Partilhar via

Autenticação para pacotes de ativos Databricks

  • Artigo

Este artigo descreve como configurar a autenticação para Databricks Asset Bundles. Consulte O que são Databricks Asset Bundles?.

Você implanta e executa o Databricks Asset Bundles no contexto de dois tipos de cenários de autenticação: assistido e autônomo:

  • Os cenários de autenticação assistida são fluxos de trabalho manuais, por exemplo, usando seu navegador da Web em sua máquina local para fazer logon no espaço de trabalho de destino do Azure Databricks quando solicitado pela CLI do Databricks.
  • Os cenários de autenticação autônoma são automatizados e fluxos de trabalho de CI/CD, por exemplo, ao usar sistemas de CI/CD como o GitHub.

As seções a seguir recomendam os tipos e configurações de autenticação do Azure Databricks a serem usados para Databricks Asset Bundles, com base nesses dois tipos de cenários de autenticação.

Autenticação assistida

Para cenários de autenticação assistida com Databricks Asset Bundles, o Databricks recomenda que você use os seguintes tipos de autenticação do Azure Databricks, na seguinte ordem de preferência:

  • Autenticação OAuth user-to-machine (U2M) para sua conta de usuário do Azure Databricks no espaço de trabalho de destino.
  • Autenticação de token de acesso pessoal do Azure Databricks para um token associado à sua conta de usuário do Azure Databricks para o espaço de trabalho de destino.

Para obter mais informações sobre esses tipos de autenticação do Azure Databricks, consulte Tipos de autenticação do Azure Databricks suportados.

Para armazenar configurações de autenticação para cenários de autenticação assistida, o Databricks recomenda que você use perfis de configuração do Azure Databricks em sua máquina de desenvolvimento local. Os perfis de configuração permitem que você alterne rapidamente entre diferentes contextos de autenticação do Azure Databricks para fazer um rápido desenvolvimento local entre vários espaços de trabalho do Azure Databricks. Com perfis, você pode usar as --profile opções ou -p para especificar um perfil específico ao executar os comandos de validação, implantação, execução e destruição do pacote com a CLI do Databricks.

O Databricks suporta, mas não recomenda, o uso do mapeamento dentro do mapeamento do espaço de trabalho para especificar o perfil a ser usado para cada espaço de trabalho de destino em seus arquivos de configuração do profile pacote. Mapeamentos codificados tornam seus arquivos de configuração de pacote menos reutilizáveis em projetos.

Autenticação autônoma

Para cenários de autenticação autônoma com Databricks Asset Bundles, o Databricks recomenda que você use os seguintes tipos de autenticação do Azure Databricks, na seguinte ordem de preferência:

  • Autenticação de identidades gerenciadas do Azure com uma identidade gerenciada do Azure registrada em uma máquina virtual do Azure, se essa configuração for suportada pelo seu sistema de CI/CD.
  • Autenticação OAuth máquina-a-máquina (M2M) para uma entidade de serviço gerenciado do Azure Databricks no espaço de trabalho de destino.
  • Autenticação da entidade de serviço do Microsoft Entra ID para uma entidade de serviço gerenciado do Microsoft Entra ID no espaço de trabalho de destino.

Para obter mais informações sobre esses tipos de autenticação do Azure Databricks, consulte Tipos de autenticação do Azure Databricks suportados.

Para cenários de autenticação autônoma, o Databricks recomenda o uso de variáveis de ambiente para armazenar as configurações de autenticação do Azure Databricks em seu sistema de CI/CD de destino. Isso ocorre porque os sistemas CI/CD são normalmente otimizados para trabalhar com configurações de autenticação armazenadas em variáveis de ambiente. Esses sistemas de CI/CD geralmente não funcionam com outras abordagens, como perfis de configuração do Azure Databricks, ou podem funcionar com perfis de maneiras inesperadas ou inseguras.

