Uwierzytelnianie CLI usługi Databricks

Uwaga

Te informacje dotyczą interfejsu wiersza polecenia usługi Databricks w wersji 0.205 lub nowszej. Interfejs wiersza polecenia Databricks znajduje się w publicznej wersji zapoznawczej.

Korzystanie z interfejsu wiersza polecenia usługi Databricks podlega licencjom usługi Databricks i powiadomieniom o ochronie prywatności usługi Databricks, w tym wszelkim przepisom dotyczącym danych użycia.

W tym artykule wyjaśniono, jak skonfigurować uwierzytelnianie między interfejsem wiersza polecenia usługi Databricks a kontami i obszarami roboczymi Azure Databricks. Przyjęto założenie, że interfejs wiersza polecenia usługi Databricks został już zainstalowany. Zobacz Instalowanie lub aktualizowanie interfejsu wiersza polecenia usługi Databricks.

Przed uruchomieniem poleceń interfejsu wiersza polecenia usługi Databricks należy skonfigurować uwierzytelnianie dla kont lub obszarów roboczych, które mają być używane. Wymagana konfiguracja zależy od tego, czy chcesz uruchamiać polecenia na poziomie obszaru roboczego , polecenia na poziomie konta , czy oba te polecenia.

Aby wyświetlić dostępne grupy poleceń interfejsu wiersza polecenia, uruchom polecenie databricks -h. Aby uzyskać listę odpowiednich operacji interfejsu API REST, zobacz Interfejs API REST usługi Databricks.

Aby uzyskać informacje na temat uwierzytelniania Microsoft Entra w usłudze Databricks przy użyciu Azure DevOps, odwołaj się do Authenticate with Azure DevOps on Azure Databricks.

Uwierzytelnianie komunikacji maszyna-maszyna OAuth (M2M)

Uwierzytelnianie maszyny na maszynę (M2M) za pomocą protokołu OAuth umożliwia usługom, skryptom lub aplikacjom uzyskiwanie dostępu do zasobów usługi Databricks bez interaktywnego logowania użytkownika. Zamiast polegać na osobistych tokenach dostępu (PAT) lub poświadczeniach użytkownika, uwierzytelnianie M2M używa jednostki usługi i przepływu poświadczeń klienta OAuth do żądania tokenów i zarządzania nimi.

Aby skonfigurować i użyć uwierzytelniania OAuth M2M:

1. Wykonaj kroki konfiguracji uwierzytelniania OAuth M2M. Zobacz Authorize dostęp jednostki usługi do Azure Databricks za pomocą protokołu OAuth.

2. Utwórz profil konfiguracji Azure Databricks z następującymi polami w pliku .databrickscfg.

   W przypadku poleceń na poziomie konta

   [<some-unique-configuration-profile-name>]
   host          = <account-console-url>
   account_id    = <account-id>
   client_id     = <service-principal-client-id>
   client_secret = <service-principal-oauth-secret>
   

   Polecenia na poziomie obszaru roboczego

   [<some-unique-configuration-profile-name>]
   host          = <workspace-url>
   client_id     = <service-principal-client-id>
   client_secret = <service-principal-oauth-secret>
   

Aby użyć profilu, przekaż go z flagą --profile lub -p w poleceniach wiersza polecenia. Na przykład:

databricks account groups list -p <profile-name>

Naciśnij Tab po --profile lub -p , aby wyświetlić listę dostępnych profilów.

Uwierzytelnianie OAuth typu użytkownik-komputer (U2M)

W przypadku uwierzytelniania typu użytkownik-komputer (U2M) protokołu OAuth logujesz się interaktywnie, a interfejs wiersza polecenia zarządza krótkotrwałymi tokenami w Twoim imieniu. Tokeny OAuth wygasają w mniej niż godzinę, co zmniejsza ryzyko w przypadku przypadkowego uwidocznienia tokenu. Zobacz Autoryzacja dostępu użytkowników do Azure Databricks za pomocą protokołu OAuth.

Aby się zalogować:

W przypadku poleceń na poziomie konta

databricks auth login --host <account-console-url> --account-id <account-id>

Polecenia na poziomie obszaru roboczego

databricks auth login --host <workspace-url>

Interfejs wiersza polecenia przeprowadzi Cię przez przepływ logowania oparty na przeglądarce. Po zakończeniu CLI zapisuje poświadczenia jako profil konfiguracji. Możesz zaakceptować sugerowaną nazwę profilu lub wprowadzić własną.

Aby użyć profilu, przekaż go z flagą --profile lub -p w poleceniach wiersza polecenia. Na przykład:

databricks clusters list -p <profile-name>

Naciśnij Tab po --profile lub -p , aby wyświetlić listę dostępnych profilów.

