Databricks CLI için kimlik doğrulaması

Uyarı

Bu bilgiler Databricks CLI 0.205 ve üzeri sürümleri için geçerlidir. Databricks CLI Genel Önizleme aşamasındadır.

Databricks CLI kullanımı, Kullanım Verileri sağlamaları da dahil olmak üzere Databricks Lisansı ve Databricks Gizlilik Bildirimi'ne tabidir.

Bu makalede Databricks CLI ile Azure Databricks hesaplarınız ve çalışma alanlarınız arasında kimlik doğrulamasının nasıl ayarlanacağı açıklanmaktadır. Databricks CLI'yi zaten yüklediğiniz varsayılır. Bkz. Databricks CLI'yı yükleme veya güncelleştirme.

Databricks CLI komutlarını çalıştırmadan önce, kullanmayı planladığınız hesaplar veya çalışma alanları için kimlik doğrulamasını yapılandırmanız gerekir. Gerekli kurulum, çalışma alanı düzeyi komutlarını, hesap düzeyi komutlarını veya her ikisini birden çalıştırmak isteyip istemediğinize bağlıdır.

Kullanılabilir CLI komut gruplarını görüntülemek için komutunu çalıştırın databricks -h. İlgili REST API işlemlerinin listesi için bkz. Databricks REST API.

Databricks'te Azure DevOps ile Microsoft Entra kimlik doğrulaması hakkında bilgi için bkz. Azure Databricks'te Azure DevOps ile Kimlik Doğrulama.

OAuth makineler arası (M2M) kimlik doğrulaması

OAuth ile makineden makineye (M2M) kimlik doğrulaması, hizmetlerin, betiklerin veya uygulamaların etkileşimli kullanıcı oturumu açmadan Databricks kaynaklarına erişmesine olanak tanır. M2M kimlik doğrulaması, kişisel erişim belirteçlerine (PAT) veya kullanıcı kimlik bilgilerine güvenmek yerine, belirteç istemek ve yönetmek için bir hizmet sorumlusu ve OAuth istemci kimlik bilgisi akışı kullanır.

OAuth M2M kimlik doğrulamasını yapılandırmak ve kullanmak için:

1. OAuth M2M kimlik doğrulaması kurulum adımlarını tamamlayın. Bkz. OAuth ile Azure Databricks hizmet sorumlusu erişimini yetkilendirme.

2. dosyanızda aşağıdaki alanlarla Azure Databricks .databrickscfg oluşturun.

   Hesap düzeyindeki komutlar için

   [<some-unique-configuration-profile-name>]
   host          = <account-console-url>
   account_id    = <account-id>
   client_id     = <service-principal-client-id>
   client_secret = <service-principal-oauth-secret>
   

   Çalışma alanı düzeyinde komutlar için

   [<some-unique-configuration-profile-name>]
   host          = <workspace-url>
   client_id     = <service-principal-client-id>
   client_secret = <service-principal-oauth-secret>
   

Profili kullanmak için CLI komutlarında --profile veya -p bayrağını geçirin. Örneğin:

databricks account groups list -p <profile-name>

Profillerin listesini göstermek için --profile veya -p'den sonra Tab tuşuna basın.

OAuth kullanıcı-makine arası (U2M) kimlik doğrulaması

OAuth kullanıcıdan makineye (U2M) kimlik doğrulaması ile etkileşimli olarak oturum açarsınız ve CLI sizin adınıza kısa süreli belirteçleri yönetir. OAuth belirteçleri bir saatten daha kısa sürede süresi dolar ve bu da bir belirtecin yanlışlıkla ifşa edilmesi durumunda riski azaltır. Bkz. OAuth ile Azure Databricks kullanıcı erişimini yetkilendirme.

Oturum açmak için:

Hesap düzeyindeki komutlar için

databricks auth login --host <account-console-url> --account-id <account-id>

Çalışma alanı düzeyinde komutlar için

databricks auth login --host <workspace-url>

CLI, tarayıcı tabanlı oturum açma akışında size yol gösterir. bitirdiğinizde, CLI kimlik bilgilerini yapılandırma profili olarak kaydeder. Önerilen profil adını kabul edebilir veya kendiniz girebilirsiniz.

Profili kullanmak için CLI komutlarında --profile veya -p bayrağını geçirin. Örneğin:

databricks clusters list -p <profile-name>

Profillerin listesini göstermek için --profile veya -p'den sonra Tab tuşuna basın.

Azure yönetilen kimlik doğrulaması

Azure yönetilen kimlikler kimlik doğrulaması, kimlik doğrulaması için Azure kaynaklar (eski adıyla Yönetilen Hizmet Kimlikleri (MSI)) için yönetilen kimlikleri kullanır. Bkz. Azure kaynakları için yönetilen kimlikler nedir?. Ayrıca bkz. Azure yönetilen kimliklerle kimlik doğrulama.

