Aracılığıyla paylaş

Databricks CLI için kimlik doğrulaması

  • Makale

Not

Bu bilgiler Databricks CLI 0.205 ve üzeri sürümleri için geçerlidir. Databricks CLI Genel Önizleme aşamasındadır.

Databricks CLI kullanımı, Kullanım Verileri sağlamaları da dahil olmak üzere Databricks Lisansı ve Databricks Gizlilik Bildirimi'ne tabidir.

Bu makalede Databricks CLI ile Azure Databricks hesaplarınız ve çalışma alanlarınız arasında kimlik doğrulamasının nasıl ayarlanacağı açıklanır. Databricks CLI'yi zaten yüklediğiniz varsayılır. Bkz. Databricks CLIyükleme veya güncelleştirme.

Databricks CLI komutlarını çalıştırabilmeniz için önce, çalıştırmak istediğiniz CLI komutlarının türlerine bağlı olarak Databricks CLI ile Azure Databricks hesaplarınız, çalışma alanlarınız veya bunların bir bileşimi arasında kimlik doğrulaması ayarlamanız gerekir.

Bir Azure Databricks hesabı veya çalışma alanında Azure Databricks otomasyon komutlarını çalıştırmak için Databricks CLI'sinin kimliğini çalışma zamanında ilgili kaynaklara doğrulamalısınız. Azure Databricks çalışma alanı düzeyinde komutları, Azure Databricks hesap düzeyi komutlarını veya her ikisini birden çağırmak isteyip istemediğinize bağlı olarak, Azure Databricks çalışma alanında, hesapta veya her ikisinde de kimlik doğrulaması yapmanız gerekir. Azure Databricks çalışma alanı düzeyinde ve hesap düzeyinde CLI komut gruplarının listesi için databricks -hkomutunu çalıştırın. Databricks CLI komutlarının kapsadığını Azure Databricks çalışma alanı düzeyinde ve hesap düzeyinde REST API işlemlerinin listesi için bkz. databricks REST API.

Özellikle Azure DevOps ile Databricks'te Microsoft Entra kimlik doğrulaması hakkında bilgi için bkz . Databricks üzerinde Azure DevOps ile kimlik doğrulama.

Aşağıdaki bölümlerde Databricks CLI ile Azure Databricks arasında kimlik doğrulamasını ayarlama hakkında bilgi sağlanır:

Azure Databricks kişisel erişim belirteci kimlik doğrulaması

Azure Databricks kişisel erişim belirteci kimlik doğrulaması, Azure Databricks kullanıcı hesabı gibi hedef Azure Databricks varlığının kimliğini doğrulamak için bir Azure Databricks kişisel erişim belirteci kullanır. Bkz. Azure Databricks kişisel erişim belirteci kimlik doğrulaması.

Not

Azure Databricks hesabı düzeyindeki komutlar kimlik doğrulaması için Azure Databricks kişisel erişim belirteçlerini kullanmadığından, Azure Databricks hesabıyla kimlik doğrulaması için Azure Databricks kişisel erişim belirteci kimlik doğrulamasını kullanamazsınız. Azure Databricks hesabıyla kimlik doğrulaması yapmak için bunun yerine aşağıdaki kimlik doğrulama türlerinden birini kullanmayı göz önünde bulundurun:

Kişisel erişim belirteci oluşturmak için çalışma alanı kullanıcıları için Azure Databricks kişisel erişim belirteçleri'ndeki adımları izleyin.

Not

Aşağıdaki yordam, adlı DEFAULTbir Azure Databricks yapılandırma profili oluşturur. Kullanmak istediğiniz bir DEFAULT yapılandırma profiliniz zaten varsa bu yordamı atlayın. Aksi takdirde, bu yordam mevcut DEFAULT yapılandırma profilinizin üzerine yazar. Mevcut yapılandırma profillerinin adlarını ve konaklarını görüntülemek için komutunu databricks auth profilesçalıştırın.

dışında bir ada DEFAULTsahip bir yapılandırma profili oluşturmak için, öğesini yeni yapılandırma profilinin adıyla değiştirerek --profile <configuration-profile-name> aşağıdaki -p <configuration-profile-name> komutun sonuna veya databricks configure ekleyin<configuration-profile-name>.

