Databricks CLI için kimlik doğrulaması

Uyarı

Bu bilgiler Databricks CLI 0.205 ve üzeri sürümleri için geçerlidir. Databricks CLI Genel Önizleme aşamasındadır.

Databricks CLI kullanımı, Kullanım Verileri sağlamaları da dahil olmak üzere Databricks Lisansı ve Databricks Gizlilik Bildirimi'ne tabidir.

Bu makalede, Azure Databricks CLI ile Azure Databricks hesaplarınız ve çalışma alanlarınız arasında kimlik doğrulamasının nasıl ayarlanacağı açıklanmaktadır. Azure Databricks CLI'yi zaten yüklediğiniz varsayılır. Bkz. Databricks CLI'yı yükleme veya güncelleştirme.

Azure Databricks CLI komutlarını çalıştırmadan önce, kullanmayı planladığınız hesaplar veya çalışma alanları için kimlik doğrulamasını yapılandırmanız gerekir. Gerekli kurulum , çalışma alanı düzeyinde komutlar, hesap düzeyi komutları veya her ikisini birden çalıştırmak isteyip istemediğinize bağlıdır.

Kullanılabilir CLI komut gruplarını görüntülemek için komutunu çalıştırın databricks -h. İlgili REST API işlemlerinin listesi için bkz. Databricks REST API.

Özellikle Azure DevOps ile Databricks'te Microsoft Entra kimlik doğrulaması hakkında bilgi için bkz. Azure Databricks üzerinde Azure DevOps ile kimlik doğrulama.

OAuth makineler arası (M2M) kimlik doğrulaması

OAuth ile makineden makineye (M2M) kimlik doğrulaması, hizmetlerin, betiklerin veya uygulamaların etkileşimli kullanıcı oturumu açmadan Databricks kaynaklarına erişmesine olanak tanır. M2M kimlik doğrulaması, kişisel erişim belirteçlerine (PAT) veya kullanıcı kimlik bilgilerine güvenmek yerine, belirteç istemek ve yönetmek için bir hizmet sorumlusu ve OAuth istemci kimlik bilgisi akışı kullanır.

OAuth M2M kimlik doğrulamasını yapılandırmak ve kullanmak için:

1. OAuth M2M kimlik doğrulaması kurulum adımlarını tamamlayın. Bkz. OAuth ile Azure Databricks'e hizmet sorumlusu erişimini yetkilendirme.

2. Dosyanızda aşağıdaki alanları içeren bir Azure Databricks .databrickscfg oluşturun.

   Hesap düzeyindeki komutlar için

   [<some-unique-configuration-profile-name>]
   host          = <account-console-url>
   account_id    = <account-id>
   client_id     = <service-principal-client-id>
   client_secret = <service-principal-oauth-secret>
   

   Çalışma alanı düzeyinde komutlar için

   [<some-unique-configuration-profile-name>]
   host          = <workspace-url>
   client_id     = <service-principal-client-id>
   client_secret = <service-principal-oauth-secret>
   

Profili kullanmak için CLI komutlarında veya --profile bayrağıyla geçirin-p. Örneğin:

databricks account groups list -p <profile-name>

Kullanılabilir profillerin listesini göstermek için sekme --profile-p tuşuna basın.

OAuth kullanıcı-makine arası (U2M) kimlik doğrulaması

OAuth kullanıcıdan makineye (U2M) kimlik doğrulaması ile etkileşimli olarak oturum açarsınız ve CLI sizin adınıza kısa süreli belirteçleri yönetir. OAuth belirteçlerinin süresi bir saatten daha az bir süre içinde dolar ve bu da bir belirtecin yanlışlıkla kullanıma sunulduğunda riski azaltır. Bkz. OAuth ile Azure Databricks'e kullanıcı erişimini yetkilendirme.

Oturum açmak için:

Hesap düzeyindeki komutlar için

databricks auth login --host <account-console-url> --account-id <account-id>

Çalışma alanı düzeyinde komutlar için

databricks auth login --host <workspace-url>

CLI, tarayıcı tabanlı oturum açma akışında size yol gösterir. bitirdiğinizde, CLI kimlik bilgilerini yapılandırma profili olarak kaydeder. Önerilen profil adını kabul edebilir veya kendiniz girebilirsiniz.

Profili kullanmak için CLI komutlarında veya --profile bayrağıyla geçirin-p. Örneğin:

databricks clusters list -p <profile-name>

Kullanılabilir profillerin listesini göstermek için sekme --profile-p tuşuna basın.

Azure yönetilen kimlik kimlik doğrulaması

Azure yönetilen kimlikleri kimlik doğrulaması, kimlik doğrulaması için Azure kaynakları (eski adıyla Yönetilen Hizmet Kimlikleri (MSI)) için yönetilen kimlikleri kullanır. Bkz. Azure kaynakları için yönetilen kimlikler nelerdir?. Ayrıca bkz. Azure yönetilen kimlikleriyle kimlik doğrulaması.

