Verwenden von von Azure verwalteten Identitäten mit Azure Databricks

Auf dieser Seite erfahren Sie, wie Sie die Azure Managed Identities-Authentifizierung einrichten und verwenden, um Ihre Azure Databricks-Konten und -Arbeitsbereiche zu automatisieren.

Azure verwaltet automatisch Identitäten in Microsoft Entra ID für Anwendungen, um sich bei Ressourcen zu authentifizieren, die die Microsoft Entra ID-Authentifizierung unterstützen, einschließlich Azure Databricks-Konten und -Arbeitsbereiche. Diese Authentifizierungsmethode ruft Microsoft Entra-ID-Token ab, ohne dass Sie Anmeldeinformationen verwalten müssen.

Diese Seite führt Sie durch das Erstellen einer vom Benutzer zugewiesenen verwalteten Identität und das Zuweisen zu Ihrem Azure Databricks-Konto, Arbeitsbereich und azure virtual machine (Azure VM). Anschließend installieren und konfigurieren Sie die Databricks CLI auf Ihrer Azure-VM, um die Authentifizierung verwalteter Azure-Identitäten zu verwenden und Befehle zum Automatisieren Ihres Azure Databricks-Kontos und -Arbeitsbereichs auszuführen.

• Weitere Informationen zu verwalteten Identitäten finden Sie unter Was sind verwaltete Identitäten für Azure-Ressourcen?.
• Weitere Informationen zur Authentifizierung verwalteter Azure-Identitäten für Azure Databricks finden Sie unter Authentifizieren mit verwalteten Azure-Identitäten.

Hinweis

Verwaltete Identitäten für Azure-Ressourcen unterscheiden sich von durch Microsoft Entra ID verwaltete Dienstprinzipale, die Azure Databricks auch für die Authentifizierung unterstützen. Informationen dazu, wie Sie stattdessen verwaltete Dienstprinzipale von Microsoft Entra ID für die Azure Databricks-Authentifizierung verwenden, finden Sie unter:

• Authentifizieren mit Microsoft Entra-Dienstprinzipalen
• Microsoft Entra-ID-Token manuell abrufen
• Anmelden mit der Azure CLI
• Authentifizieren mit Azure PowerShell

Anforderungen

• Azure RBAC-Berechtigungen zum Erstellen und Zuweisen verwalteter Identitäten.
• Die Rolle des Konto- oder Arbeitsbereichsadministrators zur Zuweisung verwalteter Identitäten an Azure Databricks. Siehe Zuweisen von Kontoadministratorrollen zu einem Benutzer und Zuweisen der Arbeitsbereichsadministratorrolle zu einem Benutzer.
• Rollen "Mitwirkender virtueller Computer" und "Managed Identity Operator", um eine Azure-VM zu erstellen und ihm die verwaltete Identität zuzuweisen.

Schritt 1: Erstellen einer vom Benutzer zugewiesenen verwalteten Identität

Erstellen Sie eine vom Benutzer zugewiesene verwaltete Identität für Azure-Ressourcen. Azure unterstützt sowohl vom System zugewiesene als auch vom Benutzer zugewiesene verwaltete Identitäten. Databricks empfiehlt die Verwendung von vom Benutzer zugewiesenen verwalteten Identitäten für die Authentifizierung verwalteter Azure-Identitäten mit Azure Databricks.

Um eine vom Benutzer zugewiesene verwaltete Identität zu erstellen, befolgen Sie die Anweisungen unter Verwalten von vom Benutzer zugewiesenen verwalteten Identitäten mithilfe des Azure-Portals.

Kopieren Sie nach dem Erstellen der verwalteten Identität den Client-ID-Wert von der Übersichtsseite der verwalteten Identität. Sie benötigen diesen Wert in schritt 2, 3 und 7.

Schritt 2: Weisen Sie die verwaltete Identität Ihrem Konto zu

Weisen Sie Ihre verwaltete Identität Ihrem Azure Databricks-Konto zu. Databricks behandelt verwaltete Identitäten als Dienstprinzipale. Wenn Sie keinen Zugriff auf Kontoebene benötigen, fahren Sie mit Schritt 3 fort.

Folgen Sie den Anweisungen in Dienstprinzipale zu Ihrem Konto hinzufügen. Wählen Sie die verwaltete Microsoft Entra-ID aus, und fügen Sie die Client-ID aus Schritt 1 als Microsoft Entra-Anwendungs-ID ein.

Schritt 3: Zuweisen der verwalteten Identität zu Ihrem Arbeitsbereich

Weisen Sie die verwaltete Identität Ihrem Azure Databricks-Arbeitsbereich zu. Databricks behandelt verwaltete Identitäten als Dienstprinzipale. Folgen Sie den Anweisungen unter "Zuweisen eines Dienstprinzipals zu einem Arbeitsbereich".

Beim Hinzufügen des Dienstprinzipals:

• Wenn Ihr Arbeitsbereich für den Identitätsverbund aktiviert ist: Wählen Sie den Dienstprinzipal aus, den Sie in Schritt 2 erstellt haben.
• Wenn Ihr Arbeitsbereich für den Identitätsverbund nicht aktiviert ist: Verwenden Sie die Client-ID aus Schritt 1 als ApplicationId.

Schritt 4: Abrufen der Azure-Ressourcen-ID für Ihren Arbeitsbereich

Rufen Sie die Ressourcen-ID ab, die Azure Ihrem Azure Databricks-Arbeitsbereich zuweist. Sie benötigen diesen Wert in Schritt 7.