Azure Databricks kişisel erişim belirteci kimlik doğrulamasını yapılandırmak ve kullanmak için aşağıdakileri yapın:

  1. Aşağıdaki komutu çalıştırmak için Databricks CLI'yi kullanın:

    databricks configure

  2. Databricks Konağı istemi

  3. Kişisel Erişim Belirteci istemi için çalışma alanınız için Azure Databricks kişisel erişim belirtecini girin.

    Azure Databricks kişisel erişim belirtecinizi girdikten sonra, dosyanıza .databrickscfg karşılık gelen bir yapılandırma profili eklenir. Databricks CLI bu dosyayı varsayılan konumunda bulamazsa, önce sizin için bu dosyayı oluşturur ve ardından bu yapılandırma profilini yeni dosyaya ekler. Bu dosyanın varsayılan konumu Unix, Linux veya macOS'taki ~ (kullanıcı giriş) klasörünüzde veya Windows'taki (kullanıcı giriş klasörünüz %USERPROFILE% ) klasöründedir.

  4. Databricks CLI komut çağrısının bir parçası olarak databricks CLI'sinin --profile veya -p seçeneğini ve ardından yapılandırma profilinizin adını kullanabilirsiniz. Örneğin databricks clusters list -p <configuration-profile-name>.

OAuth makineden makineye (M2M) kimlik doğrulaması

Azure Databricks kişisel erişim belirteci kimlik doğrulamasını kullanarak Azure Databricks ile kimlik doğrulaması yerine OAuth kimlik doğrulamasını kullanabilirsiniz. OAuth, Belirteçlere Azure Databricks kişisel erişim belirteçlerinden daha hızlı süre sonu sağlar ve daha iyi sunucu tarafı oturum geçersizleştirme ve kapsam belirleme sunar. OAuth erişim belirteçlerinin süresi bir saatten kısa bir süre içinde dolduğundan bu, belirteçleri yanlışlıkla kaynak denetimine denetleme riskini azaltır. Ayrıca bkz. OAuthkullanarak bir hizmet sorumlusu ile Azure Databricks kaynaklarına katılımsız erişimi yetkilendirin.

OAuth M2M kimlik doğrulamasını yapılandırmak ve kullanmak için aşağıdakileri yapın:

  1. OAuth M2M kimlik doğrulaması kurulum yönergelerini tamamlayın. Bkz. OAuth kullanarak hizmet sorumlusuyla Azure Databricks kaynaklarına katılımsız erişim yetkilendirme

  2. Dosyanızda aşağıdaki alanlarla bir Azure Databricks .databrickscfg oluşturun veya tanımlayın. Profili oluşturursanız yer tutucuları uygun değerlerle değiştirin.

    Hesap düzeyinde komutları için .databrickscfg dosyanızda aşağıdaki değerleri ayarlayın:

    [<some-unique-configuration-profile-name>]
host          = <account-console-url>
account_id    = <account-id>
client_id     = <service-principal-client-id>
client_secret = <service-principal-oauth-secret>

    Çalışma alanı düzeyinde komutları için dosyanızda aşağıdaki değerleri ayarlayın:

    [<some-unique-configuration-profile-name>]
host          = <workspace-url>
client_id     = <service-principal-client-id>
client_secret = <service-principal-oauth-secret>

    Not

    Dosyanın varsayılan konumu .databrickscfg kullanıcının giriş dizinindedir. Bu, ~ Linux ve macOS %USERPROFILE% ve Windows içindir.

