서비스 주체 관리

  • 아티클

이 문서에서는 Azure Databricks 계정 및 작업 영역에 대한 서비스 주체를 만들고 관리하는 방법을 설명합니다.

Azure Databricks ID 모델에 대한 개요는 Azure Databricks ID를 참조 하세요.

서비스 주체에 대한 액세스를 관리하려면 인증 및 액세스 제어를 참조하세요.

서비스 주체란?

서비스 주체는 자동화된 도구, 작업 및 애플리케이션에 사용하기 위해 Azure Databricks에서 만드는 ID입니다. 서비스 주체는 Azure Databricks 리소스에 대한 자동화된 도구와 스크립트 API 전용 액세스를 제공하여 사용자 또는 그룹을 사용하는 것보다 강력한 보안을 제공합니다.

Azure Databricks 사용자와 동일한 방식으로 서비스 주체의 리소스 액세스 권한을 부여하고 제한할 수 있습니다. 이러한 기능으로 다음을 수행할 수 있습니다.

  • 서비스 주체 계정 관리자 및 작업 영역 관리자 역할을 부여합니다.
  • Unity 카탈로그를 사용하는 계정 수준에서 또는 작업 영역 수준에서 서비스 주체에게 데이터 액세스 권한을 부여합니다.
  • 작업 영역 admins 그룹을 포함하여 계정 수준과 작업 영역 수준 둘 다에서 그룹에 서비스 주체를 추가합니다.

Azure Databricks 사용자, 서비스 주체 및 그룹에게 서비스 주체를 사용할 수 있는 권한을 부여할 수도 있습니다. 이를 통해 사용자는 ID 대신 서비스 주체로 작업을 실행할 수 있습니다. 이렇게 하면 사용자가 조직을 떠나거나 그룹을 수정하는 경우 작업이 실패하지 않습니다.

Azure Databricks 사용자와 달리 서비스 주체는 API 전용 ID입니다. Azure Databricks UI에 액세스하는 데 사용할 수 없습니다.

Databricks는 ID 페더레이션을 위해 작업 영역을 사용하도록 설정하는 것이 좋습니다. ID 페더레이션을 사용하면 계정 콘솔에서 서비스 주체를 구성한 다음 특정 작업 영역에 대한 액세스를 할당할 수 있습니다. 이렇게 하면 Azure Databricks 관리 및 데이터 거버넌스가 간소화됩니다.

Important

2023년 11월 9일 이후에 계정을 만든 경우 ID 페더레이션은 기본적으로 모든 새 작업 영역에서 사용하도록 설정되며 사용하지 않도록 설정할 수 없습니다.

Databricks 및 Microsoft Entra ID(이전의 Azure Active Directory) 서비스 주체

서비스 주체는 Azure Databricks 관리 서비스 주체 또는 Microsoft Entra ID 관리 서비스 주체일 수 있습니다.

Azure Databricks 관리형 서비스 주체는 Databricks OAuth 인증 및 개인용 액세스 토큰을 사용하여 Azure Databricks에 인증할 수 있습니다. Microsoft Entra ID 관리형 서비스 주체는 Databricks OAuth 인증 및 Microsoft Entra ID 토큰을 사용하여 Azure Databricks에 인증할 수 있습니다. 서비스 주체의 인증에 대한 자세한 내용은 서비스 주체에 대한 토큰 관리를 참조하세요.

Azure Databricks 관리 서비스 주체는 Azure Databricks 내에서 직접 관리됩니다. Microsoft Entra ID 관리 서비스 주체는 추가 권한이 필요한 Microsoft Entra ID에서 관리됩니다. Databricks는 Azure Databricks 자동화를 위해 Azure Databricks 관리 서비스 주체를 사용하고 Azure Databricks 및 기타 Azure 리소스를 동시에 인증해야 하는 경우 Microsoft Entra ID 관리 서비스 주체를 사용하는 것이 좋습니다.

Azure Databricks 관리 서비스 주체를 만들려면 이 섹션을 건너뛰고 서비스 주체를 관리하고 사용할 수 있는 사용자를 계속 읽어 보세요.

Azure Databricks에서 Microsoft Entra ID 관리 서비스 주체를 사용하려면 관리자가 Azure에서 Microsoft Entra ID 애플리케이션을 만들어야 합니다. Microsoft Entra ID 관리 서비스 주체를 만들려면 다음 지침을 따릅니다.

