Megosztás a következőn keresztül:

Számítási feladatok identitás-összevonásának engedélyezése a Terraform Cloudhoz, a Bitbucket Pipelineshoz vagy a Jenkinshez

Fontos

A Databricks OAuth token egyesítés nyilvános előzetes verzióban érhető el.

A Databricks OAuth token szövetség, más néven OpenID Connect (OIDC), lehetővé teszi, hogy az a Databricksen kívüli automatizált munkafolyamatok biztonságosan hozzáférjenek a Databricks felületéhez, anélkül hogy szükség lenne Databricks titkokra. Lásd : Az Azure Databricks hozzáférésének hitelesítése OAuth-jogkivonat-összevonással.

A számítási feladatok identitás-összevonásának engedélyezése a Terraform Cloudhoz, az Atlassian Bitbucket Pipelineshoz vagy a Jenkinshez:

  1. Szövetségi szabályzat létrehozása
  2. Az identitásszolgáltató konfigurálása

A munkaterhelés-azonosság összevonásának engedélyezése után a Databricks SDK-k és a Databricks CLI automatikusan lekéri az identitáskivonatokat az identitásszolgáltatótól, és kicserélik őket Databricks OAuth-jogkivonatokra.

Szövetségi politika létrehozása

Először a Databricks parancssori felületével hozzon létre egy számítási feladat identitás-összevonási szabályzatát. A következő értékeket kell beállítania:

  • issuer: általában a szolgáltató token URL-címe
  • audiences: általában egy szervezeti azonosító
  • subject: általában a feladat- vagy projektkörnyezetet meghatározó érték

Ha például egy GitLab URL-címet https://gitlab.com/example-group kap a Databricks szolgáltatásnév numerikus azonosítójával 5581763342009999, hozzon létre egy összevonási szabályzatot a következő Databricks CLI-paranccsal :

databricks account service-principal-federation-policy create 5581763342009999 --json '{
  "oidc_policy": {
	"issuer": "https://gitlab.com/example-group",
	"audiences": [
  	  "https://gitlab.com/example-group"
	],
	"subject": "project_path:my-group/my-project:..."
  }
}'

Az identitásszolgáltató konfigurálása

Ezután az identitásszolgáltató konfigurációjában állítsa a Databricks OIDC-jogkivonat környezeti változóit a szolgáltató alapértelmezett identitás OIDC-jogkivonat környezeti változóira.

Jenkins

Jenkins számára a számítási feladatokhoz tartozó identitás-összevonás engedélyezéséhez állítsa be a jogkivonatot a következőben: DATABRICKS_OIDC_TOKEN. Másik lehetőségként mentse el a jogkivonatot egy fájlba, és írja be a DATABRICKS_OIDC_TOKEN_FILEPATH címét erre a fájlra.

Terraform Cloud

Ha engedélyezni szeretné a munkaterhelés identitás szövetségét a Terraform Cloudhoz, állítsa be a DATABRICKS_OIDC_TOKEN_ENV környezeti változót, hogy a Databricks SDK a tokent keresse TFC_WORKLOAD_IDENTITY_TOKEN.

DATABRICKS_OIDC_TOKEN_ENV = TFC_WORKLOAD_IDENTITY_TOKEN

Atlassian Bitbucket-folyamatok

Ha engedélyezni szeretné a számítási feladatok identitásának összevonását a Bitbucket-folyamatokhoz, állítsa be a DATABRICKS_OIDC_TOKEN_ENV környezeti változót, hogy utasítsa a Databricks SDK-t a jogkivonat keresésére a következőben BITBUCKET_STEP_OIDC_TOKEN: .

image: atlassian/default-image

pipelines:
  default:
    - step:
        oidc: true
        script:
          - export DATABRICKS_CLIENT_ID=a1b2c3d4-ee42-1eet-1337-f00b44r
          - export DATABRICKS_HOST=https://my-workspace.cloud.databricks.com/
          - export DATABRICKS_OIDC_TOKEN_ENV=BITBUCKET_STEP_OIDC_TOKEN
          - export DATABRICKS_AUTH_TYPE=env-oidc
          - curl -fsSL https://raw.githubusercontent.com/databricks/setup-cli/main/install.sh | sh
          - databricks --version
          - databricks current-user me