  3. Databricks CLI'sinin --profile veya -p seçeneğini ve ardından yapılandırma profilinizin adını Databricks CLI komut çağrısının bir parçası olarak kullanın, örneğin veya databricks account groups list -p <configuration-profile-name>databricks clusters list -p <configuration-profile-name>.

    İpucu

    Yapılandırma profili adını el ile girmek yerine, Tab veya --profile sonra -p tuşuna basarak seçebileceğiniz mevcut yapılandırma profillerinin listesini görüntüleyin.

OAuth kullanıcıdan makineye (U2M) kimlik doğrulaması

Belirteç kimlik doğrulaması kullanarak Azure Databricks ile kimlik doğrulaması yerine OAuth kimlik doğrulamasını kullanabilirsiniz. OAuth, Belirteçlere Azure Databricks kişisel erişim belirteçlerinden daha hızlı süre sonu sağlar ve daha iyi sunucu tarafı oturum geçersizleştirme ve kapsam belirleme sunar. OAuth erişim belirteçlerinin süresi bir saatten kısa bir süre içinde dolduğundan bu, belirteçleri yanlışlıkla kaynak denetimine denetleme riskini azaltır. Ayrıca bkz. OAuthkullanarak kullanıcı hesabıyla Azure Databricks kaynaklarına etkileşimli erişim yetkisi verme.

OAuth U2M kimlik doğrulamasını yapılandırmak ve kullanmak için aşağıdakileri yapın:

  1. Azure Databricks hesap düzeyi komutlarını çağırmadan önce aşağıdaki komutu çalıştırarak yerel olarak OAuth belirteç yönetimini başlatmanız gerekir. Bu komut, komutlarını çalıştırmak istediğiniz her hesap için ayrı olarak çalıştırılmalıdır. Hesap düzeyinde işlemleri çağırmak istemiyorsanız 5. adıma geçin.

    Aşağıdaki komutta aşağıdaki yer tutucuları değiştirin:

    databricks auth login --host <account-console-url> --account-id <account-id>

  2. Databricks CLI, hesap konsolu URL'sini ve hesap kimliğini yerel olarak Azure Databricks yapılandırma profili olarak kaydetmenizi ister. Önerilen profil adını kabul etmek için basın Enter veya yeni veya mevcut bir profilin adını girin. Bu hesap konsolu URL'si ve hesap kimliği ile aynı ada sahip mevcut tüm profillerin üzerine yazılır.

    Mevcut profillerin listesini almak için, ayrı bir terminalde veya komut isteminde databricks auth profileskomutunu çalıştırın. Belirli bir profilin mevcut ayarlarını görüntülemek için komutunu databricks auth env --profile <profile-name>çalıştırın.

  3. Web tarayıcınızda, Azure Databricks hesabınızda oturum açmak için ekrandaki yönergeleri tamamlayın.

  4. Geçerli OAuth belirteci değerini ve yaklaşan süre sonu zaman damgasını görüntülemek için komutunu databricks auth token --host <account-console-url> --account-id <account-id>çalıştırın.

  5. Azure Databricks çalışma alanı düzeyindeki komutları çağırmadan önce aşağıdaki komutu çalıştırarak OAuth belirteci yönetimini yerel olarak başlatmanız gerekir. Bu komut, komut çalıştırmak istediğiniz her çalışma alanı için ayrı olarak çalıştırılmalıdır.

    Aşağıdaki komutta değerini çalışma alanı başına Azure Databricks <workspace-url> değiştirin, örneğinhttps://adb-1234567890123456.7.azuredatabricks.net.

    databricks auth login --host <workspace-url>

  6. Databricks CLI, çalışma alanı URL'sini yerel olarak Azure Databricks yapılandırma profili olarak kaydetmenizi ister. Önerilen profil adını kabul etmek için basın Enter veya yeni veya mevcut bir profilin adını girin. Bu çalışma alanı URL'si ile aynı ada sahip mevcut tüm profillerin üzerine yazılır.

