recurso de Azure para el área de trabajo

Obtenga el identificador de recurso que Azure asigna al área de trabajo de Azure Databricks. Necesitará este valor en el paso 7.

  1. En el área de trabajo de Azure Databricks, haga clic en el nombre de usuario en la barra superior y en Azure Portal.

  2. En el panel lateral, en la sección Configuración, haga clic en Propiedades.

  3. En la sección Essentials , copie el valor id . Debería tener un aspecto similar al siguiente:

    /subscriptions/<subscription-id>/resourceGroups/<resource-group-id>/providers/Microsoft.Databricks/workspaces/<workspace-id>

Paso 5: Creación e inicio de sesión en una máquina virtual de Azure

Las máquinas virtuales de Azure son uno de los tipos de recursos que admiten identidades administradas. Usará esta máquina virtual para ejecutar la CLI de Databricks con autenticación de identidades administradas.

Nota:

Esta máquina virtual de Azure solo tiene fines de demostración y usa la configuración que no está optimizada para su uso en producción.

Para crear y conectarse a una máquina virtual Ubuntu Server mediante la autenticación SSH, siga las instrucciones de Inicio rápido: Creación de una máquina virtual Linux en Azure Portal.

Al crear la máquina virtual:

  • Use Ubuntu Server 22.04 LTS como imagen.
  • Seleccione Clave pública SSH como tipo de autenticación.
  • Tenga en cuenta la ubicación del archivo de clave privada descargado (.pem) y la dirección IP pública de la máquina virtual, ya que los necesitará para conectarse a la máquina virtual.

Paso 6: Asignación de la identidad administrada a la máquina virtual de Azure

Asocie la identidad administrada a la máquina virtual de Azure para que Azure pueda usarla para la autenticación. Consulte Asignación de una identidad administrada asignada por el usuario a una máquina virtual existente.

  1. En Azure Portal, vaya a la página de configuración de la máquina virtual de Azure y haga clic en Identidad en la sección Configuración .
  2. En la pestaña Usuario asignado, haga clic en + Agregar.
  3. Seleccione la identidad administrada que creó en el paso 1 y haga clic en Agregar.

Paso 7: Configuración de la autenticación

Instale y configure la CLI de Databricks en la máquina virtual de Azure para usar la autenticación de identidades administradas de Azure.

Instalación de la CLI

Desde la sesión ssh en la máquina virtual de Azure, instale la CLI de Databricks:

sudo apt install unzip
curl -fsSL https://raw.githubusercontent.com/databricks/setup-cli/main/install.sh | sudo sh

Compruebe la instalación:

databricks -v

Agregar perfiles de configuración

Cree o edite el .databrickscfg archivo en el directorio principal (~/.databrickscfg) con el siguiente contenido. Consulte Perfiles de configuración de Azure Databricks.

Reemplace los siguientes valores:

  • <account-console-url> con la dirección URL de la consola de la cuenta de Azure Databricks.
  • <account-id> con el ID de cuenta de Azure Databricks. Consulte Localiza tu ID de cuenta.
  • <azure-managed-identity-application-id> con el valor ID de cliente de la identidad administrada del Paso 1.
  • <workspace-url> con la URL por espacio de trabajo, por ejemplo https://adb-1234567890123456.7.azuredatabricks.net.
  • <azure-workspace-resource-id> con el identificador de recurso de Azure del paso 4.
  • Opcionalmente, reemplace los nombres AZURE_MI_ACCOUNT de perfil de configuración sugeridos y AZURE_MI_WORKSPACE por nombres diferentes.

Si no necesita operaciones de nivel de cuenta, omita la [AZURE_MI_ACCOUNT] sección .

[AZURE_MI_ACCOUNT]
host            = <account-console-url>
account_id      = <account-id>
azure_client_id = <azure-managed-identity-application-id>
azure_use_msi   = true

[AZURE_MI_WORKSPACE]
host                        = <workspace-url>
azure_workspace_resource_id = <azure-workspace-resource-id>
azure_client_id             = <azure-managed-identity-application-id>
azure_use_msi               = true

Paso 8: Probar la configuración

Pruebe la configuración mediante la ejecución de comandos de la CLI de Databricks desde la sesión ssh en la máquina virtual de Azure.

Para probar el acceso de nivel de cuenta (si lo configuró en el paso 7):

databricks account users list -p AZURE_MI_ACCOUNT

Para probar el acceso a nivel de espacio de trabajo:

databricks users list -p AZURE_MI_WORKSPACE

Si cambió el nombre de los perfiles de configuración en el paso 7, reemplace AZURE_MI_ACCOUNT o AZURE_MI_WORKSPACE por los nombres personalizados.

  • Last updated on