이 페이지에서는 Azure Databricks CLI 및 REST API를 사용하여 Azure Databricks 리소스에 대한 액세스 권한을 부여하는 방법을 설명합니다. 다양한 권한 부여 방법, 사용 시기 및 사용 사례에 대한 인증을 구성하는 방법에 대해 설명합니다.
CLI 또는 REST API를 사용하여 Azure Databricks 리소스에 액세스하려면 적절한 권한이 있는 Azure Databricks 계정을 사용하여 인증해야 합니다. Azure Databricks 관리자 또는 관리자 권한이 있는 사용자가 계정을 구성합니다.
계정 및 API 유형
인증에 사용할 수 있는 두 가지 유형의 계정이 있습니다.
- 사용자 계정: 대화형 CLI 명령 및 API 호출의 경우
- 서비스 주체: 인간 상호 작용 없이 자동화된 CLI 명령 및 API 호출의 경우
MS Entra 서비스 주체를 사용하여 Azure Databricks 계정 또는 작업 영역에 대한 액세스 권한을 부여할 수 있습니다. Microsoft Entra 서비스 주체 인증 방법을 참조하세요. 그러나 Databricks는 액세스 토큰이 Databricks 전용 권한 부여에 더 강력하기 때문에 OAuth와 함께 Databricks 서비스 주체를 사용하는 것이 좋습니다.
Azure Databricks에는 서로 다른 인증 접근 방식이 필요한 두 가지 유형의 API가 있습니다.
- 계정 수준 API: 계정 소유자 및 관리자가 계정 콘솔 URL에서 호스트하는 데 사용할 수 있습니다. 계정 수준 API를 참조하세요.
- 작업 영역 수준 API: 작업 영역 사용자 및 관리자가 작업 영역 URL에서 호스트할 수 있습니다. 작업 영역 수준 API를 참조하세요.
권한 부여 방법
사용 사례에 가장 적합한 권한 부여 방법을 선택합니다. Azure Databricks 도구 및 SDK는 여러 권한 부여 방법을 지원하므로 시나리오에 가장 적합한 방법을 선택할 수 있습니다.
| Method | Description | 사용 사례 |
|---|---|---|
| Databricks OAuth 토큰 페더레이션 (권장) | 사용자 또는 서비스 주체에 대한 ID 공급자의 OAuth 토큰입니다. | Databricks 비밀을 관리하지 않고 Azure Databricks에 인증할 수 있습니다. |
| 서비스 주체용 Databricks OAuth(OAuth M2M) | 서비스 주체에 대한 수명이 짧은 OAuth 토큰입니다. | 완전 자동화 및 CI/CD 워크플로와 같은 무인 인증 시나리오입니다. |
| 사용자에 대한 OAuth(OAuth U2M) | 사용자에 대한 수명이 짧은 OAuth 토큰입니다. | 요청할 때 웹 브라우저를 사용하여 실시간으로 Azure Databricks에 인증하는 참가형 인증 시나리오입니다. |
| Azure 관리 서비스 ID 권한 부여 | Azure 관리 ID에 대한 Microsoft Entra ID 토큰입니다. | Azure 가상 머신과 같은 관리 ID를 지원하는 Azure 리소스에서만 사용합니다. |
| Microsoft Entra ID 서비스 주체 권한 부여 | Microsoft Entra ID 서비스 주체에 대한 Microsoft Entra ID 토큰입니다. | Microsoft Entra ID 토큰을 지원하고 관리 ID를 지원하지 않는 Azure DevOps와 같은 Azure 리소스에서만 사용합니다. |
| Azure CLI 권한 부여 | 사용자 또는 Microsoft Entra ID 서비스 주체에 대한 Microsoft Entra ID 토큰입니다. | Azure CLI를 사용하여 Azure 리소스 및 Azure Databricks에 대한 액세스 권한을 부여하는 데 사용합니다. |
| Microsoft Entra ID 사용자 권한 부여 | 사용자에 대한 Microsoft Entra ID 토큰입니다. | Microsoft Entra ID 토큰만 지원하는 Azure 리소스에서만 사용합니다. Databricks에서는 Azure Databricks 사용자에 대한 Microsoft Entra ID 토큰을 수동으로 만들지 않는 것이 좋습니다. |
통합 인증
Azure Databricks 통합 인증은 지원되는 모든 도구 및 SDK에서 인증을 구성하는 일관된 방법을 제공합니다. 이 방법은 표준 환경 변수 및 구성 프로필을 사용하여 자격 증명 값을 저장하므로 인증을 반복적으로 구성하지 않고 CLI 명령을 실행하거나 API를 호출할 수 있습니다.