Azure kullanıcı tarafından atanan yönetilen kimlik oluşturmak için aşağıdakileri yapın:

1. Bir Azure VM oluşturun veya tanımlayın ve Databricks CLI'yı yükleyin, ardından yönetilen kimliğinizi Azure VM'nize ve hedef Azure Databricks hesaplarınıza, çalışma alanlarınıza veya her ikisine de atayın. Bkz. Azure Databricks ile Azure yönetilen kimlikleri kullanma.

2. Azure VM'de, dosyanızda aşağıdaki alanları içeren bir Azure Databricks .databrickscfg oluşturun veya tanımlayın. Profili oluşturduğunuzda, yer tutucuları uygun değerlerle değiştirin.

   Hesap düzeyinde komutları için .databrickscfg dosyanızda aşağıdaki değerleri ayarlayın:

   [<some-unique-configuration-profile-name>]
   host            = <account-console-url>
   account_id      = <account-id>
   azure_client_id = <azure-managed-identity-application-id>
   azure_use_msi   = true
   

   Çalışma alanı düzeyinde komutları için dosyanızda aşağıdaki değerleri ayarlayın:

   [<some-unique-configuration-profile-name>]
   host            = <workspace-url>
   azure_client_id = <azure-managed-identity-application-id>
   azure_use_msi   = true
   

   Databricks, host kullanmayı ve kimliği açıkça çalışma alanına atamayı önerir. Alternatif olarak Azure kaynak kimliği ile kullanın azure_workspace_resource_id . Bu yaklaşım, Azure kaynağında Katkıda Bulunan veya Sahip izinleri ya da belirli Azure Databricks izinlerine sahip özel bir rol gerektirir.

3. Azure VM'de, Databricks CLI'sinin --profile veya -p seçeneğini seçip, yapılandırma profilinizin adını girerek Databricks için kullanılacak profili ayarlayın, örneğin databricks account groups list -p <configuration-profile-name> veya databricks clusters list -p <configuration-profile-name>.

   Tavsiye

   yapılandırma profili adını el ile girmek yerine, Tab veya --profile sonra -p tuşuna basarak seçebileceğiniz mevcut yapılandırma profillerinin listesini görüntüleyebilirsiniz.

Microsoft Entra ID hizmet sorumlusu kimlik doğrulaması

Microsoft Entra ID hizmet sorumlusu kimlik doğrulaması, kimlik doğrulaması için bir Microsoft Entra ID hizmet sorumlusunun kimlik bilgilerini kullanır. Azure Databricks için hizmet sorumluları oluşturmak ve yönetmek için bkz. Hizmet sorumluları. Ayrıca bkz. Microsoft Entra hizmet sorumlularıyla kimlik doğrulaması.

Microsoft Entra ID hizmet sorumlusu kimlik doğrulamasını yapılandırmak ve kullanmak için Azure CLI ile kimlik doğrulamasının yerel olarak yüklenmiş olması gerekir. Aşağıdakileri de yapmanız gerekir:

1. Dosyanızda aşağıdaki alanlarla bir Azure Databricks .databrickscfg oluşturun veya tanımlayın. Profili oluşturduğunuzda, yer tutucuları uygun değerlerle değiştirin.

   Hesap düzeyinde komutları için .databrickscfg dosyanızda aşağıdaki değerleri ayarlayın:

   [<some-unique-configuration-profile-name>]
   host                = <account-console-url>
   account_id          = <account-id>
   azure_tenant_id     = <azure-service-principal-tenant-id>
   azure_client_id     = <azure-service-principal-application-id>
   azure_client_secret = <azure-service-principal-client-secret>
   

   Çalışma alanı düzeyinde komutları için dosyanızda aşağıdaki değerleri ayarlayın:

   [<some-unique-configuration-profile-name>]
   host                = <workspace-url>
   azure_tenant_id     = <azure-service-principal-tenant-id>
   azure_client_id     = <azure-service-principal-application-id>
   azure_client_secret = <azure-service-principal-client-secret>
   

   Databricks, Microsoft Entra ID hizmet ilkesini kullanmayı host ve açıkça çalışma alanına atamayı önerir. Alternatif olarak Azure kaynak kimliği ile kullanın azure_workspace_resource_id . Bu yaklaşım, Azure kaynağında Katkıda Bulunan veya Sahip izinleri ya da belirli Azure Databricks izinlerine sahip özel bir rol gerektirir.

2. Databricks CLI komut çağrısının bir parçası olarak Databricks CLI'sinin --profile veya -p seçeneğinin ardından yapılandırma profilinizin adını kullanın, örneğin databricks account groups list -p <configuration-profile-name> veya databricks clusters list -p <configuration-profile-name>.

