Ověření pro Databricks CLI

Poznámka:

Tyto informace platí pro Databricks CLI verze 0.205 a vyšší. Rozhraní příkazového řádku Databricks je ve verzi Public Preview.

Použití rozhraní příkazového řádku Databricks podléhá licenci Databricks a oznámení o ochraně osobních údajů Databricks, včetně všech ustanovení o využití.

Tento článek vysvětluje, jak nastavit ověřování mezi azure Databricks CLI a vašimi účty a pracovními prostory Azure Databricks. Předpokládá se, že jste už nainstalovali Rozhraní příkazového řádku Azure Databricks. Viz Instalace nebo aktualizace rozhraní příkazového řádku Databricks.

Před spuštěním příkazů Rozhraní příkazového řádku Azure Databricks musíte nakonfigurovat ověřování pro účty nebo pracovní prostory, které plánujete použít. Požadované nastavení závisí na tom, jestli chcete spouštět příkazy na úrovni pracovního prostoru , příkazy na úrovni účtu nebo obojí.

Pokud chcete zobrazit dostupné skupiny příkazů rozhraní příkazového řádku, spusťte databricks -hpříkaz . Seznam odpovídajících operací rozhraní REST API najdete v tématu Databricks REST API.

Informace o ověřování Microsoft Entra pro Databricks pomocí Azure DevOps najdete v tématu Ověřování pomocí Azure DevOps v Azure Databricks.

OAuth autentizace stroj-stroj (M2M)

Ověřování M2M (Machine-to-Machine) pomocí OAuth umožňuje službám, skriptům nebo aplikacím přístup k prostředkům Databricks bez interaktivního přihlašování uživatelů. Místo toho, abyste se museli spoléhat na osobní přístupové tokeny (PAT) nebo přihlašovací údaje uživatele, ověřování M2M používá instanční objekt a tok přihlašovacích údajů klienta OAuth k vyžádání a správě tokenů.

Konfigurace a použití ověřování OAuth M2M:

1. Dokončete kroky nastavení ověřování OAuth M2M. Viz Autorizace přístupu instančního objektu k Azure Databricks pomocí OAuth.

2. Vytvořte konfigurační profil Azure Databricks s následujícími poli v .databrickscfg souboru.

   Příkazy na úrovni účtu

   [<some-unique-configuration-profile-name>]
   host          = <account-console-url>
   account_id    = <account-id>
   client_id     = <service-principal-client-id>
   client_secret = <service-principal-oauth-secret>
   

   Příkazy na úrovni pracovního prostoru

   [<some-unique-configuration-profile-name>]
   host          = <workspace-url>
   client_id     = <service-principal-client-id>
   client_secret = <service-principal-oauth-secret>
   

Pokud chcete profil použít, předejte ho pomocí příkazu rozhraní příkazového --profile řádku nebo -p příznaku. Příklad:

databricks account groups list -p <profile-name>

Po stisknutí klávesy Tab --profile nebo -p zobrazte seznam dostupných profilů.

OAuth autentizace uživatele vůči stroji (U2M)

S ověřováním U2M (user-to-machine) OAuth se přihlašujete interaktivně a rozhraní příkazového řádku spravuje krátkodobé tokeny vaším jménem. Platnost tokenů OAuth vyprší za hodinu, což snižuje riziko, pokud je token náhodně vystavený. Viz Autorizace přístupu uživatelů k Azure Databricks pomocí OAuth.

Přihlášení:

Příkazy na úrovni účtu

databricks auth login --host <account-console-url> --account-id <account-id>

Příkazy na úrovni pracovního prostoru

databricks auth login --host <workspace-url>

Rozhraní příkazového řádku vás provede tokem přihlášení na základě prohlížeče. Po dokončení rozhraní příkazového řádku uloží přihlašovací údaje jako konfigurační profil. Můžete přijmout navrhovaný název profilu nebo zadat vlastní.

Pokud chcete profil použít, předejte ho pomocí příkazu rozhraní příkazového --profile řádku nebo -p příznaku. Příklad:

databricks clusters list -p <profile-name>

Po stisknutí klávesy Tab --profile nebo -p zobrazte seznam dostupných profilů.

Ověřování spravovaných identit Azure

Ověřování pomocí spravovaných identit Azure využívá spravované identity pro prostředky Azure (dříve nazývané Managed Service Identities (MSI)) k ověřování. Podívejte se na co jsou spravované identity pro prostředky Azure. Viz také ověřování pomocí spravovaných identit Azure.

