Autentikasi untuk Databricks CLI

Catatan

Informasi ini berlaku untuk Databricks CLI versi 0.205 ke atas. Databricks CLI ada di Pratinjau Umum.

Penggunaan Databricks CLI tunduk pada Lisensi Databricks dan Pemberitahuan Privasi Databricks, termasuk ketentuan Data Penggunaan apa pun.

Artikel ini menjelaskan cara menyiapkan autentikasi antara Databricks CLI dan akun dan ruang kerja Azure Databricks Anda. Ini mengasumsikan Anda sudah menginstal Databricks CLI. Lihat Menginstal atau memperbarui Databricks CLI.

Sebelum menjalankan perintah Databricks CLI, Anda harus mengonfigurasi autentikasi untuk akun atau ruang kerja yang anda rencanakan untuk digunakan. Penyiapan yang diperlukan bergantung pada apakah Anda ingin menjalankan perintah tingkat ruang kerja , perintah tingkat akun , atau keduanya.

Untuk melihat grup perintah CLI yang tersedia, jalankan databricks -h. Untuk daftar operasi REST API yang sesuai, lihat Databricks REST API.

Untuk informasi tentang autentikasi Microsoft Entra ke Databricks dengan Azure DevOps secara khusus, lihat Authenticate dengan Azure DevOps di Azure Databricks.

Autentikasi mesin ke mesin (M2M) OAuth

Autentikasi mesin-ke-mesin (M2M) dengan OAuth memungkinkan layanan, skrip, atau aplikasi untuk mengakses sumber daya Databricks tanpa masuk pengguna interaktif. Alih-alih mengandalkan token akses pribadi (PATs) atau kredensial pengguna, autentikasi M2M menggunakan perwakilan layanan dan alur kredensial klien OAuth untuk meminta dan mengelola token.

Untuk mengonfigurasi dan menggunakan autentikasi M2M OAuth:

1. Selesaikan langkah-langkah penyiapan autentikasi M2M OAuth. Lihat Otorisasi akses prinsipal layanan ke Azure Databricks dengan OAuth.

2. Buat profil konfigurasi Azure Databricks dengan bidang berikut dalam file Anda .

   Untuk perintah tingkat akun

   [<some-unique-configuration-profile-name>]
   host          = <account-console-url>
   account_id    = <account-id>
   client_id     = <service-principal-client-id>
   client_secret = <service-principal-oauth-secret>
   

   Untuk perintah tingkat ruang kerja

   [<some-unique-configuration-profile-name>]
   host          = <workspace-url>
   client_id     = <service-principal-client-id>
   client_secret = <service-principal-oauth-secret>
   

Untuk menggunakan profil, terapkan dengan flag --profile atau -p dalam perintah CLI. Contohnya:

databricks account groups list -p <profile-name>

Tekan Tab setelah --profile atau -p untuk menampilkan daftar profil yang tersedia.

Autentikasi pengguna ke mesin (U2M) OAuth

Dengan autentikasi pengguna-ke-mesin (U2M) OAuth, Anda masuk secara interaktif dan CLI mengelola token berumur pendek atas nama Anda. Token OAuth kedaluwarsa dalam waktu kurang dari satu jam, yang mengurangi risiko jika token secara tidak sengaja terekspos. Lihat Otorisasi akses pengguna ke Azure Databricks dengan OAuth.

Untuk masuk:

Untuk perintah tingkat akun

databricks auth login --host <account-console-url> --account-id <account-id>

Untuk perintah tingkat ruang kerja

databricks auth login --host <workspace-url>

CLI memandu Anda melalui alur masuk berbasis browser. Setelah selesai, CLI menyimpan kredensial sebagai profil konfigurasi. Anda dapat menerima nama profil yang disarankan atau memasukkan nama Anda sendiri.

Untuk menggunakan profil, terapkan dengan flag --profile atau -p dalam perintah CLI. Contohnya:

databricks clusters list -p <profile-name>

Tekan Tab setelah --profile atau -p untuk menampilkan daftar profil yang tersedia.

Autentikasi identitas terkelola Azure

Azure Managed Identities menggunakan identitas terkelola untuk sumber daya Azure (sebelumnya Managed Service Identities (MSI)) dalam proses autentikasi. Lihat Apa identitas terkelola untuk sumber daya Azure?. Lihat juga Mengotentikasi dengan identitas terkelola Azure.

