Az Azure Databricks-erőforrásokhoz való hozzáférés engedélyezése
Ez a témakör a biztonságos Azure Databricks CLI- vagy REST API-hívások Azure Databricks-fiók hitelesítő adataival, például felhasználói fiókok vagy szolgáltatásnevek használatával történő indításának alapvető módszereit ismerteti.
Az Azure Databricks parancssori felületének és API-inak engedélyezése
Az Azure Databricks-erőforrás Databricks CLI-vel vagy REST API-kkal való eléréséhez az ügyfeleknek engedélyeznie kell egy Azure Databricks-fiók használatát. Ennek a fióknak engedélyekkel kell rendelkeznie az erőforrás eléréséhez, amelyet az Azure Databricks rendszergazdája vagy rendszergazdai jogosultságokkal rendelkező felhasználói fiók konfigurálhat.
Az Azure Databricks-erőforrások elérésének módjától függően kétféle fiók használható:
- felhasználói fiók: Ezzel interaktív módon adhat meg Azure Databricks CLI-parancsokat vagy REST API-hívásokat.
- szolgáltatásnév: Ezzel automatizálhatja az Azure Databricks CLI-parancsokat vagy a REST API-hívásokat emberi beavatkozás nélkül.
Miután eldöntötte az Azure Databricks-fiók típusát, be kell szereznie egy hozzáférési jogkivonatot, amely a fiók hitelesítő adatait jelöli. A hozzáférési jogkivonatot akkor fogja megadni, amikor a fiók erőforrásait szkriptekben, kódban vagy interaktív munkamenetek során éri el.
- Ha Azure Databrickset használ, az MS Entra szolgáltatásnévvel is engedélyezheti az Azure Databricks-fiókhoz vagy -munkaterülethez való hozzáférést. A Databricks azonban azt javasolja, hogy az MS Entra szolgáltatási azonosító engedélyezése helyett használjon egy Databricks szolgáltatási azonosítót az általunk megadott OAuth-hitelesítéssel. Ennek az az oka, hogy a Databricks engedélyezése olyan OAuth-hozzáférési jogkivonatokat használ, amelyek robusztusabbak, ha csak az Azure Databricks használatával engedélyezik azokat.
Az MS Entra szolgáltatásnév databricks-erőforrásokhoz való elérésével kapcsolatos további részletekért lásd : MS Entra szolgáltatásnév-hitelesítés.
Hozzáférési jogkivonat beszerzése
A fiók hitelesítő adatait egy biztonságos hozzáférési jogkivonat jelöli, amelyet közvetlenül vagy közvetve a CLI-parancsnak vagy AZ API-hívásnak ad meg.
Egy olyan Databricks CLI-parancs vagy API-kérés biztonságos futtatásához, amely jogosult hozzáférést igényel egy fiókhoz vagy munkaterülethez, meg kell adnia egy hozzáférési jogkivonatot érvényes Azure Databricks-fiók hitelesítő adatai alapján.
Az alábbi táblázat az Azure Databricks-fiók számára elérhető engedélyezési módszereket mutatja be.
Azure Databricks hitelesítési módszerei
Mivel az Azure Databricks-eszközök és az SDK-k egy vagy több támogatott Azure Databricks-hitelesítési módszerrel működnek, kiválaszthatja a használati esethez legmegfelelőbb engedélyezési módszert. További részletekért tekintse meg az eszköz vagy az SDK dokumentációját Helyi fejlesztési eszközök.
Előfordulhat, hogy az Azure Databricks-felhasználók hozzáférést igényelnek a Databricks-fiók alatt közvetlenül nem felügyelt, Azure-specifikus erőforrásokhoz. Az erőforrások elérésének módszereit is tartalmazza ez a táblázat. Az Azure-erőforrás-hozzáféréshez Azure felügyelt szolgáltatás identitást (MSI) vagy MS Entra ID-t használ (a forgatókönyvtől függően), és nem az Azure Databricks-fiók hitelesítő adatait.
