プロビジョニング a サービスプリンシパル by using Terraform

注：

代わりに Databricks ユーザー インターフェイスを使用して Databricks サービスプリンシパルをプロビジョニングするには、「サービス プリンシパルの管理」を参照してください。

サービスプリンシパルは、スクリプト、アプリ、CI/CDプラットフォームなどの自動化されたツールやシステムのIDです。、 user アカウントと personalDatabricks アクセストークンの代わりに、サービスプリンシパルとその トークンまたは personal アクセストークンを使用することをお勧めします。OAuthDatabricks次のような利点があります。

• ユーザーとは無関係にリソースへのアクセスを許可および制限します。

• これにより、ユーザーは自分のアクセストークンをより適切に保護できます。

• 他のユーザーに影響を与えずにサービスプリンシパルを無効化または削除します。

• ユーザーが組織を離れるときに、サービスプリンシパルに影響を与えることなくユーザーを削除します。

次の手順に従って、Databricks Terraform プロバイダーを使用して Databricks ワークスペースに Databricks サービスプリンシパルを作成し、Databricks サービスプリンシパルの Databricks アクセストークンを作成します。

要件

• プロバイダーが ワークスペース内の ユーザー アカウントの代わりに Databricksを呼び出すことができるようにするための personal アクセストークン。DatabricksTerraformDatabricksAPIsDatabricksDatabricks個人用アクセストークンを作成するには、「個人用アクセストークン認証Databricks」を参照してください。

• Databricks CLI バージョン 0.205 以降で、対応する Databricks 個人用アクセストークンを参照する Databricks 認証構成プロファイルで構成されます。この設定プロファイルを作成するには、次の手順を実行します。

  注：

  次の手順では、Databricks CLIを使用して、DEFAULTという名前のDatabricks構成プロファイルを作成します。すでにDEFAULT構成プロファイルをお持ちの場合、この手順により既存のDEFAULT構成プロファイルが上書きされます。

  DEFAULT構成プロファイルが既に存在するかどうかを確認し、存在する場合にこのプロファイルの設定を表示するには、Databricks CLIを使用してコマンドdatabricks auth env --profile DEFAULTを実行します。

  DEFAULT以外の名前の構成プロファイルを作成するには、次のdatabricks configureコマンドの --profile DEFAULT の DEFAULT の部分を、構成プロファイルの別の名前に置き換えてください。

  1. この を使用して、 個人用アクセストークン認証を使用する DatabricksCLIという名前のDatabricks 構成プロファイル を作成します。DEFAULTDatabricksこれを行うには、次のコマンドを実行します。

     databricks configure --profile DEFAULT
     

  2. プロンプトDatabricks Hostに、Databricksワークスペース インスタンスのURLを入力します (例: https://dbc-a1b2345c-d6e7.cloud.databricks.com)。

  3. プロンプトのPersonal Access Tokenに、ワークスペースのDatabricks個人用アクセストークンを入力します。

• Terraform CLIです。 Terraformのダウンロードを参照してください。

Databricks サービスプリンシパルと Databricks アクセストークンを作成する

1. ターミナルで空のディレクトリを作成し、そのディレクトリに切り替えます。 Terraform構成ファイルの各個別のセットは、独自のディレクトリに存在する必要があります。 たとえば、 mkdir terraform_service_principal_demo && cd terraform_service_principal_demoのようになります。

   mkdir terraform_service_principal_demo && cd terraform_service_principal_demo
   

2. この空のディレクトリに、 main.tfという名前のファイルを作成します。 このファイルに次の内容を追加し、ファイルを保存します。

   警告

   次の内容には、 authorization = "tokens"の文が含まれています。 Databricks ワークスペースごとに存在できる authorization = "tokens" アクセス許可リソースは 1 つだけです。 次の変更を適用すると、以前に CAN_USE または CAN_MANAGE のアクセス許可を持っていたユーザーは、トークンベースの認証へのアクセスが取り消されます。 それらのアクティブなトークンもすぐに削除されます(取り消されます)。 この操作は破壊的な性質を持つ可能性があるため、関連する設定は main.tf ファイルでコメント アウトされています。

   または、 Databricks ユーザー インターフェイスを使用して、 Databricks サービスプリンシパルが Databricks アクセストークンを使用できるようにすることもできます。 「 個人用アクセストークンのアクセス許可を管理する」を参照してください。 また、Databricks ユーザー インターフェイスを使用して、Databricks サービス プリンシパルの Databricks アクセス トークンを生成することもできます。「サービスプリンシパルのトークンの管理」を参照してください。

   注：

   次のコンテンツでは、 Databricks ワークスペース レベルでサービスプリンシパルを作成します。 Databricksワークスペースで ID フェデレーションが有効になっている場合、次のコンテンツもサービスプリンシパルを関連する Databricks アカウントに自動的に同期します (「管理者がユーザーをワークスペースに割り当てる方法」を参照)。ワークスペース レベルではなく、 アカウント レベルのみでサービスプリンシパルを作成するには、DatabricksAWSDatabricks DatabricksTerraformプロバイダーのドキュメントの サービス リソース の「 アカウントでのサービスプリンシパルの作成」セクションを参照してください。

