서비스 주체 관리

이 문서에서는 Azure Databricks 계정 및 작업 영역에 대한 서비스 주체를 만들고 관리하는 방법을 설명합니다.

Azure Databricks ID 모델에 대한 개요는 Azure Databricks ID를 참조하세요.

서비스 주체에 대한 액세스를 관리하려면 인증 및 액세스 제어를 참조하세요.

서비스 주체란?

서비스 주체는 자동화된 도구, 작업 및 애플리케이션에 사용하기 위해 Azure Databricks에서 만드는 ID입니다. 서비스 주체는 Azure Databricks 리소스에 대한 자동화된 도구와 스크립트 API 전용 액세스를 제공하여 사용자 또는 그룹을 사용하는 것보다 강력한 보안을 제공합니다.

Azure Databricks 사용자와 동일한 방식으로 서비스 주체의 리소스 액세스 권한을 부여하고 제한할 수 있습니다. 이러한 기능으로 다음을 수행할 수 있습니다.

• 서비스 주체 계정 관리자 및 작업 영역 관리자 역할을 부여합니다.
• Unity 카탈로그를 사용하는 계정 수준에서 또는 작업 영역 수준에서 서비스 주체에게 데이터 액세스 권한을 부여합니다.
• 작업 영역 admins 그룹을 포함하여 계정 수준과 작업 영역 수준 둘 다에서 그룹에 서비스 주체를 추가합니다.

Azure Databricks 사용자, 서비스 주체 및 그룹에게 서비스 주체를 사용할 권한을 부여할 수도 있습니다. 이를 통해 사용자는 ID 대신 서비스 주체로 작업을 실행할 수 있습니다. 또한 사용자가 퇴사하거나 그룹이 수정되더라도 작업이 실패하지 않도록 방지합니다.

Azure Databricks 사용자와 달리 서비스 주체는 API 전용 ID입니다. Azure Databricks UI에 액세스하는 데 사용할 수 없습니다.

Databricks에서는 ID 페더레이션에 작업 영역을 사용하도록 설정하는 것이 좋습니다. ID 페더레이션을 사용하면 계정 콘솔에서 서비스 주체를 구성한 다음, 액세스 권한을 특정 작업 영역에 할당할 수 있습니다. 이렇게 하면 Azure Databricks 관리 및 데이터 거버넌스가 간소화됩니다.

Important

Databricks는 2023년 11월 9일에 ID 페더레이션 및 Unity 카탈로그에 새 작업 영역을 자동으로 사용하도록 설정하기 시작했으며, 계정 간에 점진적으로 롤아웃이 진행되었습니다. 기본적으로 작업 영역이 ID 페더레이션에 사용하도록 설정된 경우 비활성화할 수 없습니다. 자세한 내용은 Unity 카탈로그 자동 사용을 참조하세요.

Databricks 및 Microsoft Entra ID 서비스 주체

서비스 주체는 Azure Databricks 관리형 서비스 주체 또는 Microsoft Entra ID 관리형 서비스 주체일 수 있습니다.

Azure Databricks 관리형 서비스 주체는 Databricks OAuth 인증 및 개인용 액세스 토큰을 사용하여 Azure Databricks에 인증할 수 있습니다. Microsoft Entra ID 관리형 서비스 주체는 Databricks OAuth 인증 및 Microsoft Entra ID 토큰을 사용하여 Azure Databricks에 인증할 수 있습니다. 서비스 주체의 인증에 대한 자세한 내용은 서비스 주체의 토큰 관리를 참조하세요.

Azure Databricks 관리형 서비스 주체는 Azure Databricks 내에서 직접 관리됩니다. Microsoft Entra ID 관리형 서비스 주체는 추가 권한이 필요한 Microsoft Entra ID에서 관리됩니다. Databricks는 Azure Databricks 자동화를 위해 Azure Databricks 관리형 서비스 주체를 사용하고, Azure Databricks 및 기타 Azure 리소스에서 동시에 인증해야 하는 경우 Microsoft Entra ID 관리형 서비스 주체를 사용하도록 권장합니다.

Azure Databricks 관리형 서비스 주체를 만들려면 이 섹션을 건너뛰고 서비스 주체를 관리하고 사용할 수 있는 사용자를 계속 읽어보세요.

