Uwierzytelnianie CLI usługi Databricks

Uwaga

Te informacje dotyczą interfejsu wiersza polecenia usługi Databricks w wersji 0.205 lub nowszej. Interfejs wiersza polecenia Databricks znajduje się w publicznej wersji zapoznawczej.

Korzystanie z interfejsu wiersza polecenia usługi Databricks podlega licencjom usługi Databricks i powiadomieniom o ochronie prywatności usługi Databricks, w tym wszelkim przepisom dotyczącym danych użycia.

W tym artykule wyjaśniono, jak skonfigurować uwierzytelnianie między interfejsem wiersza polecenia usługi Azure Databricks a kontami i obszarami roboczymi usługi Azure Databricks. Przyjęto założenie, że zainstalowano już interfejs wiersza polecenia usługi Azure Databricks. Zobacz Instalowanie lub aktualizowanie interfejsu wiersza polecenia usługi Databricks.

Przed uruchomieniem poleceń interfejsu wiersza polecenia usługi Azure Databricks należy skonfigurować uwierzytelnianie dla kont lub obszarów roboczych, które mają być używane. Wymagana konfiguracja zależy od tego, czy chcesz uruchamiać polecenia na poziomie obszaru roboczego , polecenia na poziomie konta , czy oba te polecenia.

Aby wyświetlić dostępne grupy poleceń interfejsu wiersza polecenia, uruchom polecenie databricks -h. Aby uzyskać listę odpowiednich operacji interfejsu API REST, zobacz Interfejs API REST usługi Databricks.

Aby uzyskać informacje na temat uwierzytelniania usługi Microsoft Entra w usłudze Databricks za pomocą usługi Azure DevOps, zobacz Uwierzytelnianie za pomocą usługi Azure DevOps w usłudze Azure Databricks.

Uwierzytelnianie komunikacji maszyna-maszyna OAuth (M2M)

Uwierzytelnianie maszyny na maszynę (M2M) za pomocą protokołu OAuth umożliwia usługom, skryptom lub aplikacjom uzyskiwanie dostępu do zasobów usługi Databricks bez interaktywnego logowania użytkownika. Zamiast polegać na osobistych tokenach dostępu (PAT) lub poświadczeniach użytkownika, uwierzytelnianie M2M używa jednostki usługi i przepływu poświadczeń klienta OAuth do żądania tokenów i zarządzania nimi.

Aby skonfigurować i użyć uwierzytelniania OAuth M2M:

1. Wykonaj kroki konfiguracji uwierzytelniania OAuth M2M. Zobacz Autoryzowanie dostępu jednostki usługi do usługi Azure Databricks przy użyciu protokołu OAuth.

2. Utwórz profil konfiguracji usługi Azure Databricks z następującymi polami w .databrickscfg pliku.

   W przypadku poleceń na poziomie konta

   [<some-unique-configuration-profile-name>]
   host          = <account-console-url>
   account_id    = <account-id>
   client_id     = <service-principal-client-id>
   client_secret = <service-principal-oauth-secret>
   

   Polecenia na poziomie obszaru roboczego

   [<some-unique-configuration-profile-name>]
   host          = <workspace-url>
   client_id     = <service-principal-client-id>
   client_secret = <service-principal-oauth-secret>
   

Aby użyć profilu, przekaż go za pomocą flagi lub --profile w poleceniach interfejsu -p wiersza polecenia. Na przykład:

databricks account groups list -p <profile-name>

Naciśnij Tab po --profile lub -p , aby wyświetlić listę dostępnych profilów.

Uwierzytelnianie OAuth typu użytkownik-komputer (U2M)

W przypadku uwierzytelniania typu użytkownik-komputer (U2M) protokołu OAuth logujesz się interaktywnie, a interfejs wiersza polecenia zarządza krótkotrwałymi tokenami w Twoim imieniu. Tokeny OAuth wygasają w mniej niż godzinę, co zmniejsza ryzyko w przypadku przypadkowego uwidocznienia tokenu. Zobacz Autoryzowanie dostępu użytkowników do usługi Azure Databricks przy użyciu protokołu OAuth.

Aby się zalogować:

W przypadku poleceń na poziomie konta

databricks auth login --host <account-console-url> --account-id <account-id>

Polecenia na poziomie obszaru roboczego

databricks auth login --host <workspace-url>

Interfejs wiersza polecenia przeprowadzi Cię przez przepływ logowania oparty na przeglądarce. Po zakończeniu interfejs wiersza polecenia zapisuje poświadczenia jako profil konfiguracji. Możesz zaakceptować sugerowaną nazwę profilu lub wprowadzić własną.

Aby użyć profilu, przekaż go za pomocą flagi lub --profile w poleceniach interfejsu -p wiersza polecenia. Na przykład:

databricks clusters list -p <profile-name>

Naciśnij Tab po --profile lub -p , aby wyświetlić listę dostępnych profilów.

