Autentikasi untuk Databricks CLI

Catatan

Informasi ini berlaku untuk Databricks CLI versi 0.205 ke atas. Databricks CLI ada di Pratinjau Umum.

Penggunaan Databricks CLI tunduk pada Lisensi Databricks dan Pemberitahuan Privasi Databricks, termasuk ketentuan Data Penggunaan apa pun.

Artikel ini menjelaskan cara menyiapkan autentikasi antara Azure Databricks CLI dan akun dan ruang kerja Azure Databricks Anda. Ini mengasumsikan Anda sudah menginstal Azure Databricks CLI. Lihat Menginstal atau memperbarui Databricks CLI.

Sebelum menjalankan perintah Azure Databricks CLI, Anda harus mengonfigurasi autentikasi untuk akun atau ruang kerja yang anda rencanakan untuk digunakan. Penyiapan yang diperlukan bergantung pada apakah Anda ingin menjalankan perintah tingkat ruang kerja , perintah tingkat akun , atau keduanya.

Untuk melihat grup perintah CLI yang tersedia, jalankan databricks -h. Untuk daftar operasi REST API yang sesuai, lihat Databricks REST API.

Untuk informasi tentang autentikasi Microsoft Entra ke Databricks dengan Azure DevOps secara khusus, lihat Mengautentikasi dengan Azure DevOps di Azure Databricks.

Autentikasi mesin ke mesin (M2M) OAuth

Autentikasi mesin-ke-mesin (M2M) dengan OAuth memungkinkan layanan, skrip, atau aplikasi untuk mengakses sumber daya Databricks tanpa masuk pengguna interaktif. Alih-alih mengandalkan token akses pribadi (PATs) atau kredensial pengguna, autentikasi M2M menggunakan perwakilan layanan dan alur kredensial klien OAuth untuk meminta dan mengelola token.

Untuk mengonfigurasi dan menggunakan autentikasi M2M OAuth:

1. Selesaikan langkah-langkah penyiapan autentikasi M2M OAuth. Lihat Mengotorisasi akses perwakilan layanan ke Azure Databricks dengan OAuth.

2. Buat profil konfigurasi Azure Databricks dengan bidang berikut di file Anda .databrickscfg .

   Untuk perintah tingkat akun

   [<some-unique-configuration-profile-name>]
   host          = <account-console-url>
   account_id    = <account-id>
   client_id     = <service-principal-client-id>
   client_secret = <service-principal-oauth-secret>
   

   Untuk perintah tingkat ruang kerja

   [<some-unique-configuration-profile-name>]
   host          = <workspace-url>
   client_id     = <service-principal-client-id>
   client_secret = <service-principal-oauth-secret>
   

Untuk menggunakan profil, berikan dengan --profile bendera atau -p dalam perintah CLI. Contohnya:

databricks account groups list -p <profile-name>

Tekan Tab setelah --profile atau -p untuk menampilkan daftar profil yang tersedia.

Autentikasi pengguna ke mesin (U2M) OAuth

Dengan autentikasi pengguna-ke-mesin (U2M) OAuth, Anda masuk secara interaktif dan CLI mengelola token berumur pendek atas nama Anda. Token OAuth kedaluwarsa dalam waktu kurang dari satu jam, yang mengurangi risiko jika token secara tidak sengaja terekspos. Lihat Mengotorisasi akses pengguna ke Azure Databricks dengan OAuth.

Untuk masuk:

Untuk perintah tingkat akun

databricks auth login --host <account-console-url> --account-id <account-id>

Untuk perintah tingkat ruang kerja

databricks auth login --host <workspace-url>

CLI memandu Anda melalui alur masuk berbasis browser. Setelah selesai, CLI menyimpan kredensial sebagai profil konfigurasi. Anda dapat menerima nama profil yang disarankan atau memasukkan nama Anda sendiri.

Untuk menggunakan profil, berikan dengan --profile bendera atau -p dalam perintah CLI. Contohnya:

databricks clusters list -p <profile-name>

Tekan Tab setelah --profile atau -p untuk menampilkan daftar profil yang tersedia.

Autentikasi identitas Azure yang dikelola

Autentikasi identitas terkelola Azure menggunakan identitas terkelola untuk sumber daya Azure (sebelumnya Managed Service Identities (MSI)) untuk autentikasi. Lihat Apa itu identitas terkelola untuk sumber daya Azure?. Lihat juga Mengautentikasi dengan identitas terkelola Azure.

