Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Na tej stronie przedstawiono sposób konfigurowania i używania uwierzytelniania tożsamości zarządzanych platformy Azure w celu zautomatyzowania kont i obszarów roboczych usługi Azure Databricks.
Platforma Azure automatycznie zarządza tożsamościami w usłudze Microsoft Entra ID w celu uwierzytelniania aplikacji przy użyciu zasobów obsługujących uwierzytelnianie identyfikatora Entra firmy Microsoft, w tym kont i obszarów roboczych usługi Azure Databricks. Ta metoda uwierzytelniania uzyskuje tokeny identyfikatora Entra firmy Microsoft bez konieczności zarządzania poświadczeniami.
Ta strona przeprowadzi Cię przez proces tworzenia tożsamości zarządzanej przypisanej przez użytkownika i przypisywania jej do konta usługi Azure Databricks, obszaru roboczego i maszyny wirtualnej platformy Azure. Następnie zainstalujesz i skonfigurujesz interfejs wiersza polecenia usługi Databricks na maszynie wirtualnej platformy Azure, aby używać uwierzytelniania tożsamości zarządzanych platformy Azure i uruchamiać polecenia w celu zautomatyzowania konta i obszaru roboczego usługi Azure Databricks.
- Aby uzyskać więcej informacji na temat tożsamości zarządzanych, zobacz Co to są tożsamości zarządzane dla zasobów platformy Azure?.
- Aby uzyskać więcej informacji na temat uwierzytelniania tożsamości zarządzanych platformy Azure dla usługi Azure Databricks, zobacz Uwierzytelnianie przy użyciu tożsamości zarządzanych platformy Azure.
Uwaga / Notatka
Tożsamości zarządzane dla zasobów platformy Azure różnią się od jednostek usługi zarządzanej Microsoft Entra ID, które usługa Azure Databricks obsługuje również na potrzeby uwierzytelniania. Aby dowiedzieć się, jak używać podmiotów usługi zarządzanej Microsoft Entra ID na potrzeby uwierzytelniania usługi Azure Databricks, zamiast tego zobacz:
Wymagania
- Uprawnienia RBAC platformy Azure do tworzenia i przypisywania tożsamości zarządzanych.
- Rola administratora konta lub obszaru roboczego w celu przypisania tożsamości zarządzanych do usługi Azure Databricks. Zobacz Przypisywanie ról administratora konta do użytkownika i Przypisywanie roli administratora obszaru roboczego do użytkownika.
- Role Kontrybutor maszyny wirtualnej i Operator tożsamości zarządzanej służą do utworzenia maszyny wirtualnej platformy Azure i przypisania do niej tożsamości zarządzanej.
Krok 1. Tworzenie tożsamości zarządzanej przypisanej przez użytkownika
Utwórz tożsamość zarządzaną przypisaną przez użytkownika dla zasobów platformy Azure. Platforma Azure obsługuje tożsamości zarządzane przypisane przez system i przypisane przez użytkownika. Usługa Databricks zaleca używanie tożsamości zarządzanych przypisanych przez użytkownika na potrzeby uwierzytelniania tożsamości zarządzanych platformy Azure za pomocą usługi Azure Databricks.
Aby utworzyć tożsamość zarządzaną przypisaną przez użytkownika, postępuj zgodnie z instrukcjami w temacie Zarządzanie tożsamościami zarządzanymi przypisanymi przez użytkownika przy użyciu witryny Azure Portal.
Po utworzeniu tożsamości zarządzanej skopiuj wartość Identyfikator klienta ze strony przeglądu tożsamości zarządzanej. Ta wartość będzie potrzebna w krokach 2, 3 i 7.
Krok 2. Przypisywanie tożsamości zarządzanej do konta
Przypisz tożsamość zarządzaną do konta usługi Azure Databricks. Usługa Databricks traktuje tożsamości zarządzane jako jednostki usługi. Jeśli nie potrzebujesz dostępu na poziomie konta, przejdź do kroku 3.
Postępuj zgodnie z instrukcjami w Dodaj zasady usługi do swojego konta. Wybierz Zarządzany identyfikator Microsoft Entra i wklej identyfikator klienta z kroku 1 jako identyfikator aplikacji Microsoft Entra.
Krok 3. Przypisywanie tożsamości zarządzanej do obszaru roboczego
Przypisz tożsamość zarządzaną do obszaru roboczego usługi Azure Databricks. Usługa Databricks traktuje tożsamości zarządzane jako jednostki usługi. Postępuj zgodnie z instrukcjami w temacie Przypisywanie jednostki usługi do obszaru roboczego.
Podczas dodawania jednostki usługi:
- Jeśli obszar roboczy jest włączony dla federacji tożsamości: wybierz główną jednostkę usługi utworzoną w kroku 2.
- Jeśli obszar roboczy nie jest skonfigurowany do federacji tożsamości: użyj Identifikatora klienta z kroku 1 jako Identifikatora aplikacji.
Krok 4. Pobieranie identyfikatora zasobu platformy Azure dla obszaru roboczego
Pobierz identyfikator zasobu przypisywany przez platformę Azure do obszaru roboczego usługi Azure Databricks. Ta wartość będzie potrzebna w kroku 7.
W obszarze roboczym usługi Azure Databricks kliknij swoją nazwę użytkownika na górnym pasku i kliknij pozycję Azure Portal.