Metódus | Leírás | Használati eset |
---|---|---|
Databricks OAuth szolgáltatási főfelhasználók számára | Rövid élettartamú OAuth-jogkivonatok szolgáltatásnevekhez. | Felügyelet nélküli engedélyezési forgatókönyvek, például teljesen automatizált és CI/CD-munkafolyamatok. |
Databricks OAuth a felhasználók számára | Rövid élettartamú OAuth-jogkivonatok felhasználók számára. | A jelen lévő engedélyezési forgatókönyvek, ahol a webböngésző vagy más interaktív módszer használatával engedélyezi a Databricks-et, amikor a rendszer kéri. |
Databricks személyes hozzáférési jogkivonatok (PAT-k) | Rövid élettartamú vagy hosszú élettartamú jogkivonatok felhasználók vagy szolgáltatásnevek számára. | Ezt csak akkor használja, ha a céleszköz nem támogatja az OAuth-ot. |
Azure által felügyelt szolgáltatásazonosítás engedélyezése | Microsoft Entra-azonosító jogkivonatok azure-beli felügyelt identitásokhoz. | Csak felügyelt identitásokat támogató Azure-erőforrásokhoz, például Azure-beli virtuális gépekhez használható. |
Microsoft Entra ID szolgáltatási főazonosító engedélyezése | Microsoft Entra ID-jogkivonatok a Microsoft Entra ID szolgáltatásnevekhez. | Csak olyan Azure-erőforrásokhoz használható, amelyek támogatják a Microsoft Entra ID-jogkivonatokat, és nem támogatják a felügyelt identitásokat, például az Azure DevOpsot. |
Azure CLI engedélyezési | Microsoft Entra ID-jogkivonatok felhasználók vagy Microsoft Entra ID szolgáltatásnevek számára. | Az Azure CLI használatával engedélyezheti az Azure-erőforrásokhoz és az Azure Databrickshez való hozzáférést. |
Microsoft Entra ID felhasználó hitelesítése | Microsoft Entra-azonosító jogkivonatok felhasználók számára. | Csak olyan Azure-erőforrásokhoz használható, amelyek csak a Microsoft Entra ID-jogkivonatokat támogatják. A Databricks nem javasolja, hogy manuálisan hozzon létre Microsoft Entra-azonosító jogkivonatokat az Azure Databricks-felhasználók számára. |
Milyen engedélyezési lehetőséget válasszak?
Az Azure Databricks 2 lehetőséget biztosít a hozzáférési jogkivonattal történő engedélyezésre vagy hitelesítésre:
- OAuth 2.0-alapú hozzáférési jogkivonatok.
- Személyes hozzáférési jogkivonatok (PAT-k).
Megjegyzés
Az Azure Databricks határozottan javasolja az OAuth használatát paT-okon keresztül az engedélyezéshez, mivel az OAuth-jogkivonatok alapértelmezés szerint automatikusan frissülnek, és nem igénylik a hozzáférési jogkivonat közvetlen felügyeletét, javítva a jogkivonat-eltérítés és a nemkívánatos hozzáférés elleni biztonságot.
Mivel az OAuth létrehozza és kezeli a hozzáférési jogkivonatot, az OAuth-jogkivonat végpontjának URL-címét, egy ügyfél-azonosítót és egy titkos kulcsot kell megadnia, amelyet az Azure Databricks-munkaterületről hoz létre ahelyett, hogy közvetlenül ad meg egy jogkivonat-sztringet. Csak akkor válassza a PAT-eket, ha olyan harmadik féltől származó eszközt vagy szolgáltatást integrál, amelyet az Azure Databricks egyesített ügyfélhitelesítés nem támogat, vagy nincs OAuth-támogatás.
Hogyan engedélyezhetem az Azure Databricks-erőforrásokhoz való hozzáférést az OAuth használatával?
Az Azure Databricks egységes ügyfélhitelesítést biztosít, hogy segítsen az engedélyezésben az alapértelmezett környezeti változók készletének használatával, amelyeket meghatározott hitelesítőadat-értékekre lehet beállítani. Ez megkönnyíti és biztonságosabbá teszi a munkát, mivel ezek a környezeti változók az Azure Databricks CLI-parancsokat futtató vagy az Azure Databricks API-kat meghívó környezetre jellemzőek.
- A felhasználói fiókok engedélyezéséhez az Azure Databricks OAuth hitelesítési részét – a hozzáférési jogkivonatok létrehozását és kezelését – az Databricks-ügyfél egységesített hitelesítésekezeli, feltéve, hogy az eszközök és az SDK-k megvalósítják a szabványt. Ha nem, manuálisan létrehozhat egy OAuth-kód ellenőrzőt és egy kihíváspárt, amelyet közvetlenül az Azure Databricks CLI-parancsaiban és API-kérelmeiben használhat. Lásd 1. lépés: OAuth-kód ellenőrző és kódkontraszt-pár létrehozása.