Azure kullanıcı tarafından atanan yönetilen kimlik oluşturmak için aşağıdakileri yapın:

1. bir Azure VM oluşturun veya tanımlayın ve Databricks CLI'yı yükleyin, ardından yönetilen kimliğinizi Azure VM'nize ve hedef Azure Databricks hesaplarınıza, çalışma alanlarınıza veya her ikisine de atayın. Bkz. Azure Databricks ile Azure yönetilen kimliklerini kullanma.

2. Azure VM'de, dosyanızda aşağıdaki alanlarla bir Azure Databricks .databrickscfg oluşturun veya tanımlayın. Profili oluşturduğunuzda, yer tutucuları uygun değerlerle değiştirin.

   Hesap düzeyinde komutları için .databrickscfg dosyanızda aşağıdaki değerleri ayarlayın:

   [<some-unique-configuration-profile-name>]
   host            = <account-console-url>
   account_id      = <account-id>
   azure_client_id = <azure-managed-identity-application-id>
   azure_use_msi   = true
   

   Çalışma alanı düzeyinde komutları için dosyanızda aşağıdaki değerleri ayarlayın:

   [<some-unique-configuration-profile-name>]
   host            = <workspace-url>
   azure_client_id = <azure-managed-identity-application-id>
   azure_use_msi   = true
   

   Databricks, host kullanmayı ve kimliği açıkça çalışma alanına atamayı önerir. Alternatif olarak, Azure kaynak kimliğiyle azure_workspace_resource_id kullanın. Bu yaklaşım, Azure kaynağında Katkıda Bulunan veya Sahip izinleri ya da belirli Azure Databricks izinlerine sahip özel bir rol gerektirir.

3. Azure VM'de, Databricks CLI'nin --profile veya -p seçeneğinden birini ve ardından yapılandırma profilinizin adını kullanarak Databricks'in kullanacağı profili ayarlayın, örneğin, databricks account groups list -p <configuration-profile-name> veya databricks clusters list -p <configuration-profile-name>.

   Tavsiye

   yapılandırma profili adını el ile girmek yerine, Tab veya --profile sonra -p tuşuna basarak seçebileceğiniz mevcut yapılandırma profillerinin listesini görüntüleyebilirsiniz.

Microsoft Entra ID hizmet sorumlusu kimlik doğrulaması

Microsoft Entra ID hizmet sorumlusu kimlik doğrulaması, kimlik doğrulaması için Microsoft Entra ID hizmet sorumlusunun kimlik bilgilerini kullanır. Azure Databricks hizmet sorumlularını oluşturmak ve yönetmek için bkz. Service principals. Ayrıca bkz. Microsoft Entra hizmet sorumlularıyla Authenticate.

Microsoft Entra ID hizmet sorumlusu kimlik doğrulamasını yapılandırmak ve kullanmak için, Azure CLI ile Kimlik Doğrulama'nın yerel olarak yüklenmiş olması gerekir. Aşağıdakileri de yapmanız gerekir:

1. dosyanızda aşağıdaki alanlarla Azure Databricks .databrickscfg oluşturun veya tanımlayın. Profili oluşturduğunuzda, yer tutucuları uygun değerlerle değiştirin.

   Hesap düzeyinde komutları için .databrickscfg dosyanızda aşağıdaki değerleri ayarlayın:

   [<some-unique-configuration-profile-name>]
   host                = <account-console-url>
   account_id          = <account-id>
   azure_tenant_id     = <azure-service-principal-tenant-id>
   azure_client_id     = <azure-service-principal-application-id>
   azure_client_secret = <azure-service-principal-client-secret>
   

   Çalışma alanı düzeyinde komutları için dosyanızda aşağıdaki değerleri ayarlayın:

   [<some-unique-configuration-profile-name>]
   host                = <workspace-url>
   azure_tenant_id     = <azure-service-principal-tenant-id>
   azure_client_id     = <azure-service-principal-application-id>
   azure_client_secret = <azure-service-principal-client-secret>
   

   Databricks, host kullanılmasını ve Microsoft Entra ID hizmet sorumlusunu çalışma alanına açıkça atamanızı önerir. Alternatif olarak, Azure kaynak kimliğiyle azure_workspace_resource_id kullanın. Bu yaklaşım, Azure kaynağında Katkıda Bulunan veya Sahip izinleri ya da belirli Azure Databricks izinlerine sahip özel bir rol gerektirir.

