Felügyelt Azure-identitások hitelesítése
Az Azure-beli felügyelt identitások hitelesítése felügyelt identitásokat használ az Azure-erőforrásokhoz (korábbi nevén felügyeltszolgáltatás-identitásokhoz (MSI)) az Azure Databricks-hitelesítéshez. Az Azure Databricks-fiókra és a munkaterület-műveletekre irányuló programozott hívások ezt a felügyelt identitást használják a felügyelt identitásokat támogató Azure-erőforrások, például az Azure-beli virtuális gépek használatakor.
- A felügyelt identitásokról további információt az Azure-erőforrások felügyelt identitásai című témakörben talál.
- Ha meg szeretné tudni, hogyan hozhat létre felügyelt identitást, és hogyan adhat engedélyt az Azure Databricks-fiókok és -munkaterületek elérésére, olvassa el az Azure Databricks-automatizálás azure-beli felügyelt identitáshitelesítésének beállítását és használatát ismertető témakört.
Feljegyzés
Az Azure-erőforrások felügyelt identitásai eltérnek a Microsoft Entra ID szolgáltatásnévihez képest, amelyet az Azure Databricks a hitelesítéshez is támogat. Ha meg szeretné tudni, hogyan használhatja a Microsoft Entra ID szolgáltatásneveit az Azure Databricks-hitelesítéshez felügyelt identitások helyett az Azure-erőforrásokhoz, tekintse meg a következőt:
- MS Entra szolgáltatásnév hitelesítése
- Azure CLI hitelesítés
- Szolgáltatásnevek kezelése
- Szolgáltatásnév kiépítése a Terraform használatával
- Microsoft Entra ID-jogkivonatok lekérése szolgáltatásnevekhez
- Azure CLI-bejelentkezés Microsoft Entra ID szolgáltatásnévvel
- PowerShell-bejelentkezés Microsoft Entra ID szolgáltatásnévvel
Az Azure-beli felügyelt identitások hitelesítése csak a felügyelt identitásokat támogató, megfelelően konfigurált erőforrások (például Azure-beli virtuális gépek) és az Azure Databricks-fiókok és -munkaterületek között támogatott.
Ha azure-beli felügyelt identitások hitelesítését szeretné konfigurálni az Azure Databricks használatával, a következő környezeti változókat, mezőket, .databrickscfg
Terraform-mezőket vagy Config
mezőket kell beállítania egy megfelelően támogatott Azure-beli virtuális gépen:
- Az Azure Databricks-gazdagép.
- Fiókműveletek esetén az Azure Databricks-fiók azonosítója.
- A felügyelt identitás bérlőazonosítója.
- A felügyelt identitás ügyfélazonosítója.
- Az Azure-erőforrás azonosítója.
- Állítsa be az Azure által használt felügyelt identitásokat igaz értékre.
Az Azure-beli felügyelt identitások Azure Databricks-hitelesítésének végrehajtásához integrálja a következőket a kódba a részt vevő eszköz vagy SDK alapján:
Környezet
Ha környezeti változókat szeretne használni egy adott Azure Databricks-hitelesítési típushoz egy eszközzel vagy SDK-val, tekintse meg Az Azure Databricks-erőforrásokhoz való hozzáférés engedélyezése, illetve az eszköz vagy az SDK dokumentációjában. Lásd még az ügyfél egyesített hitelesítésének környezeti változóit és mezőit, valamint az ügyfél egyesített hitelesítésének alapértelmezett módszereit.
fiókszintű műveletekesetén állítsa be a következő környezeti változókat:
-
DATABRICKS_HOST
, állítsa be a következő értékre: az Azure Databricks fiók konzoljának URL-címe:https://accounts.azuredatabricks.net
. DATABRICKS_ACCOUNT_ID
ARM_CLIENT_ID
-
ARM_USE_MSI
elemet, állítsa be a következőretrue
: .
A munkaterületszintű műveletek
-
DATABRICKS_HOST
állítsa be az Azure Databricks munkaterületenkénti URL-értékét, példáulhttps://adb-1234567890123456.7.azuredatabricks.net
. ARM_CLIENT_ID
-
ARM_USE_MSI
elemet, állítsa be a következőretrue
: .
