Databricks autenticação pessoal (legado) access token
Databricks Os access tokens pessoais (PATs) permitem que o senhor se autentique em recurso e APIs no nível workspace. O senhor pode armazená-los em perfis de configuração variável de ambiente ou Databricks. Cada PAT é válido apenas para um workspace, e um usuário pode criar até 600 PATs por workspace. A Databricks revoga automaticamente os PATs que não foram usados por 90 dias.
A autenticação por nome de usuário e senha (sem tokens) chegou ao fim da vida útil em 10 de julho de 2024.
Databricks recomenda enfaticamente o uso do OAuth em vez de PATs para a autenticação do usuário account porque o OAuth oferece segurança mais forte. Para saber como se autenticar com um usuário Databricks account usando OAuth, consulte Autorizar o acesso do usuário a Databricks com OAuth.
Para saber se os tokens do Google ID são compatíveis com suas ferramentas, SDKs, scripts e aplicativos, consulte a documentação do seu provedor.
Para automatizar Databricks account-level functionality, o senhor não pode usar o access tokens pessoal. Em vez disso, use o Google ID tokens de Databricks account-level admins, que são contas de serviço do Google com direitos de administrador. Para obter detalhes, consulte Autenticação com o Google ID tokens e a conta API. Veja também:
Databricks acesso pessoal para usuários tokens workspace
Para criar um access token pessoal do Databricks para o usuário do workspace do Databricks, faça o seguinte:
-
Em seu workspace do Databricks, clique em seu nome de usuário do Databricks na barra superior e, em seguida, selecione Configurações no menu suspenso.
-
Clique em Desenvolvedor .
-
Ao lado de Access tokens , clique em Gerenciar .
-
Clique em Gerar novo token .
-
Digite um comentário que ajude o senhor a identificar esses tokens no futuro.
-
Definir o tempo de vida dos tokens em dias.
Se o senhor deixar a caixa duração da vida (días)) vazia, o tempo de vida dos tokens será definido como o tempo de vida máximo para o seu workspace. Em default, a vida útil máxima dos tokens para um workspace é de 730 dias. Consulte Definir a vida útil máxima dos novos tokens de acesso pessoal.
-
Clique em Gerar .
-
Copie o token exibido em um local seguro e clique em Concluído .
Guarde seus tokens em um local seguro e nunca os compartilhe. Se o senhor o perder, não poderá recuperar os mesmos tokens e deverá criar um novo. Se um token for perdido ou comprometido, revogue-o imediatamente na página de acesso tokens clicando no ícone da lixeira (Revoke ).
Se não for possível criar ou usar o tokens, o administrador do workspace pode tê-lo desativado ou não lhe concedeu permissão. Entre em contato com seu administrador ou consulte os seguintes tópicos:
Databricks acesso pessoal para entidade de serviço tokens
Etapa 1: como administrador da Databricks, crie um PAT para sua entidade de serviço da Databricks na CLI
Um administrador de workspace pode criar tokens de acesso pessoal do Databricks em nome de uma entidade de serviço usando a CLI, como segue:
-
Configure a autenticação para o Databricks CLI, caso ainda não tenha feito isso.
-
Obtenha o ID do aplicativo para a entidade do serviço Databricks, caso ainda não o tenha disponível:
- Se o console de administração do seu workspace ainda não estiver aberto, clique no seu nome de usuário na barra superior do workspace e clique em Settings (Configurações ).
- Em Administração do workspace , clique em Identidade e acesso .
- Ao lado de Entidades de serviço , clique em Gerenciar .
- Clique no nome da entidade de serviço do Databricks para abrir sua página de configurações. Se o nome não estiver visível, use Filtrar entidades de serviço para localizá-la.
- Na guia Configurações , observe o valor da ID do aplicativo .
