Ověřování rozhraní příkazového řádku Databricks

Poznámka:

Tyto informace platí pro Databricks CLI verze 0.205 a vyšší. Rozhraní příkazového řádku Databricks je ve verzi Public Preview.

Použití rozhraní příkazového řádku Databricks podléhá licenci Databricks a oznámení o ochraně osobních údajů Databricks, včetně všech ustanovení o využití.

Tento článek popisuje, jak nastavit ověřování mezi rozhraním příkazového řádku Databricks a účty a pracovními prostory Azure Databricks. Podívejte se, co je rozhraní příkazového řádku Databricks?

Tento článek předpokládá, že jste už nainstalovali Rozhraní příkazového řádku Databricks. Viz Instalace nebo aktualizace rozhraní příkazového řádku Databricks.

Než budete moct spouštět příkazy Rozhraní příkazového řádku Databricks, musíte nastavit ověřování mezi rozhraním příkazového řádku Databricks a účty Azure Databricks, pracovními prostory nebo jejich kombinací v závislosti na typech příkazů rozhraní příkazového řádku, které chcete spustit.

Abyste mohli spouštět příkazy služby Azure Databricks Automation v rámci účtu nebo pracovního prostoru Azure Databricks, musíte v době běhu ověřit rozhraní příkazového řádku Databricks pro příslušné prostředky. V závislosti na tom, jestli chcete volat příkazy na úrovni pracovního prostoru Azure Databricks, příkazy na úrovni účtu Azure Databricks nebo obojí, musíte se ověřit v pracovním prostoru Azure Databricks, účtu nebo obojím. Seznam skupin příkazů rozhraní příkazového řádku azure Databricks na úrovni pracovního prostoru a účtu spusťte příkaz databricks -h. Seznam operací rozhraní REST API na úrovni pracovního prostoru a účtů Azure Databricks, které pokrývají příkazy rozhraní příkazového řádku Databricks, najdete v rozhraní REST API služby Databricks.

Informace o ověřování Microsoft Entra pro Databricks s Azure DevOps konkrétně najdete v tématu Ověřování pomocí Azure DevOps v Databricks.

Následující části obsahují informace o tom, jak nastavit ověřování mezi Rozhraním příkazového řádku Databricks a Azure Databricks:

Ověřování osobního přístupového tokenu Azure Databricks

Ověřování osobního přístupového tokenu Azure Databricks používá osobní přístupový token Azure Databricks k ověření cílové entity Azure Databricks, jako je uživatelský účet Azure Databricks. Viz ověřování tokenů pat azure Databricks.

Poznámka:

Ověřování pomocí osobního přístupového tokenu Azure Databricks nemůžete použít k ověřování pomocí účtu Azure Databricks, protože příkazy na úrovni účtu Azure Databricks k ověřování nepoužívají osobní přístupové tokeny Azure Databricks. Pokud se chcete ověřit pomocí účtu Azure Databricks, zvažte místo toho použití některého z následujících typů ověřování:

Pokud chcete vytvořit osobní přístupový token, postupujte takto:

  1. V pracovním prostoru Azure Databricks klikněte na své uživatelské jméno Azure Databricks v horním panelu a pak v rozevíracím seznamu vyberte Nastavení .
  2. Klikněte na Vývojář.
  3. Vedle přístupových tokenů klikněte na Spravovat.
  4. Klikněte na Vygenerovat nový token.
  5. (Volitelné) Zadejte komentář, který vám pomůže identifikovat tento token v budoucnu a změnit výchozí životnost tokenu na 90 dnů. Pokud chcete vytvořit token bez životnosti (nedoporučuje se), nechte pole Životnost (dny) prázdné (prázdné).
  6. Klikněte na Vygenerovat.
  7. Zkopírujte zobrazený token do zabezpečeného umístění a klikněte na tlačítko Hotovo.