Munkaterületszintű műveletek esetén, ha a célidentitás még nem lett hozzáadva a munkaterülethez, a munkaterület URL-címe helyett DATABRICKS_AZURE_RESOURCE_ID
adja meg DATABRICKS_HOST
az Azure Databricks-munkaterület Azure-erőforrás-azonosítóját. Ebben az esetben a célidentitásnak legalább közreműködői vagy tulajdonosi engedélyekkel kell rendelkeznie az Azure Databricks-munkaterület Azure-erőforrásához.
Profil
Hozzon létre vagy azonosítsa az Azure Databricks konfigurációs profilját a fájl alábbi .databrickscfg
mezőivel. Profil létrehozásakor cserélje le a helyőrzőket a megfelelő értékekre. Ha a profilt eszközrel vagy SDK-val szeretné használni, tekintse meg Az Azure Databricks-erőforrásokhoz való hozzáférés engedélyezése vagy az eszköz vagy az SDK dokumentációjában. Lásd még az ügyfél egyesített hitelesítésének környezeti változóit és mezőit, valamint az ügyfél egyesített hitelesítésének alapértelmezett módszereit.
fiókszintű műveletekesetén állítsa be a következő értékeket a .databrickscfg
fájlban. Ebben az esetben az Azure Databricks-fiók konzoljának URL-címe a következő https://accounts.azuredatabricks.net
:
[<some-unique-configuration-profile-name>]
host = <account-console-url>
account_id = <account-id>
azure_client_id = <azure-managed-identity-application-id>
azure_use_msi = true
Munkaterületszintűhttps://adb-1234567890123456.7.azuredatabricks.net
:
[<some-unique-configuration-profile-name>]
host = <workspace-url>
azure_client_id = <azure-managed-identity-application-id>
azure_use_msi = true
Munkaterületszintű műveletek esetén, ha a célidentitás még nem lett hozzáadva a munkaterülethez, a munkaterület URL-címe helyett azure_workspace_resource_id
adja meg host
az Azure Databricks-munkaterület Azure-erőforrás-azonosítóját. Ebben az esetben a célidentitásnak legalább közreműködői vagy tulajdonosi engedélyekkel kell rendelkeznie az Azure Databricks-munkaterület Azure-erőforrásához.
CLI
A Databricks parancssori felületéhez tegye az alábbiak egyikét:
- Állítsa be a környezeti változókat a jelen cikk "Környezet" szakaszában megadottak szerint.
- Állítsa be a
.databrickscfg
fájlban lévő értékeket a jelen cikk "Profil" szakaszában megadottak szerint.
A környezeti változók mindig elsőbbséget élveznek a .databrickscfg
fájl értékeinél.
Lásd még az Azure által felügyelt identitások hitelesítését.
Kapcsolódás
Feljegyzés
A Databricks Connect a Pythonhoz készült Databricks SDK-ra támaszkodik a hitelesítéshez. A Pythonhoz készült Databricks SDK még nem implementálta az Azure által felügyelt identitások hitelesítését.
VS Code
Feljegyzés
A Visual Studio Code Databricks-bővítménye még nem támogatja az Azure által felügyelt identitások hitelesítését.
