Pular para o conteúdo principal

Databricks autenticação de tokens de acesso pessoal

Databricks O acesso pessoal tokens (PATs) é usado para autenticar o acesso a recurso e APIs no nível Databricks workspace . Muitos mecanismos de armazenamento de credenciais e informações relacionadas, como variáveis de ambiente e perfis de Databricks configuração, oferecem suporte para Databricks acesso tokens pessoal. Embora os usuários possam ter vários acessos pessoais tokens em um Databricks workspace, cada token de acesso pessoal funciona apenas para um único Databricks workspace. O número de acessos pessoais tokens por usuário é limitado a 600 por workspace.

A Databricks revoga automaticamente os tokens de acesso pessoal que não foram usados em 90 dias ou mais.

important

Databricks recomenda o uso do OAuth em vez de PATs para autenticação e autorização do cliente account do usuário devido à maior segurança do OAuth. Para saber como usar OAuth para realizar a autenticação de cliente com um usuário Databricks account, consulte Autorizar acesso interativo a Databricks recurso com um usuário account usando OAuth (para autenticação do usuário account ).

A autenticação básica (não baseada em tokens) usando um nome de usuário e senha Databricks chegou ao fim da vida útil em 10 de julho de 2024.

Para automatizar a funcionalidade no nível da conta do Databricks, não é possível usar access tokens pessoais do Databricks. Em vez disso, você deve usar OAuth tokens para usuários administradores de accounts do Databricks ou entidades de serviço. Para saber mais, consulte:

Databricks acesso pessoal para usuários tokens workspace

Para criar um access token pessoal do Databricks para o usuário do workspace do Databricks, faça o seguinte:

  1. Em seu workspace do Databricks, clique em seu nome de usuário do Databricks na barra superior e, em seguida, selecione Configurações no menu suspenso.

  2. Clique em Desenvolvedor .

  3. Ao lado de Access tokens , clique em Gerenciar .

  4. Clique em Gerar novo token .

  5. Digite um comentário que ajude o senhor a identificar esses tokens no futuro.

  6. Definir o tempo de vida dos tokens em dias.

    Se o senhor deixar a caixa duração da vida (días)) vazia, o tempo de vida dos tokens será definido como o tempo de vida máximo para o seu workspace. Em default, a vida útil máxima dos tokens para um workspace é de 730 dias. Consulte Definir a vida útil máxima dos novos tokens de acesso pessoal.

  7. Clique em Gerar .

  8. Copie o token exibido em um local seguro e clique em Concluído .

nota

É importante que você salve o token copiado em um local seguro. Não compartilhe seu token copiado com outras pessoas. Se você perder o token, não poderá gerar de novo exatamente o mesmo token. Em vez disso, você deverá repetir esse procedimento para criar outro token. Se você perder o token copiado ou acreditar que o token foi comprometido, o Databricks recomenda que você exclua imediatamente esse token do workspace clicando no ícone da lixeira ( Revogar ) ao lado do token na página Access tokens .

Se o senhor não conseguir criar ou usar o site tokens no seu workspace, isso pode ocorrer porque o administrador do workspace desativou o tokens ou não lhe deu permissão para criar ou usar o tokens. Consulte o administrador do site workspace ou os tópicos a seguir:

Databricks acesso pessoal para entidade de serviço tokens

Etapa 1: como administrador da Databricks, crie um PAT para sua entidade de serviço da Databricks na CLI

Um administrador de workspace pode criar tokens de acesso pessoal do Databricks em nome de uma entidade de serviço usando a CLI, como segue:

  1. Configure a autenticação para o Databricks CLI, caso ainda não tenha feito isso.

  2. Obtenha o ID do aplicativo para a entidade do serviço Databricks, caso ainda não o tenha disponível:

    1. Se o console de administração do seu workspace ainda não estiver aberto, clique no seu nome de usuário na barra superior do workspace e clique em Configurações .
    2. Em Administração do workspace , clique em Identidade e acesso .
    3. Ao lado de Entidades de serviço , clique em Gerenciar .
    4. Clique no nome da entidade de serviço do Databricks para abrir sua página de configurações. Se o nome não estiver visível, use Filtrar entidades de serviço para localizá-la.
    5. Na guia Configurações , observe o valor da ID do aplicativo .

  3. Use a CLI do Databricks para executar o comando a seguir, que gera o token de acesso para a entidade de serviço do Databricks.

    executar o seguinte comando:

    Bash
    databricks token-management create-obo-token <application-id> --lifetime-seconds <lifetime-seconds> --comment <comment> -p <profile-name>
    • Substitua <application-id> pela ID do aplicativo da entidade de serviço do Databricks.
    • --lifetime-seconds: Substitua <lifetime-seconds> pelo número de segundos para os quais os tokens de acesso são válidos. Por exemplo, 1 dia equivale a 86.400 segundos. Se a opção --lifetime-seconds não for especificada, os tokens de acesso serão definidos para o tempo máximo de vida do seu workspace. Em default, a vida útil máxima dos tokens para um workspace é de 730 dias.
    • --comment: Substitua <comment> por um comentário significativo sobre a finalidade dos tokens de acesso. Se a opção --comment não for especificada, nenhum comentário será gerado.
    • --profile-name: Substitua <profile-name> pelo nome de um perfil de configuração Databricks que contenha informações de autenticação para a Databricks entidade de serviço e o destino workspace. Se a opção -p não for especificada, a CLI do Databricks tentará localizar e usar um perfil de configuração denominado DEFAULT.

  4. Na resposta, copie o valor de token_value, que é o token de acesso para sua entidade de serviço do Databricks.

    É importante que você salve o token copiado em um local seguro. Não compartilhe seu token copiado com outras pessoas. Se você perder o token, não poderá gerar de novo exatamente o mesmo token. Em vez disso, você deverá repetir o procedimento para criar outro token.

