データベースインスタンスへの認証

備考

プレビュー

この機能は、us-east-1、us-west-2、eu-west-1、ap-southeast-1、ap-southeast-2、eu-central-1、us-east-2、ap-south-1の各地域でパブリック プレビュー段階です。

このページでは、Lakebaseデータベースインスタンスから OAuth トークンを取得し、それを使用してデータベースインスタンスへの認証を行う方法について説明します。 OAuth トークンは、psql またはノートブックからデータベースに接続する場合に必要です。

注記

OAuth トークンは 1 時間後に期限切れになりますが、有効期限はログイン時にのみ適用されます。開いている接続は、トークンの有効期限が切れてもアクティブなままです。ただし、トークンの有効期限が切れていると、認証を必要とする PostgreSQL コマンドは失敗します。

開始する前の考慮事項

• Postgres 認証に使用される OAuth トークンはワークスペース スコープであり、データベース インスタンスを所有するのと同じワークスペースに属している必要があります。クロスワークスペース トークン認証はサポートされていません。認証の詳細については、「 Databricks CLI の認証」を参照してください。

• トークンベースの認証にはプレーンテキストのパスワードが必要なため、SSL接続のみが許可されます。トークンベースの認証で Postgres にアクセスするために使用するクライアント ライブラリが、SSL 接続を確立するように設定されていることを確認します。

ユーザーからマシンへのフローで OAuth トークンを取得する

データベースの所有者は、UI から OAuth トークンを取得できます。その他の Databricks ID ユーザーの場合は、OAuth トークンを取得するためのワークスペース レベルの承認手順については、「 OAuth を使用してユーザー アカウントで Databricks リソースへの対話型アクセスを承認 する」を参照してください。

データベース インスタンスの [ステータス] が [使用可能] の場合は、Databricks UI を使用して OAuth トークンを取得します。

1. データベース・インスタンスの詳細 ページで、 OAuth トークンの取得 をクリックします。フラグは、トークンがいつ作成されたかを示します。
2. 「 OAuthToken のコピー 」をクリックして、トークンをクリップボードにコピーします。次の手順では、この値を指定された接続文字列に置き換える必要があります。
3. 指定された 接続文字列 に続くコピーアイコンをクリックします。

または、Databricks CLI を使用して OAuth トークンを取得する場合は、「 OAuth ユーザー間 (U2M) 認証」を参照してください。

マシン間フローで OAuth トークンを取得する

データベース・インスタンスへの安全で自動化された (マシン間) アクセスを有効にするには、OAuth サービスプリンシパルを使用して トークンを取得する必要があります。Databricksこのプロセスには、サービスプリンシパルの構成、資格情報の生成、および認証用の OAuth トークンのミントが含まれます。

1. 無期限に有効な資格情報を持つサービスプリンシパルを構成します。 手順については、OAuthを用いて、サービスプリンシパルによるDatabricksリソースへのリソースへの無人アクセスを承認するを参照してください。
2. 新しい OAuth トークンをサービスプリンシパルとして REST. 手順については、「 ワークスペース レベルのアクセス トークンを手動で生成する」を参照してください。
3. 時間単位の有効期限前に OAuth トークンをローテーションします。
   • OAuth トークンの有効期限は、使用するたびに確認し、必要に応じて更新します。
   • または、バックグラウンド スレッドを設定して、現在の OAuth トークンを定期的に更新します。

次のステップ

OAuth トークンを取得したら、データベース インスタンスに接続できます。

• SQL クライアントからのデータベース・インスタンスへのアクセス
• ノートブックを使用してデータベースインスタンスにアクセスする