Autorizar acesso ao recurso Databricks

Esta página explica como autorizar o acesso ao recurso Databricks usando a CLI Databricks e APIs REST . Ele descreve diferentes métodos de autorização, quando usá-los e como configurar a autenticação para seu caso de uso.

Para acessar o recurso Databricks com a CLI ou APIs REST , você deve se autenticar usando uma account Databricks com permissões apropriadas. O administrador Databricks ou um usuário com privilégios de administrador configura a account.

tipos de conta e API

Existem dois tipos de conta que você pode usar para autenticação:

account de usuário: para comandos CLI interativos e chamadas de API .
entidade de serviço: Para comandos CLI automatizados e chamadas de API sem interação humana.

O Databricks tem dois tipos de APIs que exigem diferentes abordagens de autenticação:

APIs em nível de conta: disponíveis para proprietários e administradores account , hospedadas no URL do console account . Veja APIsem nívelaccount.
APIs em nível de área de trabalho: disponíveis para usuários e administradores workspace , hospedadas em URLs workspace . Veja APIsde nível deworkspace.

Métodos de autorização

Escolha o método de autorização mais adequado ao seu caso de uso. As ferramentas e SDKs do Databricks oferecem suporte a vários métodos de autorização, para que você possa selecionar o mais apropriado para o seu cenário.

Método	Descrição	Caso de uso
Federação de tokens OAuth da Databricks (recomendado)	OAuth tokens do seu provedor de identidade para usuários ou entidade de serviço.	Permite que o senhor se autentique no Databricks sem gerenciar os segredos do Databricks.
Databricks OAuth para entidade de serviço (OAuth M2M)	De curta duração OAuth tokens para entidade de serviço.	Cenários de autenticação autônoma, como os totalmente automatizados e CI/CD fluxo de trabalho.
OAuth para usuários (OAuth U2M)	De curta duração OAuth tokens para os usuários.	Cenário de autenticação assistida, em que o usuário usa o navegador da Web para se autenticar na Databricks em tempo real, quando solicitado.
Autorização de credenciais do Google Cloud Platform	Usa a conta de serviço do Google Cloud, atuando como usuários do Databricks, com o Google Cloud OAuth tokens.	Use para autorizar o acesso ao Google Cloud Recurso e Databricks.
Autorização de ID do Google Cloud Platform	Usa a conta de serviço do Google Cloud, atuando como usuários do Databricks, com o Google Cloud OAuth tokens.	Use para autorizar o Google Cloud Recurso e Databricks usando o Google Cloud CLI.

Autenticação unificada

A autenticação unificada do Databricks fornece uma maneira consistente de configurar a autenticação em todas as ferramentas e SDKs suportados. Essa abordagem usa variáveis de ambiente padrão e perfis de configuração para armazenar valores de credenciais, para que você possa executar comandos CLI ou chamar APIs sem configurar a autenticação repetidamente.

A autenticação unificada lida com tipos account de forma diferente:

Autorização do usuário: OAuth cria e gerencia automaticamente access tokens para ferramentas que oferecem suporte à autenticação unificada. Consulte Autorizar acesso do usuário ao Databricks com OAuth.
autorização de entidade de serviço: OAuth requer credenciais de cliente (ID do cliente e segredo) que Databricks fornece depois que você atribui a entidade de serviço ao espaço de trabalho. Consulte Autorizar o acesso da entidade de serviço ao Databricks com OAuth.

Para usar access tokens OAuth , o administrador da sua account ou workspace Databricks deve conceder à sua account usuário ou entidade de serviço a permissão CAN USE para a account e o recurso workspace que seu código acessará.

variável de ambiente

Para configurar a autenticação unificada, defina a seguinte variável de ambiente. Algumas variáveis se aplicam tanto à autorização do usuário quanto à autorização da entidade de serviço, enquanto outras são exigidas apenas para a entidade de serviço.

Variável de ambiente	Descrição
`DATABRICKS_HOST`	A URL do console da sua account Databricks (`http://accounts.cloud.databricks.com`) ou da URL do seu workspace Databricks (`https://{workspace-id}.cloud.databricks.com`). Escolha com base no tipo de operações que seu código executa.
`DATABRICKS_ACCOUNT_ID`	Usado para Databricks account operações. Este é o seu Databricks account ID. Para obtê-lo, consulte Localizar seu account ID.
`DATABRICKS_CLIENT_ID`	(somente para a entidade de serviço OAuth ) O ID do cliente que foi atribuído ao senhor ao criar sua entidade de serviço.
`DATABRICKS_CLIENT_SECRET`	(somente entidade de serviço OAuth ) O segredo do cliente que o senhor gerou ao criar sua entidade de serviço.

Em vez de definir variáveis de ambiente manualmente, considere defini-las em um perfil de configuraçãoDatabricks (.databrickscfg) na sua máquina cliente.

Perfis de configuração

Os perfis de configuração do Databricks contêm configurações e credenciais que as ferramentas e SDKs do Databricks precisam para autorizar o acesso. Esses perfis são armazenados em arquivos de clientes locais (normalmente chamados de .databrickscfg) para suas ferramentas, SDKs, scripts e aplicativos usarem.

Para obter mais informações, consulte Databricks configuration profiles.

Integrações de terceiros

Ao integrar com serviços e ferramentas de terceiros, você deve usar os mecanismos de autenticação fornecidos por esses serviços. No entanto, o Databricks fornece suporte para integrações comuns:

Provedor Terraform Databricks : acesse APIs Databricks do Terraform usando sua account de usuário Databricks . Consulte o provisionamento de uma entidade de serviço usando Terraform.
Provedores Git: GitHub, GitLab e Bitbucket podem acessar APIs do Databricks usando uma entidade de serviço do Databricks. Consulte entidade de serviço para CI/CD.
Jenkins: acesse as APIs do Databricks usando uma entidade de serviço do Databricks. Veja CI/CD com Jenkins no Databricks.

tipos de conta e API​

Métodos de autorização​

Autenticação unificada​

variável de ambiente​

Perfis de configuração​

Integrações de terceiros​