Poznámka:

Nezapomeňte zkopírovaný token uložit do zabezpečeného umístění. Nesdílejte svůj zkopírovaný token s ostatními. Pokud ztratíte zkopírovaný token, nemůžete tento úplně stejný token znovu vygenerovat. Místo toho musíte tento postup zopakovat, abyste vytvořili nový token. Pokud ztratíte zkopírovaný token nebo se domníváte, že došlo k ohrožení zabezpečení tokenu, databricks důrazně doporučuje tento token okamžitě odstranit z pracovního prostoru kliknutím na ikonu koše (Odvolat) vedle tokenu na stránce Přístupové tokeny .

Pokud v pracovním prostoru nemůžete vytvářet nebo používat tokeny, může to být proto, že správce pracovního prostoru zakázal tokeny nebo vám neudělil oprávnění k vytváření nebo používání tokenů. Projděte si správce pracovního prostoru nebo následující témata:

Pokud chcete nakonfigurovat a používat ověřování tokenů pat azure Databricks, postupujte takto:

Poznámka:

Následující postup vytvoří konfigurační profil Azure Databricks s názvem DEFAULT. Pokud už máte DEFAULT konfigurační profil, který chcete použít, přeskočte tento postup. Jinak tento postup přepíše stávající DEFAULT konfigurační profil. Pokud chcete zobrazit názvy a hostitele všech existujících konfiguračních profilů, spusťte příkaz databricks auth profiles.

Chcete-li vytvořit konfigurační profil s jiným názvem než DEFAULT, přidejte --profile <configuration-profile-name> nebo -p <configuration-profile-name> na konec následujícího databricks configure příkazu nahraďte <configuration-profile-name> názvem nového konfiguračního profilu.

  1. Pomocí rozhraní příkazového řádku Databricks spusťte následující příkaz:

    databricks configure
    
  2. Pro výzvu Databricks Host zadejte adresu URL azure Databricks pro jednotlivé pracovní prostory, například https://adb-1234567890123456.7.azuredatabricks.net.

  3. V případě výzvy osobního přístupového tokenu zadejte osobní přístupový token Azure Databricks pro váš pracovní prostor.

    Po zadání osobního přístupového tokenu Azure Databricks se do souboru .databrickscfg přidá odpovídající konfigurační profil. Pokud rozhraní příkazového řádku Databricks nemůže tento soubor najít ve výchozím umístění, vytvoří nejprve tento soubor a pak tento konfigurační profil přidá do nového souboru. Výchozí umístění tohoto souboru je ve vaší ~ složce (domovská stránka uživatele) v systémech Unix, Linux nebo macOS nebo ve vaší %USERPROFILE% (domovské složce uživatele) ve Windows.

  4. Teď můžete jako součást volání příkazu Rozhraní příkazového řádku Databricks použít rozhraní příkazového řádku --profile Databricks nebo -p možnost následovanou názvem konfiguračního profilu.databricks clusters list -p <configuration-profile-name>

Ověřování M2M (machine-to-machine) OAuth

Místo ověřování pomocí Azure Databricks pomocí ověřování osobního přístupového tokenu Azure Databricks můžete použít ověřování OAuth. OAuth poskytuje tokeny s rychlejší dobou vypršení platnosti než osobní přístupové tokeny Azure Databricks a nabízí lepší zneplatnění a vymezení rozsahu relace na straně serveru. Vzhledem k tomu, že platnost přístupových tokenů OAuth vyprší za méně než hodinu, snižuje se tím riziko spojené s náhodným kontrolou tokenů do správy zdrojového kódu. Viz také ověření přístupu k Azure Databricks pomocí instančního objektu pomocí OAuth (OAuth M2M).

Pokud chcete nakonfigurovat a používat ověřování OAuth M2M, postupujte takto:

  1. Dokončete pokyny k nastavení ověřování OAuth M2M. Viz Ověření přístupu k Azure Databricks pomocí instančního objektu pomocí OAuth (OAuth M2M)

  2. Vytvořte nebo identifikujte konfigurační profil Azure Databricks s následujícími poli v .databrickscfg souboru. Pokud vytvoříte profil, nahraďte zástupné symboly příslušnými hodnotami.