  1. Azure Portal에 로그인합니다.

    참고 항목

    사용할 포털은 Microsoft Entra ID(이전의 Azure Active Directory) 애플리케이션이 Azure 퍼블릭 클라우드에서 실행되는지 또는 국가 또는 소버린 클라우드에서 실행되는지에 따라 다릅니다. 자세한 내용은 국가별 클라우드를 참조하세요.

  2. 여러 테넌트, 구독 또는 디렉터리에 액세스할 수 있는 경우 상단 메뉴에서 디렉터리 + 구독(필터가 있는 디렉터리) 아이콘을 클릭하여 서비스 주체를 프로비저닝할 디렉터리로 전환합니다.

  3. 검색 리소스, 서비스 및 문서에서 Microsoft Entra ID를 검색하고 선택합니다.

  4. + 추가를 클릭하고 앱 등록을 선택합니다.

  5. 이름에 애플리케이션의 이름을 입력합니다.

  6. 지원되는 계정 유형 섹션에서 이 조직 디렉터리의 계정만(단일 테넌트)을 선택합니다.

  7. 등록을 클릭합니다.

  8. 애플리케이션 페이지의 개요 페이지에서 Essentials 섹션의 다음 값을 복사합니다.

    • 애플리케이션(클라이언트) ID
    • 디렉터리(테넌트) ID

    Azure 등록된 앱 개요

  9. 클라이언트 비밀을 생성하려면 관리 내에서 인증서 및 비밀을 클릭합니다.

    참고 항목

    이 클라이언트 비밀을 사용하여 Azure Databricks를 사용하여 Microsoft Entra ID 서비스 주체를 인증하기 위한 Microsoft Entra ID 토큰을 생성합니다. Azure Databricks 도구 또는 SDK에서 Microsoft Entra ID 토큰을 사용할 수 있는지 여부를 확인하려면 도구 또는 SDK 설명서를 참조하세요.

  10. 클라이언트 암호 탭에서 새 클라이언트 암호를 클릭합니다.

    새 클라이언트 암호

  11. 클라이언트 암호 추가 창의 설명에 클라이언트 암호에 대한 설명을 입력합니다.

  12. 만료에 클라이언트 암호의 만료 기간을 선택한 다음, 추가를 클릭합니다.

  13. 이 클라이언트 암호는 애플리케이션의 비밀이므로 클라이언트 암호의 을 복사하여 안전한 위치에 저장합니다.

서비스 주체를 관리하고 사용할 수 있는 사람은 누구인가요?

Azure Databricks에서 서비스 주체를 관리하려면 계정 관리자 역할, 작업 영역 관리자 역할 또는 서비스 주체의 관리자 또는 사용자 역할 중 하나가 있어야 합니다.

  • 계정 관리자는 계정에 서비스 주체를 추가하고 관리자 역할을 할당할 수 있습니다. 또한 해당 작업 영역에서 ID 페더레이션을 사용하는 한 서비스 주체를 작업 영역에 할당할 수도 있습니다.
  • 작업 영역 관리자는 Azure Databricks 작업 영역에 서비스 주체를 추가하고, 작업 영역 관리자 역할을 할당하고, 클러스터를 만들거나 지정된 가상 사용자 기반 환경에 액세스하는 기능과 같은 작업 영역의 개체 및 기능에 대한 액세스를 관리할 수 있습니다.
  • 서비스 주체 관리자는 서비스 주체의 역할을 관리할 수 있습니다. 서비스 주체의 작성자는 서비스 주체 관리자가 됩니다. 계정 관리자는 계정의 모든 서비스 주체에 대한 서비스 주체 관리자입니다.

참고 항목

2023년 6월 13일 이전에 서비스 주체를 만든 경우 서비스 주체의 작성자는 기본적으로 서비스 주체 관리자 역할이 없습니다. 계정 관리자에게 서비스 주체 관리자 역할을 부여하도록 요청합니다.

  • 서비스 주체 사용자는 작업을 서비스 주체로 실행할 수 있습니다. 작업은 작업 소유자의 ID 대신 서비스 주체의 ID를 사용하여 실행됩니다. 자세한 내용은 서비스 주체로 작업 실행을 참조하세요.

서비스 주체 관리자 및 사용자 역할을 부여하는 방법에 대한 자세한 내용은 서비스 주체 관리를 위한 역할을 참조 하세요.