Azure Databricks에서 Microsoft Entra ID 관리형 서비스 주체를 사용하려면 관리 사용자가 Azure에서 Microsoft Entra ID 애플리케이션을 만들어야 합니다. Microsoft Entra ID 관리형 서비스 주체를 만들려면 다음 지침을 따릅니다.

1. Azure Portal에 로그인합니다.

   참고 항목

   사용할 포털은 Microsoft Entra ID 애플리케이션이 Azure 퍼블릭 클라우드나 국가 또는 소버린 클라우드에서 실행되는지 여부에 따라 달라집니다. 자세한 내용은 국가별 클라우드를 참조하세요.

2. 여러 테넌트, 구독 또는 디렉터리에 액세스할 수 있는 경우 상단 메뉴에서 디렉터리 + 구독(필터가 있는 디렉터리) 아이콘을 클릭하여 서비스 주체를 프로비저닝할 디렉터리로 전환합니다.

3. 검색 리소스, 서비스 및 문서에서 Microsoft Entra ID를 검색하고 선택합니다.

4. + 추가를 클릭하고 앱 등록을 선택합니다.

5. 이름에 애플리케이션의 이름을 입력합니다.

6. 지원되는 계정 유형 섹션에서 이 조직 디렉터리의 계정만(단일 테넌트)을 선택합니다.

7. 등록을 클릭합니다.

8. 애플리케이션 페이지의 개요 페이지에서 Essentials 섹션의 다음 값을 복사합니다.

   • 애플리케이션(클라이언트) ID
   • 디렉터리(테넌트) ID

   

9. 클라이언트 암호를 생성하려면 관리 내에서 인증서 및 암호를 클릭합니다.

   참고 항목

   이 클라이언트 암호를 사용하여 Azure Databricks를 통해 Microsoft Entra ID 서비스 주체를 인증하기 위한 Microsoft Entra ID 토큰을 생성합니다. Azure Databricks 도구 또는 SDK에서 Microsoft Entra ID 토큰을 사용할 수 있는지 여부를 확인하려면 도구 또는 SDK 설명서를 참조하세요.

10. 클라이언트 암호 탭에서 새 클라이언트 암호를 클릭합니다.

    

11. 클라이언트 암호 추가 창의 설명에 클라이언트 암호에 대한 설명을 입력합니다.

12. 만료에 클라이언트 암호의 만료 기간을 선택한 다음, 추가를 클릭합니다.

13. 이 클라이언트 암호는 애플리케이션의 비밀이므로 클라이언트 암호의 값을 복사하여 안전한 위치에 저장합니다.

서비스 주체를 관리 및 사용할 수 있는 사용자

Azure Databricks에서 서비스 주체를 관리하려면 계정 관리자 역할, 작업 영역 관리자 역할 또는 서비스 주체의 관리자 또는 사용자 역할 중 하나가 있어야 합니다.

• 계정 관리자는 계정에 서비스 주체를 추가하고 관리자 역할을 할당할 수 있습니다. 또한 해당 작업 영역에서 ID 페더레이션을 사용하는 한, 서비스 주체를 작업 영역에 할당할 수 있습니다.
• 작업 영역 관리자는 Azure Databricks 작업 영역에 서비스 주체를 추가하고, 사용자에게 작업 영역 관리자 역할을 할당하고, 작업 영역의 개체 및 기능에 대한 액세스를 관리할 수 있습니다(예: 클러스터를 만들거나 지정된 개인 기반 환경에 액세스하는 기능).
• 서비스 주체 관리자는 서비스 주체의 역할을 관리할 수 있습니다. 서비스 주체의 작성자는 서비스 주체 관리자가 됩니다. 계정 관리자는 계정의 모든 서비스 주체에 대한 서비스 주체 관리자입니다.

참고 항목

2023년 6월 13일 이전에 서비스 주체를 만든 경우 서비스 주체의 작성자는 기본적으로 서비스 주체 관리자 역할이 없습니다. 계정 관리자에게 서비스 주체 관리자 역할을 부여하도록 요청합니다.

• 서비스 주체 사용자는 서비스 주체로서 작업을 실행할 수 있습니다. 작업은 작업 소유자의 ID 대신 서비스 주체의 ID를 사용하여 실행됩니다. 자세한 내용은 Databricks 작업에 대한 ID, 사용 권한 및 권한 관리를 참조하세요.

