Autenticação de access token pessoal do Databricks

Databricks Os PATs (Personal access tokens ) são usados para autenticar o acesso a recurso e APIs no nível Databricks workspace . Muitos mecanismos de armazenamento de credenciais e informações relacionadas, como perfis de configuração de variável de ambiente e Databricks , oferecem suporte para Databricks pessoal access tokens. Embora os usuários possam ter vários access tokens pessoais em um Databricks workspace, cada access token pessoal funciona apenas para um único Databricks workspace. O número de access tokens pessoais por usuário é limitado a 600 por workspace.

Importante

Databricks recomenda o uso do OAuth em vez de PATs para autenticação e autorização do cliente account do usuário devido à maior segurança do OAuth. Para saber como usar OAuth para realizar a autenticação de cliente com um usuário Databricks account, consulte Autenticar o acesso a Databricks com um usuário account usando OAuth (OAuth U2M) (para autenticação de usuário account ).

A autenticação básica (não baseada em tokens) usando um nome de usuário e senha Databricks chegou ao fim da vida útil em 10 de julho de 2024.

Observação

Para saber se os tokens do Google ID são compatíveis com as suas ferramentas, SDKs, scripts e aplicativos, consulte a documentação do seu provedor.

Para automatizar a funcionalidade no nível da conta do Databricks, não é possível usar access tokens pessoais do Databricks. Em vez disso, usam-se os tokens de nível de conta do Google ID dos administradores de nível de conta do Databricks. Os administradores no nível de conta do Databricks são contas de serviço do Google no nível da conta que atuam como usuários administradores no nível da conta. Para mais informações, consulte Autenticação com tokens do Google ID e a API da conta. Veja também:

• Autenticação de credenciais do Google Cloud

• Autenticação do Google Cloud ID

Access tokens pessoais do Databricks para usuários do workspace

Para criar um access token pessoal do Databricks para o usuário do workspace do Databricks, faça o seguinte:

1. No seu workspace do Databricks, clique no seu nome de usuário na barra superior e selecione Configurações no menu suspenso.

2. Clique em Desenvolvedor.

3. Ao lado de Access tokens, clique em Gerenciar.

4. Clique em Gerar novo token.

5. (Opcional) Insira um comentário que ajude a identificar esse token no futuro e altere o tempo de vida padrão do token de 90 dias. Para criar um token sem vida útil (não recomendado), deixe a caixa Duração (dias) vazia (em branco).

6. Clique em Gerar.

7. Copie o token exibido em um local seguro e clique em Concluído.

Observação

É importante que você salve o token copiado em um local seguro. Não compartilhe seu token copiado com outras pessoas. Se você perder o token, não poderá gerar o mesmo novamente. Em vez disso, você deverá repetir o procedimento para criar outro token. Se você perder o token copiado ou acreditar que o token foi comprometido, o Databricks recomenda que você exclua imediatamente esse token do workspace clicando no ícone da lixeira (Revogar) ao lado do token na página Access tokens .

Se o senhor não conseguir criar ou usar o site tokens no seu workspace, isso pode ocorrer porque o administrador do workspace desativou o tokens ou não lhe deu permissão para criar ou usar o tokens. Consulte o administrador do site workspace ou os tópicos a seguir:

• Ativar ou desativar a autenticação de access tokens pessoais para o workspace

• Permissões de access token pessoal

Access tokens pessoais do Databricks para entidades de serviço

Um administrador do workspace pode criar access tokens pessoais do Databricks em nome de um responsável pelo serviço, da seguinte forma:

Observação

Você não pode usar a interface do usuário do Databricks para gerar access tokens pessoais do Databricks para entidades de serviço do Databricks. Este processo usa o Databricks CLI versão 0.205 ou acima para gerar um access token para uma entidade de serviço do Databricks. Se você ainda não tiver a CLI do Databricks instalada, consulte Instalar ou atualizar a CLI do Databricks.

1. Configure a autenticação para o Databricks CLI, caso ainda não tenha feito isso. Uma maneira de configurar isso é usar primeiro a autenticação de access token pessoal do Databricks para o usuário do seu workspace do Databricks. Consulte Autenticação de access token pessoal do Databricks.

