Megosztás a következőn keresztül:


Felügyelt Azure-identitások hitelesítése

Az Azure-beli felügyelt identitások hitelesítése felügyelt identitásokat használ az Azure-erőforrásokhoz (korábbi nevén felügyeltszolgáltatás-identitásokhoz (MSI)) az Azure Databricks-hitelesítéshez. Az Azure Databricks-fiókra és a munkaterület-műveletekre irányuló programozott hívások ezt a felügyelt identitást használják a felügyelt identitásokat támogató Azure-erőforrások, például az Azure-beli virtuális gépek használatakor.

Feljegyzés

Az Azure-erőforrások felügyelt identitásai eltérnek a Microsoft Entra ID szolgáltatásnévihez képest, amelyet az Azure Databricks a hitelesítéshez is támogat. Ha meg szeretné tudni, hogyan használhatja a Microsoft Entra ID szolgáltatásneveit az Azure Databricks-hitelesítéshez felügyelt identitások helyett az Azure-erőforrásokhoz, tekintse meg a következőt:

Az Azure-beli felügyelt identitások hitelesítése csak a felügyelt identitásokat támogató, megfelelően konfigurált erőforrások (például Azure-beli virtuális gépek) és az Azure Databricks-fiókok és -munkaterületek között támogatott.

Ha azure-beli felügyelt identitások hitelesítését szeretné konfigurálni az Azure Databricks használatával, a következő környezeti változókat, mezőket, .databrickscfg Terraform-mezőket vagy Config mezőket kell beállítania egy megfelelően támogatott Azure-beli virtuális gépen:

  • Az Azure Databricks-gazdagép.
    • A fiókműveletek esetében adja meg a .https://accounts.azuredatabricks.net
    • Munkaterület-műveletek esetén adja meg például a https://adb-1234567890123456.7.azuredatabricks.net.
  • Fiókműveletek esetén az Azure Databricks-fiók azonosítója.
  • A felügyelt identitás bérlőazonosítója.
  • A felügyelt identitás ügyfélazonosítója.
  • Az Azure-erőforrás azonosítója.
  • Állítsa be az Azure által használt felügyelt identitásokat igaz értékre.

Az Azure-beli felügyelt identitások Azure Databricks-hitelesítésének végrehajtásához integrálja a következőket a kódba a részt vevő eszköz vagy SDK alapján:

Környezet

Ha környezeti változókat szeretne használni egy adott Azure Databricks-hitelesítési típushoz egy eszközzel vagy SDK-val, tekintse meg Az Azure Databricks-erőforrásokhoz való hozzáférés engedélyezése, illetve az eszköz vagy az SDK dokumentációjában. Lásd még az ügyfél egyesített hitelesítésének környezeti változóit és mezőit, valamint az ügyfél egyesített hitelesítésének alapértelmezett módszereit.

fiókszintű műveletekesetén állítsa be a következő környezeti változókat:

  • DATABRICKS_HOST, állítsa be a következő értékre: az Azure Databricks fiók konzoljának URL-címe: https://accounts.azuredatabricks.net.
  • DATABRICKS_ACCOUNT_ID
  • ARM_CLIENT_ID
  • ARM_USE_MSIelemet, állítsa be a következőre true: .

A munkaterületszintű műveletekbeállításához állítsa be a következő környezeti változókat:

  • DATABRICKS_HOSTállítsa be az Azure Databricks munkaterületenkénti URL-értékét, például https://adb-1234567890123456.7.azuredatabricks.net.
  • ARM_CLIENT_ID
  • ARM_USE_MSIelemet, állítsa be a következőre true: .

Munkaterületszintű műveletek esetén, ha a célidentitás még nem lett hozzáadva a munkaterülethez, a munkaterület URL-címe helyett DATABRICKS_AZURE_RESOURCE_ID adja meg DATABRICKS_HOST az Azure Databricks-munkaterület Azure-erőforrás-azonosítóját. Ebben az esetben a célidentitásnak legalább közreműködői vagy tulajdonosi engedélyekkel kell rendelkeznie az Azure Databricks-munkaterület Azure-erőforrásához.

