Sdílet prostřednictvím

Ověřování rozhraní příkazového řádku Databricks

  • Článek

Poznámka:

Tyto informace platí pro Databricks CLI verze 0.205 a vyšší. Rozhraní příkazového řádku Databricks je ve verzi Public Preview.

Použití rozhraní příkazového řádku Databricks podléhá licenci Databricks a oznámení o ochraně osobních údajů Databricks, včetně všech ustanovení o využití.

Tento článek popisuje, jak nastavit ověřování mezi rozhraním příkazového řádku Databricks a účty a pracovními prostory Azure Databricks. Předpokládá se, že jste už nainstalovali CLI Databricks. Viz Instalaci nebo aktualizaci rozhraní příkazového řádku Databricks.

Než budete moct spouštět příkazy Databricks CLI, musíte nastavit ověřování mezi rozhraním příkazového řádku Databricks a účty Azure Databricks, pracovními prostory, nebo kombinací těchto možností, v závislosti na typech CLI příkazů, které chcete použít.

Abyste mohli spouštět příkazy služby Azure Databricks Automation v rámci účtu nebo pracovního prostoru Azure Databricks, musíte v době běhu ověřit rozhraní příkazového řádku Databricks pro příslušné prostředky. V závislosti na tom, jestli chcete volat příkazy na úrovni pracovního prostoru Azure Databricks, příkazy na úrovni účtu Azure Databricks nebo obojí, musíte se ověřit v pracovním prostoru Azure Databricks, účtu nebo obojím. K zobrazení seznamu skupin příkazů rozhraní příkazového řádku na úrovni pracovního prostoru a účtu Azure Databricks vygenerujete seznam spuštěním příkazu databricks -h. Seznam operací REST API na úrovni pracovního prostoru a účtu Azure Databricks, které pokrývají příkazy Databricks CLI, najdete v Databricks REST API.

Informace o ověřování Microsoft Entra pro Databricks s Azure DevOps konkrétně najdete v tématu Ověřování pomocí Azure DevOps v Databricks.

Následující části obsahují informace o tom, jak nastavit ověřování mezi Rozhraním příkazového řádku Databricks a Azure Databricks:

Ověřování osobního přístupového tokenu Azure Databricks

Ověřování osobního přístupového tokenu Azure Databricks používá osobní přístupový token Azure Databricks k ověření cílové entity Azure Databricks, jako je uživatelský účet Azure Databricks. Viz ověřování tokenů pat azure Databricks.

Poznámka:

Ověřování pomocí osobního přístupového tokenu Azure Databricks nemůžete použít k ověřování pomocí účtu Azure Databricks, protože příkazy na úrovni účtu Azure Databricks k ověřování nepoužívají osobní přístupové tokeny Azure Databricks. Pokud se chcete ověřit pomocí účtu Azure Databricks, zvažte místo toho použití některého z následujících typů ověřování:

Pokud chcete vytvořit osobní přístupový token, postupujte podle kroků v osobních přístupových tokenech Azure Databricks pro uživatele pracovního prostoru.

Poznámka:

Následující postup vytvoří konfigurační profil Azure Databricks s názvem DEFAULT. Pokud už máte DEFAULT konfigurační profil, který chcete použít, přeskočte tento postup. Jinak tento postup přepíše stávající DEFAULT konfigurační profil. Pokud chcete zobrazit názvy a hostitele všech existujících konfiguračních profilů, spusťte příkaz databricks auth profiles.

Chcete-li vytvořit konfigurační profil s jiným názvem než DEFAULT, přidejte --profile <configuration-profile-name> nebo -p <configuration-profile-name> na konec následujícího databricks configure příkazu nahraďte <configuration-profile-name> názvem nového konfiguračního profilu.

Pokud chcete nakonfigurovat a používat ověřování tokenů pat azure Databricks, postupujte takto:

  1. Pomocí rozhraní příkazového řádku Databricks spusťte následující příkaz:

    databricks configure

  2. Pro výzvu Databricks Host

  3. V případě výzvy osobního přístupového tokenu zadejte osobní přístupový token Azure Databricks pro váš pracovní prostor.