    Mevcut profillerin listesini almak için, ayrı bir terminalde veya komut isteminde databricks auth profileskomutunu çalıştırın. Belirli bir profilin mevcut ayarlarını görüntülemek için komutunu databricks auth env --profile <profile-name>çalıştırın.

  7. Web tarayıcınızda, Azure Databricks çalışma alanınızda oturum açmak için ekrandaki yönergeleri tamamlayın.

  8. Geçerli OAuth belirteci değerini ve yaklaşan süre sonu zaman damgasını görüntülemek için komutunu databricks auth token --host <workspace-url>çalıştırın.

  9. Databricks CLI komut çağrısının bir parçası olarak Databricks CLI'sinin --profile veya -p seçeneğinin ardından yapılandırma profilinizin adını kullanın, örneğin databricks account groups list -p <configuration-profile-name> veya databricks clusters list -p <configuration-profile-name>.

    İpucu

    yapılandırma profili adını el ile girmek yerine, Tab veya --profile sonra -p tuşuna basarak seçebileceğiniz mevcut yapılandırma profillerinin listesini görüntüleyebilirsiniz.

Azure yönetilen kimlikleri kimlik doğrulaması

Azure yönetilen kimlikleri kimlik doğrulaması, kimlik doğrulaması için Azure kaynakları (eski adıyla Yönetilen Hizmet Kimlikleri (MSI)) için yönetilen kimlikleri kullanır. Bkz. Azure kaynakları için yönetilen kimlikler nedir?. Ayrıca bkz. Azure yönetilen kimlikleri kimlik doğrulaması.

Azure kullanıcı tarafından atanan yönetilen kimlik oluşturmak için aşağıdakileri yapın:

  1. Bir Azure VM oluşturun veya tanımlayın ve Databricks CLI'yı yükleyin, ardından yönetilen kimliğinizi Azure VM'nize ve hedef Azure Databricks hesaplarınıza, çalışma alanlarınıza veya her ikisine de atayın. Bkz. Azure Databricks otomasyonuiçin Azure yönetilen kimlikler ile kimlik doğrulamayı ayarlama ve kullanma.

  2. Azure VM'de, dosyanızda aşağıdaki alanları içeren bir Azure Databricks .databrickscfg oluşturun veya tanımlayın. Profili oluşturursanız yer tutucuları uygun değerlerle değiştirin.

    Hesap düzeyinde komutları için .databrickscfg dosyanızda aşağıdaki değerleri ayarlayın:

    [<some-unique-configuration-profile-name>]
host            = <account-console-url>
account_id      = <account-id>
azure_client_id = <azure-managed-identity-application-id>
azure_use_msi   = true

    Çalışma alanı düzeyinde komutları için dosyanızda aşağıdaki değerleri ayarlayın:

    [<some-unique-configuration-profile-name>]
host            = <workspace-url>
azure_client_id = <azure-managed-identity-application-id>
azure_use_msi   = true

    Çalışma alanı düzeyindeki komutlar için, hedef kimlik çalışma alanına henüz eklenmemişse, çalışma alanı URL'si yerine azure_workspace_resource_id Azure kaynak kimliğiyle birlikte belirtinhost. Bu durumda, hedef kimliğin Azure kaynağında en az Katkıda Bulunan veya Sahip izinlerine sahip olması gerekir.

    Not

    Dosyanın varsayılan konumu .databrickscfg kullanıcının giriş dizinindedir. Bu, ~ Linux ve macOS %USERPROFILE% ve Windows içindir.

  3. Azure VM'de, Databricks CLI'nin --profile veya -p seçeneğini ve ardından yapılandırma profilinizin adını belirterek Databricks tarafından kullanılacak profili ayarlayın (örneğin, databricks account groups list -p <configuration-profile-name> veya databricks clusters list -p <configuration-profile-name>).

    İpucu

    yapılandırma profili adını el ile girmek yerine, Tab veya --profile sonra -p tuşuna basarak seçebileceğiniz mevcut yapılandırma profillerinin listesini görüntüleyebilirsiniz.