    U příkazů na úrovni účtu nastavte v .databrickscfg souboru následující hodnoty:

    [<some-unique-configuration-profile-name>]
    host          = <account-console-url>
    account_id    = <account-id>
    client_id     = <service-principal-client-id>
    client_secret = <service-principal-oauth-secret>
    

    U příkazů na úrovni pracovního prostoru nastavte v .databrickscfg souboru následující hodnoty:

    [<some-unique-configuration-profile-name>]
    host          = <workspace-url>
    client_id     = <service-principal-client-id>
    client_secret = <service-principal-oauth-secret>
    

    Poznámka:

    Výchozí umístění .databrickscfg souboru je v domovském adresáři uživatele. Toto je ~ pro Linux a macOS a %USERPROFILE% pro Windows.

  3. Použijte rozhraní příkazového řádku --profile Databricks nebo -p možnost následovanou názvem vašeho konfiguračního profilu jako součást volání příkazu Rozhraní příkazového řádku Databricks, databricks account groups list -p <configuration-profile-name> například nebo databricks clusters list -p <configuration-profile-name>.

    Tip

    --profile Stiskněte poté Tab nebo -p zobrazte seznam existujících dostupných konfiguračních profilů, ze které si můžete vybrat, a nemusíte ručně zadávat název konfiguračního profilu.

Ověřování uživatele OAuth na počítač (U2M)

Místo ověřování pomocí Azure Databricks pomocí ověřování tokenů můžete použít ověřování OAuth. OAuth poskytuje tokeny s rychlejší dobou vypršení platnosti než osobní přístupové tokeny Azure Databricks a nabízí lepší zneplatnění a vymezení rozsahu relace na straně serveru. Vzhledem k tomu, že platnost přístupových tokenů OAuth vyprší za méně než hodinu, snižuje se tím riziko spojené s náhodným kontrolou tokenů do správy zdrojového kódu. Viz také ověření přístupu k Azure Databricks pomocí uživatelského účtu pomocí OAuth (OAuth U2M).

Pokud chcete nakonfigurovat a používat ověřování OAuth U2M, postupujte takto:

  1. Před voláním příkazů na úrovni účtu Azure Databricks musíte spustit správu tokenů OAuth místně spuštěním následujícího příkazu. Tento příkaz musí být spuštěn samostatně pro každý účet, pro který chcete spouštět příkazy. Pokud nechcete volat žádné operace na úrovni účtu, přeskočte k kroku 5.

    V následujícím příkazu nahraďte následující zástupné symboly:

    databricks auth login --host <account-console-url> --account-id <account-id>
    
  2. Rozhraní příkazového řádku Databricks vás vyzve k uložení adresy URL konzoly účtu a ID účtu místně jako konfiguračního profilu Azure Databricks. Stisknutím klávesy Enter potvrďte navrhovaný název profilu nebo zadejte název nového nebo existujícího profilu. Všechny existující profily se stejným názvem se přepíšou adresou URL a ID účtu konzoly účtu.

    Pokud chcete získat seznam všech existujících profilů, spusťte příkaz databricks auth profilesv samostatném terminálu nebo příkazovém řádku . Pokud chcete zobrazit existující nastavení konkrétního profilu, spusťte příkaz databricks auth env --profile <profile-name>.

  3. Ve webovém prohlížeči dokončete pokyny na obrazovce a přihlaste se ke svému účtu Azure Databricks.

  4. Pokud chcete zobrazit aktuální hodnotu tokenu OAuth a nadcházející časové razítko vypršení platnosti, spusťte příkaz databricks auth token --host <account-console-url> --account-id <account-id>.

  5. Před voláním příkazů na úrovni pracovního prostoru Azure Databricks je nutné spustit správu tokenů OAuth místně spuštěním následujícího příkazu. Tento příkaz musí být spuštěn samostatně pro každý pracovní prostor, pro který chcete spouštět příkazy.

