Verificatie voor de Databricks CLI

Notitie

Deze informatie is van toepassing op Databricks CLI-versies 0.205 en hoger. De Databricks CLI bevindt zich in openbare preview.

Databricks CLI-gebruik is onderhevig aan de Databricks-licentie en de privacyverklaring van Databricks, met inbegrip van alle bepalingen voor gebruiksgegevens.

In dit artikel wordt uitgelegd hoe u verificatie instelt tussen de Databricks CLI en uw Azure Databricks-accounts en werkruimten. Hierbij wordt ervan uitgegaan dat u de Databricks CLI al hebt geïnstalleerd. Zie De Databricks CLI-installeren of bijwerken.

Voordat u Databricks CLI-opdrachten uitvoert, moet u verificatie configureren voor de accounts of werkruimten die u wilt gebruiken. De vereiste installatie is afhankelijk van of u opdrachten op werkruimteniveau , opdrachten op accountniveau of beide wilt uitvoeren.

Als u beschikbare CLI-opdrachtgroepen wilt weergeven, voert u het volgende uit databricks -h. Zie Databricks REST API voor de lijst met bijbehorende REST API-bewerkingen.

Zie Authenticate with Azure DevOps op Azure Databricks voor meer informatie over verificatie van Microsoft Entra met Azure DevOps voor Databricks.

machine-naar-machine (M2M) OAuth-verificatie

Met M2M-verificatie (Machine-to-Machine) met OAuth kunnen services, scripts of toepassingen toegang krijgen tot Databricks-resources zonder interactieve gebruikersaanmelding. In plaats van te vertrouwen op persoonlijke toegangstokens (PAT's) of gebruikersreferenties, gebruikt M2M-verificatie een service-principal en een OAuth-clientreferentiestroom om tokens aan te vragen en te beheren.

OAuth M2M-verificatie configureren en gebruiken:

  1. Voer de installatiestappen voor OAuth M2M-verificatie uit. Zie Autoriseer service-principal toegang tot Azure Databricks met OAuth.

  2. Maak een Azure Databricks configuratieprofiel met de volgende velden in het bestand .databrickscfg.

    Voor opdrachten op accountniveau

    [<some-unique-configuration-profile-name>]
host          = <account-console-url>
account_id    = <account-id>
client_id     = <service-principal-client-id>
client_secret = <service-principal-oauth-secret>

    Voor opdrachten op werkruimteniveau

    [<some-unique-configuration-profile-name>]
host          = <workspace-url>
client_id     = <service-principal-client-id>
client_secret = <service-principal-oauth-secret>

Als u het profiel wilt gebruiken, geeft u dit door met de --profile of -p vlag in CLI-opdrachten. Voorbeeld:

databricks account groups list -p <profile-name>

Druk op Tab na --profile of -p om een lijst met beschikbare profielen weer te geven.

OAuth-verificatie van gebruikers-naar-machine (U2M)

Met OAuth-gebruikers-naar-machine-verificatie (U2M) meldt u zich interactief aan en beheert de CLI namens u tokens met korte levensduur. OAuth-tokens verlopen binnen een uur, wat het risico vermindert als een token per ongeluk wordt blootgesteld. Zie Authorize user access to Azure Databricks with OAuth.

Aanmelden:

Voor opdrachten op accountniveau

databricks auth login --host <account-console-url> --account-id <account-id>

Voor opdrachten op werkruimteniveau

databricks auth login --host <workspace-url>

De CLI begeleidt u via een browsergebaseerd aanmeldproces. Wanneer u klaar bent, worden de referenties door de CLI opgeslagen als een configuratieprofiel. U kunt de voorgestelde profielnaam accepteren of uw eigen profiel invoeren.

Als u het profiel wilt gebruiken, geeft u dit door met de --profile of -p vlag in CLI-opdrachten. Voorbeeld:

databricks clusters list -p <profile-name>

Druk op Tab na --profile of -p om een lijst met beschikbare profielen weer te geven.

verificatie van beheerde identiteiten Azure

Azure beheerde identiteiten-authenticatie gebruikt beheerde identiteiten voor Azure-resources (voorheen Managed Service Identities (MSI)) voor verificatie. Zie Wat zijn beheerde identiteiten voor Azure resources?. Zie ook Authenticate with Azure managed identities.