Pokud chcete vytvořit spravovanou identitu přiřazenou uživatelem Azure, postupujte takto:

1. Vytvořte nebo identifikujte virtuální počítač Azure a nainstalujte na něj rozhraní příkazového řádku Databricks a pak přiřaďte svou spravovanou identitu k virtuálnímu počítači Azure a cílovým účtům, pracovním prostorům nebo oběma účtům Azure Databricks. Viz Použití spravovaných identit Azure s Azure Databricks.

2. Na virtuálním počítači Azure vytvořte nebo identifikujte .databrickscfg Azure Databricks s následujícími poli v souboru. Pokud vytvoříte profil, nahraďte zástupné symboly příslušnými hodnotami.

   U příkazů na úrovni účtu nastavte v .databrickscfg souboru následující hodnoty:

   [<some-unique-configuration-profile-name>]
   host            = <account-console-url>
   account_id      = <account-id>
   azure_client_id = <azure-managed-identity-application-id>
   azure_use_msi   = true
   

   U příkazů na úrovni pracovního prostoru nastavte v souboru .databrickscfg následující hodnoty:

   [<some-unique-configuration-profile-name>]
   host            = <workspace-url>
   azure_client_id = <azure-managed-identity-application-id>
   azure_use_msi   = true
   

   Databricks doporučuje používat host a explicitně přiřazovat identitu k pracovnímu prostoru. Alternativně použijte azure_workspace_resource_id s ID prostředku Azure. Tento přístup vyžaduje oprávnění přispěvatele nebo vlastníka prostředku Azure nebo vlastní roli s konkrétními oprávněními Azure Databricks.

3. Na virtuálním počítači Azure použijte buď příkaz --profile nebo -p pomocí názvu vašeho konfiguračního profilu pro nastavení profilu, který má Databricks použít, například databricks account groups list -p <configuration-profile-name> nebo databricks clusters list -p <configuration-profile-name>.

   Návod

   Po Tab nebo --profile můžete stisknout -p a zobrazit seznam existujících dostupných konfiguračních profilů, ze které si můžete vybrat, a nemusíte zadávat název konfiguračního profilu ručně.

Ověřování hlavního objektu služby Microsoft Entra ID

Ověřování instančního objektu Microsoft Entra ID používá pro ověření přihlašovací údaje instančního objektu Microsoft Entra ID. Informace o vytváření a správě instančních objektů pro Azure Databricks najdete v tématu Instanční objekty. Viz také ověřování pomocí hlavních služeb Microsoft Entra.

Aby bylo možné nakonfigurovat a používat autentizaci instančního objektu služby Microsoft Entra ID, musíte mít místně nainstalovanou autentizaci pomocí Azure CLI. Musíte také provést následující:

1. Vytvořte nebo identifikujte konfigurační profil Azure Databricks s následujícími poli v .databrickscfg souboru. Pokud vytvoříte profil, nahraďte zástupné symboly příslušnými hodnotami.

   U příkazů na úrovni účtu nastavte v .databrickscfg souboru následující hodnoty:

   [<some-unique-configuration-profile-name>]
   host                = <account-console-url>
   account_id          = <account-id>
   azure_tenant_id     = <azure-service-principal-tenant-id>
   azure_client_id     = <azure-service-principal-application-id>
   azure_client_secret = <azure-service-principal-client-secret>
   

   U příkazů na úrovni pracovního prostoru nastavte v souboru .databrickscfg následující hodnoty:

   [<some-unique-configuration-profile-name>]
   host                = <workspace-url>
   azure_tenant_id     = <azure-service-principal-tenant-id>
   azure_client_id     = <azure-service-principal-application-id>
   azure_client_secret = <azure-service-principal-client-secret>
   

   Databricks doporučuje používat host a explicitně přiřazovat instanční objekt Microsoft Entra ID k pracovnímu prostoru. Alternativně použijte azure_workspace_resource_id s ID prostředku Azure. Tento přístup vyžaduje oprávnění přispěvatele nebo vlastníka prostředku Azure nebo vlastní roli s konkrétními oprávněními Azure Databricks.

