Megosztás a következőn keresztül:


Az Azure Databricks-erőforrásokhoz való hozzáférés engedélyezése

Ez a témakör a biztonságos Azure Databricks CLI- vagy REST API-hívások Azure Databricks-fiók hitelesítő adataival, például felhasználói fiókok vagy szolgáltatásnevek használatával történő indításának alapvető módszereit ismerteti.

Az Azure Databricks parancssori felületének és API-inak engedélyezése

Az Azure Databricks-erőforrás Databricks CLI-vel vagy REST API-kkal való eléréséhez az ügyfeleknek engedélyeznie kell egy Azure Databricks-fiók használatát. Ennek a fióknak engedélyekkel kell rendelkeznie az erőforrás eléréséhez, amelyet az Azure Databricks rendszergazdája vagy rendszergazdai jogosultságokkal rendelkező felhasználói fiók konfigurálhat.

Az Azure Databricks-erőforrások elérésének módjától függően kétféle fiók használható:

  • felhasználói fiók: Ezzel interaktív módon adhat meg Azure Databricks CLI-parancsokat vagy REST API-hívásokat.
  • szolgáltatásnév: Ezzel automatizálhatja az Azure Databricks CLI-parancsokat vagy a REST API-hívásokat emberi beavatkozás nélkül.

Miután eldöntötte az Azure Databricks-fiók típusát, be kell szereznie egy hozzáférési jogkivonatot, amely a fiók hitelesítő adatait jelöli. A hozzáférési jogkivonatot akkor fogja megadni, amikor a fiók erőforrásait szkriptekben, kódban vagy interaktív munkamenetek során éri el.

  • Ha Azure Databrickset használ, az MS Entra szolgáltatásnévvel is engedélyezheti az Azure Databricks-fiókhoz vagy -munkaterülethez való hozzáférést. A Databricks azonban azt javasolja, hogy az MS Entra szolgáltatási azonosító engedélyezése helyett használjon egy Databricks szolgáltatási azonosítót az általunk megadott OAuth-hitelesítéssel. Ennek az az oka, hogy a Databricks engedélyezése olyan OAuth-hozzáférési jogkivonatokat használ, amelyek robusztusabbak, ha csak az Azure Databricks használatával engedélyezik azokat.

Az MS Entra szolgáltatásnév databricks-erőforrásokhoz való elérésével kapcsolatos további részletekért lásd : MS Entra szolgáltatásnév-hitelesítés.

Hozzáférési jogkivonat beszerzése

A fiók hitelesítő adatait egy biztonságos hozzáférési jogkivonat jelöli, amelyet közvetlenül vagy közvetve a CLI-parancsnak vagy AZ API-hívásnak ad meg.

Egy olyan Databricks CLI-parancs vagy API-kérés biztonságos futtatásához, amely jogosult hozzáférést igényel egy fiókhoz vagy munkaterülethez, meg kell adnia egy hozzáférési jogkivonatot érvényes Azure Databricks-fiók hitelesítő adatai alapján.

Az alábbi táblázat az Azure Databricks-fiók számára elérhető engedélyezési módszereket mutatja be.

Azure Databricks hitelesítési módszerei

Mivel az Azure Databricks-eszközök és az SDK-k egy vagy több támogatott Azure Databricks-hitelesítési módszerrel működnek, kiválaszthatja a használati esethez legmegfelelőbb engedélyezési módszert. További részletekért tekintse meg az eszköz vagy az SDK dokumentációját Helyi fejlesztési eszközök.

Előfordulhat, hogy az Azure Databricks-felhasználók hozzáférést igényelnek a Databricks-fiók alatt közvetlenül nem felügyelt, Azure-specifikus erőforrásokhoz. Az erőforrások elérésének módszereit is tartalmazza ez a táblázat. Az Azure-erőforrás-hozzáféréshez Azure felügyelt szolgáltatás identitást (MSI) vagy MS Entra ID-t használ (a forgatókönyvtől függően), és nem az Azure Databricks-fiók hitelesítő adatait.

