Поделиться через

Проверка подлинности для пакетов активов Databricks

  • Статья

В этой статье описывается настройка проверки подлинности для пакетов ресурсов Databricks. См. раздел "Что такое пакеты ресурсов Databricks?".

Вы развертываете и запускаете пакеты ресурсов Databricks в контексте двух типов сценариев проверки подлинности: присутствовали и автоматически:

  • Сценарии проверки подлинности с участием участников — это рабочие процессы вручную, например с помощью веб-браузера на локальном компьютере для входа в целевую рабочую область Azure Databricks при появлении запроса интерфейса командной строки Databricks.
  • Сценарии автоматической проверки подлинности автоматизированы и рабочие процессы CI/CD, например при использовании систем CI/CD, таких как GitHub.

В следующих разделах рекомендуется использовать типы и параметры проверки подлинности Azure Databricks для пакетов ресурсов Databricks на основе этих двух типов сценариев проверки подлинности.

Проверка подлинности на основе участников

Для сценариев проверки подлинности с помощью пакетов ресурсов Databricks Databricks рекомендует использовать следующие типы проверки подлинности Azure Databricks в следующем порядке:

  • Проверка подлинности OAuth на компьютере (U2M) для учетной записи пользователя Azure Databricks в целевой рабочей области.
  • Проверка подлинности маркера личного доступа Azure Databricks для маркера, связанного с учетной записью пользователя Azure Databricks для целевой рабочей области.

Дополнительные сведения об этих типах проверки подлинности Azure Databricks см. в разделе "Типы проверки подлинности Azure Databricks".

Для хранения параметров проверки подлинности для сценариев проверки подлинности, в Databricks рекомендуется использовать профили конфигурации Azure Databricks на локальном компьютере разработки. Профили конфигурации позволяют быстро переключаться между различными контекстами проверки подлинности Azure Databricks для быстрой локальной разработки между несколькими рабочими областями Azure Databricks. С помощью профилей можно использовать --profile параметры или -p параметры для указания определенного профиля при выполнении проверки пакета, развертывания, запуска и уничтожения команд с помощью интерфейса командной строки Databricks.

Databricks поддерживает, но не рекомендует использовать profile сопоставление в сопоставлении рабочей области , чтобы указать профиль, используемый для каждой целевой рабочей области в файлах конфигурации пакета. Жестко закодированные сопоставления делают файлы конфигурации пакета менее повторно используемыми в проектах.

Автоматическая проверка подлинности

Для сценариев автоматической проверки подлинности с помощью пакетов ресурсов Databricks Databricks рекомендует использовать следующие типы проверки подлинности Azure Databricks в следующем порядке.

  • Проверка подлинности управляемых удостоверений Azure с помощью управляемого удостоверения Azure, зарегистрированного на виртуальной машине Azure, если эта настройка поддерживается системой CI/CD.
  • Проверка подлинности на компьютере (M2M) OAuth для управляемого субъекта-службы Azure Databricks в целевой рабочей области.
  • Проверка подлинности субъекта-службы Идентификатора Microsoft Entra для управляемого субъекта-службы Microsoft Entra ID в целевой рабочей области.

Дополнительные сведения об этих типах проверки подлинности Azure Databricks см. в разделе "Типы проверки подлинности Azure Databricks".

Для сценариев автоматической проверки подлинности Databricks рекомендует использовать переменные среды для хранения параметров проверки подлинности Azure Databricks в целевой системе CI/CD. Это связано с тем, что системы CI/CD обычно оптимизированы для работы с параметрами проверки подлинности, хранящимися в переменных среды. Эти системы CI/CD часто не работают с другими подходами, такими как профили конфигурации Azure Databricks, или они могут работать с профилями в непредвиденных или небезопасных способах.

Для проектов наборов ресурсов Databricks, используемых в системах CI/CD, предназначенных для работы с несколькими рабочими областями Azure Databricks (например, тремя отдельными, но связанными с разработкой, промежуточной и рабочей областью), Azure Databricks рекомендует использовать субъекты-службы для проверки подлинности и предоставить одному субъекту-службе доступ ко всем участвующим рабочим областям. Это позволяет использовать одни и те же переменные среды во всех рабочих областях проекта без частого изменения исходных параметров этих переменных.

Databricks поддерживает, но не рекомендует использовать жесткие параметры, связанные с проверкой подлинности, в сопоставлении рабочих областей для целевых рабочих областей в файлах конфигурации пакета. Жестко закодированные параметры делают конфигурацию пакетов менее повторно используемыми в проектах и рискуют ненужным предоставлением конфиденциальных сведений, таких как идентификаторы субъектов-служб.

Для сценариев автоматической проверки подлинности необходимо также установить интерфейс командной строки Databricks на связанные вычислительные ресурсы следующим образом:

Проверка подлинности управляемых удостоверений Azure

Сведения о настройке проверки подлинности управляемых удостоверений Azure см. в разделе проверки подлинности управляемых удостоверений Azure.

Список переменных среды, заданных для автоматической проверки подлинности, находится в охвате операций на уровне рабочей области в разделе "Среда" проверки подлинности управляемых удостоверений Azure. Сведения о настройке переменных среды см. в документации по поставщику операционной системы или CI/CD.

Проверка подлинности на компьютере (M2M) OAuth

Сведения о настройке проверки подлинности OAuth M2M см. в статье "Использование субъекта-службы для проверки подлинности с помощью Azure Databricks(OAuth M2M)".

Список переменных среды, заданных для автоматической проверки подлинности, находится в области операций на уровне рабочей области раздела "Среда" раздела "Использование субъекта-службы для проверки подлинности с помощью Azure Databricks (OAuth M2M)". Сведения о настройке переменных среды см. в документации по поставщику операционной системы или CI/CD.

Проверка подлинности субъекта-службы идентификатора Microsoft Entra

Сведения о настройке проверки подлинности субъекта-службы идентификатора Microsoft Entra см. в разделе "Проверка подлинности субъекта-службы MS Entra".

Список переменных среды, заданных для автоматической проверки подлинности, находится в области операций на уровне рабочей области в разделе "Среда" проверки подлинности субъекта-службы MS Entra. Сведения о настройке переменных среды см. в документации по поставщику операционной системы или CI/CD.

Проверка подлинности Azure CLI

Чтобы настроить проверку подлинности Azure CLI, ознакомьтесь с проверкой подлинности Azure CLI.

Сведения о сценариях проверки подлинности, посвященных созданию профиля конфигурации Azure Databricks, см. в разделе "Профиль" проверки подлинности Azure CLI.

Проверка подлинности пользователей и компьютеров OAuth (U2M)

Сведения о настройке проверки подлинности OAuth U2M см. в разделе "CLI" проверки подлинности OAuth "пользователь — компьютер" (U2M).

Для сценариев проверки подлинности, описанных в разделе "CLI" проверки подлинности OAuth пользователя на компьютере (U2M), автоматически создает профиль конфигурации Azure Databricks.

Проверка подлинности маркера личного доступа Azure Databricks

Чтобы создать личный маркер доступа Azure Databricks, ознакомьтесь с проверкой подлинности личного маркера доступа Azure Databricks.

Сведения о сценариях проверки подлинности, посвященных созданию профиля конфигурации Azure Databricks, см. в разделе "CLI" проверки подлинности личного маркера доступа Azure Databricks.

Список переменных среды, заданных для автоматической проверки подлинности, находится в охвате операций на уровне рабочей области в разделе "Среда" проверки подлинности личного маркера доступа Azure Databricks. Сведения о настройке переменных среды см. в документации по поставщику операционной системы или CI/CD.