Azure Databricks kaynaklarına erişim yetkisi verme
Bu konuda, kullanıcı hesapları veya hizmet sorumluları gibi Azure Databricks hesabı kimlik bilgilerini kullanarak güvenli Azure Databricks CLI veya REST API çağrıları yapmaya yönelik temel yaklaşımlar ele alınmaktadır.
Azure Databricks CLI ve API'ler için yetkilendirme
Databricks CLI veya REST API'leri ile bir Azure Databricks kaynağına erişmek için istemcilerin Azure Databricks hesabı kullanarak yetkilendirmesi gerekir. Bu hesabın kaynağa erişim izinleri olmalıdır. Bu izinler Azure Databricks yöneticiniz veya yönetici ayrıcalıklarına sahip bir kullanıcı hesabı tarafından yapılandırılabilir.
Azure Databricks kaynaklarınıza nasıl erişmeyi amaçladığınıza bağlı olarak kullanabileceğiniz iki tür hesap vardır:
- Kullanıcı hesabı: Azure Databricks CLI komutlarını veya REST API çağrılarını etkileşimli olarak girmek için bunu kullanın.
- Hizmet sorumlusu: Azure Databricks CLI komutlarını veya REST API çağrılarını insan etkileşimi olmadan otomatikleştirmek için bunu kullanın.
Azure Databricks hesap türüne karar verdikten sonra hesabın kimlik bilgilerini temsil eden bir erişim belirteci almanız gerekir. Bu erişim belirtecini betiklerinizde veya kodunuzda veya etkileşimli oturumlarda hesabın kaynaklarına erişirken sağlayacaksınız.
- Azure Databricks kullanıyorsanız, Azure Databricks hesabınıza veya çalışma alanınıza erişim yetkisi vermek için MS Entra hizmet sorumlusunu da kullanabilirsiniz. Ancak Databricks, tarafımızdan sağlanan OAuth yetkilendirmesi ile Databricks hizmet sorumlusunu kullanmanızı, MS Entra hizmet sorumlusu yetkilendirmesi yerine önerir. Bunun nedeni Databricks yetkilendirmesinde yalnızca Azure Databricks ile yetkilendirme yaparken daha güçlü olan OAuth erişim belirteçleri kullanmasıdır.
Databricks kaynaklarına erişmek için MS Entra hizmet sorumlusu kullanma hakkında daha fazla bilgi için bkz . MS Entra hizmet sorumlusu kimlik doğrulaması.
Erişim belirteci alma
Hesabınızın kimlik bilgileri, CLI komutuna veya API çağrısına doğrudan veya dolaylı olarak sağladığınız güvenli erişim belirteci ile temsil edilir.
Bir hesaba veya çalışma alanına yetkili erişim gerektiren bir Databricks CLI komutunu veya API isteğini güvenli bir şekilde çalıştırmak için geçerli Azure Databricks hesabı kimlik bilgilerini temel alan bir erişim belirteci sağlamanız gerekir.
Aşağıdaki tabloda Azure Databricks hesabınızda kullanılabilen yetkilendirme yöntemleri gösterilmektedir.
Azure Databricks yetkilendirme yöntemleri
Azure Databricks araçları ve SDK'ları desteklenen bir veya daha fazla Azure Databricks yetkilendirme yöntemiyle çalıştığından, kullanım örneğiniz için en iyi yetkilendirme yöntemini seçebilirsiniz. Ayrıntılar için Yerel geliştirme araçları bölümündeki araç veya SDK belgelerine bakın.
Azure Databricks kullanıcıları, Databricks hesabınız altında doğrudan yönetilmeyen Azure'a özgü kaynaklara erişim gerektirebilir. Bu kaynaklara erişme yöntemleri de bu tabloya dahil edilir. Azure kaynak erişimi için Azure Databricks hesabı kimlik bilgilerinizi değil Azure yönetilen hizmet kimliği (MSI) veya MS Entra Kimliği (senaryonuza bağlı olarak) kullanırsınız.