Metódus Leírás Használati eset
Databricks OAuth szolgáltatási főfelhasználók számára Rövid élettartamú OAuth-jogkivonatok szolgáltatásnevekhez. Felügyelet nélküli engedélyezési forgatókönyvek, például teljesen automatizált és CI/CD-munkafolyamatok.
Databricks OAuth a felhasználók számára Rövid élettartamú OAuth-jogkivonatok felhasználók számára. A jelen lévő engedélyezési forgatókönyvek, ahol a webböngésző vagy más interaktív módszer használatával engedélyezi a Databricks-et, amikor a rendszer kéri.
Databricks személyes hozzáférési jogkivonatok (PAT-k) Rövid élettartamú vagy hosszú élettartamú jogkivonatok felhasználók vagy szolgáltatásnevek számára. Ezt csak akkor használja, ha a céleszköz nem támogatja az OAuth-ot.
Azure által felügyelt szolgáltatásazonosítás engedélyezése Microsoft Entra-azonosító jogkivonatok azure-beli felügyelt identitásokhoz. Csak felügyelt identitásokat támogató Azure-erőforrásokhoz, például Azure-beli virtuális gépekhez használható.
Microsoft Entra ID szolgáltatási főazonosító engedélyezése Microsoft Entra ID-jogkivonatok a Microsoft Entra ID szolgáltatásnevekhez. Csak olyan Azure-erőforrásokhoz használható, amelyek támogatják a Microsoft Entra ID-jogkivonatokat, és nem támogatják a felügyelt identitásokat, például az Azure DevOpsot.
Azure CLI engedélyezési Microsoft Entra ID-jogkivonatok felhasználók vagy Microsoft Entra ID szolgáltatásnevek számára. Az Azure CLI használatával engedélyezheti az Azure-erőforrásokhoz és az Azure Databrickshez való hozzáférést.
Microsoft Entra ID felhasználó hitelesítése Microsoft Entra-azonosító jogkivonatok felhasználók számára. Csak olyan Azure-erőforrásokhoz használható, amelyek csak a Microsoft Entra ID-jogkivonatokat támogatják. A Databricks nem javasolja, hogy manuálisan hozzon létre Microsoft Entra-azonosító jogkivonatokat az Azure Databricks-felhasználók számára.

Milyen engedélyezési lehetőséget válasszak?

Az Azure Databricks 2 lehetőséget biztosít a hozzáférési jogkivonattal történő engedélyezésre vagy hitelesítésre:

  • OAuth 2.0-alapú hozzáférési jogkivonatok.
  • Személyes hozzáférési jogkivonatok (PAT-k).

Megjegyzés

Az Azure Databricks határozottan javasolja az OAuth használatát paT-okon keresztül az engedélyezéshez, mivel az OAuth-jogkivonatok alapértelmezés szerint automatikusan frissülnek, és nem igénylik a hozzáférési jogkivonat közvetlen felügyeletét, javítva a jogkivonat-eltérítés és a nemkívánatos hozzáférés elleni biztonságot.

Mivel az OAuth létrehozza és kezeli a hozzáférési jogkivonatot, az OAuth-jogkivonat végpontjának URL-címét, egy ügyfél-azonosítót és egy titkos kulcsot kell megadnia, amelyet az Azure Databricks-munkaterületről hoz létre ahelyett, hogy közvetlenül ad meg egy jogkivonat-sztringet. Csak akkor válassza a PAT-eket, ha olyan harmadik féltől származó eszközt vagy szolgáltatást integrál, amelyet az Azure Databricks egyesített ügyfélhitelesítés nem támogat, vagy nincs OAuth-támogatás.

Hogyan engedélyezhetem az Azure Databricks-erőforrásokhoz való hozzáférést az OAuth használatával?

Az Azure Databricks egységes ügyfélhitelesítést biztosít, hogy segítsen az engedélyezésben az alapértelmezett környezeti változók készletének használatával, amelyeket meghatározott hitelesítőadat-értékekre lehet beállítani. Ez megkönnyíti és biztonságosabbá teszi a munkát, mivel ezek a környezeti változók az Azure Databricks CLI-parancsokat futtató vagy az Azure Databricks API-kat meghívó környezetre jellemzőek.

  • A felhasználói fiókok engedélyezéséhez az Azure Databricks OAuth hitelesítési részét – a hozzáférési jogkivonatok létrehozását és kezelését – az Databricks-ügyfél egységesített hitelesítésekezeli, feltéve, hogy az eszközök és az SDK-k megvalósítják a szabványt. Ha nem, manuálisan létrehozhat egy OAuth-kód ellenőrzőt és egy kihíváspárt, amelyet közvetlenül az Azure Databricks CLI-parancsaiban és API-kérelmeiben használhat. Lásd 1. lépés: OAuth-kód ellenőrző és kódkontraszt-pár létrehozása.
  • A szolgáltatásnévhez tartozó főszereplő engedélyezéséhez az Azure Databricks OAuth megköveteli, hogy a hívó adja meg az ügyfél hitelesítő adatait együtt a token végpont URL-címével, ahol a kérés engedélyezhető. (Ezt akkor kezeli a rendszer, ha a Databricks egységes ügyfélhitelesítését támogató Azure Databricks-eszközöket és SDK-ket használ.) A hitelesítő adatok közé tartozik egy egyedi ügyfélazonosító és titkos ügyfélkód. Az ügyfelet, amely a kódot futtató Databricks szolgáltatásnév, a Databricks-munkaterületekhez kell hozzárendelni. Miután hozzárendelte a szolgáltatásnevet azokhoz a munkaterületekhez, amelyekhez hozzá fog férni, egy ügyfélazonosítót és egy ügyfélkulcsot kap, amelyet meghatározott környezeti változókkal fog beállítani.

