Delen via

Verificatie voor de Databricks CLI

Notitie

Deze informatie is van toepassing op Databricks CLI-versies 0.205 en hoger. De Databricks CLI bevindt zich in openbare preview.

Databricks CLI-gebruik is onderhevig aan de Databricks-licentie en de privacyverklaring van Databricks, met inbegrip van alle bepalingen voor gebruiksgegevens.

In dit artikel wordt uitgelegd hoe u verificatie instelt tussen de Azure Databricks CLI en uw Azure Databricks-accounts en -werkruimten. Hierbij wordt ervan uitgegaan dat u de Azure Databricks CLI al hebt geïnstalleerd. Zie De Databricks CLI-installeren of bijwerken.

Voordat u Azure Databricks CLI-opdrachten uitvoert, moet u verificatie configureren voor de accounts of werkruimten die u van plan bent te gebruiken. De vereiste installatie is afhankelijk van of u opdrachten op werkruimteniveau , opdrachten op accountniveau of beide wilt uitvoeren.

Als u beschikbare CLI-opdrachtgroepen wilt weergeven, voert u het volgende uit databricks -h. Zie Databricks REST API voor de lijst met bijbehorende REST API-bewerkingen.

Voor specifieke informatie over Microsoft Entra-verificatie naar Databricks met Azure DevOps, zie Verifiëren met Azure DevOps op Azure Databricks.

machine-naar-machine (M2M) OAuth-verificatie

Met M2M-verificatie (Machine-to-Machine) met OAuth kunnen services, scripts of toepassingen toegang krijgen tot Databricks-resources zonder interactieve gebruikersaanmelding. In plaats van te vertrouwen op persoonlijke toegangstokens (PAT's) of gebruikersreferenties, gebruikt M2M-verificatie een service-principal en een OAuth-clientreferentiestroom om tokens aan te vragen en te beheren.

OAuth M2M-verificatie configureren en gebruiken:

  1. Voer de installatiestappen voor OAuth M2M-verificatie uit. Zie Toegang tot de service-principal autoriseren voor Azure Databricks met OAuth.

  2. Maak een Azure Databricks-configuratieprofiel met de volgende velden in uw .databrickscfg bestand.

    Voor opdrachten op accountniveau

    [<some-unique-configuration-profile-name>]
host          = <account-console-url>
account_id    = <account-id>
client_id     = <service-principal-client-id>
client_secret = <service-principal-oauth-secret>

    Voor opdrachten op werkruimteniveau

    [<some-unique-configuration-profile-name>]
host          = <workspace-url>
client_id     = <service-principal-client-id>
client_secret = <service-principal-oauth-secret>

Als u het profiel wilt gebruiken, geeft u dit door met de --profile of -p vlag in CLI-opdrachten. Voorbeeld:

databricks account groups list -p <profile-name>

Druk op Tab na --profile of -p om een lijst met beschikbare profielen weer te geven.

OAuth-verificatie van gebruikers-naar-machine (U2M)

Met OAuth-gebruikers-naar-machine-verificatie (U2M) meldt u zich interactief aan en beheert de CLI namens u tokens met korte levensduur. OAuth-tokens verlopen binnen een uur, wat het risico vermindert als een token per ongeluk wordt weergegeven. Zie Gebruikerstoegang tot Azure Databricks autoriseren met OAuth.

Aanmelden:

Voor opdrachten op accountniveau

databricks auth login --host <account-console-url> --account-id <account-id>

Voor opdrachten op werkruimteniveau

databricks auth login --host <workspace-url>

De CLI begeleidt u via een aanmeldingsstroom op basis van een browser. Wanneer u klaar bent, worden de referenties door de CLI opgeslagen als een configuratieprofiel. U kunt de voorgestelde profielnaam accepteren of uw eigen profiel invoeren.

Als u het profiel wilt gebruiken, geeft u dit door met de --profile of -p vlag in CLI-opdrachten. Voorbeeld:

databricks clusters list -p <profile-name>

Druk op Tab na --profile of -p om een lijst met beschikbare profielen weer te geven.

Verificatie van door Azure beheerde identiteiten

Verificatie van beheerde identiteiten in Azure maakt gebruik van beheerde identiteiten voor Azure-resources (voorheen Managed Service Identities (MSI)) voor verificatie. Zie Wat zijn beheerde identiteiten voor Azure-resources?. Zie ook Verifiëren met door Azure beheerde identiteiten.

