Einrichten und Verwenden der Authentifizierung mit von Azure verwalteten Identitäten für die Automatisierung von Azure Databricks

Führen Sie die Schritte in diesem Artikel aus, um verwaltete Identitäten für Azure-Ressourcen (ehemals Managed Service Identities, MSI) zu authentifizieren, um Ihre Azure Databricks-Konten und -Arbeitsbereiche zu automatisieren.

Azure verwaltet Automatisch Identitäten in Microsoft Entra ID für Anwendungen, die beim Herstellen einer Verbindung mit Ressourcen verwendet werden, die die Microsoft Entra ID-Authentifizierung unterstützen. Zu diesen Ressourcen gehören Azure Databricks-Konten und Arbeitsbereiche. Die Authentifizierung verwalteter Azure-Identitäten für Azure Databricks verwendet verwaltete Identitäten, um Microsoft Entra ID-Token abzurufen, ohne Anmeldeinformationen verwalten zu müssen.

• Weitere Informationen zu verwalteten Identitäten finden Sie unter Was sind verwaltete Identitäten für Azure-Ressourcen?.
• Weitere Informationen zur Authentifizierung verwalteter Azure-Identitäten für Azure Databricks finden Sie unter Authentifizierung mit von Azure verwalteten Identitäten.

In diesem Artikel wird veranschaulicht, wie Sie die Authentifizierung mit von Azure verwalteten Identitäten wie folgt einrichten und verwenden:

• Erstellen Sie eine benutzerseitig zugewiesene verwaltete Identität. Azure unterstützt systemseitig und benutzerseitig zugewiesene verwaltete Identitäten. Databricks empfiehlt die Verwendung von vom Benutzer zugewiesenen verwalteten Identitäten für die Authentifizierung mit von Azure verwalteten Identitäten mit Azure Databricks.
• Weisen Sie Ihre verwaltete Identität Ihrem Azure Databricks-Konto und einem Azure Databricks-Arbeitsbereich in diesem Konto zu.
• Erstellen Sie einen virtuellen Azure-Computer (Azure-VM) und melden Sie sich an. Sie müssen eine Ressource verwenden, die verwaltete Identitäten unterstützt, z. B. eine Azure-VM mit einer verwalteten Identität, die dieser Azure-VM zugewiesen ist, um Azure Databricks-Konto- und Arbeitsbereichsvorgänge programmgesteuert aufzurufen.
• Weisen Sie Ihre benutzerseitig zugewiesene verwaltete Identität Ihrer Azure-VM zu.
• Installieren Sie die Databricks CLI auf Ihrer Azure-VM, und konfigurieren Sie dann die Databricks CLI für die Authentifizierung mit von Azure verwalteten Identitäten für Azure Databricks mithilfe der zugewiesenen verwalteten Identität.
• Führen Sie Befehle mit der Databricks CLI aus, um Ihr Azure Databricks-Konto und den Arbeitsbereich mithilfe Authentifizierung mit von Azure verwalteten Identitäten für Azure Databricks mit der zugewiesenen verwalteten Identität zu automatisieren.

Anforderungen

• Um vom Benutzer zugewiesene verwaltete Identitäten zu erstellen und zuzuweisen, müssen Sie mindestens über die erforderlichen rollenbasierten Azure-Zugriffssteuerungsberechtigungen (Azure RBAC) in Ihrem Azure-Abonnement verfügen. Siehe Welche Azure RBAC-Berechtigungen sind erforderlich, um eine verwaltete Identität auf einer Ressource zu nutzen?
• Um Ihrem Azure Databricks-Konto eine verwaltete Identität zuzuweisen, müssen Sie ein Administrator dieses Kontos sein. Siehe Zuweisen von Kontoadministratorrollen zu Benutzern.
• Um Ihrem Azure Databricks-Arbeitsbereich eine verwaltete Identität zuzuweisen, müssen Sie ein Administrator dieses Arbeitsbereichs sein. Siehe Zuweisen der Arbeitsbereichsadministratorrolle zu Benutzer*innen mithilfe der Seite „Administratoreinstellungen“ für Arbeitsbereiche.
• Um eine Azure-VM zu erstellen und ihr eine vom Benutzer verwaltete Identität zuzuweisen, müssen Sie mindestens über die Rollenzuweisungen Mitwirkender von virtuellen Computern und Operator für verwaltete Identität in Ihrem Azure-Abonnement verfügen.