    Po zadání osobního přístupového tokenu Azure Databricks se do souboru .databrickscfg přidá odpovídající konfigurační profil. Pokud rozhraní příkazového řádku Databricks nemůže tento soubor najít ve výchozím umístění, vytvoří nejprve tento soubor a pak tento konfigurační profil přidá do nového souboru. Výchozí umístění tohoto souboru je ve vaší ~ složce (domovská stránka uživatele) v systémech Unix, Linux nebo macOS nebo ve vaší %USERPROFILE% (domovské složce uživatele) ve Windows.

  4. Teď můžete jako součást volání příkazu Rozhraní příkazového řádku Databricks použít rozhraní příkazového řádku --profile Databricks nebo -p možnost následovanou názvem konfiguračního profilu.databricks clusters list -p <configuration-profile-name>

Ověřování M2M (machine-to-machine) OAuth

Místo ověřování pomocí Azure Databricks pomocí ověřování osobního přístupového tokenu Azure Databricks můžete použít ověřování OAuth. OAuth poskytuje tokeny s rychlejší dobou vypršení platnosti než osobní přístupové tokeny Azure Databricks a nabízí lepší zneplatnění a vymezení rozsahu relace na straně serveru. Vzhledem k tomu, že platnost přístupových tokenů OAuth vyprší za méně než hodinu, snižuje se tím riziko spojené s náhodným kontrolou tokenů do správy zdrojového kódu. Viz také Autorizujte bezobslužný přístup k prostředkům Azure Databricks pomocí služebního hlavního objektu a OAuth.

Pokud chcete nakonfigurovat a používat ověřování OAuth M2M, postupujte takto:

  1. Dokončete pokyny k nastavení ověřování OAuth M2M. Viz Autorizace bezobslužného přístupu k prostředkům Azure Databricks pomocí instančního objektu pomocí OAuth

  2. Vytvořte nebo identifikujte konfigurační profil Azure Databricks s následujícími poli v .databrickscfg souboru. Pokud vytvoříte profil, nahraďte zástupné symboly příslušnými hodnotami.

    U příkazů na úrovni účtu nastavte v souboru .databrickscfg následující hodnoty:

    [<some-unique-configuration-profile-name>]
host          = <account-console-url>
account_id    = <account-id>
client_id     = <service-principal-client-id>
client_secret = <service-principal-oauth-secret>

    U příkazů na úrovni pracovního prostoru nastavte v souboru .databrickscfg následující hodnoty:

    [<some-unique-configuration-profile-name>]
host          = <workspace-url>
client_id     = <service-principal-client-id>
client_secret = <service-principal-oauth-secret>

    Poznámka:

    Výchozí umístění .databrickscfg souboru je v domovském adresáři uživatele. Toto je ~ pro Linux a macOS a %USERPROFILE% pro Windows.

  3. Použijte rozhraní příkazového řádku --profile Databricks nebo -p možnost následovanou názvem vašeho konfiguračního profilu jako součást volání příkazu Rozhraní příkazového řádku Databricks, databricks account groups list -p <configuration-profile-name> například nebo databricks clusters list -p <configuration-profile-name>.

    Tip

    Po Tab nebo --profile stiskněte -p a zobrazte seznam existujících dostupných konfiguračních profilů, ze které si můžete vybrat, a nemusíte zadávat název konfiguračního profilu ručně.

Ověřování uživatele OAuth na počítač (U2M)

Místo ověřování pomocí Azure Databricks pomocí ověřování tokenů můžete použít ověřování OAuth. OAuth poskytuje tokeny s rychlejší dobou vypršení platnosti než osobní přístupové tokeny Azure Databricks a nabízí lepší zneplatnění a vymezení rozsahu relace na straně serveru. Vzhledem k tomu, že platnost přístupových tokenů OAuth vyprší za méně než hodinu, snižuje se tím riziko spojené s náhodným kontrolou tokenů do správy zdrojového kódu. Viz také Autorizace interaktivního přístupu k prostředkům Azure Databricks pomocí uživatelského účtu pomocí OAuth.

Pokud chcete nakonfigurovat a používat ověřování OAuth U2M, postupujte takto:

  1. Před voláním příkazů na úrovni účtu Azure Databricks musíte spustit správu tokenů OAuth místně spuštěním následujícího příkazu. Tento příkaz musí být spuštěn samostatně pro každý účet, pro který chcete spouštět příkazy. Pokud nechcete volat žádné operace na úrovni účtu, přeskočte k kroku 5.