2. Obtenha o ID do aplicativo para a entidade do serviço Databricks, caso ainda não o tenha disponível:

   1. Se o console de administração do seu workspace ainda não estiver aberto, clique no seu nome de usuário na barra superior do workspace e clique em Configurações.

   2. Em Administração do workspace, clique em Identidade e acesso.

   3. Ao lado de Entidades de serviço, clique em Gerenciar.

   4. Clique no nome da entidade de serviço do Databricks para abrir sua página de configurações. Se o nome não estiver visível, use Filtrar entidades de serviço para localizá-la.

   5. Na guia Configurações, observe o valor da ID do aplicativo.

3. Use a CLI do Databricks para executar o comando a seguir, que gera o token de acesso para a entidade de serviço do Databricks.

   executar o seguinte comando:

   databricks token-management create-obo-token <application-id> --lifetime-seconds <lifetime-seconds> --comment <comment> -p <profile-name>
   

   • Substitua <application-id> pela ID do aplicativo da entidade de serviço do Databricks.

   • --lifetime-seconds: Substitua <lifetime-seconds> pelo número de segundos pelo qual o access token é válido. Por exemplo, 1 dia equivale a 86.400 segundos. Se a opção --lifetime-seconds não for especificada, o site access token será definido para nunca expirar (não recomendado).

   • --comment: Substitua <comment> por um comentário significativo sobre a finalidade do site access token. Se a opção --comment não for especificada, nenhum comentário será gerado.

   • --profile-name: Substitua <profile-name> pelo nome de um perfil de configuração Databricks que contenha informações de autenticação para a Databricks entidade de serviço e o destino workspace. Se a opção -p não for especificada, a CLI do Databricks tentará localizar e usar um perfil de configuração denominado DEFAULT.

4. Na resposta, copie o valor de token_value, que é o token de acesso para sua entidade de serviço do Databricks.

   Certifique-se de salvar o token copiado em um local seguro. Não compartilhe seu token copiado com outras pessoas. Se você perder o token copiado, não poderá gerar de novo exatamente o mesmo token. Em vez disso, você deverá repetir o procedimento para criar outro token.

   Se você não conseguir criar ou usar tokens no seu workspace, isso pode ser porque o administrador desativou os tokens ou não concedeu permissão para que você crie ou use tokens. Consulte o administrador do workspace ou o seguinte:

   • Ativar ou desativar a autenticação de access tokens pessoais para o workspace

   • Permissões de access token pessoal

Uma entidade de serviço pode, então, usar seu próprio token de acesso pessoal do Databricks para criar tokens de acesso pessoais adicionais do Databricks para si mesma, como segue:

Observação

Você não pode usar a interface do usuário do Databricks para gerar access tokens pessoais do Databricks para entidades de serviço do Databricks. Este processo usa o Databricks CLI versão 0.205 ou acima para gerar um access token para uma entidade de serviço do Databricks. Se você ainda não tiver a CLI do Databricks instalada, consulte Instalar ou atualizar a CLI do Databricks.

Esse procedimento pressupõe que você já gerou o primeiro token de acesso pessoal do Databricks para a entidade de serviço do Databricks. Use esse token de acesso para configurar a CLI do Databricks para autenticar a entidade de serviço do Databricks para que possa gerar tokens de acesso adicionais para si mesmo. Consulte Autenticação de token de acesso pessoal do Databricks.

1. Use a CLI do Databricks para executar o comando a seguir, que gera outro token de acesso para a entidade de serviço do Databricks.

   executar o seguinte comando:

   databricks tokens create --comment <comment> --lifetime-seconds <lifetime-seconds> -p <profile-name>
   

   • --comment: Substitua <comment> por um comentário significativo sobre a finalidade do site access token. Se a opção --comment não for especificada, nenhum comentário será gerado.

   • --lifetime-seconds: Substitua <lifetime-seconds> pelo número de segundos pelo qual o access token é válido. Por exemplo, 1 dia equivale a 86.400 segundos. Se a opção --lifetime-seconds não for especificada, o site access token será definido para nunca expirar (não recomendado).

