Hitelesítés a Databricks parancssori felületéhez

Megjegyzés

Ezek az információk a Databricks CLI 0.205-ös és újabb verzióira vonatkoznak. A Databricks parancssori felülete nyilvános előzetes verzióban érhető el.

A Databricks CLI használatára a Databricks Licenc és a Databricks adatvédelmi nyilatkozata vonatkozik, beleértve a használati adatokra vonatkozó rendelkezéseket is.

Ez a cikk bemutatja, hogyan állíthat be hitelesítést a Databricks parancssori felület és a Azure Databricks-fiókok és -munkaterületek között. Feltételezi, hogy már telepítette a Databricks parancssori felületet. Lásd : A Databricks parancssori felület telepítése vagy frissítése.

A Databricks CLI-parancsok futtatása előtt konfigurálnia kell a használni kívánt fiókok vagy munkaterületek hitelesítését . A szükséges beállítás attól függ, hogy munkaterületszintű parancsokat, fiókszintű parancsokat vagy mindkettőt szeretne futtatni.

Az elérhető CLI parancscsoportok megtekintéséhez futtassa a(z) databricks -h parancsot. A megfelelő REST API-műveletek listájáért lásd a Databricks REST API-t.

A Microsoft Entra hitelesítésről a Databricks platformra az Azure DevOps használatával szóló információkért lásd: Azure DevOps hitelesítés Azure Databricks-en.

OAuth gép-gép közötti (M2M) hitelesítés

A gépről gépre (M2M) történő hitelesítés az OAuth használatával lehetővé teszi, hogy a szolgáltatások, szkriptek vagy alkalmazások interaktív felhasználói bejelentkezés nélkül férhessenek hozzá a Databricks-erőforrásokhoz. Ahelyett, hogy személyes hozzáférési jogkivonatokra (PAT-okra) vagy felhasználói hitelesítő adatokra támaszkodna, az M2M-hitelesítés egy szolgáltatásfőnevet és OAuth ügyfél-hitelesítő adatáramot használ a jogkivonatok kérésére és kezelésére.

OAuth M2M-hitelesítés konfigurálása és használata:

1. Hajtsa végre az OAuth M2M-hitelesítés beállítási lépéseit. Lásd: A szolgáltatásnévvel rendelkező objektum hozzáférésének engedélyezése az Azure Databrickshez az OAuth használatával.

2. Hozzon létre egy Azure Databricks konfigurációs profilt a .databrickscfg fájl alábbi mezőivel.

   Fiókszintű parancsok esetén

   [<some-unique-configuration-profile-name>]
   host          = <account-console-url>
   account_id    = <account-id>
   client_id     = <service-principal-client-id>
   client_secret = <service-principal-oauth-secret>
   

   Munkaterületszintű parancsok esetén

   [<some-unique-configuration-profile-name>]
   host          = <workspace-url>
   client_id     = <service-principal-client-id>
   client_secret = <service-principal-oauth-secret>
   

A profil használatához adja át azt a parancssori parancsokban a --profile vagy -p jelzővel. Példa:

databricks account groups list -p <profile-name>

Nyomja le a Tab billentyűt a --profile vagy -p után az elérhető profilok listájának megjelenítéséhez.

OAuth felhasználó-gép (U2M) hitelesítés

Az OAuth felhasználó–gép (U2M) hitelesítéssel interaktívan bejelentkezhet, és a parancssori felület az Ön nevében kezeli a rövid élettartamú tokeneket. Az OAuth-jogkivonatok egy órán belül lejárnak, ami csökkenti a kockázatot, ha egy jogkivonat véletlenül ki van téve. Lásd: A Azure Databricks felhasználói hozzáférésének engedélyezése az OAuth használatával.

Bejelentkezés:

Fiókszintű parancsok esetén

databricks auth login --host <account-console-url> --account-id <account-id>

Munkaterületszintű parancsok esetén

databricks auth login --host <workspace-url>

A parancssori felület végigvezeti a böngészőalapú bejelentkezési folyamaton. Amikor végzett, a parancssori felület konfigurációs profilként menti a hitelesítő adatokat. Elfogadhatja a javasolt profilnevet, vagy saját nevet is megadhat.

A profil használatához adja át azt a parancssori parancsokban a --profile vagy -p jelzővel. Példa:

databricks clusters list -p <profile-name>

Nyomja le a Tab billentyűt a --profile vagy -p után az elérhető profilok listájának megjelenítéséhez.

