對 Azure Databricks 資源的存取進行驗證
若要使用 Databricks CLI 或 REST API 存取 Azure Databricks 資源,用戶端必須使用具有存取資源所需授權的 Azure Databricks 帳戶進行驗證。 若要安全地執行 Databricks CLI 命令,或呼叫需要帳戶或工作區授權存取權的 Databricks API 要求,您必須根據有效的 Azure Databricks 帳戶認證提供存取令牌。 本文涵蓋驗證選項,以提供這些認證,並授權存取 Azure Databricks 工作區或帳戶。
下表顯示 Azure Databricks 帳戶可用的驗證方法。
Azure Databricks 驗證方法
因為 Azure Databricks 工具和 SDK 可與一或多個支援的 Azure Databricks 驗證方法搭配使用,因此您可以為您的使用案例選取最佳的驗證方法。 如需詳細資訊,請參閱 開發人員工具 中的工具或 SDK 檔。
方法 | 描述 | 使用案例 |
---|---|---|
適用於服務主體的 OAuth (OAuth M2M) | 服務主體的短期 OAuth 權杖。 | 無人參與的驗證案例,例如完全自動化和 CI/CD 工作流程。 |
適用於使用者的 OAuth (OAuth U2M) | 使用者的短期 OAuth 權杖。 | 使用者參與的驗證場景中,當出現提示時,您可以使用網頁瀏覽器即時與 Azure Databricks 進行驗證。 |
個人存取權杖 (PAT) | 使用者或服務主體的短期或長期權杖。 | 目標工具不支援 OAuth 的案例。 |
Azure 受控識別驗證 | Azure 受控識別的 Microsoft Entra ID 權杖。 | 只能與支援受控識別的 Azure 資源搭配使用,例如 Azure 虛擬機器。 |
Microsoft Entra ID 服務主體驗證 | Microsoft Entra ID 服務主體的 Microsoft Entra ID 權杖。 | 只能與支援 Microsoft Entra ID 權杖且不支援受控識別的 Azure 資源搭配使用,例如 Azure DevOps。 |
Azure CLI 驗證 | 使用者或 Microsoft Entra ID 服務主體的 Microsoft Entra ID 權杖。 | 用於使用 Azure CLI 對 Azure 資源和 Azure Databricks 的存取進行驗證。 |
Microsoft Entra ID 使用者驗證 | 使用者的 Microsoft Entra ID 權杖。 | 只能與僅支援 Microsoft Entra ID 權杖的 Azure 資源搭配使用。 Databricks 不建議手動為 Azure Databricks 使用者建立 Microsoft Entra ID 權杖。 |
我應該選擇哪一種驗證方法?
您有兩個選項可用來驗證 Databricks CLI 命令或 API 呼叫,以存取 Azure Databricks 資源:
- 使用 Azure Databricks 使用者帳戶 (稱為「使用者對機器」驗證或 U2M)。 只有在您從本機用戶端環境執行 Azure Databricks CLI 命令,或從您擁有的程式碼呼叫 Azure Databricks API 要求時,才能選擇此選項,並獨佔執行。
- 使用 Azure Databricks 服務主體 (稱為「機器對機器」驗證或 M2M)。 如果其他人將執行您的程式碼 (特別是在應用程式的情況下),或如果您要建置將呼叫 Azure Databricks CLI 命令或 API 要求的自動化,請選擇此選項。
- 如果您使用 Azure Databricks,您也可以使用 MS Entra 服務主體來驗證對 Azure Databricks 帳戶或工作區的存取。 不過,Databricks 建議您將 Databricks 服務主體與透過 MS Entra 服務主體驗證提供的 OAuth 驗證搭配使用。 這是因為當 Databricks 的驗證僅搭配使用 OAuth 存取權杖與 Azure Databricks 進行驗證時,可更加強固。
如需有關使用 MS Entra 服務主體存取 Databricks 資源的詳細資料,請參閱 MS Entra 服務主體驗證。
您還必須擁有連結至您將用來呼叫 Databricks API 的帳戶的存取權杖。 此權杖可以是 OAuth 2.0 存取權杖,也可以是個人存取權杖 (PAT)。 不過,Azure Databricks 強烈建議您使用 OAuth 而不是 PAT 進行授權,因為根據預設會自動重新整理 OAuth 權杖,而且不需要直接管理存取權杖,改善安全性,以防止權杖劫持和不必要的存取。 因為 OAuth 會為您建立和管理存取令牌,因此您會提供 OAuth 令牌端點 URL、用戶端識別符,以及您從 Azure Databricks 工作區產生的秘密,而不是自行直接提供令牌字符串。 如果未定期稽核和輪替或撤銷,或未針對您的開發環境安全管理權杖字串和密碼,則 PAT 會暴露長期權杖提供輸出機會的風險。
如何使用 OAuth 向 Azure Databricks 進行驗證?