Ga als volgt te werk om een Azure door de gebruiker toegewezen beheerde identiteit te maken:

  1. Maak of identificeer een Azure-VM en installeer de Databricks CLI erop, en wijs vervolgens uw beheerde identiteit toe aan uw Azure VM en uw doelaccounts, werkruimten of beide Azure Databricks. Zie Gebruik Azure beheerde identiteiten met Azure Databricks.

  2. Maak of identificeer op de Azure-VM een Azure Databricks configuratieprofiel met de volgende velden in het bestand .databrickscfg. Als u het profiel maakt, vervangt u de tijdelijke aanduidingen door de juiste waarden.

    Voor opdrachten op accountniveau stelt u de volgende waarden in uw .databrickscfg-bestand in:

    [<some-unique-configuration-profile-name>]
host            = <account-console-url>
account_id      = <account-id>
azure_client_id = <azure-managed-identity-application-id>
azure_use_msi   = true

    Voor opdrachten op werkruimteniveau stelt u de volgende waarden in uw .databrickscfg-bestand in:

    [<some-unique-configuration-profile-name>]
host            = <workspace-url>
azure_client_id = <azure-managed-identity-application-id>
azure_use_msi   = true

    Databricks raadt aan om gebruik te maken van host en de identiteit expliciet toe te wijzen aan de werkruimte. U kunt ook azure_workspace_resource_id gebruiken met de Azure-resource-id. Voor deze benadering zijn inzender- of eigenaarsmachtigingen voor de Azure resource of een aangepaste rol met specifieke Azure Databricks machtigingen vereist.

  3. Gebruik op de Azure-VM de --profile of -p van de Databricks CLI, gevolgd door de naam van uw configuratieprofiel om het profiel in te stellen dat Databricks moet gebruiken, bijvoorbeeld databricks account groups list -p <configuration-profile-name> of databricks clusters list -p <configuration-profile-name>.

    Aanbeveling

    U kunt op Tab drukken na --profile of -p om een lijst met bestaande beschikbare configuratieprofielen weer te geven waaruit u kunt kiezen, in plaats van de naam van het configuratieprofiel handmatig in te voeren.

verificatie van service-principal Microsoft Entra ID

Microsoft Entra ID service-principal gebruikt de referenties van een Microsoft Entra ID service-principal om te verifiëren. Zie Service-principals voor informatie over het maken en beheren van service-principals voor Azure Databricks. Zie ook Authenticatie met Microsoft Entra-serviceprinciëlen.

Als u de authenticatie van Microsoft Entra ID service-principal wilt configureren en gebruiken, moet u Authenticate with the Azure CLI lokaal hebben geïnstalleerd. U moet ook het volgende doen:

  1. Maak of identificeer een Azure Databricks configuratieprofiel met de volgende velden in uw bestand .databrickscfg. Als u het profiel maakt, vervangt u de tijdelijke aanduidingen door de juiste waarden.

    Voor opdrachten op accountniveau stelt u de volgende waarden in uw .databrickscfg-bestand in:

    [<some-unique-configuration-profile-name>]
host                = <account-console-url>
account_id          = <account-id>
azure_tenant_id     = <azure-service-principal-tenant-id>
azure_client_id     = <azure-service-principal-application-id>
azure_client_secret = <azure-service-principal-client-secret>

    Voor opdrachten op werkruimteniveau stelt u de volgende waarden in uw .databrickscfg-bestand in:

    [<some-unique-configuration-profile-name>]
host                = <workspace-url>
azure_tenant_id     = <azure-service-principal-tenant-id>
azure_client_id     = <azure-service-principal-application-id>
azure_client_secret = <azure-service-principal-client-secret>

    Databricks raadt aan om host te gebruiken en expliciet de Microsoft Entra ID service-principal toe te wijzen aan de werkruimte. U kunt ook azure_workspace_resource_id gebruiken met de Azure-resource-id. Voor deze benadering zijn inzender- of eigenaarsmachtigingen voor de Azure resource of een aangepaste rol met specifieke Azure Databricks machtigingen vereist.

  2. Gebruik de Databricks CLI --profile of -p optie, gevolgd door de naam van uw configuratieprofiel, als onderdeel van de opdrachtoproep van de Databricks CLI, bijvoorbeeld databricks account groups list -p <configuration-profile-name> of databricks clusters list -p <configuration-profile-name>.