Untuk membuat identitas terkelola yang ditetapkan pengguna Azure, lakukan hal berikut:

1. Buat atau identifikasi Azure VM dan instal Databricks CLI di dalamnya, lalu tetapkan identitas terkelola Anda ke Azure VM dan akun, ruang kerja, atau keduanya Azure Databricks target Anda. Lihat Menggunakan identitas terkelola Azure dengan Azure Databricks.

2. Di Azure VM, buat atau identifikasi profil konfigurasi Azure Databricks dengan bidang berikut dalam file Anda .databrickscfg . Jika Anda membuat profil, ganti placeholder dengan nilai yang sesuai.

   Untuk perintah tingkat akun , atur nilai berikut dalam file Anda:

   [<some-unique-configuration-profile-name>]
   host            = <account-console-url>
   account_id      = <account-id>
   azure_client_id = <azure-managed-identity-application-id>
   azure_use_msi   = true
   

   Untuk perintah tingkat ruang kerja , atur nilai berikut dalam file Anda:

   [<some-unique-configuration-profile-name>]
   host            = <workspace-url>
   azure_client_id = <azure-managed-identity-application-id>
   azure_use_msi   = true
   

   Databricks merekomendasikan penggunaan host dan secara eksplisit menetapkan identitas ke ruang kerja. Atau, gunakan azure_workspace_resource_id dengan ID sumber daya Azure. Pendekatan ini memerlukan izin Kontributor atau Pemilik pada sumber daya Azure, atau peran kustom dengan izin Azure Databricks tertentu.

3. Di Azure VM, gunakan opsi --profile atau -p dari CLI Databricks diikuti dengan nama profil konfigurasi Anda untuk mengatur profil yang akan digunakan oleh Databricks, misalnya, databricks account groups list -p <configuration-profile-name> atau databricks clusters list -p <configuration-profile-name>.

   Petunjuk / Saran

   Anda dapat menekan Tab setelah --profile atau -p untuk menampilkan daftar profil konfigurasi yang tersedia untuk dipilih, alih-alih memasukkan nama profil konfigurasi secara manual.

Autentikasi prinsipal layanan ID Microsoft Entra

Autentikasi perwakilan layanan ID Microsoft Entra menggunakan kredensial perwakilan layanan ID Microsoft Entra untuk mengautentikasi. Untuk membuat dan mengelola perwakilan layanan untuk Azure Databricks, lihat Perwakilan layanan. Lihat juga Mengautentikasi dengan perwakilan layanan Microsoft Entra.

Untuk mengonfigurasi dan menggunakan autentikasi perwakilan layanan MICROSOFT Entra ID, Anda harus menginstal Autentikasi dengan Azure CLI secara lokal. Anda juga harus melakukan hal berikut:

1. Buat atau identifikasi profil konfigurasi Azure Databricks dengan bidang-bidang berikut di dalam file .databrickscfg Anda. Jika Anda membuat profil, ganti placeholder dengan nilai yang sesuai.

   Untuk perintah tingkat akun , atur nilai berikut dalam file Anda:

   [<some-unique-configuration-profile-name>]
   host                = <account-console-url>
   account_id          = <account-id>
   azure_tenant_id     = <azure-service-principal-tenant-id>
   azure_client_id     = <azure-service-principal-application-id>
   azure_client_secret = <azure-service-principal-client-secret>
   

   Untuk perintah tingkat ruang kerja , atur nilai berikut dalam file Anda:

   [<some-unique-configuration-profile-name>]
   host                = <workspace-url>
   azure_tenant_id     = <azure-service-principal-tenant-id>
   azure_client_id     = <azure-service-principal-application-id>
   azure_client_secret = <azure-service-principal-client-secret>
   

   Databricks merekomendasikan penggunaan host dan secara eksplisit menetapkan perwakilan layanan ID Microsoft Entra ke ruang kerja. Atau, gunakan azure_workspace_resource_id dengan ID sumber daya Azure. Pendekatan ini memerlukan izin Kontributor atau Pemilik pada sumber daya Azure, atau peran kustom dengan izin Azure Databricks tertentu.

2. Gunakan opsi --profile atau -p dari CLI Databricks, yang diikuti dengan nama profil konfigurasi Anda, sebagai bagian dari panggilan perintah Databricks CLI, misalnya databricks account groups list -p <configuration-profile-name> atau databricks clusters list -p <configuration-profile-name>.