Schritt 1: Erstellen einer benutzerseitig zugewiesenen verwalteten Identität

In diesem Schritt erstellen Sie eine benutzerseitig zugewiesene verwaltete Identität für Azure-Ressourcen. Azure unterstützt systemseitig und benutzerseitig zugewiesene verwaltete Identitäten. Databricks empfiehlt die Verwendung von vom Benutzer zugewiesenen verwalteten Identitäten für die Authentifizierung mit von Azure verwalteten Identitäten mit Azure Databricks. Siehe auch Verwalten von benutzerseitig zugewiesenen verwalteten Identitäten.

1. Melden Sie sich beim Azure-Portal an.

   Hinweis

   Welches Portal Sie verwenden, hängt davon ab, ob Sie die öffentliche Azure-Cloud oder eine nationale Cloud oder Sovereign Cloud verwenden. Weitere Informationen finden Sie unter Nationale Clouds.

2. Wenn Sie Zugriff auf mehrere Mandanten, Abonnements oder Verzeichnisse haben, klicken Sie im oberen Menü auf das Zahnradsymbol (Einstellungen), um zu dem Verzeichnis zu wechseln, in dem Sie die verwaltete Identität erstellen möchten.

3. Suchen Sie in Suchressourcen, Dienste und Dokumente nach dem Azure-Dienst mit dem Namen Verwaltete Identitäten.

4. Klicken Sie auf + Erstellen.

5. Wählen Sie auf der Registerkarte Grundlagen für Ressourcengruppe eine vorhandene Ressourcengruppe aus, der diese verwaltete Identität hinzugefügt werden soll, oder klicken Sie auf Neu erstellen, um eine neue Ressourcengruppe zu erstellen, der diese verwaltete Identität hinzugefügt werden soll. Weitere Informationen zu Ressourcengruppen finden Sie unter Verwalten von Azure-Ressourcengruppen über das Azure-Portal.

6. Wählen Sie für Region die entsprechende Region aus, der diese verwaltete Identität hinzugefügt werden soll. Weitere Informationen zu Azure-Regionen finden Sie unter Auswählen der passenden Azure-Region.

7. Geben Sie für Name einen eindeutigen Namen für diese verwaltete Identität ein, den Sie sich leicht merken können.

8. Klicken Sie auf der Registerkarte Überprüfen + erstellen auf Erstellen.

9. Klicken Sie auf Zu Ressource wechseln.

10. Kopieren Sie den Wert des Felds Client-ID, da Sie ihn später für die Schritte 2, 3 und 8 benötigen:

    Wenn Sie vergessen, diesen Wert zu kopieren, können Sie später zur Übersichtsseite ihrer verwalteten Identität zurückkehren, um diesen Wert zu erhalten. Um zur Übersichtsseite Ihrer verwalteten Identität zurückzukehren, suchen Sie in Ressourcen, Dienste und Dokumente suchen nach dem Namen Ihrer verwalteten Identität und wählen Sie ihn aus. Klicken Sie dann auf der Einstellungsseite der verwalteten Identität auf Übersicht in der Randleiste.

Schritt 2: Zuweisen Ihrer verwalteten Identität zu Ihrem Azure Databricks-Konto

In diesem Schritt gewähren Sie Ihrer verwalteten Identität Zugriff auf Ihr Azure Databricks-Konto. Wenn Sie Ihrer verwalteten Identität keinen Zugriff auf Ihr Azure Databricks-Konto gewähren möchten, fahren Sie mit Schritt 3 fort.

1. Klicken Sie in der oberen Leiste Ihres Azure Databricks-Arbeitsbereichs auf Ihren Benutzernamen, und wählen Sie Konto verwalten aus.

   Alternativ können Sie direkt zu Ihrer Azure Databricks-Kontokonsole unter https://accounts.azuredatabricks.net wechseln.