서비스 주체 관리자 및 사용자 역할을 부여하는 방법에 대한 자세한 내용은 서비스 주체 관리를 위한 역할을 참조하세요.

계정에서 서비스 주체 관리

계정 관리자는 계정 콘솔을 사용하여 Azure Databricks 계정에 서비스 주체를 추가할 수 있습니다.

계정 콘솔을 사용하여 계정에 서비스 주체 추가

서비스 주체는 Azure Databricks에서 만들거나 기존 Microsoft Entra ID 서비스 주체에서 연결할 수 있습니다. Databricks 및 Microsoft Entra ID 서비스 주체를 참조하세요.

1. 계정 관리자 권한으로 계정 콘솔에 로그인합니다.
2. 사이드바에서 사용자 관리를 클릭합니다.
3. 서비스 주체 탭에서 서비스 주체 추가를 클릭합니다.
4. 관리에서 Databricks 관리형 또는 Microsoft Entra ID 관리형을 선택합니다.
5. Microsoft Entra ID 관리형을 선택한 경우 Microsoft Entra 애플리케이션 ID 아래에 서비스 주체의 애플리케이션(클라이언트) ID를 붙여넣습니다.
6. 서비스 주체의 이름을 입력합니다.
7. 추가를 클릭합니다.

서비스 주체에 계정 관리자 역할 할당

1. 계정 관리자 권한으로 계정 콘솔에 로그인합니다.
2. 사이드바에서 사용자 관리를 클릭합니다.
3. 서비스 주체 탭에서 사용자 이름을 찾아 클릭합니다.
4. 역할 탭에서 계정 관리자 또는 마켓플레이스 관리자를 활성화합니다.

계정 콘솔을 사용하여 작업 영역에 서비스 주체 할당

계정 콘솔을 사용하여 작업 영역에 사용자를 추가하려면 ID 페더레이션에 작업 영역을 사용하도록 설정해야 합니다. 작업 영역 관리자는 작업 영역 관리자 설정 페이지를 사용하여 서비스 주체를 작업 영역에 할당할 수도 있습니다. 자세한 내용은 작업 영역 관리자 설정을 사용하여 작업 영역에 서비스 주체 추가를 참조하세요.

1. 계정 관리자 권한으로 계정 콘솔에 로그인합니다.
2. 사이드바에서 작업 영역을 클릭합니다.
3. 작업 영역 이름을 클릭합니다.
4. 사용 권한 탭에서 사용 권한 추가를 클릭합니다.
5. 서비스 주체를 검색하여 선택하고, 권한 수준(작업 영역 사용자 또는 관리자)을 할당하고, 저장을 클릭합니다.

계정 콘솔을 사용하여 작업 영역에서 서비스 주체 제거

계정 콘솔을 사용하여 작업 영역에서 서비스 주체를 제거하려면 ID 페더레이션에 작업 영역을 사용하도록 설정해야 합니다. 서비스 주체가 작업 영역에서 제거되면 서비스 주체는 더 이상 작업 영역에 액세스할 수 없지만 서비스 주체에 대한 사용 권한은 유지됩니다. 나중에 사용자 주체가 작업 영역에 다시 추가되면 이전 사용 권한을 다시 얻습니다.

1. 계정 관리자 권한으로 계정 콘솔에 로그인합니다.
2. 사이드바에서 작업 영역을 클릭합니다.
3. 작업 영역 이름을 클릭합니다.
4. 권한 탭에서 서비스 주체를 찾습니다.
5. 서비스 주체 행의 맨 오른쪽에서 케밥 메뉴 케밥 메뉴를 클릭하고 제거를 선택합니다.
6. 확인 대화 상자에서 제거를 클릭합니다.

Azure Databricks 계정에서 서비스 주체 비활성화

계정 관리자는 Azure Databricks 계정에서 서비스 주체를 비활성화할 수 있습니다. 비활성화된 서비스 주체는 Azure Databricks 계정 또는 작업 영역에 인증할 수 없습니다. 그러나 모든 서비스 주체의 권한 및 작업 영역 개체는 변경되지 않은 상태로 유지됩니다. 서비스 주체가 비활성화되면 다음이 적용됩니다.