    V následujícím příkazu nahraďte <workspace-url> adresou URL služby Azure Databricks pro jednotlivé pracovní prostory, například https://adb-1234567890123456.7.azuredatabricks.net.

    databricks auth login --host <workspace-url>
    
  6. Rozhraní příkazového řádku Databricks vás vyzve, abyste adresu URL pracovního prostoru uložili místně jako konfigurační profil Azure Databricks. Stisknutím klávesy Enter potvrďte navrhovaný název profilu nebo zadejte název nového nebo existujícího profilu. Všechny existující profily se stejným názvem se přepíšou touto adresou URL pracovního prostoru.

    Pokud chcete získat seznam všech existujících profilů, spusťte příkaz databricks auth profilesv samostatném terminálu nebo příkazovém řádku . Pokud chcete zobrazit existující nastavení konkrétního profilu, spusťte příkaz databricks auth env --profile <profile-name>.

  7. Ve webovém prohlížeči dokončete pokyny na obrazovce, abyste se přihlásili k pracovnímu prostoru Azure Databricks.

  8. Pokud chcete zobrazit aktuální hodnotu tokenu OAuth a nadcházející časové razítko vypršení platnosti, spusťte příkaz databricks auth token --host <workspace-url>.

  9. Jako součást volání příkazu Rozhraní příkazového řádku Databricks použijte rozhraní příkazového řádku --profile Databricks nebo -p možnost následovanou názvem vašeho konfiguračního profilu, například databricks account groups list -p <configuration-profile-name> databricks clusters list -p <configuration-profile-name>.

    Tip

    Můžete stisknout Tab nebo --profile -p zobrazit seznam existujících dostupných konfiguračních profilů, ze které si můžete vybrat, a nemusíte ručně zadávat název konfiguračního profilu.

Ověřování spravovaných identit Azure

Ověřování spravovaných identit Azure používá spravované identity pro prostředky Azure (dříve spravované identity (MSI) k ověřování. Viz Co jsou spravované identity prostředků Azure? Viz také ověřování spravovaných identit Azure.

Pokud chcete vytvořit spravovanou identitu přiřazenou uživatelem Azure, postupujte takto:

  1. Vytvořte nebo identifikujte virtuální počítač Azure a nainstalujte na něj rozhraní příkazového řádku Databricks a pak přiřaďte svou spravovanou identitu k virtuálnímu počítači Azure a cílovým účtům, pracovním prostorům nebo oběma účtům Azure Databricks. Viz Nastavení a použití ověřování spravovaných identit Azure pro automatizaci Azure Databricks.

  2. Na virtuálním počítači Azure vytvořte nebo identifikujte .databrickscfg konfigurační profil Azure Databricks s následujícími poli v souboru. Pokud vytvoříte profil, nahraďte zástupné symboly příslušnými hodnotami.

    U příkazů na úrovni účtu nastavte v .databrickscfg souboru následující hodnoty:

    [<some-unique-configuration-profile-name>]
    host            = <account-console-url>
    account_id      = <account-id>
    azure_client_id = <azure-managed-identity-application-id>
    azure_use_msi   = true
    

    U příkazů na úrovni pracovního prostoru nastavte v .databrickscfg souboru následující hodnoty:

    [<some-unique-configuration-profile-name>]
    host            = <workspace-url>
    azure_client_id = <azure-managed-identity-application-id>
    azure_use_msi   = true
    

    Pokud jste do pracovního prostoru ještě nepřidali cílovou identitu, zadejte azure_workspace_resource_id společně s ID prostředku Azure místo host adresy URL pracovního prostoru. V takovém případě musí mít cílová identita k prostředku Azure alespoň oprávnění přispěvatele nebo vlastníka.

    Poznámka:

    Výchozí umístění .databrickscfg souboru je v domovském adresáři uživatele. Toto je ~ pro Linux a macOS a %USERPROFILE% pro Windows.