Para projetos Databricks Asset Bundles usados em sistemas de CI/CD projetados para trabalhar com vários espaços de trabalho do Azure Databricks (por exemplo, três espaços de trabalho de desenvolvimento, preparação e produção separados, mas relacionados), o Azure Databricks recomenda que você use entidades de serviço para autenticação e conceda a uma entidade de serviço acesso a todos os espaços de trabalho participantes. Isso permite que você use as mesmas variáveis de ambiente em todos os espaços de trabalho do projeto sem alterar frequentemente as configurações originais dessas variáveis.

O Databricks suporta, mas não recomenda, o uso de configurações codificadas relacionadas à autenticação no mapeamento de espaço de trabalho para espaços de trabalho de destino em seus arquivos de configuração de pacote. As configurações codificadas tornam a configuração dos pacotes menos reutilizável em projetos e correm o risco de expor desnecessariamente informações confidenciais, como IDs de entidade de serviço.

Para cenários de autenticação autônoma, você também deve instalar a CLI do Databricks nos recursos de computação associados, da seguinte maneira:

Autenticação de identidades gerenciadas do Azure

Para configurar a autenticação de identidades gerenciadas do Azure, consulte Autenticação de identidades gerenciadas do Azure.

A lista de variáveis de ambiente a serem definidas para autenticação autônoma está na cobertura de operações no nível do espaço de trabalho na seção "Ambiente" da autenticação de identidades gerenciadas do Azure. Para definir variáveis de ambiente, consulte a documentação do seu sistema operacional ou provedor de sistema CI/CD.

Autenticação OAuth máquina-a-máquina (M2M)

Para configurar a autenticação OAuth M2M, consulte Autenticação OAuth máquina-a-máquina (M2M).

A lista de variáveis de ambiente a serem definidas para autenticação autônoma está na cobertura de operações no nível do espaço de trabalho da seção "Ambiente" da autenticação OAuth máquina-a-máquina (M2M). Para definir variáveis de ambiente, consulte a documentação do seu sistema operacional ou provedor de sistema CI/CD.

Autenticação da entidade de serviço do Microsoft Entra ID

Para configurar a autenticação da entidade de serviço do Microsoft Entra ID, consulte Autenticação da entidade de serviço do Microsoft Entra ID.

A lista de variáveis de ambiente a serem definidas para autenticação autônoma está na cobertura de operações no nível do espaço de trabalho na seção "Ambiente" da autenticação da entidade de serviço do Microsoft Entra ID. Para definir variáveis de ambiente, consulte a documentação do seu sistema operacional ou provedor de sistema CI/CD.

Autenticação da CLI do Azure

Para configurar a autenticação da CLI do Azure, consulte Autenticação da CLI do Azure.

Para cenários de autenticação assistida, para criar um perfil de configuração do Azure Databricks, consulte a seção "Perfil" na autenticação da CLI do Azure.

Autenticação OAuth user-to-machine (U2M)

Para configurar a autenticação OAuth U2M, consulte a seção "CLI" em Autenticação de usuário para máquina (U2M) OAuth.

Para cenários de autenticação assistida, preencher as instruções na seção "CLI" da autenticação U2M (user-to-machine) OAuth cria automaticamente um perfil de configuração do Azure Databricks para você.

Autenticação de token de acesso pessoal do Azure Databricks

Para criar um token de acesso pessoal do Azure Databricks, consulte Autenticação do token de acesso pessoal do Azure Databricks.

Para cenários de autenticação assistida, para criar um perfil de configuração do Azure Databricks, consulte a seção "CLI" em Autenticação de token de acesso pessoal do Azure Databricks.

A lista de variáveis de ambiente a serem definidas para autenticação autônoma está na cobertura de operações no nível do espaço de trabalho na seção "Ambiente" da autenticação de token de acesso pessoal do Azure Databricks. Para definir variáveis de ambiente, consulte a documentação do seu sistema operacional ou provedor de sistema CI/CD.