   • --profile-name: Substitua <profile-name> pelo nome de um perfil de configuração Databricks que contenha informações de autenticação para a Databricks entidade de serviço e o destino workspace. Se a opção -p não for especificada, a CLI do Databricks tentará localizar e usar um perfil de configuração denominado DEFAULT.

2. Na resposta, copie o valor de token_value, que é o token de acesso para a entidade de serviço do Databricks.

   Certifique-se de salvar o token copiado em um local seguro. Não compartilhe seu token copiado com outras pessoas. Se você perder o token copiado, não poderá gerar de novo exatamente o mesmo token. Em vez disso, você deverá repetir o procedimento para criar outro token.

   Se você não conseguir criar ou usar tokens no seu workspace, isso pode ser porque o administrador desativou os tokens ou não concedeu permissão para que você crie ou use tokens. Consulte o administrador do workspace ou o seguinte:

   • Ativar ou desativar a autenticação de access tokens pessoais para o workspace

   • Permissões de access token pessoal

Executar autenticação de access tokens pessoais do Databricks

Para configurar a autenticação de access tokens pessoais do Databricks, você deve definir as seguintes variáveis de ambiente associadas, campos .databrickscfg, campos Terraform ou campos Config :

• O host do Databricks, especificado como a URL do workspace do Databricks de destino, por exemplo https://1234567890123456.7.gcp.databricks.com.

• O token de acesso pessoal do Databricks para a conta de usuário do Databricks.

Para executar a autenticação de access token pessoal do Databricks, integre o seguinte em seu código, com base na ferramenta ou SDK participante:

Para usar a variável de ambiente para um tipo específico de autenticação Databricks com uma ferramenta ou SDK, consulte Autenticar o acesso a Databricks recurso ou a documentação da ferramenta ou SDK. Consulte também variável de ambiente e campos para autenticação unificada de cliente e os métodos padrão para autenticação unificada de cliente.

Defina as seguintes variáveis de ambiente:

• DATABRICKS_HOST, definido como a URL do workspace do Databricks, por exemplo https://1234567890123456.7.gcp.databricks.com.

• DATABRICKS_TOKENdefinido como as cadeias de tokens.

Crie ou identifique um perfil de configuração do Databricks com os seguintes campos em seu arquivo .databrickscfg. Se você criar o perfil, substitua os espaços reservados pelos valores apropriados. Para usar o perfil com uma ferramenta ou SDK, consulte Autenticar o acesso a Databricks recurso ou a documentação da ferramenta ou SDK. Consulte também variável de ambiente e campos para autenticação unificada de cliente e os métodos padrão para autenticação unificada de cliente.

Defina os seguintes valores no arquivo .databrickscfg . Neste caso, o host é o URL do workspace do Databricks, por exemplo https://1234567890123456.7.gcp.databricks.com:

[<some-unique-configuration-profile-name>]
host  = <workspace-url>
token = <token>

Em vez de definir manualmente os valores anteriores em seu arquivo .databrickscfg, você pode usar a CLI do Databricks para definir esses valores, da seguinte forma:

Observação

O procedimento a seguir usa o Databricks CLI para criar um perfil de configuração do Databricks com o nome DEFAULT. Se você já tiver um perfil de configuração DEFAULT, este procedimento sobrescreverá seu perfil de configuração DEFAULT existente.

Para verificar se você já tem um perfil de configuração DEFAULT e para ver as configurações desse perfil, se ele existir, use a CLI do Databricks para executar o comando databricks auth env --profile DEFAULT.

Para criar um perfil de configuração com um nome diferente de DEFAULT, substitua a parte DEFAULT de --profile DEFAULT no comando databricks configure a seguir por um nome diferente para o perfil de configuração.

1. Use o Databricks CLI para criar um perfil de configuração do Databricks com o nome DEFAULT que utiliza autenticação por access token pessoal do Databricks. Para fazer isso, execute o seguinte comando:

   databricks configure --profile DEFAULT
   

2. Para o prompt Databricks Host, insira o URL da instância do seu workspace do Databricks, por exemplo https://1234567890123456.7.gcp.databricks.com.