Untuk membuat identitas terkelola yang ditetapkan pengguna Azure, lakukan hal berikut:

1. Buat atau identifikasi VM Azure dan instal Databricks CLI di dalamnya, lalu tetapkan identitas terkelola Anda ke VM Azure dan akun Azure Databricks target, ruang kerja, atau keduanya. Lihat Gunakan identitas terkelola Azure dengan Azure Databricks.

2. Pada VM Azure, buat atau identifikasi profil konfigurasi Azure Databricks dengan bidang berikut di dalam file .databrickscfg Anda. Jika Anda membuat profil, ganti placeholder dengan nilai yang sesuai.

   Untuk perintah tingkat akun , atur nilai berikut dalam file Anda:

   [<some-unique-configuration-profile-name>]
   host            = <account-console-url>
   account_id      = <account-id>
   azure_client_id = <azure-managed-identity-application-id>
   azure_use_msi   = true
   

   Untuk perintah tingkat ruang kerja , atur nilai berikut dalam file Anda:

   [<some-unique-configuration-profile-name>]
   host            = <workspace-url>
   azure_client_id = <azure-managed-identity-application-id>
   azure_use_msi   = true
   

   Databricks merekomendasikan penggunaan host dan secara eksplisit menetapkan identitas ke ruang kerja. Atau, gunakan azure_workspace_resource_id dengan ID sumber daya Azure. Pendekatan ini memerlukan izin Kontributor atau Pemilik pada sumber daya Azure, atau peran kustom dengan izin Azure Databricks tertentu.

3. Pada VM Azure, gunakan opsi databricks CLI --profile atau -p diikuti dengan nama profil konfigurasi Anda untuk mengatur profil databricks yang akan digunakan, misalnya, databricks account groups list -p <configuration-profile-name> atau databricks clusters list -p <configuration-profile-name>.

   Petunjuk / Saran

   Anda dapat menekan Tab setelah --profile atau -p untuk menampilkan daftar profil konfigurasi yang tersedia untuk dipilih, alih-alih memasukkan nama profil konfigurasi secara manual.

Autentikasi principal layanan Microsoft Entra ID

Prinsipal layanan Microsoft Entra ID menggunakan kredensial dari prinsipal layanan Microsoft Entra ID untuk autentikasi. Untuk membuat dan mengelola prinsipal layanan untuk Azure Databricks, lihat Service principals. Lihat juga Otentikasi menggunakan principal layanan Microsoft Entra.

Untuk mengonfigurasi dan menggunakan autentikasi prinsipal layanan Microsoft Entra ID, Anda harus memiliki Autentikasi dengan Azure CLI terinstal secara lokal. Anda juga harus melakukan hal berikut:

1. Buat atau identifikasi profil Azure Databricks configuration dengan bidang berikut dalam file .databrickscfg Anda. Jika Anda membuat profil, ganti placeholder dengan nilai yang sesuai.

   Untuk perintah tingkat akun , atur nilai berikut dalam file Anda:

   [<some-unique-configuration-profile-name>]
   host                = <account-console-url>
   account_id          = <account-id>
   azure_tenant_id     = <azure-service-principal-tenant-id>
   azure_client_id     = <azure-service-principal-application-id>
   azure_client_secret = <azure-service-principal-client-secret>
   

   Untuk perintah tingkat ruang kerja , atur nilai berikut dalam file Anda:

   [<some-unique-configuration-profile-name>]
   host                = <workspace-url>
   azure_tenant_id     = <azure-service-principal-tenant-id>
   azure_client_id     = <azure-service-principal-application-id>
   azure_client_secret = <azure-service-principal-client-secret>
   

   Databricks merekomendasikan penggunaan host dan secara eksplisit menetapkan perwakilan layanan Microsoft Entra ID ke ruang kerja. Atau, gunakan azure_workspace_resource_id dengan ID sumber daya Azure. Pendekatan ini memerlukan izin Kontributor atau Pemilik pada sumber daya Azure, atau peran kustom dengan izin Azure Databricks tertentu.

2. Gunakan opsi --profile atau -p dari CLI Databricks, yang diikuti dengan nama profil konfigurasi Anda, sebagai bagian dari panggilan perintah Databricks CLI, misalnya databricks account groups list -p <configuration-profile-name> atau databricks clusters list -p <configuration-profile-name>.