   次のリソースと出力のコメントを解除することを選択した場合、パーソナルアクセストークンも生成されます。 この個人用アクセストークンは、指定された Databricks ワークスペース内でのみ、サービスプリンシパルが自動化に使用できます。

   パーソナルアクセストークンをサービスプリンシパルと一緒に使用して Databricks アカウントレベルの自動化を行うことはできません。 Databricks アカウント レベルでサービスプリンシパルの個人用アクセストークンを生成しようとすると、試行は失敗します。

   variable "databricks_connection_profile" {
     description = "The name of the Databricks authentication configuration profile to use."
     type        = string
   }
   
   variable "service_principal_display_name" {
     description = "The display name for the service principal."
     type        = string
   }
   
   variable "service_principal_access_token_lifetime" {
     description = "The lifetime of the service principal's access token, in seconds."
     type        = number
     default     = 3600
   }
   
   terraform {
     required_providers {
       databricks = {
         source = "databricks/databricks"
       }
     }
   }
   
   provider "databricks" {
     profile = var.databricks_connection_profile
   }
   
   resource "databricks_service_principal" "sp" {
     provider     = databricks
     display_name = var.service_principal_display_name
   }
   
   # Uncomment the following "databricks_permissions" resource
   # if you want to enable the service principal to use
   # personal access tokens.
   #
   # Warning: uncommenting the following "databricks_permissions" resource
   # causes users who previously had either CAN_USE or CAN_MANAGE permission
   # to have their access to token-based authentication revoked.
   # Their active tokens are also immediately deleted (revoked).
   #
   # Alternatively, you can enable this later through the Databricks user interface.
   #
   # resource "databricks_permissions" "token_usage" {
   #   authorization    = "tokens"
   #   access_control {
   #     service_principal_name = databricks_service_principal.sp.application_id
   #     permission_level       = "CAN_USE"
   #   }
   # }
   #
   # Uncomment the following "databricks_obo_token" resource and
   # "service_principal_access_token" output if you want to generate
   # a personal access token for service principal and then see the
   # generated personal access token.
   #
   # If you uncomment the following "databricks_obo_token" resource and
   # "service_principal_access_token" output, you must also
   # uncomment the preceding "databricks_permissions" resource.
   #
   # Alternatively, you can generate a personal access token later through the
   # Databricks user interface.
   #
   # resource "databricks_obo_token" "this" {
   #   depends_on       = [databricks_permissions.token_usage]
   #   application_id   = databricks_service_principal.sp.application_id
   #   comment          = "Personal access token on behalf of ${databricks_service_principal.sp.display_name}"
   #   lifetime_seconds = var.service_principal_access_token_lifetime
   # }
   
   output "service_principal_name" {
     value = databricks_service_principal.sp.display_name
   }
   
   output "service_principal_id" {
     value = databricks_service_principal.sp.application_id
   }
   
   # Uncomment the following "service_principal_access_token" output if
   # you want to see the generated personal access token for the service principal.
   #
   # If you uncomment the following "service_principal_access_token" output, you must
   # also uncomment the preceding "service_principal_access_token" resource and
   # "databricks_obo_token" resource.
   #
   # output "service_principal_access_token" {
   #   value     = databricks_obo_token.this.token_value
   #   sensitive = true
   # }
   

   注：

   このサービスプリンシパルを Databricks ワークスペース グループに追加し、Databricks ワークスペースのエンタイトルメントをこのサービスプリンシパルに追加するには、Terraform Web サイトの databricks_service_principal を参照してください。

3. 同じディレクトリに、 terraform.tfvarsという名前のファイルを作成します。 次の内容をこのファイルに追加し、次の値を置き換えてから、ファイルを保存します。

   • databricks_connection_profile の値を、要件の認証構成プロファイルの名前に置き換えます。

   • service_principal_display_name値をサービスプリンシパルの表示名に置き換えます。

   • service_principal_access_token_lifetime の値を、サービスプリンシパルのアクセストークンの有効期間の秒数に置き換えます。

   databricks_connection_profile           = "<Databricks authentication configuration profile name>"
   service_principal_display_name          = "<Service principal display name>"
   service_principal_access_token_lifetime = 3600
   

4. terraform init コマンドを実行して、main.tf ファイルを含む作業ディレクトリを初期化します。詳細については、Terraform ウェブサイトの「コマンド: 初期化」 を参照してください。

   terraform init
   

5. terraform validate コマンドを実行して、設定に構文エラーがあるかどうかを確認します。詳細については、 Web サイトの「 コマンド: validate 」を参照してください。Terraform

   terraform validate
   

6. terraform apply コマンドを実行して、目的とする状態に構成が達するように必要な変更を適用します。詳細については、Terraform ウェブサイトで 「コマンド: 適用」を参照してください。

   terraform apply
   

7. databricks_permissions リソース、databricks_obo_token リソース、および service_principal_access_token 出力のコメントを解除した場合、サービスプリンシパルのアクセストークンを取得するには、main.tf ファイルを含む作業ディレクトリにある terraform.tfstate ファイル内の outputs.service_principal_access_token.value の値を確認します。