• 서비스 주체는 어떤 방법으로든 계정 또는 해당 작업 영역에 인증할 수 없습니다.
• 서비스 주체가 생성한 토큰을 사용하는 애플리케이션 또는 스크립트는 더 이상 Databricks API에 액세스할 수 없습니다. 토큰은 유지되지만 서비스 주체가 비활성화된 동안에는 인증에 사용할 수 없습니다.
• 서비스 주체가 소유한 클러스터는 계속 실행됩니다.
• 서비스 주체가 만든 예약된 작업은 새 소유자에게 할당되지 않는 한 실패합니다.

서비스 주체가 다시 활성화되면 동일한 사용 권한으로 Azure Databricks에 로그인할 수 있습니다. Databricks는 서비스 주체를 제거하는 것이 파괴적인 작업이므로 서비스 주체를 제거하는 대신 서비스 주체를 계정에서 비활성화할 것을 권장합니다. 비활성화된 서비스 주체의 상태는 계정 콘솔에서 비활성 상태로 레이블이 지정됩니다. 특정 작업 영역에서 서비스 주체를 비활성화할 수도 있습니다. Azure Databricks 작업 영역에서 서비스 주체 비활성화를 참조하세요.

계정 콘솔을 사용하여 서비스 주체를 비활성화할 수 없습니다. 대신 계정 서비스 주체 API를 사용합니다.

예시:

curl --netrc -X PATCH \
https://${DATABRICKS_HOST}/api/2.1/accounts/{account_id}/scim/v2/ServicePrincipals/{id} \
--header 'Content-type: application/scim+json' \
--data @update-sp.json \
| jq .

:

{
  "schemas": [ "urn:ietf:params:scim:api:messages:2.0:PatchOp" ],
  "Operations": [
    {
      "op": "replace",
      "path": "active",
      "value": [
        {
          "value": "false"
        }
      ]
    }
  ]
}

Azure Databricks 계정에서 서비스 주체 제거

계정 관리자는 Azure Databricks 계정에서 서비스 주체를 삭제할 수 있습니다. 작업 영역 관리자는 삭제할 수 없습니다. 계정에서 서비스 주체를 삭제하면 해당 작업 영역에서 해당 보안 주체도 제거됩니다.

Important

계정에서 서비스 주체를 제거하면 페더레이션된 ID가 사용하도록 설정되었는지 여부와 관계없이 해당 서비스 주체도 작업 영역에서 제거됩니다. 계정 수준 서비스 주체가 계정의 모든 작업 영역에 대한 액세스 권한을 잃지 않게 하려면 삭제하지 않는 것이 좋습니다. 서비스 주체를 삭제하면 다음과 같은 결과가 발생할 수 있습니다.

• 서비스 주체가 생성한 토큰을 사용하는 애플리케이션 또는 스크립트는 더 이상 Databricks API에 액세스할 수 없습니다.
• 서비스 주체가 소유한 작업이 실패합니다.
• 서비스 주체가 소유한 클러스터가 중지됩니다.
• 공유 실패를 방지하기 위해 서비스 주체가 만들고 소유자로 실행 자격 증명을 사용하여 공유한 쿼리 또는 대시보드를 새 소유자에게 할당해야 합니다.

Microsoft Entra ID 서비스 주체가 계정에서 제거되면 서비스 주체는 더 이상 계정 또는 해당 작업 영역에 액세스할 수 없지만 서비스 주체에 대한 사용 권한은 유지됩니다. 서비스 주체가 나중에 계정에 다시 추가되면 이전 사용 권한을 다시 얻습니다.

계정 콘솔을 사용하여 서비스 주체를 제거하려면 다음을 수행합니다.

1. 계정 관리자 권한으로 계정 콘솔에 로그인합니다.
2. 사이드바에서 사용자 관리를 클릭합니다.
3. 서비스 주체 탭에서 사용자 이름을 찾아 클릭합니다.
4. 보안 주체 정보 탭의 오른쪽 맨 위에서 케밥 메뉴를 클릭하고 삭제를 선택합니다.
5. 확인 대화 상자에서 삭제 확인을 클릭합니다.