| Metot | Açıklama | Kullanım örneği |
|---|---|---|
| hizmet sorumluları için Databricks OAuth | Hizmet sorumluları için kısa süreli OAuth belirteçleri. | Tam otomatik ve CI/CD iş akışları gibi katılımsız yetkilendirme senaryoları. |
| Databricks OAuth'u kullanıcılar için | Kullanıcılar için kısa süreli OAuth belirteçleri. | İstendiğinde Databricks ile yetkilendirmek için web tarayıcınızı veya başka bir etkileşimli yöntemi kullandığınız yetkilendirme senaryolarına katılın. |
| Databricks kişisel erişim belirteçleri (PAT) | Kullanıcılar veya hizmet sorumluları için kısa süreli veya uzun ömürlü belirteçler. | Bunu yalnızca hedef aracınızın OAuth'u desteklemediği durumlarda kullanın. |
| Azure yönetilen hizmet kimliği yetkilendirme | Azure tarafından yönetilen kimlikler için Microsoft Entra Id belirteçleri. | Yalnızca Azure sanal makineleri gibi yönetilen kimlikleri destekleyen Azure kaynaklarıyla kullanın. |
| Microsoft Entra Id hizmet sorumlusu yetkilendirme | Microsoft Entra Id hizmet sorumluları için Microsoft Entra Id belirteçleri. | Yalnızca Microsoft Entra Id belirteçlerini destekleyen ve Azure DevOps gibi yönetilen kimlikleri desteklemeyen Azure kaynaklarıyla kullanın. |
| Azure CLI yetkilendirme | Kullanıcılar veya Microsoft Entra Id hizmet sorumluları için Microsoft Entra Id belirteçleri. | Azure CLI kullanarak Azure kaynaklarına ve Azure Databricks'e erişimi yetkilendirmek için kullanın. |
| Microsoft Entra ID kullanıcı yetkilendirmesi | Kullanıcılar için Microsoft Entra Id belirteçleri. | Yalnızca Microsoft Entra Id belirteçlerini destekleyen Azure kaynaklarıyla kullanın. Databricks, Azure Databricks kullanıcıları için Microsoft Entra ID belirteçlerini el ile oluşturmanızı önermez. |
Hangi yetkilendirme seçeneğini seçmeliyim?
Azure Databricks, erişim belirteci ile yetkilendirme veya kimlik doğrulaması için 2 seçenek sağlar:
- OAuth 2.0 tabanlı erişim belirteçleri.
- Kişisel erişim belirteçleri (PAT' ler).
Uyarı
Azure Databricks, OAuth belirteçleri varsayılan olarak otomatik olarak yenilendiğinden ve erişim belirtecinin doğrudan yönetilmesini gerektirmediğinden yetkilendirme için OAuth'u PAT'ler üzerinden kullanmanızı kesinlikle önerir; bu da belirtecin ele geçirilmesine ve istenmeyen erişime karşı güvenliğinizi artırır.
OAuth sizin için erişim belirtecini oluşturup yönettiğinden, doğrudan bir belirteç dizesi sağlamak yerine Azure Databricks çalışma alanınızdan oluşturduğunuz bir OAuth belirteç uç noktası URL'si, istemci kimliği ve gizli dizi sağlarsınız. Bir 3. taraf aracını veya hizmetini yalnızca Azure Databricks birleşik istemci kimlik doğrulaması tarafından desteklenmiyorsa ya da OAuth desteği yoksa tümleştirdiğinizde, PAT'leri seçin.
Azure Databricks kaynaklarına erişim yetkisi vermek için OAuth'u nasıl kullanabilirim?
Azure Databricks, belirli kimlik bilgileri değerlerine ayarlayabileceğiniz varsayılan ortam değişkenleri kümesini kullanarak yetkilendirme konusunda size yardımcı olmak için birleşik istemci kimlik doğrulaması sağlar. Bu ortam değişkenleri, Azure Databricks CLI komutlarını çalıştıracak veya Azure Databricks API'lerini çağıracak ortama özgü olduğundan, bu daha kolay ve güvenli bir şekilde çalışmanıza yardımcı olur.
- Kullanıcı hesabı yetkilendirmesi için, araçlar ve SDK'lar standardı uyguladığı sürece, Azure Databricks OAuth'un kimlik doğrulama bölümü—erişim belirteçlerinin oluşturulması ve yönetimi—sizin için Databricks istemci birleşik kimlik doğrulamasıile otomatik olarak işlenir. Aksi takdirde, doğrudan Azure Databricks CLI komutlarınızda ve API isteklerinizde kullanmak üzere el ile bir OAuth kod doğrulayıcı ve sınama çifti oluşturabilirsiniz. Bkz. Adım 1:OAuth kod doğrulayıcı ve kod sınama çifti oluşturma.
- Hizmet sorumlusu yetkilendirmesi için Azure Databricks OAuth, çağıranın istemci kimlik bilgilerini ve isteğin yetkilendirilebileceği bir belirteç uç noktası URL'si sağlamasını gerektirir. (Databricks birleşik istemci kimlik doğrulamasını destekleyen Azure Databricks araçlarını ve SDK'larını kullanıyorsanız bu sizin için işlenir.) Kimlik bilgileri benzersiz bir istemci kimliği ve istemci gizli anahtarıiçerir. Kodunuzu çalıştıracak Databricks hizmet sorumlusu olan istemcinin Databricks çalışma alanlarına atanması gerekir. Hizmet sorumlusunu erişeceği çalışma alanlarına atadıktan sonra, size belirli ortam değişkenleriyle ayarlayacağınız bir istemci kimliği ve bir istemci gizli dizisi sağlanır.
