Поделиться через

Проверка подлинности с помощью токенов личного доступа Azure Databricks

Токены личного доступа Azure Databricks используются для аутентификации доступа к ресурсам и API на уровне рабочей области Azure Databricks. Многие механизмы хранения учетных данных и связанных сведений, такие как переменные среды и профили конфигурации Azure Databricks , обеспечивают поддержку персональных маркеров доступа Azure Databricks. Хотя у пользователей может быть несколько личных маркеров доступа в рабочей области Azure Databricks, каждый личный маркер доступа работает только для одной рабочей области Azure Databricks. Число личных маркеров доступа на пользователя ограничено значением 600 для рабочей области.

Databricks автоматически отменяет личные маркеры доступа, которые не использовались в течение 90 или более дней.

Внимание

Databricks настоятельно рекомендует использовать OAuth вместо PATs для проверки подлинности и авторизации клиента учетной записи пользователя из-за улучшенной безопасности OAuth. Сведения об использовании OAuth для проверки подлинности клиента с учетной записью пользователя Databricks см. в статье "Авторизация интерактивного доступа к ресурсам Azure Databricks с помощью учетной записи пользователя с помощью OAuth".

Обычная проверка подлинности (не на основе токенов) с использованием имени пользователя и пароля Azure Databricks, закончилась 10 июля 2024 г.

Чтобы автоматизировать функциональные возможности уровня учетной записи Azure Databricks, нельзя использовать личные маркеры доступа Azure Databricks. Вместо этого необходимо использовать токены Microsoft Entra ID администраторов аккаунтов Azure Databricks. Администраторы учетной записи Azure Databricks могут быть пользователями или сервисными принципалами. Дополнительные сведения см. в разделе:

Токены личного доступа Azure Databricks для пользователей рабочего пространства

Чтобы создать личный маркер доступа Azure Databricks для пользователя рабочей области Azure Databricks, сделайте следующее:

  1. В рабочей области Azure Databricks щелкните имя пользователя Azure Databricks в верхней строке и выберите "Параметры " в раскрывающемся списке.

  2. Щелкните "Разработчик".

  3. Рядом с маркерами доступа нажмите кнопку "Управление".

  4. Нажмите кнопку "Создать новый маркер".

  5. Введите комментарий, который поможет определить этот токен в будущем.

  6. Задайте время существования маркера в днях.

    Если оставить поле Срок действия (дней) пустым, срок действия маркера устанавливается в максимальный срок действия для вашей рабочей области. По умолчанию максимальное время существования маркера для рабочей области составляет 730 дней. См. статью "Задать максимальное время существования новых личных токенов доступа".

  7. Нажмите кнопку "Создать".

  8. Скопируйте отображаемый маркер в безопасное расположение и нажмите кнопку "Готово".

Примечание.

Не забудьте сохранить скопированный маркер в безопасном расположении. Не делитесь скопированным маркером с другими пользователями. Если вы потеряете скопированный маркер, вы не сможете повторно создать тот же маркер. Вместо этого необходимо повторить эту процедуру, чтобы создать новый маркер. Если вы потеряете скопированный маркер или считаете, что маркер скомпрометирован, Databricks настоятельно рекомендует немедленно удалить этот маркер из рабочей области, щелкнув значок корзины (отозвать) рядом с маркером на странице маркеров доступа .

Если вы не можете создавать или использовать маркеры в рабочей области, это может быть связано с тем, что администратор рабочей области отключил маркеры или не предоставил вам разрешение на создание или использование маркеров. Обратитесь к администратору вашей рабочей области или ознакомьтесь со следующими разделами.

Токены личного доступа Azure Databricks для сервисных принципалов

Служебный принципал может создавать для себя личные токены доступа Databricks следующим образом:

В этой процедуре предполагается, что вы используете межмашинную проверку подлинности OAuth (M2M) или проверку подлинности учетной записи службы Microsoft Entra ID для настройки интерфейса командной строки Databricks с целью проверки подлинности учетной записи службы и генерации собственных персональных токенов доступа Azure Databricks. См. аутентификацию OAuth для связи "машина-машина" (M2M) или аутентификацию основной службы Microsoft Entra ID.

  1. Используйте интерфейс командной строки Databricks для выполнения следующей команды, которая генерирует другой маркер доступа для сервисного объекта.