통합 인증은 계정 유형을 다르게 처리합니다.
- 사용자 권한 부여: OAuth는 통합 인증을 지원하는 도구에 대한 액세스 토큰을 자동으로 만들고 관리합니다. OAuth를 사용하여 Azure Databricks에 대한 사용자 액세스 권한 부여를 참조하세요.
- 서비스 주체 권한 부여: OAuth에는 서비스 주체를 작업 영역에 할당한 후 Azure Databricks에서 제공하는 클라이언트 자격 증명(클라이언트 ID 및 비밀)이 필요합니다. OAuth를 사용하여 Azure Databricks에 대한 서비스 주체 액세스 권한 부여를 참조하세요.
OAuth 액세스 토큰을 사용하려면 Azure Databricks 작업 영역 또는 계정 관리자가 사용자 계정 또는 서비스 주체 CAN USE 에게 코드에서 액세스할 계정 및 작업 영역 기능에 대한 권한을 부여해야 합니다.
환경 변수
통합 인증을 구성하려면 다음 환경 변수를 설정합니다. 일부 변수는 사용자 및 서비스 주체 권한 부여에 모두 적용되는 반면 다른 변수는 서비스 주체에만 필요합니다.
| 환경 변수 | Description |
|---|---|
DATABRICKS_HOST |
Azure Databricks 계정 콘솔(https://accounts.azuredatabricks.net) 또는 Azure Databricks 작업 영역(https://{workspace-url-prefix}.azuredatabricks.net)의 URL입니다. 코드에서 수행하는 작업의 유형에 따라 선택합니다. |
DATABRICKS_ACCOUNT_ID |
Azure Databricks 계정 작업에 사용됩니다. Azure Databricks 계정 ID입니다. 이를 가져오려면 계정 ID 찾기를 참조하세요. |
DATABRICKS_CLIENT_ID |
(서비스 주체 OAuth만 해당) 서비스 주체를 만들 때 할당된 클라이언트 ID입니다. |
DATABRICKS_CLIENT_SECRET |
(서비스 주체 OAuth만 해당) 서비스 주체를 만들 때 생성한 클라이언트 암호입니다. |
환경 변수를 수동으로 설정하는 대신 클라이언트 컴퓨터의 Databricks 구성 프로필 (.databrickscfg)에서 정의하는 것이 좋습니다.
구성 프로필
Azure Databricks 구성 프로필에는 Azure Databricks 도구 및 SDK가 액세스 권한을 부여하는 데 필요한 설정 및 자격 증명이 포함되어 있습니다. 이러한 프로필은 사용할 도구, SDK, 스크립트 및 앱에 대한 로컬 클라이언트 파일(일반적으로 이름) .databrickscfg에 저장됩니다.
자세한 내용은 Azure Databricks 구성 프로필을 참조하세요.
타사 통합
타사 서비스 및 도구와 통합할 때 해당 서비스에서 제공하는 인증 메커니즘을 사용해야 합니다. 그러나 Azure Databricks는 공통 통합을 지원합니다.
- Databricks Terraform 공급자: Azure Databricks 사용자 계정을 사용하여 Terraform에서 Azure Databricks API에 액세스합니다. Terraform을 사용하여 서비스 주체 프로비저닝을 참조하세요.
- Git 공급자: GitHub, GitLab 및 Bitbucket은 Databricks 서비스 주체를 사용하여 Azure Databricks API에 액세스할 수 있습니다. CI/CD에 대한 서비스 주체를 참조하세요.
- 젠킨스: Databricks 서비스 주체를 사용하여 Azure Databricks API에 액세스합니다. Azure Databricks에서 Jenkins를 사용하는 CI/CD를 참조하세요.
- Azure DevOps: MS Entra ID 기반 서비스 주체를 사용하여 Azure Databricks API에 액세스합니다. Azure Databricks에서 Azure DevOps로 인증을 참조하세요.