Profil

Hozzon létre vagy azonosítsa az Azure Databricks konfigurációs profilját a fájl alábbi .databrickscfg mezőivel. Profil létrehozásakor cserélje le a helyőrzőket a megfelelő értékekre. Ha a profilt eszközrel vagy SDK-val szeretné használni, tekintse meg Az Azure Databricks-erőforrásokhoz való hozzáférés engedélyezése vagy az eszköz vagy az SDK dokumentációjában. Lásd még az ügyfél egyesített hitelesítésének környezeti változóit és mezőit, valamint az ügyfél egyesített hitelesítésének alapértelmezett módszereit.

fiókszintű műveletekesetén állítsa be a következő értékeket a .databrickscfg fájlban. Ebben az esetben az Azure Databricks-fiók konzoljának URL-címe a következő https://accounts.azuredatabricks.net:

[<some-unique-configuration-profile-name>]
host            = <account-console-url>
account_id      = <account-id>
azure_client_id = <azure-managed-identity-application-id>
azure_use_msi   = true

Munkaterületszintűműveletekhez állítsa be a következő értékeket a fájlban. Ebben az esetben a gazdagép az Azure Databricks munkaterületenkénti URL-címe, például https://adb-1234567890123456.7.azuredatabricks.net:

[<some-unique-configuration-profile-name>]
host            = <workspace-url>
azure_client_id = <azure-managed-identity-application-id>
azure_use_msi   = true

Munkaterületszintű műveletek esetén, ha a célidentitás még nem lett hozzáadva a munkaterülethez, a munkaterület URL-címe helyett azure_workspace_resource_id adja meg host az Azure Databricks-munkaterület Azure-erőforrás-azonosítóját. Ebben az esetben a célidentitásnak legalább közreműködői vagy tulajdonosi engedélyekkel kell rendelkeznie az Azure Databricks-munkaterület Azure-erőforrásához.

CLI

A Databricks parancssori felületéhez tegye az alábbiak egyikét:

  • Állítsa be a környezeti változókat a jelen cikk "Környezet" szakaszában megadottak szerint.
  • Állítsa be a .databrickscfg fájlban lévő értékeket a jelen cikk "Profil" szakaszában megadottak szerint.

A környezeti változók mindig elsőbbséget élveznek a .databrickscfg fájl értékeinél.

Lásd még az Azure által felügyelt identitások hitelesítését.

Kapcsolódás

Feljegyzés

A Databricks Connect a Pythonhoz készült Databricks SDK-ra támaszkodik a hitelesítéshez. A Pythonhoz készült Databricks SDK még nem implementálta az Azure által felügyelt identitások hitelesítését.

VS Code

Feljegyzés

A Visual Studio Code Databricks-bővítménye még nem támogatja az Azure által felügyelt identitások hitelesítését.

Terraform

Fiókszintű műveletek esetén az alapértelmezett hitelesítéshez:

provider "databricks" {
  alias = "accounts"
}

Közvetlen konfiguráció esetén (cserélje le a retrieve helyőrzőket a saját implementációjára, hogy lekérje az értékeket a konzolról vagy más konfigurációs tárból, mint például a HashiCorp Vault. Lásd még a Vault Provider). Ebben az esetben az Azure Databricks-fiók konzoljának URL-címe a következő https://accounts.azuredatabricks.net:

provider "databricks" {
  alias           = "accounts"
  host            = <retrieve-account-console-url>
  account_id      = <retrieve-account-id>
  azure_client_id = <retrieve-azure-client-id>
  azure_use_msi   = true
}