2. Melden Sie sich bei Ihrem Azure Databricks-Konto an, wenn Sie dazu aufgefordert werden.

3. Klicken Sie auf der Randleiste auf Benutzerverwaltung.

4. Klicken Sie auf die Registerkarte Dienstprinzipale.

   Hinweis

   Obwohl diese Registerkarte Dienstprinzipale heißt, funktioniert sie auch mit verwalteten Identitäten. Azure Databricks behandelt verwaltete Identitäten als Dienstprinzipale in Ihrem Azure Databricks-Konto.

5. Klicken Sie auf Dienstprinzipal hinzufügen.

6. Geben Sie für Name einen eindeutigen Namen für diesen Dienstprinzipal ein, den Sie sich leicht merken können.

7. Geben Sie für UUID den Client-ID-Wert für Ihre verwaltete Identität aus Schritt 1 ein.

8. Klicken Sie auf Hinzufügen. Ihre verwaltete Identität wird als Dienstprinzipal in Ihrem Azure Databricks-Konto hinzugefügt.

9. Weisen Sie alle Berechtigungen auf Kontoebene zu, über die der Dienstprinzipal verfügen soll:

   1. Klicken Sie auf der Registerkarte Dienstprinzipale auf den Namen Ihres Dienstprinzipals.
   2. Aktivieren oder deaktivieren Sie auf der Registerkarte Rollen jede Zielrolle, die diesem Dienstprinzipal zugewiesen werden soll.
   3. Gewähren Sie auf der Registerkarte Berechtigungen Zugriff auf alle Azure Databricks-Benutzer, Dienstprinzipale und Kontogruppenrollen, die Sie verwalten und mit diesem Dienstprinzipal verwenden möchten. Weitere Informationen finden Sie unter Verwalten von Rollen für einen Dienstprinzipal.

Schritt 3: Zuweisen Ihrer verwalteten Identität zu Ihrem Azure Databricks-Arbeitsbereich

In diesem Schritt gewähren Sie Ihrer verwalteten Identität Zugriff auf Ihren Azure Databricks-Arbeitsbereich.

Wenn Ihr Arbeitsbereich für den Identitätsverbund aktiviert ist:

1. Klicken Sie in der oberen Leiste Ihres Azure Databricks-Arbeitsbereichs auf Ihren Benutzernamen, und wählen Sie Einstellungen aus.

2. Klicken Sie auf Dienstprinzipale.

   Hinweis

   Obwohl diese Registerkarte Dienstprinzipale heißt, funktioniert sie auch mit verwalteten Identitäten. Azure Databricks behandelt verwaltete Identitäten als Dienstprinzipale in Ihrem Azure Databricks-Konto.

3. Klicken Sie auf Dienstprinzipal hinzufügen.

4. Wählen Sie Ihren Dienstprinzipal aus Schritt 2 aus, und klicken Sie auf Hinzufügen. Ihr Dienstprinzipal wird Dienstprinzipal in Ihrem Azure Databricks-Arbeitsbereich hinzugefügt.

5. Weisen Sie alle Berechtigungen auf Arbeitsbereichsebene zu, über die der Dienstprinzipal verfügen soll:

   1. Klicken Sie auf der Registerkarte Dienstprinzipale auf den Namen Ihres Dienstprinzipals.
   2. Auf der Registerkarte Konfigurationen können Sie jeden Zielstatus oder jede Berechtigung, die dieser Dienstprinzipal haben soll, aktivieren oder deaktivieren, um sie zu gewähren oder zu entziehen.
   3. Gewähren Sie auf der Registerkarte Berechtigungen Zugriff auf alle Azure Databricks-Benutzer, Dienstprinzipale und Kontogruppenrollen, die Sie verwalten und mit diesem Dienstprinzipal verwenden möchten. Weitere Informationen finden Sie unter Verwalten von Rollen für einen Dienstprinzipal.

Fahren Sie mit Schritt 4 fort.

Wenn Ihr Arbeitsbereich für den Identitätsverbund aktiviert ist:

1. Klicken Sie in der oberen Leiste Ihres Azure Databricks-Arbeitsbereichs auf Ihren Benutzernamen, und wählen Sie Einstellungen aus.

2. Klicken Sie auf Dienstprinzipale.

   Hinweis

   Obwohl diese Registerkarte Dienstprinzipale heißt, funktioniert sie auch mit verwalteten Identitäten. Azure Databricks behandelt verwaltete Identitäten als Dienstprinzipale in Ihrem Azure Databricks-Arbeitsbereich.