W okienku bocznym w sekcji Ustawienia kliknij pozycję Właściwości.
W sekcji Podstawy skopiuj wartość Id. Powinien wyglądać podobnie do następującego przykładu:
/subscriptions/<subscription-id>/resourceGroups/<resource-group-id>/providers/Microsoft.Databricks/workspaces/<workspace-id>
Krok 5. Tworzenie maszyny wirtualnej platformy Azure i logowanie się do tej maszyny wirtualnej
Maszyny wirtualne platformy Azure są jednym z typów zasobów, które obsługują tożsamości zarządzane. Użyjesz tej maszyny wirtualnej do uruchomienia interfejsu wiersza polecenia usługi Databricks z uwierzytelnianiem tożsamości zarządzanych.
Uwaga / Notatka
Ta maszyna wirtualna platformy Azure służy tylko do celów demonstracyjnych i używa ustawień, które nie są zoptymalizowane pod kątem użycia w środowisku produkcyjnym.
Aby utworzyć maszynę wirtualną z systemem Ubuntu Server i połączyć się z nią przy użyciu uwierzytelniania SSH, postępuj zgodnie z instrukcjami w przewodniku Szybki start: tworzenie maszyny wirtualnej z systemem Linux w witrynie Azure Portal.
Podczas tworzenia maszyny wirtualnej:
- Użyj Ubuntu Server 22.04 LTS jako obrazu.
- Wybierz klucz publiczny SSH jako typ uwierzytelniania.
- Zanotuj lokalizację pobranego pliku klucza prywatnego (
.pem) i publicznego adresu IP maszyny wirtualnej, ponieważ będą one potrzebne do nawiązania połączenia z maszyną wirtualną.
Krok 6. Przypisywanie tożsamości zarządzanej do maszyny wirtualnej platformy Azure
Skojarz tożsamość zarządzaną z maszyną wirtualną platformy Azure, aby platforma Azure mogła jej używać do uwierzytelniania. Zobacz Przypisywanie tożsamości zarządzanej przypisanej przez użytkownika do istniejącej maszyny wirtualnej.
- W witrynie Azure Portal przejdź do strony ustawień maszyny wirtualnej platformy Azure i kliknij pozycję Tożsamość w sekcji Ustawienia .
- Na karcie Przypisane użytkownikowi kliknij pozycję + Dodaj.
- Wybierz tożsamość zarządzaną utworzoną w kroku 1, a następnie kliknij przycisk Dodaj.
Krok 7. Konfigurowanie uwierzytelniania
Zainstaluj i skonfiguruj Databricks CLI na maszynie wirtualnej Azure, aby używać uwierzytelniania za pomocą tożsamości zarządzanych Azure.
Instalowanie interfejsu wiersza polecenia
Podczas sesji SSH na maszynie wirtualnej platformy Azure zainstaluj CLI usługi Databricks.
sudo apt install unzip
curl -fsSL https://raw.githubusercontent.com/databricks/setup-cli/main/install.sh | sudo sh
Sprawdź instalację:
databricks -v
Dodawanie profilów konfiguracji
Utwórz lub edytuj .databrickscfg plik w katalogu głównym (~/.databrickscfg) przy użyciu następującej zawartości. Zobacz Profile konfiguracji usługi Azure Databricks.
Zastąp następujące wartości:
-
<account-console-url>za pomocą adresu URL konsoli konta Azure Databricks. -
<account-id>przy użyciu identyfikatora konta usługi Azure Databricks. Zobacz Znajdź swój identyfikator konta. -
<azure-managed-identity-application-id>z wartością Client ID dla tożsamości zarządzanej z kroku 1. -
<workspace-url>za pomocą URL przypisanego do obszaru roboczego, na przykładhttps://adb-1234567890123456.7.azuredatabricks.net. -
<azure-workspace-resource-id>z identyfikatorem zasobu platformy Azure z kroku 4. - Opcjonalnie zastąp sugerowane nazwy profilów konfiguracji,
AZURE_MI_ACCOUNTiAZURE_MI_WORKSPACE, różnymi nazwami.
Jeśli nie potrzebujesz operacji na poziomie konta, pomiń sekcję [AZURE_MI_ACCOUNT] .
[AZURE_MI_ACCOUNT]
host = <account-console-url>
account_id = <account-id>
azure_client_id = <azure-managed-identity-application-id>
azure_use_msi = true
[AZURE_MI_WORKSPACE]
host = <workspace-url>
azure_workspace_resource_id = <azure-workspace-resource-id>
azure_client_id = <azure-managed-identity-application-id>
azure_use_msi = true
Krok 8. Testowanie konfiguracji
Przetestuj konfigurację, uruchamiając polecenia interfejsu wiersza poleceń Databricks z sesji SSH na wirtualnej maszynie Azure.
Aby przetestować dostęp na poziomie konta (jeśli skonfigurowano go w kroku 7):
databricks account users list -p AZURE_MI_ACCOUNT
Aby przetestować dostęp na poziomie obszaru roboczego:
databricks users list -p AZURE_MI_WORKSPACE
Jeśli zmieniłeś nazwę profilów konfiguracji w kroku 7, zastąp AZURE_MI_ACCOUNT lub AZURE_MI_WORKSPACE własnymi nazwami.