  3. Na virtuálním počítači Azure použijte rozhraní příkazového řádku --profile Databricks nebo -p možnost následovanou názvem vašeho konfiguračního profilu a nastavte profil pro Databricks tak, databricks account groups list -p <configuration-profile-name> aby používal, například nebo databricks clusters list -p <configuration-profile-name>.

    Tip

    Můžete stisknout Tab nebo --profile -p zobrazit seznam existujících dostupných konfiguračních profilů, ze které si můžete vybrat, a nemusíte ručně zadávat název konfiguračního profilu.

Ověřování instančního objektu Microsoft Entra ID

Ověřování instančního objektu Microsoft Entra ID používá k ověření přihlašovací údaje instančního objektu Microsoft Entra ID. Informace o vytváření a správě instančních objektů pro Azure Databricks najdete v tématu Správa instančních objektů. Viz také ověřování instančního objektu MS Entra.

Pokud chcete nakonfigurovat a používat ověřování instančního objektu Microsoft Entra ID, musíte mít místně nainstalované ověřování Azure CLI. Musíte také provést následující:

  1. Vytvořte nebo identifikujte konfigurační profil Azure Databricks s následujícími poli v .databrickscfg souboru. Pokud vytvoříte profil, nahraďte zástupné symboly příslušnými hodnotami.

    U příkazů na úrovni účtu nastavte v .databrickscfg souboru následující hodnoty:

    [<some-unique-configuration-profile-name>]
    host                = <account-console-url>
    account_id          = <account-id>
    azure_tenant_id     = <azure-service-principal-tenant-id>
    azure_client_id     = <azure-service-principal-application-id>
    azure_client_secret = <azure-service-principal-client-secret>
    

    U příkazů na úrovni pracovního prostoru nastavte v .databrickscfg souboru následující hodnoty:

    [<some-unique-configuration-profile-name>]
    host                = <workspace-url>
    azure_tenant_id     = <azure-service-principal-tenant-id>
    azure_client_id     = <azure-service-principal-application-id>
    azure_client_secret = <azure-service-principal-client-secret>
    

    U příkazů na úrovni pracovního prostoru platí, že pokud cílový instanční objekt Microsoft Entra ID ještě nebyl přidán do pracovního prostoru, zadejte azure_workspace_resource_id spolu s ID prostředku Azure místo host adresy URL pracovního prostoru. V tomto případě musí mít cílový instanční objekt ID Microsoft Entra ID alespoň oprávnění přispěvatele nebo vlastníka prostředku Azure.

    Poznámka:

    Výchozí umístění .databrickscfg souboru je v domovském adresáři uživatele. Toto je ~ pro Linux a macOS a %USERPROFILE% pro Windows.

  2. Jako součást volání příkazu Rozhraní příkazového řádku Databricks použijte rozhraní příkazového řádku --profile Databricks nebo -p možnost následovanou názvem vašeho konfiguračního profilu, například databricks account groups list -p <configuration-profile-name> databricks clusters list -p <configuration-profile-name>.

    Tip

    Můžete stisknout Tab nebo --profile -p zobrazit seznam existujících dostupných konfiguračních profilů, ze které si můžete vybrat, a nemusíte ručně zadávat název konfiguračního profilu.

Ověřování Azure CLI

Ověřování Azure CLI používá Azure CLI k ověření přihlášené entity. Viz také ověřování Azure CLI.

Pokud chcete nakonfigurovat ověřování Azure CLI, musíte udělat toto:

  1. Místně nainstalujte Azure CLI.

  2. Pomocí Azure CLI se přihlaste k Azure Databricks spuštěním az login příkazu. Viz přihlášení k Azure CLI pomocí uživatelského účtu Azure Databricks.

  3. Vytvořte nebo identifikujte konfigurační profil Azure Databricks s následujícími poli v .databrickscfg souboru. Pokud vytvoříte profil, nahraďte zástupné symboly příslušnými hodnotami.