2. Databricks CLI komut çağrısının bir parçası olarak Databricks CLI'sinin --profile veya -p seçeneğinin ardından yapılandırma profilinizin adını kullanın, örneğin databricks account groups list -p <configuration-profile-name> veya databricks clusters list -p <configuration-profile-name>.

   Tavsiye

   yapılandırma profili adını el ile girmek yerine, Tab veya --profile sonra -p tuşuna basarak seçebileceğiniz mevcut yapılandırma profillerinin listesini görüntüleyebilirsiniz.

Azure CLI kimlik doğrulaması

Azure CLI kimlik doğrulaması, oturum açmış varlığın kimliğini doğrulamak için Azure CLI kullanır. Ayrıca bkz. Azure CLI ile kimlik doğrulama.

Azure CLI kimlik doğrulamasını yapılandırmak için aşağıdakileri yapmanız gerekir:

1. Azure CLI yerel olarak yükleyin.

2. az login komutunu çalıştırarak Azure Databricks oturum açmak için Azure CLI kullanın. Azure CLI ile oturum açma kısmına bakın.

3. dosyanızda aşağıdaki alanlarla Azure Databricks .databrickscfg oluşturun veya tanımlayın. Profili oluşturduğunuzda, yer tutucuları uygun değerlerle değiştirin.

   Hesap düzeyinde komutları için .databrickscfg dosyanızda aşağıdaki değerleri ayarlayın:

   [<some-unique-configuration-profile-name>]
   host       = <account-console-url>
   account_id = <account-id>
   

   Çalışma alanı düzeyinde komutları için dosyanızda aşağıdaki değerleri ayarlayın:

   [<some-unique-configuration-profile-name>]
   host = <workspace-url>
   

4. Databricks CLI komut çağrısının bir parçası olarak Databricks CLI'sinin --profile veya -p seçeneğinin ardından yapılandırma profilinizin adını kullanın, örneğin databricks account groups list -p <configuration-profile-name> veya databricks clusters list -p <configuration-profile-name>.

   Tavsiye

   yapılandırma profili adını el ile girmek yerine, Tab veya --profile sonra -p tuşuna basarak seçebileceğiniz mevcut yapılandırma profillerinin listesini görüntüleyebilirsiniz.

Kimlik doğrulama değerlendirme sırası

Databricks CLI bir Azure Databricks çalışma alanında veya hesapta kimlik doğrulaması gerçekleştirdiğinden, gerekli ayarları aşağıdaki sırayla arar:

1. Paket çalışma dizininden çalıştırılacak komutlar için paket ayar dosyaları. Paket ayarları dosyaları doğrudan kimlik bilgisi değerleri içeremez.
2. Bu makalede ve Birleşik kimlik doğrulaması için Ortam değişkenleri ve alanlarında listelendiği gibi ortam değişkenleri.
3. Dosyadaki Yapılandırma profilleri.databrickscfg.

CLI gerekli ayarı bulur bulmaz diğer konumları aramayı durdurur.

Examples:

• Bir DATABRICKS_TOKEN ortam değişkeni ayarlanırsa, IÇINDE birden çok belirteç .databrickscfgolsa bile CLI bunu kullanır.
• Eğer DATABRICKS_TOKEN ayarlanmadıysa ve paket ortamı dev gibi bir profil ismine başvuruyorsa, CLI DEV içindeki bu profilden kimlik bilgilerini kullanır.
• Eğer DATABRICKS_TOKEN ayarlı değilse ve paket ortamı bir host değeri belirtirse, CLI, .databrickscfg içinde host ile eşleşen bir profil arar ve onun token'i kullanır.

Kişisel erişim jetonu ile kimlik doğrulama (eski)

Önemli

Mümkün olduğunda Azure Databricks, daha güçlü güvenlik sağladığından kullanıcı hesabı kimlik doğrulaması için PAT'ler yerine OAuth kullanılmasını önerir. Aşağıdaki kimlik doğrulama yöntemlerini göz önünde bulundurun:

• OAuth makineden makineye (M2M) kimlik doğrulaması
• OAuth kullanıcıdan makineye (U2M) kimlik doğrulaması
• Azure yönetilen kimlik doğrulaması
• Microsoft Entra ID hizmet sorumlusu kimlik doğrulaması
• Azure CLI kimlik doğrulaması

Azure Databricks kişisel erişim belirteci kimlik doğrulaması, hedef Azure Databricks varlığının, örneğin bir Azure Databricks kullanıcı hesabının kimliğini doğrulamak için Azure Databricks kişisel erişim belirteci kullanır. Bkz. Azure Databricks kişisel erişim belirteçleri (eski) ile kimlik doğrulayın.

Kişisel erişim belirteci oluşturmak için Çalışma alanı kullanıcıları için kişisel erişim belirteçleri oluşturma bölümünde yer alan adımları izleyin.