-
Use a CLI do Databricks para executar o comando a seguir, que gera o token de acesso para a entidade de serviço do Databricks.
executar o seguinte comando:
Bashdatabricks token-management create-obo-token <application-id> --lifetime-seconds <lifetime-seconds> --comment <comment> -p <profile-name>
- Substitua
<application-id>
pela ID do aplicativo da entidade de serviço do Databricks. --lifetime-seconds
: Substitua<lifetime-seconds>
pelo número de segundos para os quais os tokens de acesso são válidos. Por exemplo, 1 dia equivale a 86.400 segundos. Se a opção--lifetime-seconds
não for especificada, os tokens de acesso serão definidos para o tempo máximo de vida do seu workspace. Em default, a vida útil máxima dos tokens para um workspace é de 730 dias.--comment
: Substitua<comment>
por um comentário significativo sobre a finalidade dos tokens de acesso. Se a opção--comment
não for especificada, nenhum comentário será gerado.--profile-name
: Substitua<profile-name>
pelo nome de um perfil de configuração Databricks que contenha informações de autenticação para a Databricks entidade de serviço e o destino workspace. Se a opção-p
não for especificada, a CLI do Databricks tentará localizar e usar um perfil de configuração denominadoDEFAULT
.
- Substitua
-
Na resposta, copie o valor de
token_value
, que é o token de acesso para sua entidade de serviço do Databricks.É importante que você salve o token copiado em um local seguro. Não compartilhe seu token copiado com outras pessoas. Se você perder o token, não poderá gerar de novo exatamente o mesmo token. Em vez disso, você deverá repetir o procedimento para criar outro token.
Se você não conseguir criar ou usar tokens no seu workspace, isso pode ser porque o administrador desativou os tokens ou não concedeu permissão a você. Consulte o administrador do workspace ou o seguinte:
Etapa 2: Crie PATs adicionais para sua entidade de serviço
Após a criação de um PAT para a entidade de serviço da Databricks, o senhor pode usar esse PAT para criar tokens de acesso pessoal adicionais da Databricks para a entidade de serviço, como segue:
Este procedimento pressupõe que o senhor já tenha gerado os primeiros Databricks tokens de acesso pessoal para a Databricks entidade de serviço. O senhor usa esses tokens de acesso para configurar o Databricks CLI para autenticar a Databricks entidade de serviço, de modo que ela possa gerar acesso adicional tokens para si mesma. Consulte Autenticação de tokens de acesso pessoal (obsoleta).
-
Use a CLI do Databricks para executar o comando a seguir, que gera outro token de acesso para a entidade de serviço do Databricks.
executar o seguinte comando:
Bashdatabricks tokens create --comment <comment> --lifetime-seconds <lifetime-seconds> -p <profile-name>
--comment
: Substitua<comment>
por um comentário significativo sobre a finalidade dos tokens de acesso. Se a opção--comment
não for especificada, nenhum comentário será gerado.--lifetime-seconds
: Substitua<lifetime-seconds>
pelo número de segundos para os quais os tokens de acesso são válidos. Por exemplo, 1 dia equivale a 86.400 segundos. Se a opção--lifetime-seconds
não for especificada, os tokens de acesso serão definidos para o tempo máximo de vida do seu workspace. Em default, a vida útil máxima dos tokens para um workspace é de 730 dias.--profile-name
: Substitua<profile-name>
pelo nome de um perfil de configuração Databricks que contenha informações de autenticação para a Databricks entidade de serviço e o destino workspace. Se a opção-p
não for especificada, a CLI do Databricks tentará localizar e usar um perfil de configuração denominadoDEFAULT
.
-
Na resposta, copie o valor de
token_value
, que é o token de acesso para a entidade de serviço do Databricks.É importante que você salve o token copiado em um local seguro. Não compartilhe seu token copiado com outras pessoas. Se você perder o token, não poderá gerar de novo exatamente o mesmo token. Em vez disso, você deverá repetir o procedimento para criar outro token.