Bu ortam değişkenleri şunlardır:
| Ortam değişkeni | Açıklama |
|---|---|
DATABRICKS_HOST |
Bu ortam değişkeni, Azure Databricks hesap konsolunuzun (http://accounts.cloud.databricks.com) veya Azure Databricks çalışma alanı URL'nizin (https://{workspace-id}.cloud.databricks.com) URL'sine ayarlanır. Kodunuzda gerçekleştirdiğiniz işlemlerin türüne göre bir konak URL türü seçin. Özellikle, azure databricks hesap düzeyinde CLI komutları veya REST API isteklerikullanıyorsanız, bu değişkeni Azure Databricks hesap URL'niz olarak ayarlayın. Azure Databricks çalışma alanı düzeyinde CLI komutlarını veya REST API isteklerini kullanıyorsanız Azure Databricks çalışma alanı URL'nizi kullanın. |
DATABRICKS_ACCOUNT_ID |
Azure Databricks hesap işlemleri için kullanılır. Bu, Azure Databricks hesap kimliğinizdir. Bunu almak için bkz. Hesap kimliğinizi bulma. |
DATABRICKS_CLIENT_ID |
(Yalnızca hizmet sorumlusu OAuth) Hizmet sorumlunuza atandığınızda aldığınız istemci kimliği . |
DATABRICKS_CLIENT_SECRET |
(Yalnızca hizmet sorumlusu OAuth) Hizmet sorumlunuzu oluştururken oluşturduğunuz istemci gizli anahtarı. |
Bunları doğrudan veya istemci makinenizde Databricks yapılandırma profili (.databrickscfg) kullanarak ayarlayabilirsiniz.
OAuth erişim belirtecini kullanmak için Azure Databricks çalışma alanınızın veya hesap yöneticinizin kullanıcı hesabınıza veya hizmet sorumlunuza kodunuzun CAN USE erişeceği hesap ve çalışma alanı özellikleri için ayrıcalık vermiş olması gerekir.
İstemciniz için OAuth yetkilendirmesini yapılandırma ve bulut sağlayıcısına özgü yetkilendirme seçeneklerini gözden geçirme hakkında daha fazla bilgi için bkz . Birleşik istemci kimlik doğrulaması.
Üçüncü taraf hizmetler ve araçlar için kimlik doğrulaması
Üçüncü taraf hizmetlere, araçlara veya SDK'lara erişen bir kod yazıyorsanız, üçüncü taraf tarafından sağlanan kimlik doğrulama ve yetkilendirme mekanizmalarını kullanmanız gerekir. Ancak Azure Databricks hesabınıza veya çalışma alanı kaynaklarınıza üçüncü taraf bir araç, SDK veya hizmet erişimi vermeniz gerekiyorsa Databricks aşağıdaki desteği sağlar:
Databricks Terraform Sağlayıcısı: Bu araç, Azure Databricks kullanıcı hesabınızı kullanarak Sizin adınıza Terraform'dan Azure Databricks API'lerine erişebilir. Diğer ayrıntılar için bkz . Terraform kullanarak hizmet sorumlusu sağlama.
GitHub, GitLab ve Bitbucket gibi Git sağlayıcıları Databricks hizmet sorumlusu kullanarak Azure Databricks API'lerine erişebilir. Daha fazla ayrıntı için bkz . CI/CD için hizmet sorumluları.
Jenkins, Databricks hizmet sorumlusu kullanarak Azure Databricks API'lerine erişebilir. Daha fazla ayrıntı için bkz . Azure Databricks üzerinde Jenkins ile CI/CD.
Azure DevOps, MS Entra ID tabanlı hizmet sorumlusu kullanarak Azure Databricks API'lerine erişebilir. Diğer ayrıntılar için bkz . Databricks üzerinde Azure DevOps ile kimlik doğrulaması.
Azure Databricks yapılandırma profilleri
Azure Databricks yapılandırma profili, Azure Databricks'in erişimi yetkilendirmek için ihtiyaç duyduğu ayarları ve diğer bilgileri içerir. Azure Databricks yapılandırma profilleri, araçlarınız, SDK'larınız, betikleriniz ve kullanacağınız uygulamalar için yerel istemci dosyalarında depolanır. Standart yapılandırma profili dosyası olarak adlandırılır .databrickscfg.
Daha fazla bilgi için bkz . Azure Databricks yapılandırma profilleri.