계정에서 서비스 주체 관리

계정 관리자는 계정 콘솔을 사용하여 Azure Databricks 계정에 서비스 주체를 추가할 수 있습니다.

계정 콘솔을 사용하여 계정에 서비스 주체 추가

서비스 주체는 Azure Databricks에서 만들거나 기존 Microsoft Entra ID(이전의 Azure Active Directory) 서비스 주체에서 연결할 수 있습니다. Databricks 및 Microsoft Entra ID(이전의 Azure Active Directory) 서비스 주체를 참조 하세요.

  1. 계정 관리자 권한으로 계정 콘솔에 로그인합니다.
  2. 사이드바에서 사용자 관리를 클릭합니다.
  3. 서비스 주체 탭에서 서비스 주체 추가를 클릭합니다.
  4. 관리에서 관리되는 Databricks 또는 Microsoft Entra ID를 선택합니다.
  5. Microsoft Entra ID 관리형을 선택한 경우 Microsoft Entra 애플리케이션 ID 아래에 서비스 주체의 애플리케이션(클라이언트) ID를 붙여넣습니다.
  6. 서비스 주체의 이름을 입력합니다.
  7. 추가를 클릭합니다.

서비스 주체에 계정 관리자 역할 할당

  1. 계정 관리자 권한으로 계정 콘솔에 로그인합니다.
  2. 사이드바에서 사용자 관리를 클릭합니다.
  3. 서비스 주체 탭에서 사용자 이름을 찾아 클릭합니다.
  4. 역할 탭에서 계정 관리자 또는 Marketplace 관리자를 켭니다.

계정 콘솔을 사용하여 작업 영역에 서비스 주체 할당

계정 콘솔을 사용하여 작업 영역에 사용자를 추가하려면 ID 페더레이션에 대해 작업 영역을 사용하도록 설정해야 합니다. 작업 영역 관리자는 작업 영역 관리자 설정 페이지를 사용하여 작업 영역에 서비스 주체를 할당할 수도 있습니다. 자세한 내용은 작업 영역 관리자 설정을 사용하여 작업 영역에 서비스 주체 추가를 참조 하세요.

  1. 계정 관리자 권한으로 계정 콘솔에 로그인합니다.
  2. 사이드바에서 작업 영역을 클릭합니다.
  3. 작업 영역 이름을 클릭합니다.
  4. 사용 권한 탭에서 사용 권한 추가를 클릭합니다.
  5. 서비스 주체를 검색하여 선택하고, 권한 수준(작업 영역 사용자 또는 관리자)을 할당하고, 저장을 클릭합니다.

계정 콘솔을 사용하여 작업 영역에서 서비스 주체 제거

계정 콘솔을 사용하여 작업 영역에서 서비스 주체를 제거하려면 ID 페더레이션에 작업 영역을 사용하도록 설정해야 합니다. 서비스 주체가 작업 영역에서 제거되면 서비스 주체는 더 이상 작업 영역에 액세스할 수 없지만 서비스 주체에 대한 사용 권한은 기본. 서비스 주체가 나중에 작업 영역에 다시 추가되면 이전 사용 권한을 다시 얻습니다.

  1. 계정 관리자로서 계정 콘솔에 로그인합니다.
  2. 사이드바에서 작업 영역을 클릭합니다.
  3. 작업 영역 이름을 클릭합니다.
  4. 권한 탭에서 서비스 주체를 찾습니다.
  5. 케밥 메뉴 서비스 주체 행의 맨 오른쪽에 있는 케밥 메뉴를 클릭하고 제거를 선택합니다.
  6. 확인 대화 상자에서 제거를 클릭합니다.

Azure Databricks 계정에서 서비스 주체 비활성화

계정 관리자는 Azure Databricks 계정에서 서비스 주체를 비활성화할 수 있습니다. 비활성화된 서비스 주체는 Azure Databricks 계정 또는 작업 영역에 인증할 수 없습니다. 그러나 모든 서비스 주체의 권한 및 작업 영역 개체는 변경되지 기본. 서비스 주체가 비활성화되면 다음이 적용됩니다.

  • 서비스 주체는 어떤 방법에서든 계정 또는 해당 작업 영역에 인증할 수 없습니다.
  • 서비스 주체가 생성한 토큰을 사용하는 애플리케이션 또는 스크립트는 더 이상 Databricks API에 액세스할 수 없습니다. 토큰은 다시 기본 서비스 주체가 비활성화되는 동안 인증하는 데 사용할 수 없습니다.
  • 서비스 주체가 소유한 클러스터가 다시 실행되고 기본.
  • 서비스 주체가 만든 예약된 작업은 새 소유자에게 할당되지 않는 한 실패합니다.

