Ověření pro Databricks CLI

Poznámka:

Tyto informace platí pro Databricks CLI verze 0.205 a vyšší. Rozhraní příkazového řádku Databricks je ve verzi Public Preview.

Použití rozhraní příkazového řádku Databricks podléhá licenci Databricks a oznámení o ochraně osobních údajů Databricks, včetně všech ustanovení o využití.

Tento článek vysvětluje, jak nastavit ověřování mezi Rozhraním příkazového řádku Databricks a vašimi účty a pracovními prostory Azure Databricks. Předpokládá se, že jste už nainstalovali Databricks CLI. Viz Instalace nebo aktualizace rozhraní příkazového řádku Databricks.

Před spuštěním příkazů Rozhraní příkazového řádku Databricks musíte nakonfigurovat ověřování pro účty nebo pracovní prostory, které chcete použít. Požadované nastavení závisí na tom, jestli chcete spouštět příkazy na úrovni pracovního prostoru , příkazy na úrovni účtu nebo obojí.

Pokud chcete zobrazit dostupné skupiny příkazů rozhraní příkazového řádku, spusťte databricks -hpříkaz . Seznam odpovídajících operací rozhraní REST API najdete v tématu Databricks REST API.

Informace o ověřování Microsoft Entra pro Databricks s Azure DevOps najdete v tématu Ověřování s Azure DevOps na Azure Databricks.

OAuth autentizace stroj-stroj (M2M)

Ověřování M2M (Machine-to-Machine) pomocí OAuth umožňuje službám, skriptům nebo aplikacím přístup k prostředkům Databricks bez interaktivního přihlašování uživatelů. Místo toho, abyste se museli spoléhat na osobní přístupové tokeny (PAT) nebo přihlašovací údaje uživatele, ověřování M2M používá instanční objekt a tok přihlašovacích údajů klienta OAuth k vyžádání a správě tokenů.

Konfigurace a použití ověřování OAuth M2M:

1. Dokončete kroky nastavení ověřování OAuth M2M. Viz Autorizace přístupu instančního objektu k Azure Databricks pomocí OAuth.

2. Vytvořte profil konfigurace Azure Databricks s následujícími poli v souboru .databrickscfg.

   Příkazy na úrovni účtu

   [<some-unique-configuration-profile-name>]
   host          = <account-console-url>
   account_id    = <account-id>
   client_id     = <service-principal-client-id>
   client_secret = <service-principal-oauth-secret>
   

   Příkazy na úrovni pracovního prostoru

   [<some-unique-configuration-profile-name>]
   host          = <workspace-url>
   client_id     = <service-principal-client-id>
   client_secret = <service-principal-oauth-secret>
   

Pro použití profilu ho předejte pomocí příznaku --profile nebo -p v příkazech CLI. Příklad:

databricks account groups list -p <profile-name>

Po stisknutí klávesy Tab --profile nebo -p zobrazte seznam dostupných profilů.

OAuth autentizace uživatele vůči stroji (U2M)

S ověřováním U2M (user-to-machine) OAuth se přihlašujete interaktivně a rozhraní příkazového řádku spravuje krátkodobé tokeny vaším jménem. Platnost tokenů OAuth vyprší za hodinu, což snižuje riziko, pokud je token náhodně vystavený. Viz Vytváření přístupu uživatelů k Azure Databricks pomocí OAuth.

Přihlášení:

Příkazy na úrovni účtu

databricks auth login --host <account-console-url> --account-id <account-id>

Příkazy na úrovni pracovního prostoru

databricks auth login --host <workspace-url>

CLI vás provede tokem přihlášení v prohlížeči. Po dokončení rozhraní příkazového řádku uloží přihlašovací údaje jako konfigurační profil. Můžete přijmout navrhovaný název profilu nebo zadat vlastní.

Pro použití profilu ho předejte pomocí příznaku --profile nebo -p v příkazech CLI. Příklad:

databricks clusters list -p <profile-name>

Po stisknutí klávesy Tab --profile nebo -p zobrazte seznam dostupných profilů.

ověřování spravovaných identit Azure

Azure spravované identity autentizace používá spravované identity pro prostředky Azure (dříve Identity spravované služby (MSI)). Viz Co jsou spravované identity pro prostředky Azure?. Viz také Ověřování pomocí spravovaných identit Azure.

