Adición de recursos a una aplicación de Databricks

Las aplicaciones de Databricks se pueden integrar con diversas características de la plataforma de Azure Databricks, como Databricks SQL para consultar datos, Lakeflow Jobs para la ingesta y el procesamiento de datos, Mosaic AI Model Serving para acceder a modelos de inteligencia artificial generativa, y secretos de Azure Databricks para administrar información confidencial. En el contexto de las aplicaciones, estas características de la plataforma se conocen como recursos.

¿Por qué usar recursos?

Para mantener las aplicaciones portátiles y seguras, evite codificar los identificadores de recursos de forma difícil. Por ejemplo, en lugar de insertar un identificador fijo de SQL Warehouse en el código de la aplicación, configure SQL Warehouse como un recurso a través de la interfaz de usuario de Databricks Apps.

El uso de recursos de Databricks Apps en lugar de llamadas a API directas tiene varias ventajas:

• Administra automáticamente las credenciales y los permisos, lo que elimina el control manual de tokens en el código.
• Controla automáticamente las rutas de acceso de recursos, los puntos de conexión y los detalles de conexión.
• Proporciona acceso administrado seguro en lugar de requerir credenciales autoadministradas para llamadas directas a la API.
• Mantiene las aplicaciones portátiles entre entornos sin cambios de código.

Tipos de recursos admitidos

En la tabla siguiente se enumeran todos los tipos de recursos que puede agregar a la aplicación de Databricks:

Tipo de recurso	Description	Clave de recurso predeterminada	Permisos disponibles
Espacio Genie	Interfaz de análisis con tecnología de inteligencia artificial para consultas de lenguaje natural	genie-space	Puede ver Se puede ejecutar Puede editar Puede administrar
Base de datos de Lakebase	Base de datos del catálogo de Unity para el almacenamiento de datos y la consulta	database	Puede conectarse y crear
Trabajo de Lakeflow	Flujos de trabajo de ingesta y procesamiento de datos	job	Puede ver Puede gestionar la ejecución Puede administrar
Experimentos de MLflow	Seguimiento de experimentos de Aprendizaje automático y administración del ciclo de vida del modelo	experiment	Se puede leer Puede editar Puede administrar
Punto de conexión de servicio de modelos	Implementación del modelo de Machine Learning para solicitudes de inferencia	serving-endpoint	Puede ver Puede consultar Puede administrar
Secreto	Almacenamiento seguro para valores confidenciales, como claves de API y tokens	secret	Se puede leer Puede escribir Puede administrar
SQL Warehouse	Recursos de proceso para ejecutar consultas SQL	sql-warehouse	Puede usar Puede administrar
Conexión de catálogo de Unity	Conexiones administradas a orígenes de datos externos	connection	Usar conexión
Función definida por el usuario	Funciones de SQL y Python registradas en el catálogo de Unity	function	Puede ejecutar
Volumen del catálogo de Unity	Almacenamiento de archivos en el Catálogo de Unity para artefactos y datos de aplicaciones	volume	Se puede leer Puede leer y escribir
Índice de búsqueda vectorial	Búsqueda semántica y recuperación basada en similitud a partir de incrustaciones vectoriales	vector-search-index	Puede seleccionar

Prerrequisitos

Para agregar un recurso a una aplicación, se deben cumplir las condiciones siguientes:

• El recurso debe existir.
• El usuario que agrega el recurso debe tener el Can manage permiso en el recurso y la aplicación.

Las aplicaciones se ejecutan con privilegios mínimos y se basan en los recursos existentes dentro de la plataforma de Azure Databricks. Cuando se implementa, la entidad de servicio de la aplicación accede a estos recursos y debe tener los permisos necesarios, como acceso a nivel de tabla para consultas SQL o acceso de lectura de secretos. Consulte Configuración de la autorización en una aplicación de Databricks.

Configuración de recursos para la aplicación

Los recursos permiten que la aplicación se conecte de forma segura a los servicios de los que depende, sin codificar valores confidenciales o específicos del entorno.

Agregue recursos directamente en la interfaz de usuario de Databricks Apps al crear o editar una aplicación.

1. Al crear o editar una aplicación, vaya al paso Configurar .
2. En la sección Recursos de la aplicación, haga clic en + Agregar recurso.
3. Seleccione el tipo de recurso que desea agregar.
4. Establezca los permisos de la entidad de servicio de la aplicación en el recurso.
5. Asigne una clave al recurso y haga referencia a esa clave en el app.yaml archivo.

Administración del acceso de la aplicación a los recursos

Cada aplicación tiene un principal de servicio dedicado. Siga estos procedimientos recomendados para administrar el acceso de forma segura.

• Utilizar la entidad de seguridad de servicio de la aplicación para la autenticación. Nunca codifique de forma rígida los tokens de acceso personal (PAT) en el código. Las credenciales de acceso se insertan automáticamente como variables de entorno:
  • DATABRICKS_CLIENT_ID
  • DATABRICKS_CLIENT_SECRET
• No comparta credenciales de principal de servicio entre diferentes aplicaciones o usuarios. Cada aplicación debe usar sus propias credenciales dedicadas para el aislamiento y la seguridad.
• Aplique el acceso con privilegios mínimos. Conceder únicamente los permisos mínimos necesarios al service principal de la aplicación. Por ejemplo:
  • Conceda CAN USE en una instancia de SQL Warehouse si la aplicación solo necesita ejecutar consultas.
  • Conceda CAN QUERY en un punto de conexión de servicio si la aplicación solo envía solicitudes de inferencia.
  • Conceda SELECT o MODIFY en las tablas de Unity Catalog en función de las necesidades de acceso a datos de la app.

Pasos siguientes

Después de agregar recursos a tu aplicación, referencia estos recursos en la sección env de la configuración de la aplicación utilizando el campo valueFrom. Para obtener instrucciones, consulte Definición de variables de entorno en una aplicación de Databricks.