Megosztás:

Hitelesítés a Databricks parancssori felületéhez

Megjegyzés

Ezek az információk a Databricks CLI 0.205-ös és újabb verzióira vonatkoznak. A Databricks parancssori felülete nyilvános előzetes verzióban érhető el.

A Databricks CLI használatára a Databricks Licenc és a Databricks adatvédelmi nyilatkozata vonatkozik, beleértve a használati adatokra vonatkozó rendelkezéseket is.

Ez a cikk bemutatja, hogyan állíthat be hitelesítést a Databricks parancssori felület és az Azure Databricks-fiókok és -munkaterületek között. Feltételezi, hogy már telepítette a Databricks parancssori felületet. Lásd : A Databricks parancssori felület telepítése vagy frissítése.

A Databricks CLI-parancsok futtatása előtt konfigurálnia kell a használni kívánt fiókok vagy munkaterületek hitelesítését . A szükséges beállítás attól függ, hogy munkaterületszintű parancsokat, fiókszintű parancsokat vagy mindkettőt szeretne futtatni.

Az elérhető PARANCSSOR-parancscsoportok megtekintéséhez futtassa a következőt databricks -h: . A megfelelő REST API-műveletek listájáért lásd a Databricks REST API-t.

A Databricks és az Azure DevOps Microsoft Entra-hitelesítésével kapcsolatos információkért lásd: Hitelesítés az Azure DevOpsszal az Azure Databricksen.

OAuth gép-gép közötti (M2M) hitelesítés

A gépről gépre (M2M) történő hitelesítés az OAuth használatával lehetővé teszi, hogy a szolgáltatások, szkriptek vagy alkalmazások interaktív felhasználói bejelentkezés nélkül férhessenek hozzá a Databricks-erőforrásokhoz. Ahelyett, hogy személyes hozzáférési jogkivonatokra (PAT-okra) vagy felhasználói hitelesítő adatokra támaszkodik, az M2M-hitelesítés szolgáltatásnévvel és OAuth-ügyfél hitelesítőadat-folyamattal kéri és kezeli a jogkivonatokat.

OAuth M2M-hitelesítés konfigurálása és használata:

  1. Hajtsa végre az OAuth M2M-hitelesítés beállítási lépéseit. Lásd: Az Azure Databrickshez való hozzáférés engedélyezése a szolgáltatásnévi objektum számára az OAuth használatával.

  2. Hozzon létre egy Azure Databricks-konfigurációs profilt a fájl alábbi .databrickscfg mezőivel.

    Fiókszintű parancsok esetén

    [<some-unique-configuration-profile-name>]
host          = <account-console-url>
account_id    = <account-id>
client_id     = <service-principal-client-id>
client_secret = <service-principal-oauth-secret>

    Munkaterületszintű parancsok esetén

    [<some-unique-configuration-profile-name>]
host          = <workspace-url>
client_id     = <service-principal-client-id>
client_secret = <service-principal-oauth-secret>

A profil használatához adja át a parancssori --profile felület parancsaiban található jelölővel.-p Példa:

databricks account groups list -p <profile-name>

Nyomja le a Tab billentyűt az elérhető profilok listájának megjelenítéséhez vagy --profile után-p.

OAuth felhasználó-gép (U2M) hitelesítés

Az OAuth felhasználó–gép (U2M) hitelesítéssel interaktívan bejelentkezhet, és a parancssori felület az Ön nevében kezeli a rövid élettartamú jogkivonatokat. Az OAuth-jogkivonatok egy órán belül lejárnak, ami csökkenti a kockázatot, ha egy jogkivonat véletlenül ki van téve. Lásd: Felhasználói hozzáférés engedélyezése az Azure Databrickshez az OAuth használatával.

Bejelentkezés:

Fiókszintű parancsok esetén

databricks auth login --host <account-console-url> --account-id <account-id>

Munkaterületszintű parancsok esetén

databricks auth login --host <workspace-url>

A parancssori felület végigvezeti a böngészőalapú bejelentkezési folyamaton. Amikor végzett, a parancssori felület konfigurációs profilként menti a hitelesítő adatokat. Elfogadhatja a javasolt profilnevet, vagy saját nevet is megadhat.

A profil használatához adja át a parancssori --profile felület parancsaiban található jelölővel.-p Példa:

databricks clusters list -p <profile-name>

Nyomja le a Tab billentyűt az elérhető profilok listájának megjelenítéséhez vagy --profile után-p.

