Jegyzet
Az oldalhoz való hozzáférés engedélyezést igényel. Próbálhatod be jelentkezni vagy könyvtárat váltani.
Az oldalhoz való hozzáférés engedélyezést igényel. Megpróbálhatod a könyvtár váltását.
Ez a lap bemutatja, hogyan engedélyezheti az Azure Databricks-erőforrásokhoz való hozzáférést a Databricks CLI és REST API-k használatával. Ismerteti a különböző engedélyezési módszereket, a használatuk módját és a hitelesítés használati esethez való konfigurálását.
Az Azure Databricks-erőforrások cli- vagy REST API-kkal való eléréséhez hitelesítenie kell magát egy Megfelelő engedélyekkel rendelkező Azure Databricks-fiókkal. Az Azure Databricks-rendszergazda vagy rendszergazdai jogosultságokkal rendelkező felhasználó konfigurálja a fiókot.
Fiók- és API-típusok
A hitelesítéshez kétféle fiók használható:
- Felhasználói fiók: Interaktív CLI-parancsok és API-hívások esetén.
- Szolgáltatásnév: Automatizált CLI-parancsokhoz és API-hívásokhoz emberi beavatkozás nélkül.
Az MS Entra szolgáltatásnévvel engedélyezheti az Azure Databricks-fiókhoz vagy -munkaterülethez való hozzáférést. Lásd Hitelesítés a Microsoft Entra szolgáltatásazonosítókkal. A Databricks azonban azt javasolja, hogy a Databricks-szolgáltatási identitást használjuk az OAuth-tal, mivel a hozzáférési tokenjei robusztusabbak a Databricks-specifikus hitelesítéshez.
Az Azure Databricks kétféle API-t használ, amelyek különböző hitelesítési módszereket igényelnek:
- Fiókszintű API-k: A fiókkonzol URL-címén üzemeltetett fióktulajdonosok és rendszergazdák számára érhető el. Lásd : fiókszintű API-k.
- Munkaterületszintű API-k: A munkaterület felhasználói és rendszergazdái számára elérhető, a munkaterület URL-címén üzemeltetve. Lásd : munkaterületszintű API-k.
Engedélyezési módszerek
Válassza ki a használati esetnek leginkább megfelelő engedélyezési módszert. Az Azure Databricks-eszközök és SDK-k több engedélyezési módszert is támogatnak, így kiválaszthatja a forgatókönyvnek leginkább megfelelőt.
| Method | Description | Felhasználási eset |
|---|---|---|
| Databricks OAuth-jogkivonat-összevonás (ajánlott) | OAuth-jogkivonatok az identitásszolgáltatótól felhasználók vagy szolgáltatási főazonosítók számára. | Lehetővé teszi, hogy a Databricks titkos kulcsainak kezelése nélkül hitelesítse magát az Azure Databricksben. |
| Databricks OAuth szolgáltatásfiókok számára (OAuth M2M) | Rövid élettartamú OAuth-jogkivonatok szolgáltatásnevekhez. | Felügyelet nélküli hitelesítési forgatókönyvek, például teljesen automatizált és CI/CD-munkafolyamatok. |
| OAuth felhasználók számára (OAuth U2M) | Rövid élettartamú OAuth-jogkivonatok felhasználók számára. | Részt vett a hitelesítési forgatókönyvben, ahol a webböngésző használatával valós időben hitelesíthet az Azure Databricks szolgáltatással, amikor a rendszer kéri. |
| Azure által felügyelt szolgáltatásazonosítás engedélyezése | Microsoft Entra ID jogkivonatok az Azure által felügyelt identitásokhoz. | Csak felügyelt identitásokat támogató Azure-erőforrásokhoz, például Azure-beli virtuális gépekhez használható. |
| Microsoft Entra ID szolgáltatási főazonosító engedélyezése | Microsoft Entra ID-tokenek a Microsoft Entra ID szolgáltatási főszereplőkhöz. | Csak olyan Azure-erőforrásokhoz használható, amelyek támogatják a Microsoft Entra ID-jogkivonatokat, és nem támogatják a felügyelt identitásokat, például az Azure DevOpsot. |
| Azure CLI hitelesítés | Microsoft Entra ID-jogkivonatok felhasználók vagy Microsoft Entra ID szolgáltatásfőnevek számára. | Az Azure CLI használatával engedélyezheti az Azure-erőforrásokhoz és az Azure Databrickshez való hozzáférést. |
| Microsoft Entra ID felhasználó hitelesítése | Microsoft Entra ID tokenek felhasználók számára. | Csak olyan Azure-erőforrásokhoz használható, amelyek csak a Microsoft Entra ID-jogkivonatokat támogatják. A Databricks nem javasolja, hogy manuálisan hozzon létre Microsoft Entra-azonosító jogkivonatokat az Azure Databricks-felhasználók számára. |
Egységes hitelesítés
Az Azure Databricks egységes hitelesítése egységes módot biztosít a hitelesítés konzisztens konfigurálására az összes támogatott eszköz és SDK esetében. Ez a módszer szabványos környezeti változókat és konfigurációs profilokat használ a hitelesítő adatok tárolására, így cli-parancsokat futtathat vagy API-kat hívhat meg a hitelesítés ismételt konfigurálása nélkül.