3. Klicken Sie auf Dienstprinzipal hinzufügen.

4. Wählen Sie in der Liste Dienstprinzipaldie Option Neuen Dienstprinzipal hinzufügen aus.

5. Geben Sie für ApplicationId die Client-ID für Ihre verwaltete Identität aus Schritt 1 ein.

6. Geben Sie einen Anzeigenamen ein, den Sie sich leicht merken können, und klicken Sie auf Hinzufügen. Ihre verwaltete Identität wird als Dienstprinzipal in Ihrem Azure Databricks-Arbeitsbereich hinzugefügt.

7. Weisen Sie alle Berechtigungen auf Arbeitsbereichsebene zu, über die der Dienstprinzipal verfügen soll:

   1. Klicken Sie auf der Registerkarte Dienstprinzipale auf den Namen Ihres Dienstprinzipals.
   2. Auf der Registerkarte Konfigurationen können Sie jeden Zielstatus oder jede Berechtigung, die dieser Dienstprinzipal haben soll, aktivieren oder deaktivieren, um sie zu gewähren oder zu entziehen.
   3. Gewähren Sie auf der Registerkarte Berechtigungen Zugriff auf alle Azure Databricks-Benutzer, Dienstprinzipale und Kontogruppenrollen, die Sie verwalten und mit diesem Dienstprinzipal verwenden möchten. Weitere Informationen finden Sie unter Verwalten von Rollen für einen Dienstprinzipal.

Schritt 4: Abrufen der Azure-Ressourcen-ID für Ihren Azure Databricks-Arbeitsbereich

In diesem Schritt erhalten Sie die Ressourcen-ID, die Azure Ihrem Azure Databricks-Arbeitsbereich zuweist. Sie benötigen diese Azure-Ressourcen-ID später, um die Authentifizierung mit von Azure verwalteten Identitäten bei der Ermittlung der spezifischen Azure-Ressource zu unterstützen, die Azure Ihrem Azure Databricks-Arbeitsbereich zuordnet.

1. Klicken Sie in der oberen Leiste Ihres Azure Databricks-Arbeitsbereichs auf Ihren Benutzernamen, und wählen Sie Azure-Portal aus.

2. Klicken Sie im Seitenbereich im Abschnitt Einstellungen auf Eigenschaften.

3. Kopieren Sie im Abschnitt Essentials den Wert ID, da Sie ihn später in Schritt 8 benötigen. Es sollte ungefähr wie folgt aussehen:

   /subscriptions/<subscription-id>/resourceGroups/<resource-group-id>/providers/Microsoft.Databricks/workspaces/<workspace-id>
   

Schritt 5: Erstellen einer Azure-VM und Anmelden

In diesem Schritt erstellen Sie einen virtuellen Azure-Computer (Azure-VM) und melden sich an. Azure-VMs gehören zu den Ressourcentypen, die verwaltete Identitäten unterstützen. Siehe auch Schnellstart: Erstellen eines virtuellen Linux-Computers im Azure-Portal.

Diese Azure-VM dient nur Demonstrationszwecken. Diese Azure-VM verwendet Einstellungen, die nicht unbedingt für Ihre laufenden Nutzungsanforderungen optimiert sind. Nachdem Sie mit dieser Azure-VM experimentiert haben, sollten Sie sie löschen, wie weiter unten in Schritt 11 gezeigt.

1. Suchen Sie im Azure-Portal, bei dem Sie sich in Schritt 1 angemeldet haben, in Ressourcen, Dienste und Dokumente suchen nach dem Azure-Dienst namens Virtuelle Computer und wählen Sie ihn aus.

2. Klicken Sie auf + > Virtuellen Azure Computer erstellen.

3. Wählen Sie auf der Registerkarte Grundlagen für Ressourcengruppe eine vorhandene Ressourcengruppe aus, der diese Azure-VM hinzugefügt werden soll, oder klicken Sie auf Neu erstellen, um eine neue Ressourcengruppe zu erstellen, der diese Azure-VM hinzugefügt werden soll. Weitere Informationen zu Ressourcengruppen finden Sie unter Verwalten von Azure-Ressourcengruppen über das Azure-Portal.