    Выполните следующую команду:

    databricks tokens create --comment <comment> --lifetime-seconds <lifetime-seconds> -p <profile-name>
    • --comment: замените <comment> значимым комментарием о назначении маркера доступа. --comment Если параметр не указан, то никаких комментариев не создается.
    • --lifetime-seconds: замените <lifetime-seconds> число секунд, в течение которых маркер доступа действителен. Например, 1 день составляет 86400 секунд. Если параметр --lifetime-seconds не указан, маркер доступа устанавливается на максимальное время существования вашего рабочего пространства. По умолчанию максимальное время существования маркера для рабочей области составляет 730 дней.
    • --profile-name: замените <profile-name> на имя профиля конфигурации Azure Databricks, содержащего информацию об аутентификации для основного компонента службы и целевой рабочей области. -p Если параметр не указан, интерфейс командной строки Databricks попытается найти и использовать профиль конфигурации с именемDEFAULT.

  2. В ответе скопируйте значение token_value, которое является маркером доступа для служебного принципала.

    Не забудьте сохранить скопированный маркер в безопасном расположении. Не делитесь скопированным маркером с другими пользователями. Если вы потеряете скопированный маркер, вы не сможете повторно создать тот же маркер. Вместо этого необходимо повторить эту процедуру, чтобы создать новый маркер.

    Если вы не можете создавать или использовать маркеры в рабочей области, это может быть связано с тем, что администратор рабочей области отключил маркеры или не предоставил вам разрешение на создание или использование маркеров. Обратитесь к администратору рабочей области или следующему:

Аутентификация с использованием персонального токена доступа Azure Databricks

Чтобы настроить аутентификацию с помощью токена личного доступа в Azure Databricks, необходимо задать следующие связанные переменные среды, .databrickscfg поля, поля Terraform или поля Config:

  • Узел Azure Databricks, указанный в качестве целевого URL-адреса Azure Databricks для каждой рабочей области, например https://adb-1234567890123456.7.azuredatabricks.net.
  • Токен личного доступа для учетной записи пользователя в Azure Databricks.

Чтобы выполнить аутентификацию с помощью маркера личного доступа Azure Databricks, включите следующее в ваш код в зависимости от используемого инструмента или пакета SDK.

Окружающая среда

Сведения об использовании переменных среды для определенного типа проверки подлинности Azure Databricks с помощью средства или пакета SDK см. в статье "Авторизация доступа к ресурсам Azure Databricks " или документации по средству или пакету SDK. Смотрите также переменные среды и поля для единой аутентификации клиента и методы по умолчанию для единой аутентификации клиента.

Задайте следующие переменные среды:

Профиль

В вашем файле создайте или определите .databrickscfg Azure Databricks со следующими полями. При создании профиля замените заполнители соответствующими значениями. Сведения об использовании профиля с инструментом или пакетом SDK см. в статье "Авторизация доступа к ресурсам Azure Databricks " или документации по средству или пакету SDK. Смотрите также переменные среды и поля для единой аутентификации клиента и методы по умолчанию для единой аутентификации клиента.

Задайте следующие значения в файле .databrickscfg. В этом случае хостом является URL-адрес рабочего пространства Azure Databricks , например .

[<some-unique-configuration-profile-name>]
host  = <workspace-url>
token = <token>

Вместо того чтобы вручную задать предыдущие значения в файле .databrickscfg, можно использовать cli Databricks, чтобы задать эти значения, как показано ниже.

Примечание.

Следующая процедура использует интерфейс командной строки Databricks для создания профиля конфигурации Azure Databricks с именем DEFAULT. Если у вас уже есть DEFAULT профиль конфигурации, эта процедура перезапишет ваш существующий DEFAULT профиль конфигурации.

Чтобы убедиться в наличии профиля конфигурации и просмотреть его параметры, если он существует, используйте Databricks CLI для выполнения команды DEFAULT.

Чтобы создать профиль конфигурации с именем, отличным от DEFAULT, замените часть DEFAULT в --profile DEFAULT следующей команды databricks configure другим именем для профиля конфигурации.

  1. Используйте интерфейс командной строки Databricks для создания профиля конфигурации Azure Databricks с именем DEFAULT , использующего проверку подлинности маркера личного доступа Azure Databricks. Для этого выполните следующую команду:

    databricks configure --profile DEFAULT

  2. В поле запроса Databricks Host введите URL-адрес Azure Databricks для каждой рабочей области, например https://adb-1234567890123456.7.azuredatabricks.net.

  3. В поле Personal Access Token введите личный токен доступа Azure Databricks для рабочей области.