Felügyelt Azure-identitások hitelesítése

Az Azure-beli felügyelt identitások hitelesítése felügyelt identitásokat használ az Azure-erőforrásokhoz (korábban felügyeltszolgáltatás-identitásokhoz (MSI)) a hitelesítéshez. Lásd: Mik az Azure-erőforrások felügyelt identitásai? Lásd még : Hitelesítés felügyelt Azure-identitásokkal.

Az Azure felhasználó által hozzárendelt felügyelt identitás létrehozásához tegye a következőket:

  1. Hozzon létre vagy azonosítsan egy Azure-beli virtuális gépet, és telepítse a Databricks parancssori felületet, majd rendelje hozzá a felügyelt identitást az Azure-beli virtuális géphez és a cél Azure Databricks-fiókokhoz, munkaterületekhez vagy mindkettőhöz. Lásd: Felügyelt Azure-identitások használata az Azure Databricksben.

  2. Az Azure-beli virtuális gépen hozzon létre vagy azonosítsa az Azure Databricks konfigurációs profilját a fájl alábbi .databrickscfg mezőivel. Profil létrehozásakor cserélje le a helyőrzőket a megfelelő értékekre.

    Fiókszintű parancsok esetén állítsa be a következő értékeket a .databrickscfg fájlban:

    [<some-unique-configuration-profile-name>]
host            = <account-console-url>
account_id      = <account-id>
azure_client_id = <azure-managed-identity-application-id>
azure_use_msi   = true

    Munkaterületszintű parancsok esetén állítsa be a következő értékeket a .databrickscfg fájlban:

    [<some-unique-configuration-profile-name>]
host            = <workspace-url>
azure_client_id = <azure-managed-identity-application-id>
azure_use_msi   = true

    A Databricks azt javasolja, hogy használja host és explicit módon rendelje hozzá az identitást a munkaterülethez. Alternatív megoldásként használja a azure_workspace_resource_id az Azure-erőforrás-azonosítóval. Ehhez a megközelítéshez közreműködői vagy tulajdonosi engedélyekre van szükség az Azure-erőforráshoz, vagy egy egyéni szerepkörhöz, amely meghatározott Azure Databricks-engedélyekkel rendelkezik.

  3. Az Azure virtuális gépen használja a Databricks parancssori felületének --profile vagy -p opcióját, majd a konfigurációs profil nevét adja meg a Databricks által használandó profil beállításához, például databricks account groups list -p <configuration-profile-name> vagy databricks clusters list -p <configuration-profile-name>.

    Tipp.

    A Tab--profile vagy -p után lenyomva megjelenítheti a választható meglévő konfigurációs profilok listáját ahelyett, hogy manuálisan adja meg a konfigurációs profil nevét.

Microsoft Entra ID szolgáltatási főazonosító hitelesítése

A Microsoft Entra ID szolgáltatásnév-princípium hitelesítése a Microsoft Entra ID szolgáltatásnév-princípium hitelesítő adatait használja a hitelesítéshez. Az Azure Databricks szolgáltatásnevek létrehozásához és kezeléséhez tekintse meg a szolgáltatásnevek című témakört. Lásd még Hitelesítse a Microsoft Entra szolgáltatásazonosítókkal.

A Microsoft Entra ID szolgáltatásnév-hitelesítés konfigurálásához és használatához helyileg telepítenie kell az Azure CLI-t. A következőket is el kell végeznie:

  1. Hozzon létre vagy azonosítsa az Azure Databricks konfigurációs profilját a fájl alábbi .databrickscfg mezőivel. Profil létrehozásakor cserélje le a helyőrzőket a megfelelő értékekre.

    Fiókszintű parancsok esetén állítsa be a következő értékeket a .databrickscfg fájlban:

    [<some-unique-configuration-profile-name>]
host                = <account-console-url>
account_id          = <account-id>
azure_tenant_id     = <azure-service-principal-tenant-id>
azure_client_id     = <azure-service-principal-application-id>
azure_client_secret = <azure-service-principal-client-secret>

    Munkaterületszintű parancsok esetén állítsa be a következő értékeket a .databrickscfg fájlban:

    [<some-unique-configuration-profile-name>]
host                = <workspace-url>
azure_tenant_id     = <azure-service-principal-tenant-id>
azure_client_id     = <azure-service-principal-application-id>
azure_client_secret = <azure-service-principal-client-secret>

    A Databricks javasolja a host használatát és a Microsoft Entra ID szolgáltatási identitás explicit hozzárendelését a munkaterülethez. Alternatív megoldásként használja a azure_workspace_resource_id az Azure-erőforrás-azonosítóval. Ehhez a megközelítéshez közreműködői vagy tulajdonosi engedélyekre van szükség az Azure-erőforráshoz, vagy egy egyéni szerepkörhöz, amely meghatározott Azure Databricks-engedélyekkel rendelkezik.