Azure Databricks 提供 統一用戶端驗證,協助您使用一組您可以設定為特定認證值的默認環境變數來進行驗證。 這可協助您更輕鬆地且安全地工作,因為這些環境變數是將執行 Azure Databricks CLI 命令或呼叫 Azure Databricks API 的環境所特有的。
- 針對使用者帳戶 (使用者對機器) 驗證,只要工具和 SDK 實作其標準,就會透過 Databricks 用戶端統一驗證為您處理 Azure Databricks OAuth。 如果沒有,您可以手動產生 OAuth 程式代碼驗證器和挑戰組,直接在 Azure Databricks CLI 命令和 API 要求中使用。 請參閱 步驟 1:生成一組 OAuth 驗證碼和驗證挑戰碼。
- 針對服務主體(機器對計算機)驗證,Azure Databricks OAuth 會要求呼叫端提供客戶端認證,以及可授權要求的令牌端點 URL。 (如果您使用支援 Databricks 整合用戶端驗證的 Azure Databricks 工具和 SDK,則會為您處理這項作業。認證包含唯一 用戶端識別碼,以及 客戶端密碼。 用戶端是將執行程式碼的 Databricks 服務主體,必須指派至 Databricks 工作區。 將服務主體指派給它將存取的工作區之後,系統會提供用戶端標識碼,以及您將使用特定環境變數設定的客戶端密碼。
這些環境變數包括:
-
DATABRICKS_HOST
:此環境變數會設定為 Azure Databricks 帳戶控制台(http://accounts.cloud.databricks.com
)或 Azure Databricks 工作區 URL 的 URL(https://{workspace-id}.cloud.databricks.com
)。 根據您要在程式碼中執行的作業類型,選擇主機網址類型。 具體而言,如果您使用 Azure Databricks 帳戶層級 CLI 命令或 REST API 要求,請將此變數設定為 Azure Databricks 帳戶 URL。 如果您使用 Azure Databricks 工作區層級 CLI 命令或 REST API 要求,請使用您的 Azure Databricks 工作區網址。 -
DATABRICKS_ACCOUNT_ID
:用於 Azure Databricks 帳戶作業。 這是您的 Azure Databricks 帳戶識別碼。 若要取得,請參閱 找出您的帳戶識別碼。 -
DATABRICKS_CLIENT_ID
:(僅限 M2M OAuth) 建立服務主體時指派的用戶端識別碼。 -
DATABRICKS_CLIENT_SECRET
:(僅限 M2M OAuth) 建立服務主體時產生的用戶端密碼。
您可以直接設定這些設定,或透過在用戶端計算機上使用 Databricks 組態配置檔 (.databrickscfg
)。
若要使用 OAuth 存取權杖,您的 Azure Databricks 工作區或帳戶管理員必須已向您的使用者帳戶或服務主體授與對您程式碼將存取的帳戶和工作區功能的 CAN USE
權限。
如需有關設定用戶端 OAuth 授權以及檢閱雲端提供者特定授權選項的詳細資料,請參閱統一用戶端驗證。
第三方服務和工具的驗證
如果您要撰寫可存取第三方服務、工具或 SDK 的程式碼,您必須使用第三方提供的驗證和授權機制。 不過,如果您必須授與第三方工具、SDK 或服務對 Azure Databricks 帳戶或工作區資源的存取權,Databricks 會提供下列支援:
Databricks Terraform 提供者:此工具可以使用 Azure Databricks 使用者帳戶,代表您從 Terraform 存取 Azure Databricks API。 如需詳細資料,請參閱使用 Terraform 佈建服務主體。
GitHub、GitLab 和 Bitbucket 等 Git 提供者可以使用 Databricks 服務主體來存取 Azure Databricks API。 如需詳細資料,請參閱 CI/CD 的服務主體。
Jenkins 可以使用 Databricks 服務主體來存取 Azure Databricks API。 如需詳細資料,請參閱在 Azure Databricks 上使用 Jenkins 進行 CI/CD。
Azure DevOps 可以使用 MS Entra 服務主體和 ID 來存取 Azure Databricks API。 如需詳細資料,請參閱使用 Databricks 上的 Azure DevOps 進行驗證。
Azure Databricks 組態設定檔
Azure Databricks 組態設定檔包含 Azure Databricks 需要驗證的設定和其他資訊。 Azure Databricks 組態設定檔會儲存在本機用戶端檔案中,以供要使用的工具、SDK、指令和應用程式使用。 標準組態設定檔的檔案命名為 .databrickscfg
。 如需詳細資訊,請參閱 Azure Databricks 組態設定檔。