작업 영역에서 서비스 주체 관리

작업 영역 관리자는 작업 영역 관리자 설정 페이지를 사용하여 서비스 주체를 작업 영역에서 관리할 수 있습니다.

작업 영역 관리자 설정을 사용하여 작업 영역에 서비스 주체 추가

서비스 주체는 Azure Databricks에서 만들거나 기존 Microsoft Entra ID 서비스 주체에서 연결할 수 있습니다. Databricks 및 Microsoft Entra ID 서비스 주체를 참조하세요.

1. 작업 영역 관리자로 Azure Databricks 작업 영역에 로그인합니다.

2. Azure Databricks 작업 영역의 상단 표시줄에서 사용자 이름을 클릭하고 설정을 선택합니다.

3. ID 및 액세스 탭을 클릭합니다.

4. 서비스 주체 옆에 있는 관리를 클릭합니다.

5. 서비스 주체 추가를 클릭합니다.

6. 작업 영역에 할당할 기존 서비스 주체를 선택하거나 새로 추가를 클릭하여 새 서비스 주체를 만듭니다.

   새 서비스 주체를 추가하려면 Databricks 관리형 또는 Microsoft Entra ID 관리형을 선택합니다. Microsoft Entra ID 관리형을 선택한 경우 서비스 주체의 애플리케이션(클라이언트) ID를 붙여넣고 표시 이름을 입력합니다.

7. 추가를 클릭합니다.

참고 항목

ID 페더레이션에 작업 영역을 사용하도록 설정하지 않으면 기존 계정 서비스 주체를 작업 영역에 할당할 수 없습니다.

작업 영역 관리 설정 페이지를 사용하여 서비스 주체에게 작업 영역 관리자 역할 할당

1. 작업 영역 관리자로 Azure Databricks 작업 영역에 로그인합니다.
2. Azure Databricks 작업 영역의 상단 표시줄에서 사용자 이름을 클릭하고 설정을 선택합니다.
3. ID 및 액세스 탭을 클릭합니다.
4. 그룹 옆에 있는 관리를 클릭합니다.
5. admins 시스템 그룹을 선택합니다.
6. 구성원 추가를 클릭합니다.
7. 서비스 주체를 선택하고 확인을 클릭합니다.

서비스 주체에서 작업 영역 관리자 역할을 제거하려면 관리 그룹에서 서비스 주체를 제거합니다.

Azure Databricks 작업 영역에서 서비스 주체 비활성화

작업 영역 관리자는 Azure Databricks 작업 영역에서 서비스 주체를 비활성화할 수 있습니다. 비활성화된 서비스 주체는 Azure Databricks API에서 작업 영역에 액세스할 수 없지만 서비스 주체의 모든 권한 및 작업 영역 개체는 변경되지 않습니다. 서비스 주체가 비활성화된 경우:

• 서비스 주체는 어떤 방법으로든 해당 작업 영역에 인증할 수 없습니다.
• 서비스 주체의 상태는 작업 영역 관리자 설정 페이지에서 비활성으로 표시됩니다.
• 서비스 주체가 생성한 토큰을 사용하는 애플리케이션 또는 스크립트는 더 이상 Databricks API에 액세스할 수 없습니다. 토큰은 유지되지만 서비스 주체가 비활성화된 동안에는 인증에 사용할 수 없습니다.
• 서비스 주체가 소유한 클러스터는 계속 실행됩니다.
• 서비스 주체가 만든 예약된 작업을 새 소유자에게 할당하여 실패하지 않게 해야 합니다.

서비스 주체가 다시 활성화되면 동일한 권한으로 작업 영역에 인증할 수 있습니다. Databricks는 서비스 주체를 제거하는 것이 파괴적인 작업이므로 서비스 주체를 제거하는 대신 비활성화할 것을 권장합니다.

1. 작업 영역 관리자로 Azure Databricks 작업 영역에 로그인합니다.
2. Azure Databricks 작업 영역의 상단 표시줄에서 사용자 이름을 클릭하고 설정을 선택합니다.
3. ID 및 액세스 탭을 클릭합니다.
4. 서비스 주체 옆에 있는 관리를 클릭합니다.
5. 비활성화할 서비스 주체를 선택합니다.
6. 상태에서 활성을 선택 취소합니다.