   Tavsiye

   yapılandırma profili adını el ile girmek yerine, Tab veya --profile sonra -p tuşuna basarak seçebileceğiniz mevcut yapılandırma profillerinin listesini görüntüleyebilirsiniz.

Azure CLI kimlik doğrulaması

Azure CLI kimlik doğrulaması, oturum açmış varlığın kimliğini doğrulamak için Azure CLI'yi kullanır. Ayrıca bkz. Azure CLI ile kimlik doğrulaması.

Azure CLI kimlik doğrulamasını yapılandırmak için aşağıdakileri yapmanız gerekir:

1. Azure CLI'nın yerel olarak yüklenmesini sağlayın.

2. Komutunu çalıştırarak Azure Databricks'te oturum açmak için Azure CLI'yi az login kullanın. Bkz. Azure CLI ile oturum açma.

3. Dosyanızda aşağıdaki alanlarla bir Azure Databricks .databrickscfg oluşturun veya tanımlayın. Profili oluşturduğunuzda, yer tutucuları uygun değerlerle değiştirin.

   Hesap düzeyinde komutları için .databrickscfg dosyanızda aşağıdaki değerleri ayarlayın:

   [<some-unique-configuration-profile-name>]
   host       = <account-console-url>
   account_id = <account-id>
   

   Çalışma alanı düzeyinde komutları için dosyanızda aşağıdaki değerleri ayarlayın:

   [<some-unique-configuration-profile-name>]
   host = <workspace-url>
   

4. Databricks CLI komut çağrısının bir parçası olarak Databricks CLI'sinin --profile veya -p seçeneğinin ardından yapılandırma profilinizin adını kullanın, örneğin databricks account groups list -p <configuration-profile-name> veya databricks clusters list -p <configuration-profile-name>.

   Tavsiye

   yapılandırma profili adını el ile girmek yerine, Tab veya --profile sonra -p tuşuna basarak seçebileceğiniz mevcut yapılandırma profillerinin listesini görüntüleyebilirsiniz.

Kimlik doğrulama değerlendirme sırası

Databricks CLI bir Azure Databricks çalışma alanında veya hesabında kimlik doğrulaması gerçekleştirdiğinden aşağıdaki sırayla gerekli ayarları arar:

1. Paket çalışma dizininden çalıştırılacak komutlar için paket ayarları dosyaları. Paket ayarları dosyaları doğrudan kimlik bilgisi değerleri içeremez.
2. Bu makalede ve Birleşik kimlik doğrulaması için Ortam değişkenleri ve alanlarında listelendiği gibi ortam değişkenleri.
3. Dosyadaki .databrickscfg.

CLI gerekli ayarı bulur bulmaz diğer konumları aramayı durdurur.

Examples:

• Bir DATABRICKS_TOKEN ortam değişkeni ayarlanırsa, IÇINDE birden çok belirteç .databrickscfgolsa bile CLI bunu kullanır.
• Hayır DATABRICKS_TOKEN ayarlanırsa ve paket ortamı → profili gibi dev bir profil DEVadına başvurursa, CLI bu profildeki kimlik bilgilerini içinde .databrickscfgkullanır.
• Ayarlı değilse DATABRICKS_TOKEN ve paket ortamı bir host değer belirtirse, CLI içinde eşleşen .databrickscfg bir profil host arar ve öğesini tokenkullanır.

Kişisel erişim belirteci kimlik doğrulaması (kullanım dışı)

Önemli

Azure Databricks kullanıcı adı ve parolası kullanılarak yapılan temel kimlik doğrulaması 10 Temmuz 2024'te kullanım ömrüne ulaşmıştır. Azure Databricks hesabıyla kimlik doğrulaması yapmak için bunun yerine aşağıdaki kimlik doğrulama yöntemlerinden birini kullanın:

• OAuth makineden makineye (M2M) kimlik doğrulaması
• OAuth kullanıcıdan makineye (U2M) kimlik doğrulaması
• Azure yönetilen kimliklerle kimlik doğrulama
• Microsoft Entra ID hizmet sorumlusu kimlik doğrulaması
• Azure CLI kimlik doğrulaması

Azure Databricks kişisel erişim belirteci kimlik doğrulaması, Azure Databricks kullanıcı hesabı gibi hedef Azure Databricks varlığının kimliğini doğrulamak için bir Azure Databricks kişisel erişim belirteci kullanır. Bkz. Azure Databricks kişisel erişim belirteçleriyle kimlik doğrulaması (eski).

Kişisel erişim belirteci oluşturmak için Çalışma alanı kullanıcıları için kişisel erişim belirteçleri oluşturma bölümünde yer alan adımları izleyin.