    Aanbeveling

    U kunt op Tab drukken na --profile of -p om een lijst met bestaande beschikbare configuratieprofielen weer te geven waaruit u kunt kiezen, in plaats van de naam van het configuratieprofiel handmatig in te voeren.

Azure CLI-verificatie

Azure CLI gebruikt de Azure CLI om de aangemelde entiteit te verifiëren. Zie ook Authenticate with the Azure CLI.

Als u Azure CLI verificatie wilt configureren, moet u het volgende doen:

  1. Laat de Azure CLI lokaal zijn geïnstalleerd.

  2. Gebruik de Azure CLI om u aan te melden bij Azure Databricks door de opdracht az login uit te voeren. Zie Aantekenen met de Azure CLI.

  3. Maak of identificeer een Azure Databricks configuratieprofiel met de volgende velden in uw bestand .databrickscfg. Als u het profiel maakt, vervangt u de tijdelijke aanduidingen door de juiste waarden.

    Voor opdrachten op accountniveau stelt u de volgende waarden in uw .databrickscfg-bestand in:

    [<some-unique-configuration-profile-name>]
host       = <account-console-url>
account_id = <account-id>

    Voor opdrachten op werkruimteniveau stelt u de volgende waarden in uw .databrickscfg-bestand in:

    [<some-unique-configuration-profile-name>]
host = <workspace-url>

  4. Gebruik de Databricks CLI --profile of -p optie, gevolgd door de naam van uw configuratieprofiel, als onderdeel van de opdrachtoproep van de Databricks CLI, bijvoorbeeld databricks account groups list -p <configuration-profile-name> of databricks clusters list -p <configuration-profile-name>.

    Aanbeveling

    U kunt op Tab drukken na --profile of -p om een lijst met bestaande beschikbare configuratieprofielen weer te geven waaruit u kunt kiezen, in plaats van de naam van het configuratieprofiel handmatig in te voeren.

Verificatievolgorde van evaluatie

Wanneer de Databricks CLI wordt geverifieerd bij een Azure Databricks werkruimte of account, wordt in de volgende volgorde naar vereiste instellingen gezocht:

  1. Bundelinstellingenbestanden, voor opdrachten die worden uitgevoerd vanuit een bundelwerkmap. Bestanden met bundelinstellingen kunnen geen referentiewaarden rechtstreeks bevatten.
  2. Omgevingsvariabelen, zoals vermeld in dit artikel en in omgevingsvariabelen en -velden voor geïntegreerde verificatie.
  3. Configuratieprofielen in het .databrickscfg bestand.

Zodra de CLI de vereiste instelling heeft gevonden, wordt niet meer gezocht naar andere locaties.

Examples:

  • Als een DATABRICKS_TOKEN omgevingsvariabele is ingesteld, gebruikt de CLI deze, zelfs als er meerdere tokens bestaan..databrickscfg
  • Als er geen DATABRICKS_TOKEN is ingesteld en een bundelomgeving verwijst naar een profielnaam zoals dev → profiel DEV, gebruikt de CLI de referenties van dat profiel in .databrickscfg.
  • Als er geen DATABRICKS_TOKEN is ingesteld, en een bundelomgeving een host waarde opgeeft, zoekt de CLI naar een profiel in .databrickscfg met een overeenkomende host en gebruikt het zijn token.

Persoonlijke toegangstokenverificatie (verouderd)

Belangrijk

Waar mogelijk raadt Azure Databricks het gebruik van OAuth aan in plaats van PAT's voor verificatie van gebruikersaccounts, omdat OAuth een sterkere beveiliging biedt. Houd rekening met de volgende verificatiemethoden:

Azure Databricks persoonlijke toegangstokenverificatie maakt gebruik van een Azure Databricks persoonlijk toegangstoken om de doel-Azure Databricks-entiteit te verifiëren, zoals een Azure Databricks gebruikersaccount. Zie Authenticeren met Azure Databricks persoonlijke toegangstokens (verouderd).

Als u een persoonlijk toegangstoken wilt maken, volgt u de stappen in Persoonlijke toegangstokens maken voor werkruimtegebruikers.

  • Last updated on