서비스 주체를 활성으로 설정하려면 동일한 단계를 수행하지만 대신 확인란을 선택합니다.

작업 영역 관리자 설정 페이지를 사용하여 작업 영역에서 서비스 주체 제거

작업 영역에서 서비스 주체를 제거해도 계정에서 서비스 주체가 제거되지는 않습니다. 계정에서 서비스 주체를 제거하려면 Azure Databricks 계정에서 서비스 주체 제거를 참조하세요.

서비스 주체가 작업 영역에서 제거되면 서비스 주체는 더 이상 작업 영역에 액세스할 수 없지만 서비스 주체에 대한 사용 권한은 유지됩니다. 나중에 사용자 주체가 작업 영역에 다시 추가되면 이전 사용 권한을 다시 얻습니다.

1. 작업 영역 관리자로 Azure Databricks 작업 영역에 로그인합니다.
2. Azure Databricks 작업 영역의 상단 표시줄에서 사용자 이름을 클릭하고 설정을 선택합니다.
3. ID 및 액세스 탭을 클릭합니다.
4. 서비스 주체 옆에 있는 관리를 클릭합니다.
5. 서비스 주체를 선택합니다.
6. 페이지의 오른쪽 위에서 삭제를 클릭합니다.
7. 삭제를 클릭하여 확인합니다.

API를 사용하여 서비스 주체 관리

계정 관리자 및 작업 영역 관리자는 Databricks API를 사용하여 Azure Databricks 계정 및 작업 영역에서 서비스 주체를 관리할 수 있습니다. API를 사용하여 서비스 주체에 대한 역할을 관리하려면 Databricks CLI를 사용하여 서비스 주체 역할 관리를 참조하세요.

API를 사용하여 계정에서 서비스 주체 관리

관리자는 Azure Databricks 계정에서 계정 서비스 주체 API를 사용하여 서비스 주체를 추가하고 관리할 수 있습니다. 계정 관리자 및 작업 영역 관리자는 다른 엔드포인트 URL을 사용하여 API를 호출합니다.

• 계정 관리자는 {account-domain}/api/2.1/accounts/{account_id}/scim/v2/를 사용합니다.
• 작업 영역 관리자는 {workspace-domain}/api/2.0/account/scim/v2/를 사용합니다.

자세한 내용은 계정 서비스 주체 API를 참조하세요.

API를 사용하여 작업 영역에서 서비스 주체 관리

계정 및 작업 영역 관리자는 작업 영역 할당 API를 사용하여 서비스 주체를 ID 페더레이션에 사용하도록 설정된 작업 영역에 할당할 수 있습니다. 작업 영역 할당 API는 Azure Databricks 계정 및 작업 영역을 통해 지원됩니다.

• 계정 관리자는 {account-domain}/api/2.0/accounts/{account_id}/workspaces/{workspace_id}/permissionassignments를 사용합니다.
• 작업 영역 관리자는 {workspace-domain}/api/2.0/preview/permissionassignments/principals/{principal_id}를 사용합니다.

작업 영역 할당 API를 참조하세요.

작업 영역을 ID 페더레이션에 사용하지 않는 경우 작업 영역 관리자는 작업 영역 수준 API를 사용하여 작업 영역에 서비스 주체를 할당할 수 있습니다. 작업 영역 서비스 주체 API를 참조하세요.

서비스 주체에 대한 토큰 관리

서비스 주체는 다음과 같이 Azure Databricks OAuth 토큰 또는 Azure Databricks 개인용 액세스 토큰을 사용하여 Azure Databricks에 API를 인증할 수 있습니다.

• Azure Databricks OAuth 토큰을 사용하여 Azure Databricks 계정 수준 및 작업 영역 수준 API에 인증할 수 있습니다.
  • Azure Databricks 계정 수준에서 만든 Azure Databricks OAuth 토큰을 사용하여 Azure Databricks 계정 수준 및 작업 영역 수준 API에 인증할 수 있습니다.
  • Azure Databricks 작업 영역 수준에서 만든 Azure Databricks OAuth 토큰을 사용하여 Azure Databricks 작업 영역 수준 API에만 인증할 수 있습니다.
• Azure Databricks 개인용 액세스 토큰을 사용하여 Azure Databricks 작업 영역 수준 API에만 인증할 수 있습니다.