서비스 주체가 다시 활성화되면 동일한 권한으로 Azure Databricks에 로그인할 수 있습니다. Databricks는 서비스 주체를 제거하는 것이 파괴적인 작업이므로 서비스 주체를 제거하는 대신 계정에서 서비스 주체를 비활성화하는 것이 좋습니다. Azure Databricks 계정에서 서비스 주체 제거를 참조 하세요. 계정에서 서비스 주체를 비활성화하면 해당 서비스 주체도 해당 ID 페더레이션 작업 영역에서 비활성화됩니다.

계정 콘솔을 사용하여 사용자를 비활성화할 수 없습니다. 대신 계정 서비스 주체 API를 사용합니다. API를 사용하여 서비스 주체 비활성화를 참조하세요.

Azure Databricks 계정에서 서비스 주체 제거

계정 관리자는 Azure Databricks 계정에서 서비스 주체를 삭제할 수 있습니다. 작업 영역 관리자는 삭제할 수 없습니다. 계정에서 서비스 주체를 삭제하면 해당 작업 영역에서 해당 보안 주체도 제거됩니다.

Important

계정에서 서비스 주체를 제거하면 ID 페더레이션이 활성화되었는지 여부에 관계없이 해당 서비스 주체도 작업 영역에서 제거됩니다. 계정의 모든 작업 영역에 대한 액세스 권한을 잃지 않으려면 계정 수준 서비스 주체를 삭제하지 않는 것이 좋습니다. 서비스 주체를 삭제하면 다음과 같은 결과가 발생할 수 있습니다.

  • 서비스 주체가 생성한 토큰을 사용하는 애플리케이션 또는 스크립트는 더 이상 Databricks API에 액세스할 수 없습니다.
  • 서비스 주체가 소유한 작업이 실패합니다.
  • 서비스 주체가 소유한 클러스터 중지
  • 공유 실패를 방지하기 위해 서비스 주체가 만들고 소유자 자격 증명으로 실행으로 공유한 쿼리 또는 대시보드를 새 소유자에게 할당해야 합니다.

Microsoft Entra ID 서비스 주체가 계정에서 제거되면 서비스 주체는 더 이상 계정 또는 해당 작업 영역에 액세스할 수 없지만 서비스 주체에 대한 사용 권한은 기본. 서비스 주체가 나중에 계정에 다시 추가되면 이전 사용 권한을 다시 얻습니다.

계정 콘솔을 사용하여 서비스 주체를 제거하려면 다음을 수행합니다.

  1. 계정 관리자 권한으로 계정 콘솔에 로그인합니다.
  2. 사이드바에서 사용자 관리를 클릭합니다.
  3. 서비스 주체 탭에서 사용자 이름을 찾아 클릭합니다.
  4. 보안 주체 정보 탭의케밥 메뉴오른쪽 위 모서리에 있는 케밥 메뉴를 클릭하고 삭제를 선택합니다.
  5. 확인 대화 상자에서 삭제 확인을 클릭합니다.

작업 영역에서 서비스 주체 관리

작업 영역 관리자는 작업 영역 관리자 설정 페이지를 사용하여 작업 영역에서 서비스 주체를 관리할 수 있습니다.

작업 영역 관리자 설정을 사용하여 작업 영역에 서비스 주체 추가

서비스 주체는 Azure Databricks에서 만들거나 기존 Microsoft Entra ID(이전의 Azure Active Directory) 서비스 주체에서 연결할 수 있습니다. Databricks 및 Microsoft Entra ID(이전의 Azure Active Directory) 서비스 주체를 참조 하세요.

  1. 작업 영역 관리자로 Azure Databricks 작업 영역에 로그인합니다.

  2. Azure Databricks 작업 영역의 위쪽 표시줄에서 사용자 이름을 클릭하고 설정 선택합니다.

  3. ID 및 액세스 탭을 클릭합니다.

  4. 서비스 주체 옆에 있는 관리를 클릭합니다.

  5. 서비스 주체 추가를 클릭합니다.

  6. 작업 영역에 할당할 기존 서비스 주체를 선택하거나 새로 추가를 클릭하여 새 서비스 주체를 만듭니다.