Ezek a környezeti változók a következők:

Környezeti változó Leírás
DATABRICKS_HOST Ez a környezeti változó az Azure Databricks-fiókkonzol (http://accounts.cloud.databricks.com) vagy az Azure Databricks-munkaterület URL-címe (https://{workspace-id}.cloud.databricks.com) URL-címére van állítva. Válasszon egy gazdagép URL-címét a kódban végrehajtandó műveletek típusa alapján. Ha az Azure Databricks fiókszintű CLI-parancsokat vagy REST API-kérésekethasznál, állítsa be ezt a változót az Azure Databricks-fiók URL-címére. Ha Azure Databricks-munkaterületszintű CLI-parancsokat vagy REST API-kéréseket használ, használja az Azure Databricks-munkaterület URL-címét.
DATABRICKS_ACCOUNT_ID Azure Databricks-fiókműveletekhez használatos. Ez az Azure Databricks-fiók azonosítója. A lekéréshez tekintse meg A fiókazonosító megkeresésecímű témakört.
DATABRICKS_CLIENT_ID (Csak szolgáltatási főfelhasználó OAuth) Az a kliensazonosító, amelyet a szolgáltatási főfelhasználó létrehozásakor kaptál hozzárendelve.
DATABRICKS_CLIENT_SECRET (Csak szolgáltatásfiók OAuth) Az ügyféltitkot, amelyet a szolgáltatásfiók létrehozásakor generált, hozta létre.

Ezeket közvetlenül, vagy egy Databricks-konfigurációs profil (.databrickscfg) használatával állíthatja be az ügyfélszámítógépen.

OAuth hozzáférési jogkivonat használatához az Azure Databricks-munkaterület vagy -fiókadminisztrátornak meg kell adnia a felhasználói fiókjának vagy szolgáltatásnevének a CAN USE kódot elérő fiók- és munkaterület-funkciók jogosultságát.

Az OAuth-hitelesítés ügyfélhez való konfigurálásáról és a felhőszolgáltatóspecifikus engedélyezési lehetőségek áttekintéséről további információt az Egyesített ügyfélhitelesítés című témakörben talál.

Hitelesítés külső szolgáltatásokhoz és eszközökhöz

Ha külső szolgáltatásokhoz, eszközökhöz vagy SDK-khoz hozzáférő kódot ír, a külső fél által biztosított hitelesítési és engedélyezési mechanizmusokat kell használnia. Ha azonban egy külső eszközhöz, SDK-hoz vagy szolgáltatáshoz hozzáférést kell adnia az Azure Databricks-fiókhoz vagy a munkaterület erőforrásaihoz, a Databricks a következő támogatást nyújtja:

  • Databricks Terraform Provider: Ez az eszköz az Azure Databricks API-kat az Ön nevében a Terraformból érheti el az Azure Databricks felhasználói fiókjával. További részletekért lásd : Szolgáltatásnév kiépítése a Terraform használatával.

  • A Git-szolgáltatók, például a GitHub, a GitLab és a Bitbucket egy Databricks-szolgáltatásnév használatával férhetnek hozzá az Azure Databricks API-khoz. További részletekért tekintse meg a CI/CD szolgáltatásneveit.

  • A Jenkins egy Databricks-szolgáltatásnév használatával érheti el az Azure Databricks API-kat. További információ: CI/CD with Jenkins on Azure Databricks.

  • Az Azure DevOps egy MS Entra ID alapú szolgáltatásfőnök segítségével érheti el az Azure Databricks API-kat. További részletekért lásd : Hitelesítés az Azure DevOpsszal a Databricksen.

Azure Databricks-konfigurációs profilok

Az Azure Databricks konfigurációs profilja olyan beállításokat és egyéb információkat tartalmaz, amelyeknek az Azure Databricksnek engedélyeznie kell a hozzáférést. Az Azure Databricks konfigurációs profiljai helyi ügyfélfájlokban vannak tárolva az eszközök, SDK-k, szkriptek és alkalmazások számára. A standard konfigurációs profilfájl neve .databrickscfg.

További információ: Azure Databricks konfigurációs profilok.