   Petunjuk / Saran

   Anda dapat menekan Tab setelah --profile atau -p untuk menampilkan daftar profil konfigurasi yang tersedia untuk dipilih, alih-alih memasukkan nama profil konfigurasi secara manual.

Autentikasi Azure CLI

Autentikasi Azure CLI menggunakan Azure CLI untuk mengautentikasi entitas yang masuk. Lihat juga Mengautentikasi dengan Azure CLI.

Untuk mengonfigurasi autentikasi Azure CLI, Anda harus melakukan hal berikut:

1. Instal Azure CLI secara lokal.

2. Gunakan Azure CLI untuk masuk ke Azure Databricks dengan menjalankan az login perintah . Lihat Masuk dengan Azure CLI.

3. Buat atau identifikasi profil konfigurasi Azure Databricks dengan bidang-bidang berikut di dalam file .databrickscfg Anda. Jika Anda membuat profil, ganti placeholder dengan nilai yang sesuai.

   Untuk perintah tingkat akun , atur nilai berikut dalam file Anda:

   [<some-unique-configuration-profile-name>]
   host       = <account-console-url>
   account_id = <account-id>
   

   Untuk perintah tingkat ruang kerja , atur nilai berikut dalam file Anda:

   [<some-unique-configuration-profile-name>]
   host = <workspace-url>
   

4. Gunakan opsi --profile atau -p dari CLI Databricks, yang diikuti dengan nama profil konfigurasi Anda, sebagai bagian dari panggilan perintah Databricks CLI, misalnya databricks account groups list -p <configuration-profile-name> atau databricks clusters list -p <configuration-profile-name>.

   Petunjuk / Saran

   Anda dapat menekan Tab setelah --profile atau -p untuk menampilkan daftar profil konfigurasi yang tersedia untuk dipilih, alih-alih memasukkan nama profil konfigurasi secara manual.

Urutan evaluasi autentikasi

Setiap kali Databricks CLI mengautentikasi ke ruang kerja atau akun Azure Databricks, Databricks mencari pengaturan yang diperlukan dalam urutan berikut:

1. File pengaturan bundel, untuk perintah yang dijalankan dari direktori kerja bundel. File pengaturan bundel tidak dapat berisi nilai kredensial secara langsung.
2. Variabel lingkungan, seperti yang tercantum dalam artikel ini dan di Variabel dan bidang Lingkungan untuk autentikasi terpadu.
3. Profil konfigurasi dalam .databrickscfg file.

Segera setelah CLI menemukan pengaturan yang diperlukan, CLI berhenti mencari lokasi lain.

Examples:

• DATABRICKS_TOKEN Jika variabel lingkungan diatur, CLI menggunakannya, bahkan jika beberapa token ada di .databrickscfg.
• Jika tidak ada DATABRICKS_TOKEN yang diatur, dan lingkungan bundel mereferensikan nama profil seperti dev profil DEV→ , CLI menggunakan kredensial dari profil tersebut di .databrickscfg.
• Jika tidak ada DATABRICKS_TOKEN yang diatur, dan lingkungan bundel menentukan host nilai, CLI mencari profil dengan .databrickscfg pencocokan host dan menggunakannya token.

Autentikasi token akses pribadi (tidak digunakan lagi)

Penting

Autentikasi dasar menggunakan nama pengguna dan kata sandi Azure Databricks mencapai akhir masa pakai pada 10 Juli 2024. Untuk mengautentikasi dengan akun Azure Databricks, gunakan salah satu metode autentikasi berikut:

• Autentikasi OAuth mesin-ke-mesin (M2M)
• Autentikasi pengguna ke komputer (U2M) OAuth
• Autentikasi identitas Azure yang dikelola
• Autentikasi prinsipal layanan Microsoft Entra ID
• Autentikasi Azure CLI

Autentikasi token akses pribadi Azure Databricks menggunakan token akses pribadi Azure Databricks untuk mengautentikasi entitas Azure Databricks target, seperti akun pengguna Azure Databricks. Lihat Mengautentikasi dengan token akses pribadi Azure Databricks (warisan).

Untuk membuat token akses pribadi, ikuti langkah-langkah dalam Membuat token akses pribadi untuk pengguna ruang kerja.