1. Klicken Sie in Ihrem Azure Databricks-Arbeitsbereich auf Ihren Benutzernamen in der oberen Leiste, und klicken Sie auf Azure Portal.

2. Klicken Sie im Seitenbereich im Abschnitt "Einstellungen " auf "Eigenschaften".

3. Kopieren Sie im Abschnitt „Essentials“ den Id-Wert. Es sollte ungefähr wie folgt aussehen:

   /subscriptions/<subscription-id>/resourceGroups/<resource-group-id>/providers/Microsoft.Databricks/workspaces/<workspace-id>
   

Schritt 5: Erstellen und Anmelden bei einer Azure-VM

Azure-VMs gehören zu den Ressourcentypen, die verwaltete Identitäten unterstützen. Sie verwenden diese VM, um die Databricks CLI mit verwalteter Identitätsauthentifizierung auszuführen.

Hinweis

Diese Azure-VM dient nur zu Demonstrationszwecken und verwendet Einstellungen, die nicht für die Produktionsverwendung optimiert sind.

Zum Erstellen und Herstellen einer Verbindung mit einer Ubuntu Server-VM mithilfe der SSH-Authentifizierung folgen Sie den Anweisungen in der Schnellstartanleitung: Erstellen eines virtuellen Linux-Computers im Azure-Portal.

Beim Erstellen des virtuellen Computers:

• Verwenden Sie Ubuntu Server 22.04 LTS als Bild.
• Wählen Sie den öffentlichen SSH-Schlüssel als Authentifizierungstyp aus.
• Notieren Sie sich den Speicherort der heruntergeladenen privaten Schlüsseldatei (.pem) und die öffentliche IP-Adresse der virtuellen Maschine, da Sie diese benötigen, um eine Verbindung mit der virtuellen Maschine herzustellen.

Schritt 6: Zuweisen der verwalteten Identität zur Azure-VM

Ordnen Sie Ihre verwaltete Identität Ihrer Azure-VM zu, damit Azure sie für die Authentifizierung verwenden kann. Siehe Zuweisen einer vom Benutzer zugewiesenen verwalteten Identität zu einer vorhandenen VM.

1. Navigieren Sie im Azure-Portal zur Einstellungsseite Ihrer Azure-VM, und klicken Sie im Abschnitt "Einstellungen" auf "Identität".
2. Klicken Sie auf der Registerkarte Benutzerseitig zugewiesen auf + Hinzufügen.
3. Wählen Sie die verwaltete Identität aus, die Sie in Schritt 1 erstellt haben, und klicken Sie auf "Hinzufügen".

Schritt 7: Konfigurieren der Authentifizierung

Installieren und konfigurieren Sie die Databricks CLI auf Ihrer Azure-VM, um die Authentifizierung verwalteter Azure-Identitäten zu verwenden.

Installieren der CLI

Installieren Sie von Ihrer SSH-Sitzung auf dem virtuellen Azure-Computer die Databricks CLI:

sudo apt install unzip
curl -fsSL https://raw.githubusercontent.com/databricks/setup-cli/main/install.sh | sudo sh

Überprüfen Sie die Installation:

databricks -v

Hinzufügen von Konfigurationsprofilen

Erstellen oder bearbeiten Sie die .databrickscfg Datei in Ihrem Startverzeichnis (~/.databrickscfg) mit dem folgenden Inhalt. Siehe Azure Databricks-Konfigurationsprofile.

Ersetzen Sie die folgenden Werte:

• <account-console-url> mit Ihrer Azure Databricks-Kontokonsole-URL.
• <account-id> mit Ihrer Azure Databricks-Konto-ID. Siehe So finden Sie Ihre Konto-ID.
• <azure-managed-identity-application-id> mit dem Client-ID-Wert für Ihre verwaltete Identität aus Schritt 1.
• <workspace-url> mit Ihrer Arbeitsbereichs-URL, z. B. https://adb-1234567890123456.7.azuredatabricks.net.
• <azure-workspace-resource-id> mit der Azure-Ressourcen-ID aus Schritt 4.
• Sie können optional die vorgeschlagenen Konfigurationsprofilnamen AZURE_MI_ACCOUNT und AZURE_MI_WORKSPACE mit anderen Namen ersetzen.

Wenn Sie keine Vorgänge auf Kontoebene benötigen, lassen Sie den [AZURE_MI_ACCOUNT] Abschnitt weg.

[AZURE_MI_ACCOUNT]
host            = <account-console-url>
account_id      = <account-id>
azure_client_id = <azure-managed-identity-application-id>
azure_use_msi   = true

[AZURE_MI_WORKSPACE]
host                        = <workspace-url>
azure_workspace_resource_id = <azure-workspace-resource-id>
azure_client_id             = <azure-managed-identity-application-id>
azure_use_msi               = true

Schritt 8: Testen der Konfiguration

Testen Sie die Konfiguration, indem Sie Databricks CLI-Befehle aus Ihrer SSH-Sitzung auf dem virtuellen Azure-Computer ausführen.

So testen Sie den Zugriff auf Kontoebene (wenn Sie ihn in Schritt 7 konfiguriert haben):

databricks account users list -p AZURE_MI_ACCOUNT

So testen Sie den Zugriff auf Arbeitsbereichsebene:

databricks users list -p AZURE_MI_WORKSPACE

Wenn Sie die Konfigurationsprofile in Schritt 7 umbenannt haben, ersetzen Sie AZURE_MI_ACCOUNT oder AZURE_MI_WORKSPACE durch Ihre benutzerdefinierten Namen.