  2. Használja a Databricks parancssori felület --profile vagy -p opcióját a konfigurációs profil nevével a Databricks CLI parancshívás részeként, például databricks account groups list -p <configuration-profile-name> vagy databricks clusters list -p <configuration-profile-name>.

    Tipp.

    A Tab--profile vagy -p után lenyomva megjelenítheti a választható meglévő konfigurációs profilok listáját ahelyett, hogy manuálisan adja meg a konfigurációs profil nevét.

Azure CLI-hitelesítés

Az Azure CLI-hitelesítés az Azure CLI használatával hitelesíti a bejelentkezett entitást. Lásd még : Hitelesítés az Azure CLI-vel.

Az Azure CLI-hitelesítés konfigurálásához a következőket kell tennie:

  1. Telepítse helyileg az Azure CLI-t .

  2. Az Azure CLI használatával jelentkezzen be az Azure Databricksbe a az login parancs futtatásával. Lásd: Bejelentkezés az Azure CLI-vel.

  3. Hozzon létre vagy azonosítsa az Azure Databricks konfigurációs profilját a fájl alábbi .databrickscfg mezőivel. Profil létrehozásakor cserélje le a helyőrzőket a megfelelő értékekre.

    Fiókszintű parancsok esetén állítsa be a következő értékeket a .databrickscfg fájlban:

    [<some-unique-configuration-profile-name>]
host       = <account-console-url>
account_id = <account-id>

    Munkaterületszintű parancsok esetén állítsa be a következő értékeket a .databrickscfg fájlban:

    [<some-unique-configuration-profile-name>]
host = <workspace-url>

  4. Használja a Databricks parancssori felület --profile vagy -p opcióját a konfigurációs profil nevével a Databricks CLI parancshívás részeként, például databricks account groups list -p <configuration-profile-name> vagy databricks clusters list -p <configuration-profile-name>.

    Tipp.

    A Tab--profile vagy -p után lenyomva megjelenítheti a választható meglévő konfigurációs profilok listáját ahelyett, hogy manuálisan adja meg a konfigurációs profil nevét.

A kiértékelés hitelesítési sorrendje

Amikor a Databricks CLI hitelesít egy Azure Databricks-munkaterületen vagy -fiókban, a szükséges beállításokat a következő sorrendben keresi:

  1. A kötegbeállítások fájljai a parancsok egy köteg munkakönyvtárából futnak. A kötegbeállítások fájljai nem tartalmazhatnak közvetlenül hitelesítő adatokat.
  2. A cikkben, valamint az egységes hitelesítés környezeti változóiban és mezőiben felsorolt környezeti változók.
  3. Konfigurációs profilok a .databrickscfg fájlban.

Amint a parancssori felület megtalálta a szükséges beállítást, leállítja a keresést más helyeken.

Examples:

  • Ha egy DATABRICKS_TOKEN környezeti változó be van állítva, a parancssori felület használja, még akkor is, ha több jogkivonat is létezik..databrickscfg
  • Ha nincs DATABRICKS_TOKEN beállítva, és a csomagkörnyezet egy profilnévre hivatkozik, például dev → profilra DEV, a parancssori felület az adott profil hitelesítő adatait használja a következőben .databrickscfg: .
  • Ha nincs DATABRICKS_TOKEN beállítva, és a kötegkörnyezet megad egy host értéket, a parancssori felület megkeres egy profilt .databrickscfg egy egyezővel host , és a megfelelőt tokenhasználja.

Személyes hozzáférési jogkivonat hitelesítése (elavult)

Fontos

Az Azure Databricks-felhasználónevet és -jelszót használó alapszintű hitelesítés 2024. július 10-én véget ért. Az Azure Databricks-fiókkal való hitelesítéshez használja inkább az alábbi hitelesítési módszerek egyikét:

Az Azure Databricks személyes hozzáférési jogkivonatának hitelesítése egy Azure Databricks személyes hozzáférési jogkivonat használatával hitelesíti a célként megadott Azure Databricks-entitást, például egy Azure Databricks-felhasználói fiókot. Lásd Hitelesítés az Azure Databricks személyes hozzáférési tokenekkel (régi).

Személyes hozzáférési jogkivonat létrehozásához kövesse a munkaterület-felhasználók személyes hozzáférési jogkivonatainak létrehozása című szakasz lépéseit.

  • Last updated on