Se você não conseguir criar ou usar tokens no seu workspace, isso pode ser porque o administrador desativou os tokens ou não concedeu permissão a você. Consulte o administrador do workspace ou o seguinte:
Realizar a autenticação dos tokens de acesso pessoal Databricks
Para configurar a autenticação de access tokens pessoais do Databricks, você deve definir as seguintes variáveis de ambiente associadas, campos .databrickscfg
, campos Terraform ou campos Config
:
- O Databricks host, especificado como o Databricks workspace URL de destino, por
https://1234567890123456.7.gcp.databricks.com
exemplo,. - O token de acesso pessoal do Databricks para a conta de usuário do Databricks.
Para executar a autenticação de access token pessoal do Databricks, integre o seguinte em seu código, com base na ferramenta ou SDK participante:
- Environment
- Profile
- CLI
- Connect
Para usar a variável de ambiente para um tipo específico de autenticação Databricks com uma ferramenta ou SDK, consulte Autorização de acesso a Databricks recurso ou a documentação da ferramenta ou SDK. Consulte também variável de ambiente e campos para autenticação unificada e a prioridade do método de autenticação.
Defina as seguintes variáveis de ambiente:
DATABRICKS_HOST
, definido Databricks workspacehttps://1234567890123456.7.gcp.databricks.com
como o URL, por exemplo,.DATABRICKS_TOKEN
definido como as cadeias de tokens.
Crie ou identifique um perfil de configuração do Databricks com os seguintes campos em seu arquivo .databrickscfg
. Se você criar o perfil, substitua os espaços reservados pelos valores apropriados. Para usar o perfil com uma ferramenta ou SDK, consulte Autorização de acesso ao recurso Databricks ou a documentação da ferramenta ou SDK. Consulte também variável de ambiente e campos para autenticação unificada e a prioridade do método de autenticação.
Defina os seguintes valores em seu arquivo .databrickscfg
. Nesse caso, o host é o Databricks workspace URL, por https://1234567890123456.7.gcp.databricks.com
exemplo,:
[<some-unique-configuration-profile-name>]
host = <workspace-url>
token = <token>
Em vez de definir manualmente os valores anteriores em seu arquivo .databrickscfg
, você pode usar a CLI do Databricks para definir esses valores, da seguinte forma:
O procedimento a seguir usa a CLI do Databricks para criar um perfil de configuração do Databricks com o nome DEFAULT
. Se você já tiver um perfil de configuração DEFAULT
, esse procedimento substitui seu perfil de configuração DEFAULT
existente.
Para verificar se o senhor já tem um perfil de configuração DEFAULT
e para view as configurações desse perfil, caso ele exista, use o link Databricks CLI para executar o comando databricks auth env --profile DEFAULT
.
Para criar um perfil de configuração com um nome diferente de DEFAULT
, substitua a parte DEFAULT
de --profile DEFAULT
no comando databricks configure
a seguir por um nome diferente para o perfil de configuração.
-
Use o para criar Databricks CLI um Databricks perfil de configuração chamado
DEFAULT
que usa a Databricks autenticação de tokens de acesso pessoal. Para fazer isso, execute o seguinte comando:Bashdatabricks configure --profile DEFAULT
-
No prompt Databricks Host, digite o Databricks workspace URL da instância, por
https://1234567890123456.7.gcp.databricks.com
exemplo,. -
Para o prompt Access token pessoal , insira o access token pessoal do Databricks para seu workspace
Para a CLI do Databricks, execute o comando databricks configure
. Nos prompts, insira as seguintes configurações:
- O Databricks host, especificado como o Databricks workspace URL de destino, por
https://1234567890123456.7.gcp.databricks.com
exemplo,. - O token de acesso pessoal do Databricks para a conta de usuário do Databricks.
Para obter mais detalhes, consulte Autenticação de tokens de acesso pessoal (obsoleta).