    U příkazů na úrovni účtu nastavte v .databrickscfg souboru následující hodnoty:

    [<some-unique-configuration-profile-name>]
    host       = <account-console-url>
    account_id = <account-id>
    

    U příkazů na úrovni pracovního prostoru nastavte v .databrickscfg souboru následující hodnoty:

    [<some-unique-configuration-profile-name>]
    host = <workspace-url>
    

    Poznámka:

    Výchozí umístění .databrickscfg souboru je v domovském adresáři uživatele. Toto je ~ pro Linux a macOS a %USERPROFILE% pro Windows.

  4. Jako součást volání příkazu Rozhraní příkazového řádku Databricks použijte rozhraní příkazového řádku --profile Databricks nebo -p možnost následovanou názvem vašeho konfiguračního profilu, například databricks account groups list -p <configuration-profile-name> databricks clusters list -p <configuration-profile-name>.

    Tip

    Můžete stisknout Tab nebo --profile -p zobrazit seznam existujících dostupných konfiguračních profilů, ze které si můžete vybrat, a nemusíte ručně zadávat název konfiguračního profilu.

Pořadí ověření vyhodnocení

Pokaždé, když rozhraní příkazového řádku Databricks potřebuje shromáždit nastavení potřebná k ověření v pracovním prostoru nebo účtu Azure Databricks, vyhledá tato nastavení v následujících umístěních v následujícím pořadí.

  1. Pro každý příkaz spouštěný z pracovního adresáře sady (kořen sady a vnořená cesta) hodnoty polí v souborech nastavení sady projektu. (Soubory nastavení sady nepodporují přímé zahrnutí hodnot přihlašovacích údajů přístupu.)
  2. Hodnoty proměnných prostředí uvedené v tomto článku a v proměnných prostředí a polích pro jednotné ověřování klienta.
  3. Hodnoty polí konfiguračního .databrickscfg profilu v souboru, jak je uvedeno dříve v tomto článku.

Pokaždé, když rozhraní příkazového řádku Databricks najde požadovaná nastavení, přestane hledat v jiných umístěních. Příklad:

  • Rozhraní příkazového řádku Databricks potřebuje hodnotu osobního přístupového tokenu Azure Databricks. Proměnná DATABRICKS_TOKEN prostředí je nastavená a .databrickscfg soubor obsahuje také několik tokenů patového přístupu. V tomto příkladu používá Rozhraní příkazového DATABRICKS_TOKEN řádku Databricks hodnotu proměnné prostředí a neprohledává .databrickscfg soubor.
  • Příkaz databricks bundle deploy -t dev potřebuje hodnotu tokenu pat azure Databricks. Proměnná DATABRICKS_TOKEN prostředí není nastavená a .databrickscfg soubor obsahuje více tokenů patového přístupu. Soubor nastavení sady prostředků projektu obsahuje dev deklaraci prostředí, která odkazuje prostřednictvím jeho profile pole konfigurační profil s názvem DEV. V tomto příkladu rozhraní příkazového řádku Databricks vyhledá .databrickscfg v souboru profil s názvem DEV a použije hodnotu pole tohoto token profilu.
  • Příkaz databricks bundle run -t dev hello-job potřebuje hodnotu tokenu pat azure Databricks. Proměnná DATABRICKS_TOKEN prostředí není nastavená a .databrickscfg soubor obsahuje více tokenů patového přístupu. Soubor nastavení sady prostředků projektu obsahuje dev deklaraci prostředí, která odkazuje prostřednictvím pole host na konkrétní adresu URL pracovního prostoru Azure Databricks. V tomto příkladu hledá rozhraní příkazového řádku Databricks prostřednictvím konfiguračních profilů v .databrickscfg souboru profil, který obsahuje host pole s odpovídající adresou URL pracovního prostoru. Rozhraní příkazového řádku Databricks najde odpovídající host pole a pak použije hodnotu pole daného profilu token .