Azure felügyelt identitások hitelesítése

Azure felügyelt identitások hitelesítés felügyelt identitásokat használ Azure erőforrásokhoz (korábban felügyelt szolgáltatásidentitásokhoz (MSI)) a hitelesítéshez. Lásd: Mik az Azure erőforrások felügyelt identitásai?. Lásd még: A Azure felügyelt identitásokkal való hitelesítés.

Ha Azure felhasználó által hozzárendelt felügyelt identitást szeretne létrehozni, tegye a következőket:

1. Hozzon létre vagy azonosítsan egy Azure virtuális gépet, és telepítse a Databricks parancssori felületet, majd rendelje hozzá a felügyelt identitást a Azure virtuális géphez és a cél Azure Databricks fiókokhoz, munkaterületekhez vagy mindkettőhöz. Lásd: Azure felügyelt identitások használata az Azure Databricks-szel.

2. A Azure virtuális gépen hozzon létre vagy azonosítsa a Azure Databricks konfigurációs profilt a .databrickscfg fájl alábbi mezőivel. Profil létrehozásakor cserélje le a helyőrzőket a megfelelő értékekre.

   Fiókszintű parancsok esetén állítsa be a következő értékeket a .databrickscfg fájlban:

   [<some-unique-configuration-profile-name>]
   host            = <account-console-url>
   account_id      = <account-id>
   azure_client_id = <azure-managed-identity-application-id>
   azure_use_msi   = true
   

   Munkaterületszintű parancsok esetén állítsa be a következő értékeket a .databrickscfg fájlban:

   [<some-unique-configuration-profile-name>]
   host            = <workspace-url>
   azure_client_id = <azure-managed-identity-application-id>
   azure_use_msi   = true
   

   A Databricks azt javasolja, hogy használja host és explicit módon rendelje hozzá az identitást a munkaterülethez. Másik lehetőségként használja a azure_workspace_resource_id Azure erőforrás-azonosítót. Ehhez a megközelítéshez közreműködői vagy tulajdonosi engedélyekre van szükség az Azure erőforráshoz, vagy egy egyéni szerepkörhöz, amely adott Azure Databricks engedélyekkel rendelkezik.

3. Az Azure virtuális gépen használja a Databricks CLI --profile vagy -p opcióját, majd adja meg a konfigurációs profil nevét a Databricks-profil beállításához, például databricks account groups list -p <configuration-profile-name> vagy databricks clusters list -p <configuration-profile-name>.

   Tipp.

   A Tab--profile vagy -p után lenyomva megjelenítheti a választható meglévő konfigurációs profilok listáját ahelyett, hogy manuálisan adja meg a konfigurációs profil nevét.

Microsoft Entra ID szolgáltatási főazonosító hitelesítése

Microsoft Entra ID szolgáltatási főszereplő hitelesítés egy Microsoft Entra ID szolgáltatási főszereplő hitelesítő adatait használja az azonosításhoz. A Azure Databricks szolgáltatásnevek létrehozásáról és kezelésével kapcsolatban lásd: Szolgáltatás-tagok. Lásd még: Hitelesítés Microsoft Entra szolgáltatásnévhez.

A Microsoft Entra ID szolgáltatásnév-hitelesítés konfigurálásához és használatához helyileg telepítve kell lennie a Azure CLI Hitelesítés-nek. A következőket is el kell végeznie:

1. Hozzon létre vagy azonosítsa a Azure Databricks konfigurációs profilt a .databrickscfg fájl alábbi mezőivel. Profil létrehozásakor cserélje le a helyőrzőket a megfelelő értékekre.

   Fiókszintű parancsok esetén állítsa be a következő értékeket a .databrickscfg fájlban:

   [<some-unique-configuration-profile-name>]
   host                = <account-console-url>
   account_id          = <account-id>
   azure_tenant_id     = <azure-service-principal-tenant-id>
   azure_client_id     = <azure-service-principal-application-id>
   azure_client_secret = <azure-service-principal-client-secret>
   

   Munkaterületszintű parancsok esetén állítsa be a következő értékeket a .databrickscfg fájlban:

   [<some-unique-configuration-profile-name>]
   host                = <workspace-url>
   azure_tenant_id     = <azure-service-principal-tenant-id>
   azure_client_id     = <azure-service-principal-application-id>
   azure_client_secret = <azure-service-principal-client-secret>
   

   A Databricks a host használatát javasolja, és explicit módon rendeli hozzá a Microsoft Entra ID szolgáltatásnevet a munkaterülethez. Másik lehetőségként használja a azure_workspace_resource_id Azure erőforrás-azonosítót. Ehhez a megközelítéshez közreműködői vagy tulajdonosi engedélyekre van szükség az Azure erőforráshoz, vagy egy egyéni szerepkörhöz, amely adott Azure Databricks engedélyekkel rendelkezik.