Munkaterületszintű műveletek esetén az alapértelmezett hitelesítéshez:

provider "databricks" {
  alias = "workspace"
}

Közvetlen konfiguráció esetén (cserélje le a retrieve helyőrzőket a saját implementációjára, hogy lekérje az értékeket a konzolról vagy más konfigurációs tárból, mint például a HashiCorp Vault. Lásd még a Vault Provider). Ebben az esetben a gazdagép az Azure Databricks munkaterületenkénti URL-címe, például https://adb-1234567890123456.7.azuredatabricks.net:

provider "databricks" {
  alias           = "workspace"
  host            = <retrieve-workspace-url>
  azure_client_id = <retrieve-azure-client-id>
  azure_use_msi   = true
}

Munkaterületszintű műveletek esetén, ha a célidentitás még nem lett hozzáadva a munkaterülethez, a munkaterület URL-címe helyett azure_workspace_resource_id adja meg host az Azure Databricks-munkaterület Azure-erőforrás-azonosítóját. Ebben az esetben a célidentitásnak legalább közreműködői vagy tulajdonosi engedélyekkel kell rendelkeznie az Azure Databricks-munkaterület Azure-erőforrásához.

A Databricks Terraform-szolgáltatóval való hitelesítésről további információt a Hitelesítés című témakörben talál.

Python

Feljegyzés

A Pythonhoz készült Databricks SDK még nem implementálta az Azure által felügyelt identitások hitelesítését.

Java

Feljegyzés

A Java Databricks SDK még nem implementálta az Azure által felügyelt identitások hitelesítését.

Go

Fiókszintű műveletek esetén az alapértelmezett hitelesítéshez:

import (
  "github.com/databricks/databricks-sdk-go"
)
// ...
a := databricks.Must(databricks.NewAccountClient())
// ...

Közvetlen konfiguráció esetén (cserélje le a retrieve helyőrzőket a saját implementációjára, hogy lekérje az értékeket a konzolról vagy más konfigurációs tárból, például Azure KeyVault). Ebben az esetben az Azure Databricks-fiók konzoljának URL-címe a következő https://accounts.azuredatabricks.net:

import (
  "github.com/databricks/databricks-sdk-go"
)
// ...
a := databricks.Must(databricks.NewAccountClient(&databricks.Config{
  Host:          retrieveAccountConsoleUrl(),
  AccountId:     retrieveAccountId(),
  AzureClientId: retrieveAzureClientId(),
  AzureUseMSI:   true,
}))
// ...

Munkaterületszintű műveletek esetén az alapértelmezett hitelesítéshez:

import (
  "github.com/databricks/databricks-sdk-go"
)
// ...
w := databricks.Must(databricks.NewWorkspaceClient())
// ...

Közvetlen konfiguráció esetén (cserélje le a retrieve helyőrzőket a saját implementációjára, hogy lekérje az értékeket a konzolról vagy más konfigurációs tárból, például Azure KeyVault). Ebben az esetben a gazdagép az Azure Databricks munkaterületenkénti URL-címe, például https://adb-1234567890123456.7.azuredatabricks.net:

import (
  "github.com/databricks/databricks-sdk-go"
)
// ...
w := databricks.Must(databricks.NewWorkspaceClient(&databricks.Config{
  Host:          retrieveWorkspaceUrl(),
  AzureClientId: retrieveAzureClientId(),
  AzureUseMSI:   true,
}))
// ...

Munkaterületszintű műveletek esetén, ha a célidentitás még nem lett hozzáadva a munkaterülethez, a munkaterület URL-címe helyett AzureResourceID adja meg Host az Azure Databricks-munkaterület Azure-erőforrás-azonosítóját. Ebben az esetben a célidentitásnak legalább közreműködői vagy tulajdonosi engedélyekkel kell rendelkeznie az Azure Databricks-munkaterület Azure-erőforrásához.

A Go-t használó Databricks-eszközökkel és SDK-kkal való hitelesítésről és a Databricks-ügyfél egységes hitelesítésének implementálásáról további információt a Databricks SDK for Go hitelesítése az Azure Databricks-fiókkal vagy -munkaterülettel című témakörben talál.