Ga als volgt te werk om een door de gebruiker toegewezen beheerde azure-identiteit te maken:

  1. Maak of identificeer een Azure-VM en installeer de Databricks CLI erop en wijs vervolgens uw beheerde identiteit toe aan uw Azure-VM en uw Azure Databricks-doelaccounts, werkruimten of beide. Zie Beheerde Identiteiten van Azure gebruiken met Azure Databricks.

  2. Maak of identificeer op de Virtuele Azure-machine een Azure Databricks-configuratieprofiel met de volgende velden in uw .databrickscfg bestand. Als u het profiel maakt, vervangt u de tijdelijke aanduidingen door de juiste waarden.

    Voor opdrachten op accountniveau stelt u de volgende waarden in uw .databrickscfg-bestand in:

    [<some-unique-configuration-profile-name>]
host            = <account-console-url>
account_id      = <account-id>
azure_client_id = <azure-managed-identity-application-id>
azure_use_msi   = true

    Voor opdrachten op werkruimteniveau stelt u de volgende waarden in uw .databrickscfg-bestand in:

    [<some-unique-configuration-profile-name>]
host            = <workspace-url>
azure_client_id = <azure-managed-identity-application-id>
azure_use_msi   = true

    Databricks raadt aan om gebruik te maken van host en de identiteit expliciet toe te wijzen aan de werkruimte. U kunt ook de Azure-resource-id gebruiken azure_workspace_resource_id . Voor deze aanpak zijn inzender- of eigenaarsmachtigingen voor de Azure-resource of een aangepaste rol met specifieke Azure Databricks-machtigingen vereist.

  3. Gebruik op de Virtuele Azure-machine de optie --profile of -p van de Databricks CLI, gevolgd door de naam van uw configuratieprofiel om het te gebruiken profiel voor Databricks in te stellen, bijvoorbeeld databricks account groups list -p <configuration-profile-name> of databricks clusters list -p <configuration-profile-name>.

    Aanbeveling

    U kunt op Tab drukken na --profile of -p om een lijst met bestaande beschikbare configuratieprofielen weer te geven waaruit u kunt kiezen, in plaats van de naam van het configuratieprofiel handmatig in te voeren.

Serviceprincipalverificatie voor Microsoft Entra ID

Microsoft Entra ID-service-principal authenticatie maakt gebruik van de referenties van een Microsoft Entra ID-service-principal om te verifiëren. Zie Service-principals voor het maken en beheren van service-principals voor Azure Databricks. Zie ook Verifiëren met Microsoft Entra service principals.

Als u de service-principalverificatie van Microsoft Entra ID wilt configureren en gebruiken, moet de Azure CLI voor verificatie lokaal geïnstalleerd zijn. U moet ook het volgende doen:

  1. Maak of identificeer een Azure Databricks-configuratieprofiel met de volgende velden in uw .databrickscfg bestand. Als u het profiel maakt, vervangt u de tijdelijke aanduidingen door de juiste waarden.

    Voor opdrachten op accountniveau stelt u de volgende waarden in uw .databrickscfg-bestand in:

    [<some-unique-configuration-profile-name>]
host                = <account-console-url>
account_id          = <account-id>
azure_tenant_id     = <azure-service-principal-tenant-id>
azure_client_id     = <azure-service-principal-application-id>
azure_client_secret = <azure-service-principal-client-secret>

    Voor opdrachten op werkruimteniveau stelt u de volgende waarden in uw .databrickscfg-bestand in:

    [<some-unique-configuration-profile-name>]
host                = <workspace-url>
azure_tenant_id     = <azure-service-principal-tenant-id>
azure_client_id     = <azure-service-principal-application-id>
azure_client_secret = <azure-service-principal-client-secret>

    Databricks raadt aan om host te gebruiken en de service-principal van Microsoft Entra ID expliciet aan de werkruimte toe te wijzen. U kunt ook de Azure-resource-id gebruiken azure_workspace_resource_id . Voor deze aanpak zijn inzender- of eigenaarsmachtigingen voor de Azure-resource of een aangepaste rol met specifieke Azure Databricks-machtigingen vereist.

  2. Gebruik de Databricks CLI --profile of -p optie, gevolgd door de naam van uw configuratieprofiel, als onderdeel van de opdrachtoproep van de Databricks CLI, bijvoorbeeld databricks account groups list -p <configuration-profile-name> of databricks clusters list -p <configuration-profile-name>.