Uwierzytelnianie zarządzanych tożsamości Azure

Uwierzytelnianie za pomocą tożsamości zarządzanych platformy Azure wykorzystuje te tożsamości dla zasobów platformy Azure (wcześniej znane jako Managed Service Identities (MSI)) w celu uwierzytelniania. Zobacz Co to są tożsamości zarządzane dla zasobów platformy Azure?. Zobacz również Uwierzytelnianie przy użyciu tożsamości zarządzanych platformy Azure.

Aby utworzyć tożsamość zarządzaną przypisaną przez użytkownika platformy Azure, wykonaj następujące czynności:

1. Utwórz lub zidentyfikuj maszynę wirtualną platformy Azure i zainstaluj na niej interfejs wiersza polecenia usługi Databricks, a następnie przypisz tożsamość zarządzaną do maszyny wirtualnej platformy Azure i docelowe konta, obszary robocze lub oba te elementy. Zobacz Używanie tożsamości zarządzanych platformy Azure z usługą Azure Databricks.

2. Na maszynie wirtualnej platformy Azure utwórz lub zidentyfikuj profil konfiguracji usługi Azure Databricks z następującymi polami w .databrickscfg pliku. Jeśli utworzysz profil, zastąp symbole zastępcze odpowiednimi wartościami.

   Aby ustawić wartości dla poleceń na poziomie konta , umieść następujące wartości w pliku :

   [<some-unique-configuration-profile-name>]
   host            = <account-console-url>
   account_id      = <account-id>
   azure_client_id = <azure-managed-identity-application-id>
   azure_use_msi   = true
   

   W przypadku poleceń na poziomie obszaru roboczego ustaw następujące wartości w pliku .databrickscfg.

   [<some-unique-configuration-profile-name>]
   host            = <workspace-url>
   azure_client_id = <azure-managed-identity-application-id>
   azure_use_msi   = true
   

   Usługa Databricks zaleca używanie host i jawne przypisywanie tożsamości do obszaru roboczego. Alternatywnie użyj identyfikatora azure_workspace_resource_id zasobu platformy Azure. Takie podejście wymaga uprawnień współautora lub właściciela zasobu platformy Azure lub roli niestandardowej z określonymi uprawnieniami usługi Azure Databricks.

3. Na maszynie wirtualnej platformy Azure użyj opcji --profile lub -p interfejsu wiersza polecenia usługi Databricks, a następnie podaj nazwę profilu konfiguracji, aby ustawić profil, którego ma używać Databricks, na przykład databricks account groups list -p <configuration-profile-name> lub databricks clusters list -p <configuration-profile-name>.

   Wskazówka

   Możesz nacisnąć Tab po --profile lub -p, aby wyświetlić listę istniejących dostępnych profilów konfiguracji do wyboru, zamiast ręcznie wprowadzać nazwę profilu konfiguracji.

Uwierzytelnianie głównego obiektu usługi Microsoft Entra ID

Uwierzytelnianie jednostki usługi Microsoft Entra ID używa poświadczeń jednostki usługi Microsoft Entra ID do uwierzytelniania. Aby utworzyć jednostki usługi dla usługi Azure Databricks i zarządzać nimi, zobacz Jednostki usługi. Zobacz również Uwierzytelnianie za pomocą jednostek usługi Microsoft Entra.

Aby skonfigurować i używać uwierzytelniania jednostki usługi Microsoft Entra ID, musisz mieć zainstalowany lokalnie interfejs wiersza poleceń platformy Azure (Azure CLI). Należy również wykonać następujące czynności:

1. Utwórz lub zidentyfikuj profil konfiguracji Azure Databricks zawierający następujące pola w pliku . Jeśli utworzysz profil, zastąp symbole zastępcze odpowiednimi wartościami.

   Aby ustawić wartości dla poleceń na poziomie konta , umieść następujące wartości w pliku :

   [<some-unique-configuration-profile-name>]
   host                = <account-console-url>
   account_id          = <account-id>
   azure_tenant_id     = <azure-service-principal-tenant-id>
   azure_client_id     = <azure-service-principal-application-id>
   azure_client_secret = <azure-service-principal-client-secret>
   

   W przypadku poleceń na poziomie obszaru roboczego ustaw następujące wartości w pliku .databrickscfg.

   [<some-unique-configuration-profile-name>]
   host                = <workspace-url>
   azure_tenant_id     = <azure-service-principal-tenant-id>
   azure_client_id     = <azure-service-principal-application-id>
   azure_client_secret = <azure-service-principal-client-secret>
   

   Databricks rekomenduje użycie host oraz przypisanie jednostki głównej usługi Microsoft Entra ID do obszaru roboczego. Alternatywnie użyj identyfikatora azure_workspace_resource_id zasobu platformy Azure. Takie podejście wymaga uprawnień współautora lub właściciela zasobu platformy Azure lub roli niestandardowej z określonymi uprawnieniami usługi Azure Databricks.

2. Użyj opcji --profile lub -p interfejsu wiersza poleceń Databricks, po której następuje nazwa profilu konfiguracji, w ramach wywołania polecenia Databricks CLI, na przykład databricks account groups list -p <configuration-profile-name> lub databricks clusters list -p <configuration-profile-name>.

