Compartilhar via

Habilitar a federação de identidade de carga de trabalho para o GitHub Actions

A federação de token OAuth do Databricks, também conhecida como OpenID Connect (OIDC), permite que suas cargas de trabalho automatizadas em execução fora do Databricks acessem com segurança o Databricks sem a necessidade de segredos do Databricks. Consulte Autenticar o acesso ao Azure Databricks usando a federação de token OAuth.

Para habilitar a federação de identidade de carga de trabalho para o GitHub Actions:

  1. Criar uma política de federação
  2. Configurar o arquivo YAML do GitHub Actions

Depois de habilitar a federação de identidade de carga de trabalho, os SDKs do Databricks e a CLI do Databricks buscam automaticamente tokens de identidade de carga de trabalho do GitHub e os trocam por tokens OAuth do Databricks.

Criar uma política de federação

Primeiro, crie uma política de federação de identidade de carga de trabalho. Para obter instruções, consulte Configurar uma política de federação da entidade de serviço. Para o GitHub, defina os seguintes valores para a política:

  • Organização: O nome da sua organização do Github. Por exemplo, se a URL do repositório for https://github.com/databricks-inc/data-platform, a organização será databricks-inc.
  • Repositório: O nome do repositório único a ser permitido, como data-platform.
  • Tipo de entidade: O tipo de entidade do GitHub representada na declaração sub (assunto) do token. O padrão é Branch. O Databricks recomenda o uso do Ambiente, que você pode habilitar definindo o environment atributo no arquivo YAML do GitHub Actions. Consulte a implantação em um ambiente específico.
  • URL do emissor:https://token.actions.githubusercontent.com
  • Assunto: Uma cadeia de caracteres formada pela concatenação de valores do contexto de trabalho do GitHub Actions.
  • Público: O Databricks recomenda definir isso para sua ID da conta do Azure Databricks. Se omitida, a ID da conta será usada por padrão.
  • Declaração do assunto: (Opcional) A declaração JWT que contém o valor da identidade da carga de trabalho (sub) do token OIDC. Para o GitHub, deixe o campo como sub, que codifica o repositório, o branch, a marca, a solicitação de pull/mesclagem ou o ambiente que disparou o fluxo de trabalho.

Por exemplo, o seguinte comando da CLI do Databricks cria uma política de federação para uma organização nomeada my-org e uma ID numérica da entidade de serviço databricks de 5581763342009999:

databricks account service-principal-federation-policy create 5581763342009999 --json '{
  "oidc_policy": {
	"issuer": "https://token.actions.githubusercontent.com",
	"audiences": [
  	  "a2222dd9-33f6-455z-8888-999fbbd77900"
	],
	"subject": "repo:my-github-org/my-repo:environment:prod"
  }
}'

Configurar o arquivo YAML do GitHub Actions

Em seguida, configure o arquivo YAML do GitHub Actions. Defina as seguintes variáveis de ambiente:

  • DATABRICKS_AUTH_TYPE: github-oidc
  • DATABRICKS_HOST: a URL do workspace do Databricks
  • DATABRICKS_CLIENT_ID: A ID da entidade de serviço (aplicativo)
name: GitHub Actions Demo
run-name: ${{ github.actor }} is testing out GitHub Actions 🚀
on: workflow_dispatch

permissions:
  id-token: write
  contents: read

jobs:
  my_script_using_wif:
    runs-on: ubuntu-latest
    environment: prod
    env:
      DATABRICKS_AUTH_TYPE: github-oidc
      DATABRICKS_HOST: https://my-workspace.cloud.databricks.com/
      DATABRICKS_CLIENT_ID: a1b2c3d4-ee42-1eet-1337-f00b44r

    steps:
      - name: Checkout repository
        uses: actions/checkout@v4

      - name: Install Databricks CLI
        uses: databricks/setup-cli@main

      - name: Run Databricks CLI commands
        run: databricks current-user me
  • Last updated on