Provisionar uma entidade de serviço usando o Terraform

Uma service principal é uma identidade para ferramentas e sistemas automatizados, como scripts, aplicações e plataformas de CI/CD. O Databricks recomenda usar uma entidade de serviço e seu token OAuth ou token de acesso pessoal em vez de sua conta de usuário e token de acesso pessoal do Azure Databricks. Os benefícios incluem:

• Conceder e restringir o acesso a recursos independentemente de um utilizador.
• Permitindo que os usuários protejam melhor seus próprios tokens de acesso.
• Desativar ou excluir uma entidade de serviço sem afetar outros usuários.
• Remover um usuário quando ele sai da organização sem afetar nenhuma entidade de serviço.

Siga estas instruções para usar o Terraform para criar uma entidade de serviço gerenciado do Microsoft Entra ID no Azure, use o provedor Databricks Terraform para vincular a entidade de serviço do Microsoft Entra ID ao seu espaço de trabalho do Azure Databricks e, opcionalmente, crie um token Microsoft Entra ID ou token OAuth do Azure Databricks para a entidade de serviço.

Requisitos

• A CLI Terraform. Consulte Download Terraform.
• A CLI do Azure, conectada à assinatura de ID do Microsoft Entra de destino executando o az login comando. Para iniciar sessão com uma conta de utilizador ou entidade de serviço, consulte Iniciar sessão com a CLI do Azure.

Etapa 1: Criar a entidade de serviço

Se você já tiver uma entidade de serviço gerenciada do Microsoft Entra ID disponível, pule para a Etapa 2.

1. No seu terminal, crie um diretório vazio e, em seguida, mude para ele. (Cada conjunto separado de arquivos de configuração do Terraform deve estar em seu próprio diretório.) Por exemplo: mkdir terraform_azure_service_principal_demo && cd terraform_azure_service_principal_demo.

   mkdir terraform_azure_service_principal_demo && cd terraform_azure_service_principal_demo
   

2. Neste diretório vazio, crie um arquivo chamado main.tf. Adicione o seguinte conteúdo a este ficheiro e, em seguida, guarde o ficheiro.

   variable "azure_service_principal_display_name" {
     description = "A display name for the <entra-service-principal>."
     type        = string
   }
   
   terraform {
     required_providers {
       azuread = {
         source  = "hashicorp/azuread"
       }
     }
   }
   
   provider "azurerm" {
     features {}
   }
   
   resource "azuread_application" "this" {
     display_name = var.azure_service_principal_display_name
   }
   
   resource "azuread_service_principal" "this" {
     application_id = azuread_application.this.application_id
   }
   
   resource "time_rotating" "month" {
     rotation_days = 30
   }
   
   resource "azuread_service_principal_password" "this" {
     service_principal_id = azuread_service_principal.this.object_id
     rotate_when_changed  = { rotation = time_rotating.month.id }
   }
   
   output "azure_client_id" {
     description = "The Azure AD service principal's application (client) ID."
     value       = azuread_application.this.application_id
   }
   
   output "azure_client_secret" {
     description = "The Azure AD service principal's client secret value."
     value       = azuread_service_principal_password.this.value
     sensitive   = true
   }
   

3. No mesmo diretório, crie um arquivo chamado terraform.tfvars. Adicione o seguinte conteúdo a este ficheiro, substituindo o seguinte valor e, em seguida, guarde o ficheiro:

   • Substitua o azure_service_principal_display_name valor por um nome de exibição para a entidade de serviço Microsoft Entra ID.

   azure_service_principal_display_name = "<A display name for the <entra-service-principal>>"
   

4. Inicialize o diretório de trabalho que contém o main.tf arquivo executando o terraform init comando. Para obter mais informações, consulte Command: init no site da Terraform.

   terraform init
   

5. Verifique se há erros de sintaxe na configuração executando o terraform validate comando. Para obter mais informações, consulte Comando: validar no site do Terraform.

   terraform validate
   

6. Aplique as alterações necessárias para alcançar o estado desejado da configuração executando o terraform apply comando. Para obter mais informações, consulte Comando: aplicar no site da Terraform.

   terraform apply
   

Depois de criar a entidade de serviço, copie os valores de saída azure_client_id e azure_client_secret, pois precisará deles mais tarde.

Para obter o valor azure_client_secret, consulte o valor de outputs.client_secret.value no arquivo terraform.tfstate, que está no diretório de trabalho que contém o arquivo main.tf.