4. Geben Sie für Name der virtuellen Maschine einen eindeutigen Namen für diese Azure-VM ein, den Sie sich leicht merken können.

5. Wählen Sie für Region die entsprechende Region aus, der diese Azure-VM hinzugefügt werden soll. Weitere Informationen zu Azure-Regionen finden Sie unter Auswählen der passenden Azure-Region.

6. Wählen Sie für Image die Option Ubuntu Server 22.04 LTS – x64 Gen2 aus.

7. Wählen Sie unter Authentifizierungstyp die Option Öffentlicher SSH-Schlüssel.

8. Geben Sie für Username (Benutzername) azureuser ein.

9. Für Öffentliche SSH-Schlüsselquelle belassen Sie die Voreinstellung Neues Schlüsselpaar generieren.

10. Geben Sie für Schlüsselpaarname myKey ein.

11. Wählen Sie für Öffentliche Eingangsports die Option Ausgewählte Ports zulassen aus.

12. Wählen Sie unter Eingangsports auswählen die Option HTTP (80) und SSH (22) aus.

13. Übernehmen Sie die übrigen Standardeinstellungen.

14. Klicken Sie auf der Registerkarte Überprüfen + erstellen auf Erstellen.

15. Klicken Sie auf Privaten Schlüssel herunterladen und Ressource erstellen. Ihre Schlüsseldatei wird als myKey.pem auf Ihren lokalen Entwicklungscomputer heruntergeladen. Notieren Sie sich, wo diese myKey.pem-Datei heruntergeladen wird, da Sie sie benötigen, um sich später in diesem Schritt bei der Azure-VM anzumelden.

    Wenn Sie Ihre Schlüsseldatei verlieren, können Sie später zur Einstellungsseite Ihrer Azure-VM zurückkehren, um eine Ersatzschlüsseldatei zu erhalten. Um zur Einstellungsseite Ihrer Azure-VM zurückzukehren, suchen Sie in Ressourcen, Dienste und Dokumente suchen nach Ihrer Azure-VM und wählen Sie den Namen Ihrer Azure-VM aus. Gehen Sie wie folgt vor, um eine Ersatzschlüsseldatei von der Einstellungsseite Ihrer Azure-VM abzurufen:

    1. Klicken Sie im Abschnitt Hilfe im Seitenbereich auf Kennwort zurücksetzen.
    2. Wählen Sie Öffentlichen SSH-Schlüssel hinzufügen aus.
    3. Geben Sie für Schlüsselpaarname einen eindeutigen Namen ein.
    4. Klicken Sie auf Aktualisieren.
    5. Klicken Sie auf Herunterladen und erstellen. Ihre Schlüsseldatei wird mit einer .pem-Erweiterung heruntergeladen. Notieren Sie sich, wo diese .pem-Datei heruntergeladen wird, da Sie sie benötigen, um sich später in diesem Schritt bei der Azure-VM anzumelden.

16. Klicken Sie nach dem Erstellen der Azure-VM auf Zu Ressource wechseln.

17. Kopieren Sie den Wert des Felds Öffentliche IP-Adresse, da Sie ihn benötigen, um sich später in diesem Schritt bei der Azure-VM anzumelden.

    Wenn Sie vergessen, diesen Wert zu kopieren, können Sie später zur Übersichtsseite ihrer Azure-VM zurückkehren, um diesen Wert zu erhalten. Um zur Übersichtsseite Ihrer Azure-VM zurückzukehren, suchen Sie in Ressourcen, Dienste und Dokumente suchen nach Ihrer Azure-VM und wählen Sie den Namen Ihrer Azure-VM aus. Klicken Sie dann auf der Einstellungsseite der Azure-VM auf Übersicht in der Randleiste, und suchen Sie nach dem Feld Öffentliche IP-Adresse.