3. Para o prompt Access token pessoal, insira o access token pessoal do Databricks para seu workspace

Para a CLI do Databricks, execute o comando databricks configure. Nos prompts, insira as seguintes configurações:

• O host do Databricks, especificado como a URL do workspace do Databricks de destino, por exemplo https://1234567890123456.7.gcp.databricks.com.

• O token de acesso pessoal do Databricks para a conta de usuário do Databricks.

Para obter mais detalhes, consulte Autenticação de access token pessoal do Databricks.

Observação

A autenticação do access token pessoal da Databricks é compatível com as seguintes versões do Databricks Connect:

• Para Python, Databricks Connect for Databricks Runtime 13.3 LTS e acima.

• Para Scala, Databricks Connect para Databricks Runtime 13.3 LTS e acima.

Para o Databricks Connect, você pode usar a CLI do Databricks para definir os valores em seu arquivo .databrickscfg, para operações no nível do workspace do Databricks, conforme especificado na seção “Perfil” deste artigo, da seguinte forma:

Observação

O procedimento a seguir usa o Databricks CLI para criar um perfil de configuração do Databricks com o nome DEFAULT. Se você já tiver um perfil de configuração DEFAULT, este procedimento sobrescreverá seu perfil de configuração DEFAULT existente.

Para verificar se você já tem um perfil de configuração DEFAULT e para ver as configurações desse perfil, se ele existir, use a CLI do Databricks para executar o comando databricks auth env --profile DEFAULT.

Para criar um perfil de configuração com um nome diferente de DEFAULT, substitua a parte DEFAULT de --profile DEFAULT no comando databricks configure como mostrado na etapa seguinte, com um nome diferente para o perfil de configuração.

1. Use o Databricks CLI para criar um perfil de configuração do Databricks com o nome DEFAULT que utiliza autenticação por access token pessoal do Databricks. Para fazer isso, execute o seguinte comando:

   databricks configure --configure-cluster --profile DEFAULT
   

2. Para o prompt Databricks Host, insira o URL da instância do seu workspace do Databricks, por exemplo https://1234567890123456.7.gcp.databricks.com.

3. Para o prompt Access token pessoal, insira o access token pessoal do Databricks para seu workspace

4. Na lista de clusters disponíveis, use as teclas de seta para cima e para baixo para selecionar o cluster Databricks alvo no seu workspace, e então pressione Enter. Você também pode digitar qualquer parte do nome de exibição do cluster para filtrar a lista de clusters disponíveis.

Outras abordagens suportadas para o Databricks Connect incluem o seguinte:

• Defina manualmente os valores no seu arquivo .databrickscfg para operações no nível do workspace do Databricks, conforme especificado na seção “Perfil” deste artigo. Defina também a variável de ambiente cluster_id no seu perfil para o URL da instância do seu workspace, por exemplo https://1234567890123456.7.gcp.databricks.com.

• Defina as variáveis de ambiente para operações no nível do workspace do Databricks, conforme especificado na seção “Ambiente” deste artigo. Defina também a variável de ambiente DATABRICKS_CLUSTER_ID para o URL da instância do seu workspace, por exemplo https://1234567890123456.7.gcp.databricks.com.

Os valores em seu arquivo .databrickscfg sempre têm precedência sobre as variáveis de ambiente.

Para inicializar o cliente do Databricks Connect com essas variáveis de ambiente ou valores em seu arquivo .databrickscfg , confira um dos seguintes procedimentos:

• Para Python, consulte Configurar propriedades de conexão para Python.

• Para o Scala, consulte Configurar propriedades de conexão para o Scala.

Para a extensão Databricks para Visual Studio Code, faça o seguinte:

1. Defina os valores em seu arquivo .databrickscfg para operações no nível do workspace do Databricks, conforme especificado na seção “Perfil” deste artigo.