Интерфейс командной строки (CLI)

Выполните команду databricks configure для CLI Databricks. В подсказках введите следующие настройки:

  • Узел Azure Databricks, указанный в качестве целевого URL-адреса Azure Databricks для каждой рабочей области, например https://adb-1234567890123456.7.azuredatabricks.net.
  • Токен личного доступа для учетной записи пользователя в Azure Databricks.

Дополнительные сведения см. в статье Azure Databricks аутентификации через личный токен доступа.

Подключить

Примечание.

Аутентификация токена личного доступа Azure Databricks поддерживается в следующих версиях Databricks Connect:

  • Для Python, Databricks Connect для Databricks Runtime 13.3 LTS и выше.
  • Для Scala, используйте Databricks Connect с Databricks Runtime версии 13.3 LTS и выше.

Для Databricks Connect можно использовать интерфейс командной строки Databricks для задания значений в .databrickscfg файле для операций на уровне рабочей области Azure Databricks, как указано в разделе "Профиль" этой статьи, как показано ниже.

Примечание.

Следующая процедура использует интерфейс командной строки Databricks для создания профиля конфигурации Azure Databricks с именем DEFAULT. Если у вас уже есть DEFAULT профиль конфигурации, эта процедура перезапишет ваш существующий DEFAULT профиль конфигурации.

Чтобы убедиться в наличии профиля конфигурации и просмотреть его параметры, если он существует, используйте Databricks CLI для выполнения команды DEFAULT.

Чтобы создать профиль конфигурации с именем, отличным от DEFAULT, замените часть DEFAULT--profile DEFAULT команды databricks configure, как показано на следующем шаге, на другое имя для профиля конфигурации.

  1. Используйте интерфейс командной строки Databricks для создания профиля конфигурации Azure Databricks с именем DEFAULT , использующего проверку подлинности маркера личного доступа Azure Databricks. Для этого выполните следующую команду:

    databricks configure --configure-cluster --profile DEFAULT

  2. В поле запроса Databricks Host введите URL-адрес Azure Databricks для каждой рабочей области, например https://adb-1234567890123456.7.azuredatabricks.net.

  3. В поле Personal Access Token введите личный токен доступа Azure Databricks для рабочей области.

  4. В появившемся списке доступных кластеров используйте клавиши со стрелками вверх и вниз, чтобы выбрать целевой кластер Azure Databricks в рабочей области, а затем нажмите клавишу Enter. Вы также можете ввести любую часть отображаемого имени кластера, чтобы отфильтровать список доступных кластеров.

Использование REST API Azure Databricks для выдачи личных маркеров доступа

Azure Databricks предоставляет REST-эндпоинт /api/2.0/token/create для выдачи PAT. Дополнительные сведения об API см. в разделе "Создание маркера пользователя".

Необходимо указать определенные значения REST API. В следующем примере задайте следующие значения:

  • Замените <databricks-instance> на URL-адрес вашей рабочей области Databricks. Например, dbc-abcd1234-5678.cloud.databricks.com.
  • Замените <your-existing-access-token> на существующий допустимый PAT (строка), который имеет разрешения на создание новых маркеров.

Укажите значения для этих параметров:

  • comment: описание нового маркера.
  • lifetime_seconds: время существования токена в секундах.
curl -X POST https://<databricks-instance>/api/2.0/token/create \
-H "Authorization: Bearer <your-existing-access-token>" \
-H "Content-Type: application/json" \
-d '{
  "comment": "New PAT using DB API",
  "lifetime_seconds": <lifetime-of-pat-in-seconds>
}'

Флаг -d предоставляет JSON-полезную нагрузку для запроса.

При успешном выполнении это приведёт к полезной нагрузке ответа, похожей на следующую:

{
  "access_token": "<your-newly-issued-pat>",
  "token_type": "Bearer",
  "expires_in": <the-duration-of-the-new-pat>
}

Укажите новый токен, полученный из ответа, в заголовке Authorization при последующих вызовах REST API Databricks. Например:

# This example uses a simple GET. For POST or other REST verbs, you may need to provide additional parameters.
curl -X GET "https://<databricks-instance>/api/2.0/<path-to-endpoint>" \
     -H "Authorization: Bearer <your-new-pat>"

import requests

headers = {
    'Authorization': 'Bearer <your-new-pat>'
}
# This example is for an HTTP GET operation.
response = requests.get('https://<databricks-instance>/api/2.0/<path-to-endpoint>', headers=headers)