    V následujícím příkazu nahraďte následující zástupné symboly:

    databricks auth login --host <account-console-url> --account-id <account-id>

  2. Rozhraní příkazového řádku Databricks vás vyzve k uložení adresy URL konzoly účtu a ID účtu místně jako konfiguračního profilu Azure Databricks. Stisknutím klávesy Enter potvrďte navrhovaný název profilu nebo zadejte název nového nebo existujícího profilu. Všechny existující profily se stejným názvem se přepíšou adresou URL a ID účtu konzoly účtu.

    Pokud chcete získat seznam všech existujících profilů, spusťte v samostatném terminálu nebo příkazovém řádku příkaz databricks auth profiles. Pokud chcete zobrazit existující nastavení konkrétního profilu, spusťte příkaz databricks auth env --profile <profile-name>.

  3. Ve webovém prohlížeči dokončete pokyny na obrazovce a přihlaste se ke svému účtu Azure Databricks.

  4. Pokud chcete zobrazit aktuální hodnotu tokenu OAuth a nadcházející časové razítko vypršení platnosti, spusťte příkaz databricks auth token --host <account-console-url> --account-id <account-id>.

  5. Před voláním příkazů na úrovni pracovního prostoru Azure Databricks je nutné spustit správu tokenů OAuth místně spuštěním následujícího příkazu. Tento příkaz musí být spuštěn samostatně pro každý pracovní prostor, pro který chcete spouštět příkazy.

    V následujícím příkazu nahraďte <workspace-url> adresou URL služby Azure Databricks pro jednotlivé pracovní prostory, například https://adb-1234567890123456.7.azuredatabricks.net.

    databricks auth login --host <workspace-url>

  6. Rozhraní příkazového řádku Databricks vás vyzve, abyste adresu URL pracovního prostoru uložili místně jako konfigurační profil Azure Databricks. Stisknutím klávesy Enter potvrďte navrhovaný název profilu nebo zadejte název nového nebo existujícího profilu. Všechny existující profily se stejným názvem se přepíšou touto adresou URL pracovního prostoru.

    Pokud chcete získat seznam všech existujících profilů, spusťte v samostatném terminálu nebo příkazovém řádku příkaz databricks auth profiles. Pokud chcete zobrazit existující nastavení konkrétního profilu, spusťte příkaz databricks auth env --profile <profile-name>.

  7. Ve webovém prohlížeči dokončete pokyny na obrazovce, abyste se přihlásili k pracovnímu prostoru Azure Databricks.

  8. Pokud chcete zobrazit aktuální hodnotu tokenu OAuth a nadcházející časové razítko vypršení platnosti, spusťte příkaz databricks auth token --host <workspace-url>.

  9. Jako součást volání příkazu Rozhraní příkazového řádku Databricks použijte rozhraní příkazového řádku --profile Databricks nebo -p možnost následovanou názvem vašeho konfiguračního profilu, například databricks account groups list -p <configuration-profile-name>databricks clusters list -p <configuration-profile-name>.

    Tip

    Po Tab nebo --profile můžete stisknout -p a zobrazit seznam existujících dostupných konfiguračních profilů, ze které si můžete vybrat, a nemusíte zadávat název konfiguračního profilu ručně.

Ověřování spravovaných identit Azure

Ověřování spravovaných identit Azure používá spravované identity pro prostředky Azure (dříve spravované identity (MSI) k ověřování. Viz Co jsou spravované identity prostředků Azure? Viz také ověřování spravovaných identit Azure.

Pokud chcete vytvořit spravovanou identitu přiřazenou uživatelem Azure, postupujte takto:

  1. Vytvořte nebo identifikujte virtuální počítač Azure a nainstalujte na něj rozhraní příkazového řádku Databricks a pak přiřaďte svou spravovanou identitu k virtuálnímu počítači Azure a cílovým účtům, pracovním prostorům nebo oběma účtům Azure Databricks. Viz Nastavení a použití ověřování spravovaných identit Azure pro službu Azure Databricks Automation.

  2. Na virtuálním počítači Azure vytvořte nebo identifikujte konfigurační profil.databrickscfgs následujícími poli v souboru. Pokud vytvoříte profil, nahraďte zástupné symboly příslušnými hodnotami.