2. Használja a Databricks parancssori felület --profile vagy -p opcióját a konfigurációs profil nevével a Databricks CLI parancshívás részeként, például databricks account groups list -p <configuration-profile-name> vagy databricks clusters list -p <configuration-profile-name>.

   Tipp.

   A Tab--profile vagy -p után lenyomva megjelenítheti a választható meglévő konfigurációs profilok listáját ahelyett, hogy manuálisan adja meg a konfigurációs profil nevét.

Azure CLI hitelesítés

Azure CLI hitelesítés a Azure CLI használatával hitelesíti a bejelentkezett entitást. Lásd még: az Azure CLI.

A Azure CLI hitelesítés konfigurálásához tegye a következőket:

1. Telepítse helyileg a Azure CLI.

2. A Azure CLI használatával jelentkezzen be a Azure Databricks a az login parancs futtatásával. Lásd: Bejelentkezés az Azure CLI-vel.

3. Hozzon létre vagy azonosítsa a Azure Databricks konfigurációs profilt a .databrickscfg fájl alábbi mezőivel. Profil létrehozásakor cserélje le a helyőrzőket a megfelelő értékekre.

   Fiókszintű parancsok esetén állítsa be a következő értékeket a .databrickscfg fájlban:

   [<some-unique-configuration-profile-name>]
   host       = <account-console-url>
   account_id = <account-id>
   

   Munkaterületszintű parancsok esetén állítsa be a következő értékeket a .databrickscfg fájlban:

   [<some-unique-configuration-profile-name>]
   host = <workspace-url>
   

4. Használja a Databricks parancssori felület --profile vagy -p opcióját a konfigurációs profil nevével a Databricks CLI parancshívás részeként, például databricks account groups list -p <configuration-profile-name> vagy databricks clusters list -p <configuration-profile-name>.

   Tipp.

   A Tab--profile vagy -p után lenyomva megjelenítheti a választható meglévő konfigurációs profilok listáját ahelyett, hogy manuálisan adja meg a konfigurációs profil nevét.

A kiértékelés hitelesítési sorrendje

Amikor a Databricks parancssori felület egy Azure Databricks munkaterületen vagy -fiókban hitelesít, a szükséges beállításokat az alábbi sorrendben keresi:

1. A kötegbeállítások fájljai a parancsok egy köteg munkakönyvtárából futnak. A kötegbeállítások fájljai nem tartalmazhatnak közvetlenül hitelesítő adatokat.
2. A cikkben, valamint az egységes hitelesítés környezeti változóiban és mezőiben felsorolt környezeti változók.
3. Konfigurációs profilok a .databrickscfg fájlban.

Amint a parancssori felület megtalálta a szükséges beállítást, leállítja a keresést más helyeken.

Examples:

• Ha egy DATABRICKS_TOKEN környezeti változó be van állítva, a parancssori felület használja, még akkor is, ha több token is létezik. .databrickscfg
• Ha nincs DATABRICKS_TOKEN beállítva, és a csomagkörnyezet egy profilnévre hivatkozik, például dev → profilra DEV, a parancssori felület az adott profil hitelesítő adatait használja a következőben .databrickscfg: .
• Ha nincs beállítva DATABRICKS_TOKEN, és a kötegkörnyezet ad egy host értéket, a CLI keres egy olyan profilt .databrickscfg-ben, amely rendelkezik egy egyező host-vel, és annak token-ját használja.

Személyes hozzáférési jogkivonat hitelesítése (örökölt)

Fontos

Ahol lehetséges, Azure Databricks az OAuth használatát javasolja paT-ok helyett a felhasználói fiókok hitelesítéséhez, mivel az OAuth nagyobb biztonságot nyújt. Fontolja meg a következő hitelesítési módszereket:

• OAuth machine-to-machine (M2M) hitelesítés
• OAuth user-to-machine (U2M) hitelesítés
• Azure felügyelt identitások hitelesítése
• Microsoft Entra ID szolgáltatási főazonosító hitelesítése
• Azure CLI hitelesítés

Azure Databricks személyes hozzáférési jogkivonat hitelesítése egy Azure Databricks személyes hozzáférési jogkivonat használatával hitelesíti a cél Azure Databricks entitást, például egy Azure Databricks felhasználói fiókot. Lásd: Azure Databricks személyes hozzáférési jogkivonatok (régi).

Személyes hozzáférési jogkivonat létrehozásához kövesse a munkaterület-felhasználók személyes hozzáférési jogkivonatainak létrehozása című szakasz lépéseit.