- A szolgáltatásnévhez tartozó főszereplő engedélyezéséhez az Azure Databricks OAuth megköveteli, hogy a hívó adja meg az ügyfél hitelesítő adatait együtt a token végpont URL-címével, ahol a kérés engedélyezhető. (Ezt akkor kezeli a rendszer, ha a Databricks egységes ügyfélhitelesítését támogató Azure Databricks-eszközöket és SDK-ket használ.) A hitelesítő adatok közé tartozik egy egyedi ügyfélazonosító és titkos ügyfélkód. Az ügyfelet, amely a kódot futtató Databricks szolgáltatásnév, a Databricks-munkaterületekhez kell hozzárendelni. Miután hozzárendelte a szolgáltatásnevet azokhoz a munkaterületekhez, amelyekhez hozzá fog férni, egy ügyfélazonosítót és egy ügyfélkulcsot kap, amelyet meghatározott környezeti változókkal fog beállítani.
Ezek a környezeti változók a következők:
Környezeti változó | Leírás |
---|---|
DATABRICKS_HOST |
Ez a környezeti változó az Azure Databricks-fiókkonzol (http://accounts.cloud.databricks.com ) vagy az Azure Databricks-munkaterület URL-címe (https://{workspace-id}.cloud.databricks.com ) URL-címére van állítva. Válasszon egy gazdagép URL-címét a kódban végrehajtandó műveletek típusa alapján. Ha az Azure Databricks fiókszintű CLI-parancsokat vagy REST API-kérésekethasznál, állítsa be ezt a változót az Azure Databricks-fiók URL-címére. Ha Azure Databricks-munkaterületszintű CLI-parancsokat vagy REST API-kéréseket használ, használja az Azure Databricks-munkaterület URL-címét. |
DATABRICKS_ACCOUNT_ID |
Azure Databricks-fiókműveletekhez használatos. Ez az Azure Databricks-fiók azonosítója. A lekéréshez tekintse meg A fiókazonosító megkeresésecímű témakört. |
DATABRICKS_CLIENT_ID |
(Csak szolgáltatási főfelhasználó OAuth) Az a kliensazonosító, amelyet a szolgáltatási főfelhasználó létrehozásakor kaptál hozzárendelve. |
DATABRICKS_CLIENT_SECRET |
(Csak szolgáltatásfiók OAuth) Az ügyféltitkot, amelyet a szolgáltatásfiók létrehozásakor generált, hozta létre. |
Ezeket közvetlenül, vagy egy Databricks-konfigurációs profil (.databrickscfg
) használatával állíthatja be az ügyfélszámítógépen.
OAuth hozzáférési jogkivonat használatához az Azure Databricks-munkaterület vagy -fiókadminisztrátornak meg kell adnia a felhasználói fiókjának vagy szolgáltatásnevének a CAN USE
kódot elérő fiók- és munkaterület-funkciók jogosultságát.
Az OAuth-hitelesítés ügyfélhez való konfigurálásáról és a felhőszolgáltatóspecifikus engedélyezési lehetőségek áttekintéséről további információt az Egyesített ügyfélhitelesítés című témakörben talál.
Hitelesítés külső szolgáltatásokhoz és eszközökhöz
Ha külső szolgáltatásokhoz, eszközökhöz vagy SDK-khoz hozzáférő kódot ír, a külső fél által biztosított hitelesítési és engedélyezési mechanizmusokat kell használnia. Ha azonban egy külső eszközhöz, SDK-hoz vagy szolgáltatáshoz hozzáférést kell adnia az Azure Databricks-fiókhoz vagy a munkaterület erőforrásaihoz, a Databricks a következő támogatást nyújtja:
Databricks Terraform Provider: Ez az eszköz az Azure Databricks API-kat az Ön nevében a Terraformból érheti el az Azure Databricks felhasználói fiókjával. További részletekért lásd : Szolgáltatásnév kiépítése a Terraform használatával.
A Git-szolgáltatók, például a GitHub, a GitLab és a Bitbucket egy Databricks-szolgáltatásnév használatával férhetnek hozzá az Azure Databricks API-khoz. További részletekért tekintse meg a CI/CD szolgáltatásneveit.
A Jenkins egy Databricks-szolgáltatásnév használatával érheti el az Azure Databricks API-kat. További információ: CI/CD with Jenkins on Azure Databricks.
Az Azure DevOps egy MS Entra ID alapú szolgáltatásfőnök segítségével érheti el az Azure Databricks API-kat. További részletekért lásd : Hitelesítés az Azure DevOpsszal a Databricksen.
Azure Databricks-konfigurációs profilok
Az Azure Databricks konfigurációs profilja olyan beállításokat és egyéb információkat tartalmaz, amelyeknek az Azure Databricksnek engedélyeznie kell a hozzáférést. Az Azure Databricks konfigurációs profiljai helyi ügyfélfájlokban vannak tárolva az eszközök, SDK-k, szkriptek és alkalmazások számára. A standard konfigurációs profilfájl neve .databrickscfg
.
További információ: Azure Databricks konfigurációs profilok.