Microsoft Entra ID hizmet sorumlusu kimlik doğrulaması

Microsoft Entra ID hizmet sorumlusu kimlik doğrulaması, kimlik doğrulaması için Microsoft Entra ID hizmet sorumlusunun kimlik bilgilerini kullanır. Azure Databricks için hizmet sorumluları oluşturmak ve yönetmek için bkz . Hizmet sorumlularını yönetme. Ayrıca bkz. MS Entra hizmet sorumlusu kimlik doğrulaması.

Microsoft Entra ID hizmet sorumlusu kimlik doğrulamasını yapılandırmak ve kullanmak için Azure CLI kimlik doğrulamasını yerel olarak yüklemiş olmanız gerekir. Aşağıdakileri de yapmanız gerekir:

  1. Dosyanızda aşağıdaki alanlarla bir Azure Databricks .databrickscfg oluşturun veya tanımlayın. Profili oluşturursanız yer tutucuları uygun değerlerle değiştirin.

    Hesap düzeyinde komutları için .databrickscfg dosyanızda aşağıdaki değerleri ayarlayın:

    [<some-unique-configuration-profile-name>]
host                = <account-console-url>
account_id          = <account-id>
azure_tenant_id     = <azure-service-principal-tenant-id>
azure_client_id     = <azure-service-principal-application-id>
azure_client_secret = <azure-service-principal-client-secret>

    Çalışma alanı düzeyinde komutları için dosyanızda aşağıdaki değerleri ayarlayın:

    [<some-unique-configuration-profile-name>]
host                = <workspace-url>
azure_tenant_id     = <azure-service-principal-tenant-id>
azure_client_id     = <azure-service-principal-application-id>
azure_client_secret = <azure-service-principal-client-secret>

    Çalışma alanı düzeyindeki komutlar için, hedef Microsoft Entra ID hizmet sorumlusu çalışma alanına henüz eklenmemişse, çalışma alanı URL'si yerine azure_workspace_resource_id Azure kaynak kimliğiyle birlikte belirtinhost. Bu durumda, hedef Microsoft Entra Id hizmet sorumlusunun Azure kaynağında en az Katkıda Bulunan veya Sahip izinlerine sahip olması gerekir.

    Not

    Dosyanın varsayılan konumu .databrickscfg kullanıcının giriş dizinindedir. Bu, ~ Linux ve macOS %USERPROFILE% ve Windows içindir.

  2. Databricks CLI komut çağrısının bir parçası olarak Databricks CLI'sinin --profile veya -p seçeneğinin ardından yapılandırma profilinizin adını kullanın, örneğin databricks account groups list -p <configuration-profile-name> veya databricks clusters list -p <configuration-profile-name>.

    İpucu

    yapılandırma profili adını el ile girmek yerine, Tab veya --profile sonra -p tuşuna basarak seçebileceğiniz mevcut yapılandırma profillerinin listesini görüntüleyebilirsiniz.

Azure CLI kimlik doğrulaması

Azure CLI kimlik doğrulaması, oturum açmış varlığın kimliğini doğrulamak için Azure CLI'yi kullanır. Ayrıca bkz. Azure CLI kimlik doğrulaması.

Azure CLI kimlik doğrulamasını yapılandırmak için aşağıdakileri yapmanız gerekir:

  1. Azure CLI'nın yerel olarak yüklenmesini sağlayın.

  2. Komutunu çalıştırarak Azure Databricks'te oturum açmak için Azure CLI'yi az login kullanın. Bkz. Azure Databricks kullanıcı hesabıyla Azure CLI oturum açma.

  3. Dosyanızda aşağıdaki alanlarla bir Azure Databricks .databrickscfg oluşturun veya tanımlayın. Profili oluşturursanız yer tutucuları uygun değerlerle değiştirin.