    새 서비스 주체를 추가하려면 Databricks 관리 또는 Microsoft Entra ID 관리형을 선택합니다. Microsoft Entra ID 관리형을 선택하는 경우 서비스 주체에 대한 애플리케이션(클라이언트) ID를 붙여넣고 표시 이름을 입력합니다.

  7. 추가를 클릭합니다.

참고 항목

ID 페더레이션에 작업 영역을 사용하도록 설정하지 않으면 기존 계정 서비스 주체를 작업 영역에 할당할 수 없습니다.

작업 영역 관리자 설정 페이지를 사용하여 서비스 주체에 작업 영역 관리자 역할 할당

  1. 작업 영역 관리자로 Azure Databricks 작업 영역에 로그인합니다.
  2. Azure Databricks 작업 영역의 위쪽 표시줄에서 사용자 이름을 클릭하고 설정 선택합니다.
  3. ID 및 액세스 탭을 클릭합니다.
  4. 그룹 옆에 있는 관리를 클릭합니다.
  5. admins 시스템 그룹을 선택합니다.
  6. 구성원 추가를 클릭합니다.
  7. 서비스 주체를 선택하고 확인을 클릭합니다.

서비스 주체에서 작업 영역 관리자 역할을 제거하려면 관리 그룹에서 서비스 주체를 제거합니다.

Azure Databricks 작업 영역에서 서비스 주체 비활성화

작업 영역 관리자는 Azure Databricks 작업 영역에서 서비스 주체를 비활성화할 수 있습니다. 비활성화된 서비스 주체는 Azure Databricks API에서 작업 영역에 액세스할 수 없지만 모든 서비스 주체의 권한과 작업 영역 개체는 변경되지 기본. 서비스 주체가 비활성화된 경우:

  • 서비스 주체는 메서드에서 작업 영역에 인증할 수 없습니다.
  • 서비스 주체의 상태 작업 영역 관리자 설정 페이지에서 비활성으로 표시됩니다.
  • 서비스 주체가 생성한 토큰을 사용하는 애플리케이션 또는 스크립트는 더 이상 Databricks API에 액세스할 수 없습니다. 토큰은 다시 기본 서비스 주체가 비활성화되는 동안 인증하는 데 사용할 수 없습니다.
  • 서비스 주체가 소유한 클러스터가 다시 실행되고 기본.
  • 서비스 주체가 만든 예약된 작업을 새 소유자에게 할당하여 실패하지 않도록 해야 합니다.

서비스 주체가 다시 활성화되면 동일한 권한으로 작업 영역에 인증할 수 있습니다. Databricks는 서비스 주체를 제거하는 것이 파괴적인 작업이므로 서비스 주체를 제거하는 대신 비활성화하는 것이 좋습니다.

  1. 작업 영역 관리자로 Azure Databricks 작업 영역에 로그인합니다.
  2. Azure Databricks 작업 영역의 위쪽 표시줄에서 사용자 이름을 클릭하고 설정 선택합니다.
  3. ID 및 액세스 탭을 클릭합니다.
  4. 서비스 주체 옆에 있는 관리를 클릭합니다.
  5. 비활성화하려는 서비스 주체를 선택합니다.
  6. 상태 아래에서 검사 해제합니다.

서비스 주체를 활성으로 설정하려면 동일한 단계를 수행하지만 대신 검사box를 검사.

작업 영역 관리자 설정 페이지를 사용하여 작업 영역에서 서비스 주체 제거

작업 영역에서 서비스 주체를 제거해도 계정에서 서비스 주체가 제거되지는 않습니다. 계정에서 서비스 주체를 제거하려면 Azure Databricks 계정에서 서비스 주체 제거를 참조하세요.

서비스 주체가 작업 영역에서 제거되면 서비스 주체는 더 이상 작업 영역에 액세스할 수 없지만 서비스 주체에 대한 사용 권한은 기본. 서비스 주체가 나중에 작업 영역에 다시 추가되면 이전 사용 권한을 다시 얻습니다.

  1. 작업 영역 관리자로 Azure Databricks 작업 영역에 로그인합니다.
  2. Azure Databricks 작업 영역의 위쪽 표시줄에서 사용자 이름을 클릭하고 설정 선택합니다.
  3. ID 및 액세스 탭을 클릭합니다.
  4. 서비스 주체 옆에 있는 관리를 클릭합니다.
  5. 서비스 주체를 선택합니다.
  6. 오른쪽 위 모서리에서 삭제를 클릭합니다.
  7. 삭제를 클릭하여 확인합니다.