Terraform
Fiókszintű műveletek esetén az alapértelmezett hitelesítéshez:
provider "databricks" {
alias = "accounts"
}
Közvetlen konfiguráció esetén (cserélje le a retrieve
helyőrzőket a saját implementációjára, hogy lekérje az értékeket a konzolról vagy más konfigurációs tárból, mint például a HashiCorp Vault. Lásd még a Vault Provider). Ebben az esetben az Azure Databricks-fiók konzoljának URL-címe a következő https://accounts.azuredatabricks.net
:
provider "databricks" {
alias = "accounts"
host = <retrieve-account-console-url>
account_id = <retrieve-account-id>
azure_client_id = <retrieve-azure-client-id>
azure_use_msi = true
}
Munkaterületszintű műveletek esetén az alapértelmezett hitelesítéshez:
provider "databricks" {
alias = "workspace"
}
Közvetlen konfiguráció esetén (cserélje le a retrieve
helyőrzőket a saját implementációjára, hogy lekérje az értékeket a konzolról vagy más konfigurációs tárból, mint például a HashiCorp Vault. Lásd még a Vault Provider). Ebben az esetben a gazdagép az Azure Databricks munkaterületenkénti URL-címe, például https://adb-1234567890123456.7.azuredatabricks.net
:
provider "databricks" {
alias = "workspace"
host = <retrieve-workspace-url>
azure_client_id = <retrieve-azure-client-id>
azure_use_msi = true
}
Munkaterületszintű műveletek esetén, ha a célidentitás még nem lett hozzáadva a munkaterülethez, a munkaterület URL-címe helyett azure_workspace_resource_id
adja meg host
az Azure Databricks-munkaterület Azure-erőforrás-azonosítóját. Ebben az esetben a célidentitásnak legalább közreműködői vagy tulajdonosi engedélyekkel kell rendelkeznie az Azure Databricks-munkaterület Azure-erőforrásához.
A Databricks Terraform-szolgáltatóval való hitelesítésről további információt a Hitelesítés című témakörben talál.
Python
Feljegyzés
A Pythonhoz készült Databricks SDK még nem implementálta az Azure által felügyelt identitások hitelesítését.
Java
Feljegyzés
A Java Databricks SDK még nem implementálta az Azure által felügyelt identitások hitelesítését.
Go
Fiókszintű műveletek esetén az alapértelmezett hitelesítéshez:
import (
"github.com/databricks/databricks-sdk-go"
)
// ...
a := databricks.Must(databricks.NewAccountClient())
// ...
Közvetlen konfiguráció esetén (cserélje le a retrieve
helyőrzőket a saját implementációjára, hogy lekérje az értékeket a konzolról vagy más konfigurációs tárból, például Azure KeyVault). Ebben az esetben az Azure Databricks-fiók konzoljának URL-címe a következő https://accounts.azuredatabricks.net
:
import (
"github.com/databricks/databricks-sdk-go"
)
// ...
a := databricks.Must(databricks.NewAccountClient(&databricks.Config{
Host: retrieveAccountConsoleUrl(),
AccountId: retrieveAccountId(),
AzureClientId: retrieveAzureClientId(),
AzureUseMSI: true,
}))
// ...
Munkaterületszintű műveletek esetén az alapértelmezett hitelesítéshez:
import (
"github.com/databricks/databricks-sdk-go"
)
// ...
w := databricks.Must(databricks.NewWorkspaceClient())
// ...
Közvetlen konfiguráció esetén (cserélje le a retrieve
helyőrzőket a saját implementációjára, hogy lekérje az értékeket a konzolról vagy más konfigurációs tárból, például Azure KeyVault). Ebben az esetben a gazdagép az Azure Databricks munkaterületenkénti URL-címe, például https://adb-1234567890123456.7.azuredatabricks.net
:
import (
"github.com/databricks/databricks-sdk-go"
)
// ...
w := databricks.Must(databricks.NewWorkspaceClient(&databricks.Config{
Host: retrieveWorkspaceUrl(),
AzureClientId: retrieveAzureClientId(),
AzureUseMSI: true,
}))
// ...
Munkaterületszintű műveletek esetén, ha a célidentitás még nem lett hozzáadva a munkaterülethez, a munkaterület URL-címe helyett AzureResourceID
adja meg Host
az Azure Databricks-munkaterület Azure-erőforrás-azonosítóját. Ebben az esetben a célidentitásnak legalább közreműködői vagy tulajdonosi engedélyekkel kell rendelkeznie az Azure Databricks-munkaterület Azure-erőforrásához.
A Go-t használó Databricks-eszközökkel és SDK-kkal való hitelesítésről és a Databricks-ügyfél egységes hitelesítésének implementálásáról további információt a Databricks SDK for Go hitelesítése az Azure Databricks-fiókkal vagy -munkaterülettel című témakörben talál.