    U příkazů na úrovni účtu nastavte v souboru .databrickscfg následující hodnoty:

    [<some-unique-configuration-profile-name>]
host            = <account-console-url>
account_id      = <account-id>
azure_client_id = <azure-managed-identity-application-id>
azure_use_msi   = true

    U příkazů na úrovni pracovního prostoru nastavte v souboru .databrickscfg následující hodnoty:

    [<some-unique-configuration-profile-name>]
host            = <workspace-url>
azure_client_id = <azure-managed-identity-application-id>
azure_use_msi   = true

    Pokud jste do pracovního prostoru ještě nepřidali cílovou identitu, zadejte azure_workspace_resource_id společně s ID prostředku Azure místo host adresy URL pracovního prostoru. V takovém případě musí mít cílová identita k prostředku Azure alespoň oprávnění přispěvatele nebo vlastníka.

    Poznámka:

    Výchozí umístění .databrickscfg souboru je v domovském adresáři uživatele. Toto je ~ pro Linux a macOS a %USERPROFILE% pro Windows.

  3. Na virtuálním počítači Azure použijte příkazové rozhraní Databricks s volbou --profile nebo -p, následovanou názvem konfiguračního profilu, abyste nastavili profil pro použití v Databricks, například databricks account groups list -p <configuration-profile-name> nebo databricks clusters list -p <configuration-profile-name>.

    Tip

    Po Tab nebo --profile můžete stisknout -p a zobrazit seznam existujících dostupných konfiguračních profilů, ze které si můžete vybrat, a nemusíte zadávat název konfiguračního profilu ručně.

Ověřování instančního objektu Microsoft Entra ID

Ověřování pomocí instančního objektu služby Microsoft Entra ID používá přihlašovací údaje tohoto instančního objektu k ověření. Informace o vytváření a správě instančních objektů pro Azure Databricks najdete v tématu Správa instančních objektů. Viz také ověřování instančního objektu MS Entra.

Pokud chcete nakonfigurovat a používat ověřování instančního objektu Microsoft Entra ID, musíte mít místně nainstalované ověřování Azure CLI. Musíte také provést následující:

  1. Vytvořte nebo identifikujte konfigurační profil Azure Databricks s následujícími poli v .databrickscfg souboru. Pokud vytvoříte profil, nahraďte zástupné symboly příslušnými hodnotami.

    U příkazů na úrovni účtu nastavte v souboru .databrickscfg následující hodnoty:

    [<some-unique-configuration-profile-name>]
host                = <account-console-url>
account_id          = <account-id>
azure_tenant_id     = <azure-service-principal-tenant-id>
azure_client_id     = <azure-service-principal-application-id>
azure_client_secret = <azure-service-principal-client-secret>

    U příkazů na úrovni pracovního prostoru nastavte v souboru .databrickscfg následující hodnoty:

    [<some-unique-configuration-profile-name>]
host                = <workspace-url>
azure_tenant_id     = <azure-service-principal-tenant-id>
azure_client_id     = <azure-service-principal-application-id>
azure_client_secret = <azure-service-principal-client-secret>

    U příkazů na úrovni pracovního prostoru platí, že pokud cílový instanční objekt Microsoft Entra ID ještě nebyl přidán do pracovního prostoru, zadejte azure_workspace_resource_id spolu s ID prostředku Azure místo host adresy URL pracovního prostoru. V tomto případě musí mít cílový instanční objekt ID Microsoft Entra ID alespoň oprávnění přispěvatele nebo vlastníka prostředku Azure.

    Poznámka:

    Výchozí umístění .databrickscfg souboru je v domovském adresáři uživatele. Toto je ~ pro Linux a macOS a %USERPROFILE% pro Windows.

  2. Jako součást volání příkazu Rozhraní příkazového řádku Databricks použijte rozhraní příkazového řádku --profile Databricks nebo -p možnost následovanou názvem vašeho konfiguračního profilu, například databricks account groups list -p <configuration-profile-name>databricks clusters list -p <configuration-profile-name>.

    Tip

    Po Tab nebo --profile můžete stisknout -p a zobrazit seznam existujících dostupných konfiguračních profilů, ze které si můžete vybrat, a nemusíte zadávat název konfiguračního profilu ručně.

Ověřování Azure CLI

Ověřování Azure CLI používá Azure CLI k ověření přihlášené entity. Viz také ověřování Azure CLI.