    Hesap düzeyinde komutları için .databrickscfg dosyanızda aşağıdaki değerleri ayarlayın:

    [<some-unique-configuration-profile-name>]
host       = <account-console-url>
account_id = <account-id>

    Çalışma alanı düzeyinde komutları için dosyanızda aşağıdaki değerleri ayarlayın:

    [<some-unique-configuration-profile-name>]
host = <workspace-url>

    Not

    Dosyanın varsayılan konumu .databrickscfg kullanıcının giriş dizinindedir. Bu, ~ Linux ve macOS %USERPROFILE% ve Windows içindir.

  4. Databricks CLI komut çağrısının bir parçası olarak Databricks CLI'sinin --profile veya -p seçeneğinin ardından yapılandırma profilinizin adını kullanın, örneğin databricks account groups list -p <configuration-profile-name> veya databricks clusters list -p <configuration-profile-name>.

    İpucu

    yapılandırma profili adını el ile girmek yerine, Tab veya --profile sonra -p tuşuna basarak seçebileceğiniz mevcut yapılandırma profillerinin listesini görüntüleyebilirsiniz.

Kimlik doğrulama değerlendirme sırası

Databricks CLI'sinin bir Azure Databricks çalışma alanı veya hesabıyla kimlik doğrulaması yapmak için gereken ayarları toplaması gerektiğinde, bu ayarları aşağıdaki konumlarda aşağıdaki sırayla arar.

  1. Paket çalışma dizininden çalıştırılan herhangi bir komut için (paket kökü ve iç içe yerleştirilmiş herhangi bir yol), projenin paket ayarı dosyalarındaki alanların değerleri. (Paket ayarı dosyaları erişim kimlik bilgisi değerlerinin doğrudan eklenmesini desteklemez.)
  2. Ortam değişkenlerinin değerleri, bu makalede ve İstemci birleşik kimlik doğrulaması için ortam değişkenleri ve alanlarbölümünde listelendiği gibi.
  3. Bu makalede daha önce listelendiği gibi .databrickscfg dosyasındaki yapılandırma profili alanı değerleri.

Databricks CLI ihtiyaç duyduğu gerekli ayarları bulduğunda, diğer konumlarda aramayı durdurur. Örneğin:

  • Databricks CLI,Azure Databricks kişisel erişim belirtecinin değerine ihtiyaç duyar. bir DATABRICKS_TOKEN ortam değişkeni ayarlanır ve .databrickscfg dosyası da birden çok kişisel erişim belirteci içerir. Bu örnekte Databricks CLI ortam değişkeninin DATABRICKS_TOKEN değerini kullanır ve dosyada .databrickscfg arama yapmaz.
  • Komutun databricks bundle deploy -t dev Azure Databricks kişisel erişim belirtecinin değerine ihtiyacı vardır. DATABRICKS_TOKEN ortam değişkeni ayarlanmadı ve .databrickscfg dosyası birden çok kişisel erişim belirteci içeriyor. Projenin paket ayarları dosyası, alanında adlı devbir profile yapılandırma profiline DEV başvuran bir ortam bildirimi içerir. Bu örnekte, Databricks CLI adlı .databrickscfg bir profili dosyada DEV arar ve bu profilin token alanının değerini kullanır.
  • Komutun databricks bundle run -t dev hello-job Azure Databricks kişisel erişim belirtecinin değerine ihtiyacı vardır. DATABRICKS_TOKEN ortam değişkeni ayarlanmadı ve .databrickscfg dosyası birden çok kişisel erişim belirteci içeriyor. Projenin paket ayarları dosyası, kendi alanında belirli bir dev Azure Databricks çalışma alanı URL'sine host başvuran bir ortam bildirimi içerir. Bu örnekte Databricks CLI, dosyadaki yapılandırma profillerinde eşleşen çalışma alanı URL'sine .databrickscfg sahip bir alan içeren bir host profil arar. Databricks CLI eşleşen host bir alan bulur ve ardından bu profilin token alan değerini kullanır.