Uwierzytelnianie tożsamości zarządzanych w Azure

Azure tożsamości zarządzane używają zarządzanych tożsamości dla zasobów Azure (wcześniej tożsamości usługi zarządzanej (MSI)) na potrzeby uwierzytelniania. Zobacz Czym są zarządzane tożsamości dla zasobów Azure?. Zobacz również Uwierzytelnianie przy użyciu tożsamości zarządzanych przez Azure.

Aby utworzyć tożsamość zarządzaną przypisaną przez użytkownika Azure, wykonaj następujące czynności:

1. Utwórz lub zidentyfikuj maszynę wirtualną Azure i zainstaluj na niej interfejs wiersza polecenia (CLI) usługi Databricks, a następnie przypisz tożsamość zarządzaną do maszyny wirtualnej Azure oraz docelowych kont, obszarów roboczych lub obu tych elementów Azure Databricks. Zobacz Korzystanie z zarządzanych tożsamości platformy Azure z Azure Databricks.

2. Na maszynie wirtualnej Azure utwórz lub zidentyfikuj profil konfiguracji Azure Databricks z następującymi polami w pliku .databrickscfg. Jeśli utworzysz profil, zastąp symbole zastępcze odpowiednimi wartościami.

   Aby ustawić wartości dla poleceń na poziomie konta , umieść następujące wartości w pliku :

   [<some-unique-configuration-profile-name>]
   host            = <account-console-url>
   account_id      = <account-id>
   azure_client_id = <azure-managed-identity-application-id>
   azure_use_msi   = true
   

   W przypadku poleceń na poziomie obszaru roboczego ustaw następujące wartości w pliku .databrickscfg.

   [<some-unique-configuration-profile-name>]
   host            = <workspace-url>
   azure_client_id = <azure-managed-identity-application-id>
   azure_use_msi   = true
   

   Usługa Databricks zaleca używanie host i jawne przypisywanie tożsamości do obszaru roboczego. Alternatywnie użyj azure_workspace_resource_id z identyfikatorem zasobu Azure. Takie podejście wymaga uprawnień współautora lub właściciela zasobu Azure lub roli niestandardowej z określonymi uprawnieniami Azure Databricks.

3. Na maszynie wirtualnej Azure użyj opcji --profile lub -p interfejsu wiersza polecenia Databricks, a następnie nazwy profilu konfiguracji, aby ustawić profil do używania przez Databricks, na przykład databricks account groups list -p <configuration-profile-name> lub databricks clusters list -p <configuration-profile-name>.

   Wskazówka

   Możesz nacisnąć Tab po --profile lub -p, aby wyświetlić listę istniejących dostępnych profilów konfiguracji do wyboru, zamiast ręcznie wprowadzać nazwę profilu konfiguracji.

Microsoft Entra ID uwierzytelnianie jednostki usługi

Microsoft Entra ID jednostka usługi używa poświadczeń jednostki usługi Microsoft Entra ID do uwierzytelniania. Aby utworzyć jednostki usługi dla Azure Databricks i zarządzać nimi, zobacz Jednostki usługi. Zobacz również Uwierzytelnianie za pomocą jednostek usługi Microsoft Entra.

Aby skonfigurować i używać uwierzytelniania jednostki usługi Microsoft Entra ID, musisz mieć zainstalowane lokalnie Uwierzytelnienie za pomocą Azure CLI. Należy również wykonać następujące czynności:

1. Utwórz lub zidentyfikuj profil konfiguracji Azure Databricks z następującymi polami w pliku .databrickscfg. Jeśli utworzysz profil, zastąp symbole zastępcze odpowiednimi wartościami.

   Aby ustawić wartości dla poleceń na poziomie konta , umieść następujące wartości w pliku :

   [<some-unique-configuration-profile-name>]
   host                = <account-console-url>
   account_id          = <account-id>
   azure_tenant_id     = <azure-service-principal-tenant-id>
   azure_client_id     = <azure-service-principal-application-id>
   azure_client_secret = <azure-service-principal-client-secret>
   

   W przypadku poleceń na poziomie obszaru roboczego ustaw następujące wartości w pliku .databrickscfg.

   [<some-unique-configuration-profile-name>]
   host                = <workspace-url>
   azure_tenant_id     = <azure-service-principal-tenant-id>
   azure_client_id     = <azure-service-principal-application-id>
   azure_client_secret = <azure-service-principal-client-secret>
   

   Usługa Databricks zaleca użycie host i wyraźne przypisanie jednostki głównej usługi Microsoft Entra ID do obszaru roboczego. Alternatywnie użyj azure_workspace_resource_id z identyfikatorem zasobu Azure. Takie podejście wymaga uprawnień współautora lub właściciela zasobu Azure lub roli niestandardowej z określonymi uprawnieniami Azure Databricks.