2. No painel Configuração da extensão Databricks para Visual Studio Code, clique em Configurar Databricks.

3. Na Paleta de comando, para Host do Databricks, insira a URL do workspace, por exemplo, https://1234567890123456.7.gcp.databricks.come pressione Enter.

4. Na Paleta de comando, selecione o nome do perfil de destino na lista do URL.

Para obter mais detalhes, consulte Configuração de autenticação para a extensão do Databricks para Visual Studio Code.

Para autenticação default:

provider "databricks" {
  alias = "workspace"
}

Para configuração direta (substitua os placeholders do retrieve por sua própria implementação para recuperar os valores do console ou algum outro armazenamento de configuração, como o HashiCorp Vault. Consulte também Provedor de Vault). Neste caso, o host é a URL do workspace do Databricks, por exemplo https://1234567890123456.7.gcp.databricks.com:

provider "databricks" {
  alias = "workspace"
  host  = <retrieve-workspace-url>
  token = <retrieve-token>
}

Para obter mais informações sobre autenticação com o provedor Databricks Terraform, consulte Autenticação.

Para autenticação default:

from databricks.sdk import WorkspaceClient

w = WorkspaceClient()
# ...

Para configuração direta (substitua os espaços reservados retrieve pela sua própria implementação para extrair os valores do console ou de algum outro armazenamento de configuração, como o Google Cloud Secret Manager). Nesse caso, o host é o URL do workspace do Databricks, por exemplo, https://1234567890123456.7.gcp.databricks.com:

from databricks.sdk import WorkspaceClient

w = WorkspaceClient(
  host  = retrieve_workspace_url(),
  token = retrieve_token()
)
# ...

Para obter mais informações sobre autenticação com ferramentas e SDKs do Databricks que usam Python e que implementam autenticação unificada do cliente Databricks, consulte:

• Configurar o cliente Databricks Connect para Python

• Configuração de autenticação para a extensão Databricks para Visual Studio Code

• Autentique o SDK do Databricks para Python com sua account ou workspace do Databricks

Para autenticação default:

import com.databricks.sdk.WorkspaceClient;
// ...
WorkspaceClient w = new WorkspaceClient();
// ...

Para configuração direta (substitua os espaços reservados retrieve pela sua própria implementação para extrair os valores do console ou de algum outro armazenamento de configuração, como o Google Cloud Secret Manager). Nesse caso, o host é o URL do workspace do Databricks, por exemplo, https://1234567890123456.7.gcp.databricks.com:

import com.databricks.sdk.WorkspaceClient;
import com.databricks.sdk.core.DatabricksConfig;
// ...
DatabricksConfig cfg = new DatabricksConfig()
  .setHost(retrieveWorkspaceUrl())
  .setToken(retrieveToken());
WorkspaceClient w = new WorkspaceClient(cfg);
// ...

Para obter mais informações sobre autenticação com ferramentas e SDKs do Databricks que usam Java e que implementam autenticação unificada do cliente Databricks, consulte:

• Configure o cliente Databricks Connect para Scala (o cliente Databricks Connect para Scala usa o SDK do Databricks para Java incluído para autenticação)

• Autentique o SDK do Databricks para Java com sua account ou workspace do Databricks

Para autenticação default:

import (
  "github.com/databricks/databricks-sdk-go"
)
// ...
w := databricks.Must(databricks.NewWorkspaceClient())
// ...

Para configuração direta (substitua os espaços reservados retrieve pela sua própria implementação para extrair os valores do console ou de algum outro armazenamento de configuração, como o Google Cloud Secret Manager). Nesse caso, o host é o URL do workspace do Databricks, por exemplo, https://1234567890123456.7.gcp.databricks.com:

import (
  "github.com/databricks/databricks-sdk-go"
)
// ...
w := databricks.Must(databricks.NewWorkspaceClient(&databricks.Config{
  Host:  retrieveWorkspaceUrl(),
  Token: retrieveToken(),
}))
// ...

Para mais informações sobre autenticação com ferramentas e SDKs do Databricks que usam Go e implementam autenticação unificada do cliente Databricks, veja Autentique o SDK do Databricks para Go com sua account ou workspace do Databricks.