Menggunakan identitas terkelola Azure dengan Azure Databricks

Halaman ini memperlihatkan kepada Anda cara menyiapkan dan menggunakan autentikasi identitas terkelola Azure untuk mengotomatiskan akun dan ruang kerja Azure Databricks Anda.

Azure secara otomatis mengelola identitas di ID Microsoft Entra untuk aplikasi guna mengautentikasi dengan sumber daya yang mendukung autentikasi ID Microsoft Entra, termasuk akun dan ruang kerja Azure Databricks. Metode autentikasi ini mendapatkan token ID Microsoft Entra tanpa mengharuskan Anda mengelola kredensial.

Halaman ini memandu Anda membuat identitas terkelola yang ditetapkan pengguna dan menetapkannya ke akun Azure Databricks, ruang kerja, dan komputer virtual Azure (Azure VM). Anda kemudian menginstal dan mengonfigurasi Databricks CLI di Azure VM Anda untuk menggunakan autentikasi identitas terkelola Azure dan menjalankan perintah untuk mengotomatiskan akun dan ruang kerja Azure Databricks Anda.

• Untuk informasi selengkapnya tentang identitas terkelola, lihat Apa yang dimaksud dengan identitas terkelola untuk sumber daya Azure?.
• Untuk informasi selengkapnya tentang autentikasi identitas terkelola Azure untuk Azure Databricks, lihat Mengautentikasi dengan identitas terkelola Azure.

Nota

Identitas terkelola untuk sumber daya Azure berbeda dari perwakilan layanan terkelola di Microsoft Entra ID, yang juga didukung oleh Azure Databricks untuk autentikasi. Untuk mempelajari cara menggunakan perwakilan layanan terkelola ID Microsoft Entra untuk autentikasi Azure Databricks, lihat:

• Mengautentikasi dengan perwakilan layanan Microsoft Entra
• Mendapatkan token ID Microsoft Entra secara manual
• Masuk dengan Azure CLI
• Mengautentikasi dengan Azure PowerShell

Persyaratan

• Izin Azure RBAC untuk membuat dan menetapkan identitas terkelola.
• Peran admin akun atau ruang kerja untuk menetapkan identitas terkelola ke Azure Databricks. Lihat Menetapkan peran admin akun untuk pengguna dan Menetapkan peran admin ruang kerja kepada pengguna.
• Peran Kontributor Komputer Virtual dan Operator Identitas Terkelola untuk membuat Azure VM dan menetapkan identitas terkelola ke dalamnya.

Langkah 1: Membuat identitas terkelola yang ditetapkan pengguna

Buat identitas terkelola yang ditetapkan pengguna untuk sumber daya Azure. Azure mendukung identitas terkelola yang ditetapkan sistem dan ditetapkan pengguna. Databricks merekomendasikan penggunaan identitas terkelola yang ditetapkan pengguna untuk autentikasi identitas terkelola Azure dengan Azure Databricks.

Untuk membuat identitas terkelola yang ditetapkan pengguna, ikuti instruksi dalam Mengelola identitas terkelola yang ditetapkan pengguna menggunakan portal Microsoft Azure.

Setelah membuat identitas terkelola, salin nilai ID Klien dari halaman gambaran umum identitas terkelola. Anda akan memerlukan nilai ini di Langkah 2, 3, dan 7.

Langkah 2: Tetapkan identitas terkelola ke akun Anda

Tetapkan identitas terkelola Anda ke akun Azure Databricks Anda. Databricks menganggap identitas terkelola sebagai prinsipal layanan. Jika Anda tidak memerlukan akses tingkat akun, lewati ke Langkah 3.

Ikuti instruksi di Menambahkan perwakilan layanan ke akun Anda. Pilih ID Microsoft Entra yang dikelola dan tempel ID Klien dari Langkah 1 sebagai ID aplikasi Microsoft Entra.

Langkah 3: Tetapkan identitas terkelola ke ruang kerja Anda

Tetapkan identitas terkelola ke ruang kerja Azure Databricks Anda. Databricks menganggap identitas terkelola sebagai prinsipal layanan. Ikuti instruksi di Menetapkan perwakilan layanan ke ruang kerja.

Saat menambahkan perwakilan layanan:

• Jika ruang kerja Anda dilengkapi federasi identitas: Pilih prinsipal layanan yang telah Anda buat di Langkah 2.
• Jika ruang kerja Anda tidak diaktifkan untuk federasi identitas: Gunakan ID Klien dari Langkah 1 sebagai ApplicationId.

Langkah 4: Dapatkan ID sumber daya Azure untuk ruang kerja Anda

Dapatkan ID sumber daya ruang kerja Azure Databricks Anda yang ditetapkan oleh Azure. Anda akan memerlukan nilai ini di Langkah 7.