Pokud chcete nakonfigurovat ověřování Azure CLI, musíte udělat toto:

  1. Místně nainstalujte Azure CLI.

  2. Pomocí Azure CLI se přihlaste k Azure Databricks spuštěním az login příkazu. Viz přihlášení k Azure CLI pomocí uživatelského účtu Azure Databricks.

  3. Vytvořte nebo identifikujte konfigurační profil Azure Databricks s následujícími poli v .databrickscfg souboru. Pokud vytvoříte profil, nahraďte zástupné symboly příslušnými hodnotami.

    U příkazů na úrovni účtu nastavte v souboru .databrickscfg následující hodnoty:

    [<some-unique-configuration-profile-name>]
host       = <account-console-url>
account_id = <account-id>

    U příkazů na úrovni pracovního prostoru nastavte v souboru .databrickscfg následující hodnoty:

    [<some-unique-configuration-profile-name>]
host = <workspace-url>

    Poznámka:

    Výchozí umístění .databrickscfg souboru je v domovském adresáři uživatele. Toto je ~ pro Linux a macOS a %USERPROFILE% pro Windows.

  4. Jako součást volání příkazu Rozhraní příkazového řádku Databricks použijte rozhraní příkazového řádku --profile Databricks nebo -p možnost následovanou názvem vašeho konfiguračního profilu, například databricks account groups list -p <configuration-profile-name>databricks clusters list -p <configuration-profile-name>.

    Tip

    Po Tab nebo --profile můžete stisknout -p a zobrazit seznam existujících dostupných konfiguračních profilů, ze které si můžete vybrat, a nemusíte zadávat název konfiguračního profilu ručně.

Pořadí ověření vyhodnocení

Pokaždé, když rozhraní příkazového řádku Databricks potřebuje shromáždit nastavení potřebná k ověření v pracovním prostoru nebo účtu Azure Databricks, vyhledá tato nastavení v následujících umístěních v následujícím pořadí.

  1. Pro každý příkaz spouštěný z pracovního adresáře sady (kořen sady a vnořená cesta) hodnoty polí v souborech nastavení sady projektu. (Soubory nastavení sady nepodporují přímé zahrnutí hodnot přihlašovacích údajů přístupu.)
  2. Hodnoty proměnných prostředí, jak je uvedeno v tomto článku a v Proměnné prostředí a pole pro sjednocené ověřování klienta.
  3. Hodnoty polí konfiguračního profilu v souboru .databrickscfg, jak je uvedeno dříve v tomto článku.

Pokaždé, když rozhraní příkazového řádku Databricks najde požadovaná nastavení, přestane hledat v jiných umístěních. Příklad:

  • Rozhraní příkazového řádku Databricks potřebuje hodnotu osobního přístupového tokenu Azure Databricks. Je nastavena proměnná prostředí DATABRICKS_TOKEN a soubor .databrickscfg také obsahuje více osobních přístupových tokenů. V tomto příkladu používá Rozhraní příkazového DATABRICKS_TOKEN řádku Databricks hodnotu proměnné prostředí a neprohledává .databrickscfg soubor.
  • Příkaz databricks bundle deploy -t dev potřebuje hodnotu tokenu pat azure Databricks. Proměnná prostředí DATABRICKS_TOKEN není nastavená a soubor .databrickscfg obsahuje více osobních přístupových tokenů. Soubor nastavení sady prostředků projektu obsahuje dev deklaraci prostředí, která odkazuje prostřednictvím jeho profile pole konfigurační profil s názvem DEV. V tomto příkladu rozhraní příkazového řádku Databricks vyhledá .databrickscfg v souboru profil s názvem DEV a použije hodnotu pole tohoto token profilu.
  • Příkaz databricks bundle run -t dev hello-job potřebuje hodnotu tokenu pat azure Databricks. Proměnná prostředí DATABRICKS_TOKEN není nastavená a soubor .databrickscfg obsahuje více osobních přístupových tokenů. Soubor nastavení sady prostředků projektu obsahuje dev deklaraci prostředí, která odkazuje prostřednictvím pole host na konkrétní adresu URL pracovního prostoru Azure Databricks. V tomto příkladu hledá rozhraní příkazového řádku Databricks prostřednictvím konfiguračních profilů v .databrickscfg souboru profil, který obsahuje host pole s odpovídající adresou URL pracovního prostoru. Rozhraní příkazového řádku Databricks najde odpovídající host pole a pak použije hodnotu pole daného profilu token .