API를 사용하여 서비스 주체 관리

계정 관리자 및 작업 영역 관리자는 Databricks API를 사용하여 Azure Databricks 계정 및 작업 영역에서 서비스 주체를 관리할 수 있습니다. API를 사용하여 서비스 주체에서 역할을 관리하려면 Databricks CLI를 사용하여 서비스 주체 역할 관리를 참조하세요.

API를 사용하여 계정에서 서비스 주체 관리

관리 계정 서비스 주체 API를 사용하여 Azure Databricks 계정에서 서비스 주체를 추가하고 관리할 수 있습니다. 계정 관리자 및 작업 영역 관리자는 다른 엔드포인트 URL을 사용하여 API를 호출합니다.

  • 계정 관리자는 {account-domain}/api/2.0/accounts/{account_id}/scim/v2/를 사용합니다.
  • 작업 영역 관리자는 {workspace-domain}/api/2.0/account/scim/v2/를 사용합니다.

자세한 내용은 계정 서비스 주체 API를 참조하세요.

API를 사용하여 서비스 주체 비활성화

계정 관리자는 서비스 주체의 상태 false로 변경하여 계정 서비스 주체 API를 사용하여 서비스 주체를 비활성화할 수 있습니다.

예시:

curl --netrc -X PATCH \
https://${DATABRICKS_HOST}/api/2.0/accounts/{account_id}/scim/v2/ServicePrincipals/{id} \
--header 'Content-type: application/scim+json' \
--data @update-sp.json \
| jq .

update-sp.json:

{
  "schemas": [ "urn:ietf:params:scim:api:messages:2.0:PatchOp" ],
  "Operations": [
    {
      "op": "replace",
      "path": "active",
      "value": [
        {
          "value": "false"
        }
      ]
    }
  ]
}

비활성화된 서비스 주체의 상태 계정 콘솔에서 비활성으로 레이블이 지정됩니다. 계정에서 서비스 주체를 비활성화하면 해당 서비스 주체도 해당 작업 영역에서 비활성화됩니다.

API를 사용하여 작업 영역에서 서비스 주체 관리

계정 및 작업 영역 관리자는 작업 영역 할당 API를 사용하여 ID 페더레이션을 사용하도록 설정된 작업 영역에 서비스 주체를 할당할 수 있습니다. 작업 영역 할당 API는 Azure Databricks 계정 및 작업 영역을 통해 지원됩니다.

  • 계정 관리자는 {account-domain}/api/2.0/accounts/{account_id}/workspaces/{workspace_id}/permissionassignments를 사용합니다.
  • 작업 영역 관리자는 {workspace-domain}/api/2.0/preview/permissionassignments/principals/{principal_id}를 사용합니다.

작업 영역 할당 API를 참조하세요.

작업 영역이 ID 페더레이션에 사용하도록 설정되지 않은 경우 작업 영역 관리자는 작업 영역 수준 API를 사용하여 작업 영역에 서비스 주체를 할당할 수 있습니다. 작업 영역 서비스 주체 API를 참조하세요.

서비스 주체에 대한 토큰 관리

서비스 주체는 다음과 같이 Azure Databricks OAuth 토큰 또는 Azure Databricks 개인용 액세스 토큰을 사용하여 Azure Databricks의 API에 인증할 수 있습니다.

  • Azure Databricks OAuth 토큰을 사용하여 Azure Databricks 계정 수준 및 작업 영역 수준 API에 인증할 수 있습니다.
    • Azure Databricks 계정 수준에서 만든 Azure Databricks OAuth 토큰을 사용하여 Azure Databricks 계정 수준 및 작업 영역 수준 API에 인증할 수 있습니다.
    • Azure Databricks 작업 영역 수준에서 만든 Azure Databricks OAuth 토큰은 Azure Databricks 작업 영역 수준 API에만 인증하는 데 사용할 수 있습니다.
  • Azure Databricks 개인용 액세스 토큰은 Azure Databricks 작업 영역 수준 API에만 인증하는 데 사용할 수 있습니다.

서비스 주체는 Microsoft Entra ID(이전의 Azure Active Directory) 토큰을 사용하여 Azure Databricks의 API에 인증할 수도 있습니다.