1. Di ruang kerja Azure Databricks Anda, klik nama pengguna Anda di bilah atas dan klik Portal Microsoft Azure.

2. Pada panel samping, di bagian Pengaturan , klik Properti.

3. Di bagian Esensial , salin nilai Id . Tampilannya akan terlihat seperti berikut:

   /subscriptions/<subscription-id>/resourceGroups/<resource-group-id>/providers/Microsoft.Databricks/workspaces/<workspace-id>
   

Langkah 5: Membuat dan masuk ke Azure VM

Azure VM adalah salah satu jenis sumber daya yang mendukung identitas terkelola. Anda akan menggunakan VM ini untuk menjalankan Databricks CLI dengan autentikasi identitas terkelola.

Nota

Azure VM ini hanya untuk tujuan demonstrasi dan menggunakan pengaturan yang tidak dioptimalkan untuk penggunaan produksi.

Untuk membuat dan menyambungkan ke VM Ubuntu Server menggunakan autentikasi SSH, ikuti instruksi di Mulai Cepat: Membuat komputer virtual Linux di portal Microsoft Azure.

Saat membuat VM:

• Gunakan Ubuntu Server 22.04 LTS sebagai gambar.
• Pilih kunci umum SSH sebagai jenis autentikasi.
• Perhatikan lokasi file kunci privat yang diunduh (.pem) dan alamat IP publik VM, karena Anda akan memerlukannya untuk terhubung ke VM.

Langkah 6: Tetapkan identitas terkelola ke Azure VM

Kaitkan identitas terkelola Anda dengan Azure VM Anda sehingga Azure dapat menggunakannya untuk autentikasi. Lihat Menetapkan identitas terkelola yang ditetapkan pengguna ke VM yang sudah ada.

1. Di portal Microsoft Azure, navigasikan ke halaman pengaturan Azure VM Anda dan klik Identitas di bagian Pengaturan .
2. Pada tab Pengguna yang ditetapkan , klik + Tambahkan.
3. Pilih identitas terkelola yang Anda buat di Langkah 1 dan klik Tambahkan.

Langkah 7: Mengonfigurasi autentikasi

Instal dan konfigurasikan Databricks CLI di Azure VM Anda untuk menggunakan autentikasi identitas terkelola Azure.

Menginstal CLI

Dari sesi SSH Anda di Azure VM, instal Databricks CLI:

sudo apt install unzip
curl -fsSL https://raw.githubusercontent.com/databricks/setup-cli/main/install.sh | sudo sh

Verifikasi penginstalan:

databricks -v

Menambahkan profil konfigurasi

Buat atau edit .databrickscfg file di direktori beranda Anda (~/.databrickscfg) dengan konten berikut. Lihat Profil konfigurasi Azure Databricks.

Ganti nilai berikut:

• <account-console-url> gunakan URL konsol akun Azure Databricks Anda.
• <account-id> dengan ID akun Azure Databricks Anda. Lihat Menemukan ID akun Anda.
• <azure-managed-identity-application-id> dengan nilai ID Klien untuk identitas terkelola Anda dari Langkah 1.
• <workspace-url> dengan URL khusus ruang kerja Anda, misalnya https://adb-1234567890123456.7.azuredatabricks.net.
• <azure-workspace-resource-id> dengan Azure Resource ID dari Langkah 4.
• Secara opsional, ganti nama profil konfigurasi yang disarankan AZURE_MI_ACCOUNT dan AZURE_MI_WORKSPACE dengan nama yang berbeda.

Jika Anda tidak memerlukan operasi tingkat akun, hilangkan bagian .[AZURE_MI_ACCOUNT]

[AZURE_MI_ACCOUNT]
host            = <account-console-url>
account_id      = <account-id>
azure_client_id = <azure-managed-identity-application-id>
azure_use_msi   = true

[AZURE_MI_WORKSPACE]
host                        = <workspace-url>
azure_workspace_resource_id = <azure-workspace-resource-id>
azure_client_id             = <azure-managed-identity-application-id>
azure_use_msi               = true

Langkah 8: Uji konfigurasi

Uji konfigurasi dengan menjalankan perintah Databricks CLI dari sesi SSH Anda di Azure VM.

Untuk menguji akses tingkat akun (jika Anda mengonfigurasinya di Langkah 7):

databricks account users list -p AZURE_MI_ACCOUNT

Untuk menguji akses tingkat ruang kerja:

databricks users list -p AZURE_MI_WORKSPACE

Jika Anda mengganti nama profil konfigurasi di Langkah 7, ganti AZURE_MI_ACCOUNT atau AZURE_MI_WORKSPACE dengan nama kustom Anda.