A autenticação do access token pessoal da Databricks é compatível com as seguintes versões do Databricks Connect:
- Para Python, Databricks Connect for Databricks Runtime 13.3 LTS e acima.
- Para o Scala, Databricks Connect para Databricks Runtime 13.3 LTS e superior.
Databricks ConnectPara, o senhor pode usar o Databricks CLI para definir os valores no seu .databrickscfg
arquivo, para Databricks workspace-level operações conforme especificado na seção "Profile" deste artigo, como segue:
O procedimento a seguir usa a CLI do Databricks para criar um perfil de configuração do Databricks com o nome DEFAULT
. Se você já tiver um perfil de configuração DEFAULT
, esse procedimento substitui seu perfil de configuração DEFAULT
existente.
Para verificar se o senhor já tem um perfil de configuração DEFAULT
e para view as configurações desse perfil, caso ele exista, use o link Databricks CLI para executar o comando databricks auth env --profile DEFAULT
.
Para criar um perfil de configuração com um nome diferente de DEFAULT
, substitua a parte DEFAULT
de --profile DEFAULT
no comando databricks configure
como mostrado no passo seguinte, com um nome diferente para o perfil de configuração.
-
Use o para criar Databricks CLI um Databricks perfil de configuração chamado
DEFAULT
que usa a Databricks autenticação de tokens de acesso pessoal. Para fazer isso, execute o seguinte comando:Bashdatabricks configure --configure-cluster --profile DEFAULT
-
No prompt Databricks Host, digite o Databricks workspace URL da instância, por
https://1234567890123456.7.gcp.databricks.com
exemplo,. -
Para o prompt Access token pessoal , insira o access token pessoal do Databricks para seu workspace
-
Na lista de clusters disponíveis que aparece, use as teclas de seta para cima e para baixo para selecionar o clustering de destino Databricks em seu workspace e, em seguida, pressione
Enter
. O senhor também pode digitar qualquer parte do nome de exibição do clustering para filtrar a lista de clustering disponíveis.
Usar a API REST da Databricks para emitir tokens de acesso pessoal
Databricks fornece um REST endpoint /api/2.0/token/create
para emitir PATs. Consulte Criar tokens de usuário para obter detalhes em API.
O senhor deve fornecer valores específicos para a API REST. No exemplo a seguir, defina esses valores:
- Substitua
<databricks-instance>
pelo URL Databricks workspace . Por exemplo,dbc-abcd1234-5678.cloud.databricks.com
. - Substitua
<your-existing-access-token>
por um PAT (strings) válido existente que tenha permissões para criar novos tokens.
Forneça os valores para esses parâmetros:
comment
: Uma descrição para os novos tokens.lifetime_seconds
: O tempo de vida dos tokens em segundos.
curl -X POST https://<databricks-instance>/api/2.0/token/create \
-H "Authorization: Bearer <your-existing-access-token>" \
-H "Content-Type: application/json" \
-d '{
"comment": "New PAT using DB API",
"lifetime_seconds": <lifetime-of-pat-in-seconds>
}'
O sinalizador -d
fornece o payload JSON para a solicitação.
Se for bem-sucedido, isso resultará em uma carga de resposta semelhante a:
{
"access_token": "<your-newly-issued-pat>",
"token_type": "Bearer",
"expires_in": <the-duration-of-the-new-pat>
}
Forneça os novos tokens da resposta no cabeçalho Authorization das chamadas subsequentes para Databricks REST APIs. Por exemplo:
# This example uses a simple GET. For POST or other REST verbs, you may need to provide additional parameters.
curl -X GET "https://<databricks-instance>/api/2.0/<path-to-endpoint>" \
-H "Authorization: Bearer <your-new-pat>"
import requests
headers = {
'Authorization': 'Bearer <your-new-pat>'
}
# This example is for an HTTP GET operation.
response = requests.get('https://<databricks-instance>/api/2.0/<path-to-endpoint>', headers=headers)