Pokud chcete vytvořit Azure spravovanou identitu přiřazenou uživatelem, postupujte takto:

1. Vytvořte nebo identifikujte virtuální počítač Azure a nainstalujte na něj rozhraní příkazového řádku Databricks, pak přiřaďte spravovanou identitu k virtuálnímu počítači Azure a cílovému Azure Databricks účtům, pracovním prostorům nebo obojímu. Viz Použití spravovaných identit Azure pomocí Azure Databricks.

2. Na virtuálním počítači Azure vytvořte nebo identifikujte profil konfigurace Azure Databricks s následujícími poli v souboru .databrickscfg. Pokud vytvoříte profil, nahraďte zástupné symboly příslušnými hodnotami.

   U příkazů na úrovni účtu nastavte v .databrickscfg souboru následující hodnoty:

   [<some-unique-configuration-profile-name>]
   host            = <account-console-url>
   account_id      = <account-id>
   azure_client_id = <azure-managed-identity-application-id>
   azure_use_msi   = true
   

   U příkazů na úrovni pracovního prostoru nastavte v souboru .databrickscfg následující hodnoty:

   [<some-unique-configuration-profile-name>]
   host            = <workspace-url>
   azure_client_id = <azure-managed-identity-application-id>
   azure_use_msi   = true
   

   Databricks doporučuje používat host a explicitně přiřazovat identitu k pracovnímu prostoru. Alternativně použijte azure_workspace_resource_id spolu s ID prostředku Azure. Tento přístup vyžaduje oprávnění přispěvatele nebo vlastníka prostředku Azure nebo vlastní roli s konkrétními oprávněními Azure Databricks.

3. Na virtuálním počítači Azure použijte rozhraní příkazového řádku Databricks --profile nebo -p a název konfiguračního profilu k nastavení profilu pro Databricks, který se má použít, například databricks account groups list -p <configuration-profile-name> nebo databricks clusters list -p <configuration-profile-name>.

   Návod

   Po Tab nebo --profile můžete stisknout -p a zobrazit seznam existujících dostupných konfiguračních profilů, ze které si můžete vybrat, a nemusíte zadávat název konfiguračního profilu ručně.

ověřování instančního objektu Microsoft Entra ID

Ověřování pomocí služebního principálu Microsoft Entra ID používá k autentizaci přihlašovací údaje služebního principálu Microsoft Entra ID. Pokud chcete vytvořit a spravovat instanční objekty pro Azure Databricks, přečtěte si téma Služné objekty. Viz také Ověření pomocí služební identity Microsoft Entra.

Pokud chcete nakonfigurovat a používat ověřování služebního principu Microsoft Entra ID, musíte mít místně nainstalovaný Azure CLI pro ověření. Musíte také provést následující:

1. Vytvořte nebo identifikujte profil konfigurace Azure Databricks s následujícími poli v souboru .databrickscfg. Pokud vytvoříte profil, nahraďte zástupné symboly příslušnými hodnotami.

   U příkazů na úrovni účtu nastavte v .databrickscfg souboru následující hodnoty:

   [<some-unique-configuration-profile-name>]
   host                = <account-console-url>
   account_id          = <account-id>
   azure_tenant_id     = <azure-service-principal-tenant-id>
   azure_client_id     = <azure-service-principal-application-id>
   azure_client_secret = <azure-service-principal-client-secret>
   

   U příkazů na úrovni pracovního prostoru nastavte v souboru .databrickscfg následující hodnoty:

   [<some-unique-configuration-profile-name>]
   host                = <workspace-url>
   azure_tenant_id     = <azure-service-principal-tenant-id>
   azure_client_id     = <azure-service-principal-application-id>
   azure_client_secret = <azure-service-principal-client-secret>
   

   Databricks doporučuje použít host a explicitně přiřadit instanční objekt Microsoft Entra ID pracovnímu prostoru. Alternativně použijte azure_workspace_resource_id spolu s ID prostředku Azure. Tento přístup vyžaduje oprávnění přispěvatele nebo vlastníka prostředku Azure nebo vlastní roli s konkrétními oprávněními Azure Databricks.

2. Použijte možnost --profile nebo -p z příkazového řádku Databricks, následovanou názvem vašeho konfiguračního profilu, jako součást volání příkazu Rozhraní příkazového řádku Databricks, například databricks account groups list -p <configuration-profile-name> nebo databricks clusters list -p <configuration-profile-name>.