18. Wenn Ihr lokaler Entwicklungscomputer Linux, macOS oder WSL unter Windows ausführt, überprüfen Sie, ob Sie schreibgeschützten Zugriff auf den privaten Schlüssel haben, den Sie gerade heruntergeladen haben. Führen Sie dazu den folgenden Befehl über das Terminal oder die Eingabeaufforderung des lokalen Entwicklungscomputers aus. Ersetzen Sie in diesem Befehl folgende Werte:

    • Ersetzen Sie </path/to> durch den Pfad zu Ihrer heruntergeladenen .pem-Datei.
    • Ersetzen Sie myKey.pem durch den Dateinamen Ihrer heruntergeladenen .pem-Datei.

    chmod 400 </path/to>/myKey.pem
    

19. Melden Sie sich bei der Azure-VM an. Führen Sie dazu den folgenden Befehl über das Terminal oder die Eingabeaufforderung des lokalen Entwicklungscomputers aus. Ersetzen Sie in diesem Befehl folgende Werte:

    • Ersetzen Sie </path/to> durch den Pfad zu Ihrer heruntergeladenen .pem-Datei.
    • Ersetzen Sie myKey.pem durch den Dateinamen Ihrer heruntergeladenen .pem-Datei.
    • Ersetzen Sie <public-ip-address> durch den Wert des Felds Öffentliche IP-Adresse, den Sie weiter oben in diesem Schritt kopiert haben.

    ssh -i </path/to>/myKey.pem azureuser@<public-ip-address>
    

    Beispiel:

    ssh -i ./myKey.pem azureuser@192.0.2.0
    

20. Wenn Sie noch nie eine Verbindung mit dieser Azure-VM hergestellt haben, werden Sie aufgefordert, den Fingerabdruck des Hosts zu überprüfen. Befolgen Sie dafür die Anweisungen auf dem Bildschirm. Databricks empfiehlt, den Fingerabdruck des Hosts immer zu überprüfen.

21. Das Terminal oder die Eingabeaufforderung wechselt zu azureuser@<your-azure-vm-name>:~$.

22. Um die Azure-VM jederzeit zu beenden, führen Sie den Befehl logout oder exit aus. Das Terminal oder die Eingabeaufforderung ändert sich dann wieder in den normalen Zustand.

Schritt 6: Zuweisen Ihrer verwalteten Identität zu Ihrer Azure-VM

In diesem Schritt ordnen Sie Ihre verwaltete Identität Ihrer Azure-VM zu. Auf diese Weise kann Azure die verwaltete Identität bei Bedarf für die Authentifizierung verwenden, während die Azure-VM ausgeführt wird. Siehe auch Zuweisen einer vom Benutzer zugewiesenen verwalteten Identität zu einem vorhandenen virtuellen Computer.

1. Klicken Sie im Azure-Portal, bei dem Sie sich in Schritt 1 angemeldet haben, auf der Einstellungsseite der Azure-VM im Abschnitt Einstellungen im Seitenbereich auf Identität.

   Um zur Übersichtsseite Ihrer Azure-VM zurückzukehren, wenn Sie sie zuvor geschlossen haben, suchen Sie in Ressourcen, Dienste und Dokumente suchen nach Ihrer Azure-VM und wählen Sie den Namen Ihrer Azure-VM aus.

2. Klicken Sie auf der Registerkarte Benutzerseitig zugewiesen auf + Hinzufügen.

3. Wählen Sie die benutzerseitig zugewiesene verwaltete Identität aus, die Sie in Schritt 1 erstellt haben, und klicken Sie auf Hinzufügen.

Schritt 7: Installieren der Databricks CLI auf Ihrer Azure-VM

In diesem Schritt installieren Sie die Databricks CLI, sodass Sie sie verwenden können, um Befehle auszuführen, die Ihre Azure Databricks-Konten und -Arbeitsbereiche automatisieren.

1. Wenn das Terminal oder die Eingabeaufforderung weiterhin geöffnet und aus Schritt 5 an Ihrer Azure-VM angemeldet ist, installieren Sie die Databricks CLI, indem Sie die folgenden beiden Befehle ausführen:

   sudo apt install unzip
   curl -fsSL https://raw.githubusercontent.com/databricks/setup-cli/main/install.sh | sudo sh
   

2. Vergewissern Sie sich, dass die Databricks CLI installiert ist, indem Sie den folgenden Befehl ausführen, der die aktuelle Version der installierten Databricks CLI angibt:

   databricks -v
   

Schritt 8: Konfigurieren der Databricks CLI für Authentifizierung mit von Azure verwalteten Identitäten

In diesem Schritt richten Sie die Databricks CLI ein, um die Authentifizierung mit von Azure verwalteten Identitäten für Azure Databricks mit ihren Einstellungen für verwaltete Identitäten zu verwenden. Dazu erstellen Sie eine Datei mit einem Standarddateinamen an einem Standardspeicherort, an dem die Databricks CLI erwartet, dass die benötigten Authentifizierungseinstellungen gefunden werden.