   Wskazówka

   Możesz nacisnąć Tab po --profile lub -p, aby wyświetlić listę istniejących dostępnych profilów konfiguracji do wyboru, zamiast ręcznie wprowadzać nazwę profilu konfiguracji.

Uwierzytelnianie Azure CLI

Uwierzytelnianie Azure CLI używa Azure CLI do uwierzytelniania zalogowanej jednostki. Zobacz również Uwierzytelnianie przy użyciu interfejsu wiersza polecenia platformy Azure.

Aby skonfigurować uwierzytelnianie interfejsu wiersza polecenia platformy Azure, należy wykonać następujące czynności:

1. Miej zainstalowany lokalnie Azure CLI.

2. Użyj interfejsu wiersza polecenia platformy Azure, aby zalogować się do usługi Azure Databricks, uruchamiając az login polecenie . Zobacz Logowanie się przy użyciu interfejsu wiersza polecenia platformy Azure.

3. Utwórz lub zidentyfikuj profil konfiguracji Azure Databricks zawierający następujące pola w pliku . Jeśli utworzysz profil, zastąp symbole zastępcze odpowiednimi wartościami.

   Aby ustawić wartości dla poleceń na poziomie konta , umieść następujące wartości w pliku :

   [<some-unique-configuration-profile-name>]
   host       = <account-console-url>
   account_id = <account-id>
   

   W przypadku poleceń na poziomie obszaru roboczego ustaw następujące wartości w pliku .databrickscfg.

   [<some-unique-configuration-profile-name>]
   host = <workspace-url>
   

4. Użyj opcji --profile lub -p interfejsu wiersza poleceń Databricks, po której następuje nazwa profilu konfiguracji, w ramach wywołania polecenia Databricks CLI, na przykład databricks account groups list -p <configuration-profile-name> lub databricks clusters list -p <configuration-profile-name>.

   Wskazówka

   Możesz nacisnąć Tab po --profile lub -p, aby wyświetlić listę istniejących dostępnych profilów konfiguracji do wyboru, zamiast ręcznie wprowadzać nazwę profilu konfiguracji.

Kolejność uwierzytelniania oceny

Za każdym razem, gdy interfejs wiersza polecenia usługi Databricks uwierzytelnia się w obszarze roboczym lub koncie usługi Azure Databricks, szuka wymaganych ustawień w następującej kolejności:

1. Pliki ustawień pakietu dla poleceń uruchamianych z katalogu roboczego pakietu. Pliki ustawień pakietu nie mogą zawierać wartości poświadczeń bezpośrednio.
2. Zmienne środowiskowe, zgodnie z opisem w tym artykule oraz w zmiennych środowiskowych i polach na potrzeby ujednoliconego uwierzytelniania.
3. Profile konfiguracji w .databrickscfg pliku.

Gdy tylko interfejs wiersza polecenia znajdzie wymagane ustawienie, przestanie przeszukiwać inne lokalizacje.

Examples:

• Jeśli zmienna środowiskowa DATABRICKS_TOKEN jest ustawiona, interfejs wiersza polecenia używa go, nawet jeśli w systemie .databrickscfgistnieje wiele tokenów.
• Jeśli nie DATABRICKS_TOKEN jest ustawiona, a środowisko pakietu odwołuje się do nazwy profilu, takiej jak dev profil DEV→ , interfejs wiersza polecenia używa poświadczeń z tego profilu w programie .databrickscfg.
• Jeśli wartość nie DATABRICKS_TOKEN jest ustawiona, a środowisko pakietu określa wartość, interfejs wiersza polecenia wyszukuje host profil w .databrickscfg pliku z pasującym host elementem i używa go token.

Uwierzytelnianie osobistego tokenu dostępu (przestarzałe)

Ważne

10 lipca 2024 r. uwierzytelnianie podstawowe przy użyciu nazwy użytkownika i hasła usługi Azure Databricks zakończyło się. Aby uwierzytelnić się przy użyciu konta usługi Azure Databricks, użyj jednej z następujących metod uwierzytelniania:

• Uwierzytelnianie między maszynami OAuth (M2M)
• Uwierzytelnianie typu użytkownik-komputer (U2M) OAuth
• Uwierzytelnianie tożsamości zarządzanych platformy Azure
• Uwierzytelnianie pryncypała usługi Microsoft Entra ID
• Uwierzytelnianie Azure CLI

Uwierzytelnianie osobistego tokenu dostępu usługi Azure Databricks używa osobistego tokenu dostępu usługi Azure Databricks do uwierzytelniania docelowej jednostki usługi Azure Databricks, takiej jak konto użytkownika usługi Azure Databricks. Zobacz Uwierzytelnianie przy użyciu osobistych tokenów dostępu usługi Azure Databricks (starsza wersja).

Aby utworzyć osobisty token dostępu, wykonaj kroki opisane w artykule Tworzenie osobistych tokenów dostępu dla użytkowników obszaru roboczego.