Az egyesített hitelesítés másképp kezeli a fióktípusokat:
- Felhasználói engedélyezés: Az OAuth automatikusan létrehozza és kezeli az egységes hitelesítést támogató eszközök hozzáférési jogkivonatait. Lásd: Felhasználói hozzáférés engedélyezése az Azure Databrickshez az OAuth használatával.
- Szolgáltatásnév engedélyezése: Az OAuth megköveteli az Azure Databricks által biztosított ügyfél-hitelesítő adatokat (ügyfélazonosítót és titkos kódot), miután hozzárendelte a szolgáltatásnevet a munkaterületekhez. Lásd: Az Azure Databrickshez való hozzáférés engedélyezése a szolgáltatásnévi objektum számára az OAuth használatával.
OAuth hozzáférési jogkivonatok használatához az Azure Databricks munkaterületért vagy fiókért felelős adminisztrátora engedélyt kell, hogy adjon a felhasználói fióknak vagy szolgáltatásfelelősnek a fiók- és munkaterület-funkciók eléréséhez, amelyeket a kód használni fog.
Környezeti változók
Az egységes hitelesítés konfigurálásához állítsa be a következő környezeti változókat. Egyes változók a felhasználó és a szolgáltatásnév engedélyezésére is érvényesek, míg másokra csak a szolgáltatásnevek esetében van szükség.
| Környezet változó | Description |
|---|---|
DATABRICKS_HOST |
Az Azure Databricks-fiókkonzol (https://accounts.azuredatabricks.net) vagy az Azure Databricks-munkaterület (https://{workspace-url-prefix}.azuredatabricks.net) URL-címe. Válassza ki a kód által végrehajtott műveletek típusa alapján. |
DATABRICKS_ACCOUNT_ID |
Azure Databricks-fiókműveletekhez használatos. Ez az Azure Databricks-fiók azonosítója. A lekéréshez tekintse meg A fiókazonosító megkeresésecímű témakört. |
DATABRICKS_CLIENT_ID |
(Csak szolgáltatási főfelhasználó OAuth) Az a kliensazonosító, amelyet a szolgáltatási főfelhasználó létrehozásakor kaptál hozzárendelve. |
DATABRICKS_CLIENT_SECRET |
(Csak szolgáltatásfiók OAuth) Az ügyféltitkot, amelyet a szolgáltatásfiók létrehozásakor generált, hozta létre. |
A környezeti változók manuális beállítása helyett érdemes lehet definiálni őket egy Databricks-konfigurációs profilban (.databrickscfg) az ügyfélszámítógépen.
Konfigurációs profilok
Az Azure Databricks konfigurációs profiljai olyan beállításokat és hitelesítő adatokat tartalmaznak, amelyeket az Azure Databricks-eszközöknek és SDK-knak engedélyeznie kell a hozzáférést. Ezek a profilok helyi ügyfélfájlokban vannak tárolva (általában elnevezve .databrickscfg) a használni kívánt eszközök, SDK-k, szkriptek és alkalmazások számára.
További információ: Azure Databricks konfigurációs profilok.
Külső integrációk
Külső szolgáltatásokkal és eszközökkel való integráláskor az említett szolgáltatások által biztosított hitelesítési mechanizmusokat kell használnia. Az Azure Databricks azonban támogatja a gyakori integrációkat:
- Databricks Terraform Provider: Azure Databricks API-k elérése a Terraformból az Azure Databricks felhasználói fiókjával. Lásd Szolgáltatási főszereplő kiépítése a Terraform használatával.
- Git-szolgáltatók: A GitHub, a GitLab és a Bitbucket egy Databricks-szolgáltatásnév használatával érheti el az Azure Databricks API-kat. Lásd szolgáltatás-főelnevezéseit a CI/CD esetében.
- Jenkins: Azure Databricks API-k elérése Databricks-szolgáltatásnév használatával. Lásd: CI/CD és Jenkins az Azure Databricksben.
- Azure DevOps: Azure Databricks API-k elérése MS Entra ID-alapú szolgáltatásnév használatával. Lásd : Hitelesítés az Azure DevOpsszal az Azure Databricksben.