2. Użyj opcji --profile lub -p interfejsu wiersza poleceń Databricks, po której następuje nazwa profilu konfiguracji, w ramach wywołania polecenia Databricks CLI, na przykład databricks account groups list -p <configuration-profile-name> lub databricks clusters list -p <configuration-profile-name>.

   Wskazówka

   Możesz nacisnąć Tab po --profile lub -p, aby wyświetlić listę istniejących dostępnych profilów konfiguracji do wyboru, zamiast ręcznie wprowadzać nazwę profilu konfiguracji.

Uwierzytelnianie Azure CLI

uwierzytelnianie Azure CLI używa Azure CLI do uwierzytelniania zalogowanej jednostki. Zobacz również Uwierzytelnianie przy użyciu Azure CLI.

Aby skonfigurować uwierzytelnianie Azure CLI, należy wykonać następujące czynności:

1. Zainstalowano lokalnie Azure CLI.

2. Użyj Azure CLI, aby zalogować się do Azure Databricks, uruchamiając polecenie az login. Zobacz Zaloguj się przy użyciu Azure CLI.

3. Utwórz lub zidentyfikuj profil konfiguracji Azure Databricks z następującymi polami w pliku .databrickscfg. Jeśli utworzysz profil, zastąp symbole zastępcze odpowiednimi wartościami.

   Aby ustawić wartości dla poleceń na poziomie konta , umieść następujące wartości w pliku :

   [<some-unique-configuration-profile-name>]
   host       = <account-console-url>
   account_id = <account-id>
   

   W przypadku poleceń na poziomie obszaru roboczego ustaw następujące wartości w pliku .databrickscfg.

   [<some-unique-configuration-profile-name>]
   host = <workspace-url>
   

4. Użyj opcji --profile lub -p interfejsu wiersza poleceń Databricks, po której następuje nazwa profilu konfiguracji, w ramach wywołania polecenia Databricks CLI, na przykład databricks account groups list -p <configuration-profile-name> lub databricks clusters list -p <configuration-profile-name>.

   Wskazówka

   Możesz nacisnąć Tab po --profile lub -p, aby wyświetlić listę istniejących dostępnych profilów konfiguracji do wyboru, zamiast ręcznie wprowadzać nazwę profilu konfiguracji.

Kolejność uwierzytelniania oceny

Za każdym razem, gdy interfejs wiersza polecenia usługi Databricks uwierzytelnia się w obszarze roboczym lub koncie Azure Databricks, szuka wymaganych ustawień w następującej kolejności:

1. Pliki ustawień pakietu dla poleceń uruchamianych z katalogu roboczego pakietu. Pliki ustawień pakietu nie mogą zawierać wartości poświadczeń bezpośrednio.
2. Zmienne środowiskowe, zgodnie z opisem w tym artykule oraz w zmiennych środowiskowych i polach na potrzeby ujednoliconego uwierzytelniania.
3. Profile konfiguracji w .databrickscfg pliku.

Gdy tylko interfejs wiersza polecenia znajdzie wymagane ustawienie, przestanie przeszukiwać inne lokalizacje.

Examples:

• Jeśli zmienna środowiskowa DATABRICKS_TOKEN jest ustawiona, CLI używa jej, nawet jeśli w .databrickscfg istnieje wiele tokenów.
• Jeśli DATABRICKS_TOKEN nie jest ustawiony, a środowisko pakietu odwołuje się do nazwy profilu, takiej jak profil devDEV, interfejs wiersza polecenia używa poświadczeń z tego profilu w .databrickscfg.
• Jeśli DATABRICKS_TOKEN nie jest ustawiony i środowisko pakietu określa wartość host, CLI wyszukuje profil w .databrickscfg z pasującym host i używa jego token.

Uwierzytelnianie osobistego tokenu dostępu (starsza wersja)

Ważne

Jeśli to możliwe, Azure Databricks zaleca używanie protokołu OAuth zamiast paT na potrzeby uwierzytelniania konta użytkownika, ponieważ protokół OAuth zapewnia silniejsze zabezpieczenia. Rozważ następujące metody uwierzytelniania:

• Uwierzytelnianie między maszynami OAuth (M2M)
• Uwierzytelnianie typu użytkownik-komputer (U2M) OAuth
• Azure uwierzytelnianie przy użyciu zarządzanych tożsamości
• Uwierzytelnianie głównej jednostki usługi Microsoft Entra ID
• Azure CLI authentication

Uwierzytelnianie za pomocą osobistego tokenu dostępu Azure Databricks polega na użyciu tego tokenu do uwierzytelniania docelowej jednostki Azure Databricks, takiej jak konto użytkownika Azure Databricks. Zobacz Uwierzytelnij się za pomocą osobistych tokenów dostępu Azure Databricks (starsza wersja).

Aby utworzyć osobisty token dostępu, wykonaj kroki opisane w artykule Tworzenie osobistych tokenów dostępu dla użytkowników obszaru roboczego.