   Návod

   Po Tab nebo --profile můžete stisknout -p a zobrazit seznam existujících dostupných konfiguračních profilů, ze které si můžete vybrat, a nemusíte zadávat název konfiguračního profilu ručně.

ověřování Azure CLI

Ověřování pomocí Azure CLI využívá Azure CLI k autentizaci přihlášené entity. Viz také Authenticate s Azure CLI.

Pokud chcete nakonfigurovat ověřování Azure CLI, musíte udělat toto:

1. Místně nainstalujte Azure CLI.

2. Pomocí Azure CLI se přihlaste k Azure Databricks spuštěním příkazu az login. Viz Sign in with the Azure CLI.

3. Vytvořte nebo identifikujte profil konfigurace Azure Databricks s následujícími poli v souboru .databrickscfg. Pokud vytvoříte profil, nahraďte zástupné symboly příslušnými hodnotami.

   U příkazů na úrovni účtu nastavte v .databrickscfg souboru následující hodnoty:

   [<some-unique-configuration-profile-name>]
   host       = <account-console-url>
   account_id = <account-id>
   

   U příkazů na úrovni pracovního prostoru nastavte v souboru .databrickscfg následující hodnoty:

   [<some-unique-configuration-profile-name>]
   host = <workspace-url>
   

4. Použijte možnost --profile nebo -p z příkazového řádku Databricks, následovanou názvem vašeho konfiguračního profilu, jako součást volání příkazu Rozhraní příkazového řádku Databricks, například databricks account groups list -p <configuration-profile-name> nebo databricks clusters list -p <configuration-profile-name>.

   Návod

   Po Tab nebo --profile můžete stisknout -p a zobrazit seznam existujících dostupných konfiguračních profilů, ze které si můžete vybrat, a nemusíte zadávat název konfiguračního profilu ručně.

Pořadí vyhodnocení autentizace

Pokaždé, když se rozhraní příkazového řádku Databricks ověří v pracovním prostoru nebo účtu Azure Databricks, vyhledá požadovaná nastavení v následujícím pořadí:

1. Konfigurační soubory svazku, pro příkazy spouštěné z pracovního adresáře svazku. Soubory nastavení sady nemohou přímo obsahovat hodnoty přihlašovacích údajů.
2. Proměnné prostředí, jak je uvedeno v tomto článku a v proměnných prostředí a polích pro jednotné ověřování.
3. Konfigurační profily v .databrickscfg souboru.

Jakmile rozhraní příkazového řádku najde požadované nastavení, přestane prohledávat jiná umístění.

Examples:

• Pokud je nastavená proměnná DATABRICKS_TOKEN prostředí, rozhraní příkazového řádku ho použije, i když v .databrickscfgněm existuje více tokenů.
• Pokud není nastavena žádná hodnota DATABRICKS_TOKEN a prostředí balíčku odkazuje na název profilu, například dev → profil DEV, použije CLI přihlašovací údaje z tohoto profilu v .databrickscfg.
• Pokud není nastaven žádný DATABRICKS_TOKEN, a prostředí balíčku určuje hodnotu host, rozhraní příkazového řádku vyhledá profil ve .databrickscfg s odpovídajícím host a použije jeho token.

Ověřování osobního přístupového tokenu (starší verze)

Důležité

Pokud je to možné, Azure Databricks doporučuje místo osobních přístupových tokenů (PATs) používat OAuth pro ověřování uživatelských účtů, protože OAuth poskytuje silnější zabezpečení. Zvažte následující metody ověřování:

• Ověřování M2M (machine-to-machine) OAuth
• Ověřování OAuth mezi uživatelem a strojem (U2M)
• ověřování spravovaných identit Azure
• Microsoft Entra ID ověřování instančního objektu
• Ověřování „Azure CLI“

Ověření pomocí osobního přístupového tokenu Azure Databricks používá osobní přístupový token Azure Databricks k ověření cílového subjektu, jako je uživatelský účet Azure Databricks. Vizte Autentizace s Azure Databricks osobními přístupovými tokeny (starší verze).

Chcete-li vytvořit osobní token pro přístup, postupujte podle pokynů v tématu Vytváření osobních tokenů pro uživatele pracovního prostoru.