서비스 주체에 대한 Databricks OAuth 인증 관리

계정 수준 및 작업 영역 수준 Databricks REST API에 인증하기 위해 계정 관리자는 서비스 주체에 Azure Databricks OAuth 토큰을 사용할 수 있습니다. 서비스 주체에 대한 클라이언트 ID 및 클라이언트 암호를 사용하여 OAuth 토큰을 요청할 수 있습니다. 자세한 내용은 OAuth M2M(컴퓨터 대 컴퓨터) 인증을 참조하세요.

서비스 주체에 대한 개인용 액세스 토큰 관리

서비스 주체를 Azure Databricks의 작업 영역 수준 API에만 인증하기 위해 서비스 주체는 다음과 같이 Databricks 개인용 액세스 토큰을 직접 만들 수 있습니다.

참고 항목

Azure Databricks 사용자 인터페이스를 사용하여 서비스 주체에 대한 Azure Databricks 개인용 액세스 토큰을 생성할 수 없습니다. 이 프로세스에서는 Databricks CLI 버전 0.205 이상을 사용하여 서비스 주체에 대한 액세스 토큰을 생성합니다. Databricks CLI가 아직 설치되어 있지 않은 경우 Databricks CLI 설치 또는 업데이트를 참조하세요.

이 절차에서는 OAuth M2M(컴퓨터 대 머신) 인증 또는 Microsoft Entra ID 서비스 주체 인증을 사용하여 서비스 주체를 인증하기 위한 Databricks CLI를 설정하여 Azure Databricks 개인용 액세스 토큰을 자체 생성한다고 가정합니다. OAuth M2M(컴퓨터-컴퓨터) 인증 또는 Microsoft Entra ID 서비스 주체 인증을 참조하세요.

  1. Databricks CLI를 사용하여 서비스 주체에 대한 다른 액세스 토큰을 생성하는 다음 명령을 실행합니다.

    다음 명령에서 다음 자리 표시자를 바꿉다.

    • 필요에 따라 액세스 토큰의 목적에 대한 의미 있는 주석으로 바꿉 <comment> 니다. --comment 옵션을 지정하지 않으면 주석이 생성되지 않습니다.
    • 필요에 따라 액세스 토큰이 유효한 시간(초)으로 바꿉 <lifetime-seconds> 다. 예를 들어 1일은 86400초입니다. --lifetime-seconds 옵션을 지정하지 않으면 액세스 토큰이 만료되지 않도록 설정됩니다(권장되지 않음).
    • 필요에 따라 서비스 주체 및 대상 작업 영역에 대한 인증 정보가 포함된 Azure Databricks 구성 프로필의 이름으로 바꿉 <profile-name> 니다. -p 옵션을 지정하지 않으면 Databricks CLI는 이름이 지정된 DEFAULT구성 프로필을 찾아 사용하려고 시도합니다.
    databricks tokens create --comment <comment> --lifetime-seconds <lifetime-seconds> -p <profile-name>

  2. 응답에서 서비스 주체에 token_value대한 액세스 토큰인 값을 복사합니다.

    복사한 토큰을 안전한 위치에 저장합니다. 복사한 토큰을 다른 사용자와 공유하지 마세요. 복사한 토큰을 분실하면 정확히 동일한 토큰을 다시 생성할 수 없습니다. 대신 이 프로시저를 반복하여 새 토큰을 만들어야 합니다.

    작업 영역에서 토큰을 만들거나 사용할 수 없는 경우 작업 영역 관리자가 토큰을 사용하지 않도록 설정했거나 토큰을 만들거나 사용할 수 있는 권한을 부여하지 않았기 때문일 수 있습니다. 작업 영역 관리자 또는 다음을 참조하세요.

서비스 주체에 대한 Microsoft Entra ID(이전의 Azure Active Directory) 인증 관리

Microsoft Entra ID 관리 서비스 주체만 Microsoft Entra ID 토큰을 사용하여 API에 인증할 수 있습니다. Microsoft Entra ID 액세스 토큰 을 만들려면 서비스 주체에 대한 Microsoft Entra ID(이전의 Azure Active Directory) 토큰 가져오기를 참조하세요.

Microsoft Entra ID 액세스 토큰을 사용하여 토큰 API를 호출하여 서비스 주체에 대한 Databricks 개인용 액세스 토큰을 만들 수 있습니다.