    Aanbeveling

    U kunt op Tab drukken na --profile of -p om een lijst met bestaande beschikbare configuratieprofielen weer te geven waaruit u kunt kiezen, in plaats van de naam van het configuratieprofiel handmatig in te voeren.

Azure CLI authenticatie

Azure CLI-verificatie maakt gebruik van de Azure CLI om de aangemelde entiteit te verifiëren. Zie ook Verifiëren met de Azure CLI.

Als u Azure CLI-verificatie wilt configureren, moet u het volgende doen:

  1. Zorg ervoor dat de Azure CLI lokaal is geïnstalleerd.

  2. Gebruik de Azure CLI om u aan te melden bij Azure Databricks door de az login opdracht uit te voeren. Zie Aanmelden met de Azure CLI.

  3. Maak of identificeer een Azure Databricks-configuratieprofiel met de volgende velden in uw .databrickscfg bestand. Als u het profiel maakt, vervangt u de tijdelijke aanduidingen door de juiste waarden.

    Voor opdrachten op accountniveau stelt u de volgende waarden in uw .databrickscfg-bestand in:

    [<some-unique-configuration-profile-name>]
host       = <account-console-url>
account_id = <account-id>

    Voor opdrachten op werkruimteniveau stelt u de volgende waarden in uw .databrickscfg-bestand in:

    [<some-unique-configuration-profile-name>]
host = <workspace-url>

  4. Gebruik de Databricks CLI --profile of -p optie, gevolgd door de naam van uw configuratieprofiel, als onderdeel van de opdrachtoproep van de Databricks CLI, bijvoorbeeld databricks account groups list -p <configuration-profile-name> of databricks clusters list -p <configuration-profile-name>.

    Aanbeveling

    U kunt op Tab drukken na --profile of -p om een lijst met bestaande beschikbare configuratieprofielen weer te geven waaruit u kunt kiezen, in plaats van de naam van het configuratieprofiel handmatig in te voeren.

Verificatievolgorde van evaluatie

Wanneer de Databricks CLI wordt geverifieerd bij een Azure Databricks-werkruimte of -account, wordt in de volgende volgorde gezocht naar vereiste instellingen:

  1. Bundelinstellingenbestanden, voor opdrachten die worden uitgevoerd vanuit een bundelwerkmap. Bestanden met bundelinstellingen kunnen geen referentiewaarden rechtstreeks bevatten.
  2. Omgevingsvariabelen, zoals vermeld in dit artikel en in omgevingsvariabelen en -velden voor geïntegreerde verificatie.
  3. Configuratieprofielen in het .databrickscfg bestand.

Zodra de CLI de vereiste instelling heeft gevonden, wordt niet meer gezocht naar andere locaties.

Examples:

  • Als een DATABRICKS_TOKEN omgevingsvariabele is ingesteld, gebruikt de CLI deze, zelfs als er meerdere tokens bestaan..databrickscfg
  • Als er geen DATABRICKS_TOKEN is ingesteld en een bundelomgeving verwijst naar een profielnaam zoals dev → profiel DEV, gebruikt de CLI de referenties van dat profiel in .databrickscfg.
  • Als er geen DATABRICKS_TOKEN is ingesteld en een bundelomgeving een host waarde opgeeft, zoekt de CLI naar een profiel .databrickscfg met een overeenkomende host waarde en wordt de waarde ervan gebruikt token.

Verificatie van persoonlijke toegangstokens (afgeschaft)

Belangrijk

Basisverificatie met behulp van een Azure Databricks-gebruikersnaam en -wachtwoord bereikt het einde van de levensduur op 10 juli 2024. Als u zich wilt verifiëren met een Azure Databricks-account, gebruikt u in plaats daarvan een van de volgende verificatiemethoden:

Verificatie van persoonlijke toegangstokens in Azure Databricks maakt gebruik van een persoonlijk toegangstoken van Azure Databricks om de Azure Databricks-entiteit te verifiëren, zoals een Azure Databricks-gebruikersaccount. Zie Verifiëren met persoonlijke toegangstokens van Azure Databricks (verouderd).

Als u een persoonlijk toegangstoken wilt maken, volgt u de stappen in Persoonlijke toegangstokens maken voor werkruimtegebruikers.

  • Last updated on