서비스 주체는 Microsoft Entra ID 토큰을 사용하여 Azure Databricks의 API에 인증할 수도 있습니다.

서비스 주체에 대한 Databricks OAuth 인증 관리

계정 수준 및 작업 영역 수준 Databricks REST API에 인증하기 위해 계정 관리자는 서비스 주체에 대한 Azure Databricks OAuth 토큰을 사용할 수 있습니다. 서비스 주체에 대한 클라이언트 ID 및 클라이언트 암호를 사용하여 OAuth 토큰을 요청할 수 있습니다. 자세한 내용은 OAuth(OAuth M2M)를 사용하여 서비스 주체로 Azure Databricks에 액세스 인증을 참조하세요.

서비스 주체에 대한 개인용 액세스 토큰 관리

서비스 주체를 Azure Databricks의 작업 영역 수준 API에만 인증하려면 서비스 주체는 다음과 같이 Databricks 개인용 액세스 토큰을 직접 만들 수 있습니다.

이 절차에서는 OAuth M2M(컴퓨터 대 컴퓨터) 인증 또는 Microsoft Entra ID 서비스 주체 인증을 사용하여 서비스 주체를 인증하기 위한 Databricks CLI를 설정하고 Azure Databricks 개인용 액세스 토큰을 직접 생성한다고 가정합니다. OAuth M2M(컴퓨터 대 컴퓨터) 인증 또는 Microsoft Entra ID 서비스 주체 인증을 참조하세요.

1. Databricks CLI를 사용하여 서비스 주체에 대한 다른 액세스 토큰을 생성하는 다음 명령을 실행합니다.

   다음 명령을 실행합니다.

   databricks tokens create --comment <comment> --lifetime-seconds <lifetime-seconds> -p <profile-name>
   

   • --comment: <comment>를 액세스 토큰의 용도에 대한 의미 있는 주석으로 바꿉니다. --comment 옵션을 지정하지 않으면 주석이 생성되지 않습니다.
   • --lifetime-seconds: <lifetime-seconds>를 액세스 토큰이 유효한 시간(초)으로 바꿉니다. 예를 들어 1일은 86400초입니다. --lifetime-seconds 옵션을 지정하지 않으면 액세스 토큰이 만료되지 않도록 설정됩니다(권장되지 않음).
   • --profile-name: <profile-name>를 서비스 주체 및 대상 작업 영역에 대한 인증 정보를 포함하는 Azure Databricks 구성 프로필의 이름으로 바꿉니다. -p 옵션을 지정하지 않으면 Databricks CLI는 이름이 DEFAULT로 지정된 구성 프로필을 찾아 사용하려고 시도합니다.

2. 응답에서 서비스 주체에 대한 액세스 토큰인 token_value 값을 복사합니다.

   복사한 토큰을 안전한 위치에 저장합니다. 복사한 토큰을 다른 사용자와 공유하지 마세요. 복사한 토큰을 분실하면 정확히 동일한 토큰을 다시 생성할 수 없습니다. 대신 이 프로시저를 반복하여 새 토큰을 만들어야 합니다.

   작업 영역에서 토큰을 만들거나 사용할 수 없는 경우, 작업 영역 관리자가 토큰을 사용하지 않도록 설정했거나 토큰을 만들거나 사용할 수 있는 권한을 부여하지 않았기 때문일 수 있습니다. 작업 영역 관리자 또는 다음을 참조하세요:

   • 작업 영역에 대한 토큰 인증 사용 또는 사용 안 함을 참조하세요
   • 개인용 액세스 토큰 사용 권한을 참조하세요

서비스 주체에 대한 Microsoft Entra ID 인증 관리

Microsoft Entra ID 관리형 서비스 주체는 Microsoft Entra ID 토큰을 사용하여 API에 인증할 수 있습니다. Microsoft Entra ID 액세스 토큰을 만들려면 서비스 주체에 대한 Microsoft Entra ID 토큰 가져오기를 참조하세요.

Microsoft Entra ID 액세스 토큰을 사용하여 토큰 API를 호출하고 서비스 주체에 대한 Databricks 개인용 액세스 토큰을 만들 수 있습니다.