    Se você não conseguir criar ou usar tokens no seu workspace, isso pode ser porque o administrador desativou os tokens ou não concedeu permissão a você. Consulte o administrador do workspace ou o seguinte:

Etapa 2: Crie PATs adicionais para sua entidade de serviço

Após a criação de um PAT para a entidade de serviço da Databricks, o senhor pode usar esse PAT para criar tokens de acesso pessoal adicionais da Databricks para a entidade de serviço, como segue:

Este procedimento pressupõe que o senhor já tenha gerado os primeiros Databricks tokens de acesso pessoal para a Databricks entidade de serviço. O senhor usa esses tokens de acesso para configurar o Databricks CLI para autenticar a Databricks entidade de serviço, de modo que ela possa gerar acesso adicional tokens para si mesma. Consulte Databricks autenticação de tokens de acesso pessoal.

  1. Use a CLI do Databricks para executar o comando a seguir, que gera outro token de acesso para a entidade de serviço do Databricks.

    executar o seguinte comando:

    Bash
    databricks tokens create --comment <comment> --lifetime-seconds <lifetime-seconds> -p <profile-name>
    • --comment: Substitua <comment> por um comentário significativo sobre a finalidade dos tokens de acesso. Se a opção --comment não for especificada, nenhum comentário será gerado.
    • --lifetime-seconds: Substitua <lifetime-seconds> pelo número de segundos para os quais os tokens de acesso são válidos. Por exemplo, 1 dia equivale a 86.400 segundos. Se a opção --lifetime-seconds não for especificada, os tokens de acesso serão definidos para o tempo máximo de vida do seu workspace. Em default, a vida útil máxima dos tokens para um workspace é de 730 dias.
    • --profile-name: Substitua <profile-name> pelo nome de um perfil de configuração Databricks que contenha informações de autenticação para a Databricks entidade de serviço e o destino workspace. Se a opção -p não for especificada, a CLI do Databricks tentará localizar e usar um perfil de configuração denominado DEFAULT.

  2. Na resposta, copie o valor de token_value, que é o token de acesso para a entidade de serviço do Databricks.

    É importante que você salve o token copiado em um local seguro. Não compartilhe seu token copiado com outras pessoas. Se você perder o token, não poderá gerar de novo exatamente o mesmo token. Em vez disso, você deverá repetir o procedimento para criar outro token.

    Se você não conseguir criar ou usar tokens no seu workspace, isso pode ser porque o administrador desativou os tokens ou não concedeu permissão a você. Consulte o administrador do workspace ou o seguinte:

Realizar a autenticação dos tokens de acesso pessoal Databricks

Para configurar a autenticação de access tokens pessoais do Databricks, você deve definir as seguintes variáveis de ambiente associadas, campos .databrickscfg, campos Terraform ou campos Config :

  • O Databricks host, especificado como o Databricks workspace URL de destino, por https://dbc-a1b2345c-d6e7.cloud.databricks.com exemplo,.
  • O access token pessoal do Databricks, para a account de usuário do Databricks ou entidade de serviço do Databricks.

Para executar a autenticação de access token pessoal do Databricks, integre o seguinte em seu código, com base na ferramenta ou SDK participante:

To use environment variables for a specific Databricks authentication type with a tool or SDK, see Authorizing access to Databricks resources or the tool’s or SDK’s documentation. See also Environment variables and fields for client unified authentication and the Default methods for client unified authentication.

Set the following environment variables:

  • DATABRICKS_HOST, set to the Databricks workspace URL, for example https://dbc-a1b2345c-d6e7.cloud.databricks.com.
  • DATABRICKS_TOKEN, set to the token string.

Usar a API REST da Databricks para emitir tokens de acesso pessoal

Databricks fornece um REST endpoint /api/2.0/token/create para emitir PATs. Consulte Criar tokens de usuário para obter detalhes em API.

O senhor deve fornecer valores específicos para a API REST. No exemplo a seguir, defina esses valores:

  • Substitua <databricks-instance> pelo URL Databricks workspace . Por exemplo, dbc-abcd1234-5678.cloud.databricks.com.
  • Substitua <your-existing-access-token> por um PAT (strings) válido existente que tenha permissões para criar novos tokens.

Forneça os valores para esses parâmetros:

  • comment: Uma descrição para os novos tokens.
  • lifetime_seconds: O tempo de vida dos tokens em segundos.
Bash
curl -X POST https://<databricks-instance>/api/2.0/token/create \
-H "Authorization: Bearer <your-existing-access-token>" \
-H "Content-Type: application/json" \
-d '{
  "comment": "New PAT using DB API",
  "lifetime_seconds": <lifetime-of-pat-in-seconds>
}'

O sinalizador -d fornece o payload JSON para a solicitação.

Se for bem-sucedido, isso resultará em uma carga de resposta semelhante a:

{
  "access_token": "<your-newly-issued-pat>",
  "token_type": "Bearer",
  "expires_in": <the-duration-of-the-new-pat>
}

Forneça os novos tokens da resposta no cabeçalho Authorization das chamadas subsequentes para Databricks REST APIs. Por exemplo:

Bash
# This example uses a simple GET. For POST or other REST verbs, you may need to provide additional parameters.
curl -X GET "https://<databricks-instance>/api/2.0/<path-to-endpoint>" \
     -H "Authorization: Bearer <your-new-pat>"
Python
import requests

headers = {
    'Authorization': 'Bearer <your-new-pat>'
}
# This example is for an HTTP GET operation.
response = requests.get('https://<databricks-instance>/api/2.0/<path-to-endpoint>', headers=headers)
Última atualização em