2. Použijte možnost --profile nebo -p z příkazového řádku Databricks, následovanou názvem vašeho konfiguračního profilu, jako součást volání příkazu Rozhraní příkazového řádku Databricks, například databricks account groups list -p <configuration-profile-name> nebo databricks clusters list -p <configuration-profile-name>.

   Návod

   Po Tab nebo --profile můžete stisknout -p a zobrazit seznam existujících dostupných konfiguračních profilů, ze které si můžete vybrat, a nemusíte zadávat název konfiguračního profilu ručně.

Ověřování Azure CLI

Ověřování Azure CLI používá Azure CLI k ověření přihlášené entity. Viz také ověřování pomocí Azure CLI.

Pokud chcete nakonfigurovat ověřování Azure CLI, musíte udělat toto:

1. Místně nainstalujte Azure CLI .

2. Pomocí Azure CLI se přihlaste k Azure Databricks spuštěním az login příkazu. Viz Přihlášení pomocí Azure CLI.

3. Vytvořte nebo identifikujte konfigurační profil Azure Databricks s následujícími poli v .databrickscfg souboru. Pokud vytvoříte profil, nahraďte zástupné symboly příslušnými hodnotami.

   U příkazů na úrovni účtu nastavte v .databrickscfg souboru následující hodnoty:

   [<some-unique-configuration-profile-name>]
   host       = <account-console-url>
   account_id = <account-id>
   

   U příkazů na úrovni pracovního prostoru nastavte v souboru .databrickscfg následující hodnoty:

   [<some-unique-configuration-profile-name>]
   host = <workspace-url>
   

4. Použijte možnost --profile nebo -p z příkazového řádku Databricks, následovanou názvem vašeho konfiguračního profilu, jako součást volání příkazu Rozhraní příkazového řádku Databricks, například databricks account groups list -p <configuration-profile-name> nebo databricks clusters list -p <configuration-profile-name>.

   Návod

   Po Tab nebo --profile můžete stisknout -p a zobrazit seznam existujících dostupných konfiguračních profilů, ze které si můžete vybrat, a nemusíte zadávat název konfiguračního profilu ručně.

Pořadí vyhodnocení autentizace

Pokaždé, když se Rozhraní příkazového řádku Databricks ověří v pracovním prostoru nebo účtu Azure Databricks, hledá požadovaná nastavení v následujícím pořadí:

1. Soubory nastavení sady prostředků pro příkazy spouštěné z pracovního adresáře sady Soubory nastavení sady nemohou přímo obsahovat hodnoty přihlašovacích údajů.
2. Proměnné prostředí, jak je uvedeno v tomto článku a v proměnných prostředí a polích pro jednotné ověřování.
3. Konfigurační profily v .databrickscfg souboru.

Jakmile rozhraní příkazového řádku najde požadované nastavení, přestane prohledávat jiná umístění.

Examples:

• Pokud je nastavená proměnná DATABRICKS_TOKEN prostředí, rozhraní příkazového řádku ho použije, i když v .databrickscfgněm existuje více tokenů.
• Pokud není nastavena žádná DATABRICKS_TOKEN sada a prostředí sady odkazuje na název profilu, například dev → profil DEV, použije rozhraní příkazového řádku přihlašovací údaje z tohoto profilu v .databrickscfg.
• Pokud není nastavena žádná DATABRICKS_TOKEN sada a prostředí sady určuje host hodnotu, rozhraní příkazového řádku vyhledá profil ve .databrickscfg shodě host a použije jeho token.

Ověřování osobního přístupového tokenu (zastaralé)

Důležité

10. července 2024 bylo dosaženo základního ověřování pomocí uživatelského jména a hesla Azure Databricks. Pokud chcete provést ověření pomocí účtu Azure Databricks, použijte místo toho jednu z následujících metod ověřování:

• Ověřování M2M (machine-to-machine) OAuth
• Ověřování OAuth mezi uživatelem a strojem (U2M)
• Ověřování spravovaných identit Azure
• Ověřování servisního účtu Microsoft Entra ID
• Ověřování Azure CLI

Ověřování osobního přístupového tokenu Azure Databricks používá osobní přístupový token Azure Databricks k ověření cílové entity Azure Databricks, jako je uživatelský účet Azure Databricks. Viz Ověřování pomocí osobních přístupových tokenů Azure Databricks (dřívější systém).

Chcete-li vytvořit osobní token pro přístup, postupujte podle pokynů v tématu Vytváření osobních tokenů pro uživatele pracovního prostoru.