   Petunjuk / Saran

   Anda dapat menekan Tab setelah --profile atau -p untuk menampilkan daftar profil konfigurasi yang tersedia untuk dipilih, alih-alih memasukkan nama profil konfigurasi secara manual.

Azure CLI autentikasi

autentikasi Azure CLI menggunakan Azure CLI untuk mengautentikasi entitas yang masuk. Lihat juga Mengotentikasi dengan Azure CLI.

Untuk mengonfigurasi autentikasi Azure CLI, Anda harus melakukan hal berikut:

1. Pasang Azure CLI secara lokal.

2. Gunakan Azure CLI untuk masuk ke Azure Databricks dengan menjalankan perintah az login. Lihat Masuk dengan Azure CLI.

3. Buat atau identifikasi profil Azure Databricks configuration dengan bidang berikut dalam file .databrickscfg Anda. Jika Anda membuat profil, ganti placeholder dengan nilai yang sesuai.

   Untuk perintah tingkat akun , atur nilai berikut dalam file Anda:

   [<some-unique-configuration-profile-name>]
   host       = <account-console-url>
   account_id = <account-id>
   

   Untuk perintah tingkat ruang kerja , atur nilai berikut dalam file Anda:

   [<some-unique-configuration-profile-name>]
   host = <workspace-url>
   

4. Gunakan opsi --profile atau -p dari CLI Databricks, yang diikuti dengan nama profil konfigurasi Anda, sebagai bagian dari panggilan perintah Databricks CLI, misalnya databricks account groups list -p <configuration-profile-name> atau databricks clusters list -p <configuration-profile-name>.

   Petunjuk / Saran

   Anda dapat menekan Tab setelah --profile atau -p untuk menampilkan daftar profil konfigurasi yang tersedia untuk dipilih, alih-alih memasukkan nama profil konfigurasi secara manual.

Urutan evaluasi autentikasi

Setiap kali Databricks CLI mengautentikasi ke ruang kerja atau akun Azure Databricks, Databricks CLI mencari pengaturan yang diperlukan dalam urutan berikut:

1. File pengaturan bundel, untuk perintah yang dieksekusi dari direktori kerja bundel. File pengaturan bundel tidak dapat berisi nilai kredensial secara langsung.
2. Variabel lingkungan, seperti yang tercantum dalam artikel ini dan di Variabel dan bidang Lingkungan untuk autentikasi terpadu.
3. Profil konfigurasi dalam .databrickscfg file.

Segera setelah CLI menemukan pengaturan yang diperlukan, CLI berhenti mencari lokasi lain.

Examples:

• DATABRICKS_TOKEN Jika variabel lingkungan diatur, CLI menggunakannya, bahkan jika beberapa token ada di .databrickscfg.
• Jika tidak ada DATABRICKS_TOKEN yang diatur, dan lingkungan bundel mereferensikan nama profil seperti dev → profil DEV, maka CLI menggunakan kredensial dari profil tersebut di .databrickscfg.
• Jika tidak ada DATABRICKS_TOKEN yang diatur, dan lingkungan bundel menentukan nilai host, CLI mencari profil di .databrickscfg yang cocok dengan host dan menggunakan token-nya.

Autentikasi token akses pribadi (warisan)

Penting

Jika memungkinkan, Azure Databricks merekomendasikan penggunaan OAuth alih-alih PAT untuk autentikasi akun pengguna karena OAuth memberikan keamanan yang lebih kuat. Pertimbangkan metode autentikasi berikut:

• Autentikasi OAuth mesin-ke-mesin (M2M)
• Autentikasi pengguna ke komputer (U2M) OAuth
• Autentikasi identitas terkelola Azure
• Microsoft Entra ID autentikasi prinsipal layanan
• autentikasi Azure CLI

Azure Databricks autentikasi token akses pribadi menggunakan token akses pribadi Azure Databricks untuk mengautentikasi entitas Azure Databricks target, seperti akun pengguna Azure Databricks. Lihat Mengautentikasi dengan token akses pribadi Azure Databricks (lama).

Untuk membuat token akses pribadi, ikuti langkah-langkah dalam Membuat token akses pribadi untuk pengguna ruang kerja.