1. Wenn das Terminal oder die Eingabeaufforderung weiterhin geöffnet und von Schritt 5 an Ihrer Azure-VM angemeldet ist, verwenden Sie den vi Text-Editor, um eine Datei namens .databrickscfg zum Bearbeiten im Heimverzeichnis des angemeldeten Benutzers zu erstellen und zu öffnen, indem Sie den folgenden Befehl ausführen:

   vi ~/.databrickscfg
   

2. Beginnen Sie mit der Bearbeitung der .databrickscfg-Datei, indem Sie die Editor-Tastenkombination Esc gefolgt von i drücken. Die Eingabeaufforderung verschwindet, der vi-Editor wird gestartet, und das Wort -- INSERT -- wird unten im Editor angezeigt, um anzugeben, dass sich die .databrickscfg-Datei im Bearbeitungsmodus befindet.

3. Geben Sie folgende Inhalte ein. Ersetzen Sie in diesem Inhalt folgende Werte:

   • Ersetzen Sie <account-console-url> durch die URL Ihrer Azure Databricks Kontokonsole, z. B. https://accounts.azuredatabricks.net.
   • Ersetzen Sie <account-id> durch Ihr Azure Databricks-Konto-ID. Siehe Auffinden Ihrer Konto-ID.
   • Ersetzen Sie <azure-managed-identity-application-id> durch den Client-ID-Wert für Ihre verwaltete Identität aus Schritt 1.
   • Ersetzen Sie <workspace-url> durch Ihre arbeitsbereichsspezifische URL, z. B. https://adb-1234567890123456.7.azuredatabricks.net.
   • Ersetzen Sie <azure-workspace-resource-id> durch die Azure-Ressourcen-ID aus Schritt 4.
   • Sie können die vorgeschlagenen Konfigurationsprofilnamen AZURE_MI_ACCOUNT und AZURE_MI_WORKSPACE bei Bedarf durch unterschiedliche Konfigurationsprofilnamen ersetzen. Diese spezifischen Namen sind nicht erforderlich.

   Wenn Sie keine Vorgänge auf Kontoebene ausführen möchten, können Sie den Abschnitt [AZURE_MI_ACCOUNT] im folgenden Inhalt weglassen.

   [AZURE_MI_ACCOUNT]
   host            = <account-console-url>
   account_id      = <account-id>
   azure_client_id = <azure-managed-identity-application-id>
   azure_use_msi   = true
   
   [AZURE_MI_WORKSPACE]
   host                        = <workspace-url>
   azure_workspace_resource_id = <azure-workspace-resource-id>
   azure_client_id             = <azure-managed-identity-application-id>
   azure_use_msi               = true
   

4. Speichern Sie Ihre Bearbeitungen in der .databrickscfg-Datei, indem Sie die Editor-Tastenkombination Esc drücken, gefolgt von der Eingabe :wq, gefolgt von Enter. Der vi-Editor wird geschlossen, und die Eingabeaufforderung wird wieder angezeigt.

Schritt 9: Ausführen eines Befehls auf Kontoebene

In diesem Schritt verwenden Sie die Databricks CLI, um einen Befehl auszuführen, der das in Schritt 8 konfigurierte Azure Databricks-Konto automatisiert.

Wenn Sie keine Befehle auf Kontoebene ausführen möchten, fahren Sie mit Schritt 10 fort.

Wenn das Terminal oder die Eingabeaufforderung weiterhin geöffnet und aus Schritt 5 an Ihrer Azure-VM angemeldet ist, führen Sie den folgenden Befehl aus, um alle verfügbaren Benutzer in Ihrem Azure Databricks-Konto auflisten zu können. Wenn Sie AZURE_MI_ACCOUNT in Schritt 8 umbenannt haben, müssen Sie es hier ersetzen.

databricks account users list -p AZURE_MI_ACCOUNT

Schritt 10: Ausführen eines Befehls auf Arbeitsbereichsebene

In diesem Schritt verwenden Sie die Databricks CLI, um einen Befehl auszuführen, der das in Schritt 8 konfigurierte Azure Databricks-Arbeitsbereich automatisiert.

Wenn das Terminal oder die Eingabeaufforderung weiterhin geöffnet und aus Schritt 5 an Ihrer Azure-VM angemeldet ist, führen Sie den folgenden Befehl aus, um alle verfügbaren Benutzer in Ihrem Azure Databricks-Arbeitsbereich auflisten zu können. Wenn Sie AZURE_MI_WORKSPACE in Schritt 8 umbenannt haben, müssen Sie es hier ersetzen.

databricks users list -p AZURE_MI_WORKSPACE

Schritt 11: Bereinigen

Dieser Schritt ist optional. Löscht die Azure-VM, um Kosten zu sparen, und löscht die verwaltete Identität, wenn Sie sie nicht mehr verwenden möchten. In diesem Schritt wird auch die gelöschte verwaltete Identität aus Ihrem Azure Databricks-Konto und -Arbeitsbereich vollständig entfernt.

Löschen der Azure-VM

1. Wenn das Terminal oder die Eingabeaufforderung noch geöffnet und aus Schritt 5 an Ihrer Azure-VM angemeldet ist, beenden Sie die Azure-VM, indem Sie den Befehl logout oder exit ausführen. Das Terminal oder die Eingabeaufforderung ändert sich dann wieder in den normalen Zustand.
2. Kehren Sie im Azure-Portal, bei dem Sie sich in Schritt 1 angemeldet haben, zur Übersichtsseite Ihrer Azure-VM zurück, wenn Sie diese zuvor geschlossen haben. Suchen Sie dazu in Ressourcen, Dienste und Dokumente suchen nach Ihrer Azure-VM und wählen Sie den Namen Ihrer Azure-VM aus.
3. Klicken Sie auf der Menüleiste Ihrer Azure-VM-Übersichtsseite auf Löschen.
4. Aktivieren Sie das Kontrollkästchen Ich habe gelesen und verstanden, und klicken Sie auf Löschen.

Löschen der verwalteten Identität aus Ihrem Azure-Abonnement

1. Kehren Sie im Azure-Portal, bei dem Sie sich in Schritt 1 angemeldet haben, zur Übersichtsseite Ihrer verwalteten Identität zurück, wenn Sie diese zuvor geschlossen haben. Suchen Sie dazu in Ressourcen, Dienste und Dokumente suchen nach Ihrer verwalteten Identität und wählen Sie den Namen aus.
2. Klicken Sie auf der Menüleiste der Übersichtsseite Ihrer verwalteten Identität auf Löschen.
3. Aktivieren Sie das Kontrollkästchen Ich habe gelesen und verstanden, und klicken Sie auf Löschen.

Entfernen der verwalteten Identität aus Ihrem Azure Databricks-Konto

1. Klicken Sie in Ihrem Azure Databricks-Konto auf der Randleiste auf Benutzerverwaltung.
2. Klicken Sie auf die Registerkarte Dienstprinzipale.
3. Klicken Sie auf den Namen des Dienstprinzipals, den Sie in Schritt 2 hinzugefügt haben. Wenn der Name des Dienstprinzipals nicht sichtbar ist, verwenden Sie Dienstprinzipale filtern, um ihn zu finden.
4. Klicken Sie auf die Schaltfläche mit den Auslassungspunkten, und klicken Sie dann auf Löschen.
5. Klicken Sie auf Löschen bestätigen.

Entfernen der verwalteten Identität aus Ihrem Azure Databricks-Arbeitsbereich

1. Klicken Sie in der oberen Leiste Ihres Azure Databricks-Arbeitsbereichs auf Ihren Benutzernamen, und wählen Sie Einstellungen aus.
2. Klicken Sie auf die Registerkarte Dienstprinzipale.
3. Klicken Sie auf den Namen des Dienstprinzipals, den Sie in Schritt 3 hinzugefügt haben. Wenn der Name des Dienstprinzipals nicht sichtbar ist, verwenden Sie Dienstprinzipale filtern, um ihn zu finden.
4. Klicken Sie auf Löschen.
5. Klicken Sie im Bestätigungsdialogfeld auf Löschen.