Etapa 2: Adicionar a entidade de serviço ao espaço de trabalho do Azure Databricks

1. No seu terminal, crie um diretório vazio e, em seguida, mude para ele. Cada conjunto separado de arquivos de configuração do Terraform deve estar em seu próprio diretório. Por exemplo: mkdir terraform_databricks_service_principal_demo && cd terraform_databricks_service_principal_demo.

   mkdir terraform_databricks_service_principal_demo && cd terraform_databricks_service_principal_demo
   

2. Neste diretório vazio, crie um arquivo chamado main.tf. Adicione o seguinte conteúdo a este ficheiro e, em seguida, guarde o ficheiro.

   variable "databricks_host" {
     description = "The Azure Databricks workspace URL."
     type = string
   }
   
   variable "azure_client_id" {
     type        = string
     description = "The application (client) ID of the <entra-service-principal> to link to an Azure Databricks service principal. This application (client) ID will be the application ID of the Azure Databricks service principal."
   }
   
   variable "databricks_service_principal_display_name" {
     type        = string
     description = "A workspace display name for the Azure Databricks service principal."
   }
   
   terraform {
     required_providers {
       databricks = {
         source = "databricks/databricks"
       }
     }
   }
   
   provider "databricks" {
     host = var.databricks_host
   }
   
   resource "databricks_service_principal" "sp" {
     application_id = var.azure_client_id
     display_name   = var.databricks_service_principal_display_name
   }
   
   output "databricks_service_principal_application_id" {
     value       = databricks_service_principal.sp.application_id
     description = "Application ID of the Azure Databricks service principal."
   }
   
   output "databricks_service_principal_display_name" {
     value       = databricks_service_principal.sp.display_name
     description = "Workspace display name of the Azure Databricks service principal."
   }
   
   output "databricks_workspace_service_principal_id" {
     value       = databricks_service_principal.sp.id
     description = "Workspace ID of the Azure Databricks service principal. This ID is generated by Azure Databricks for this workspace."
   }
   

   Nota

   Para adicionar este principal de serviço a grupos e adicionar direitos a este principal de serviço, consulte databricks_service_principal no site da Terraform.

3. No mesmo diretório, crie um arquivo chamado terraform.tfvars. Adicione o seguinte conteúdo a este ficheiro, substituindo os seguintes valores e, em seguida, guarde o ficheiro:

   • Substitua o databricks_host valor pela URL do espaço de trabalho do Azure Databricks.
   • Substitua o azure_client_id valor pelo azure_client_id valor da Etapa 1.
   • Substitua o databricks_service_principal_display_name valor por um nome de exibição de espaço de trabalho para a entidade de serviço do Azure Databricks.

   databricks_host                           = "<The Azure Databricks workspace URL, starting with https://>"
   azure_client_id                           = "<The Azure client ID of the Azure Active AD service principal>"
   databricks_service_principal_display_name = "<A workspace display name for the Azure Databricks service principal>"
   

4. Inicialize o diretório de trabalho que contém o main.tf arquivo executando o terraform init comando. Para obter mais informações, consulte Command: init no site da Terraform.

   terraform init
   

5. Verifique se há erros de sintaxe na configuração executando o terraform validate comando. Para obter mais informações, consulte Comando: validar no site do Terraform.

   terraform validate
   

6. Aplique as alterações necessárias para alcançar o estado desejado da configuração executando o terraform apply comando. Para obter mais informações, consulte Comando: aplicar no site da Terraform.

   terraform apply
   

Depois de criar a entidade de serviço, copie o valor de databricks_service_principal_application_id saída, pois você precisará dele para criar um token de ID do Microsoft Entra para a entidade de serviço.

(Opcional) Etapa 3: Criar um token de acesso do Microsoft Entra ID para uma entidade de serviço do Microsoft Entra ID

Se precisar criar manualmente um token de ID do Microsoft Entra para uma entidade de serviço do Microsoft Entra ID, recolha as seguintes informações e siga as instruções em Gerar um token:

• A ID do locatário para a entidade de serviço do Microsoft Entra ID, que você usará como ID do Locatário / ID / <tenant-id> nas instruções. Para obter a ID do inquilino, consulte Criar uma entidade de serviço.
• O databricks_service_principal_application_id valor da Etapa 2, que você usará como ID do Cliente / ID / <client-id> nas instruções.
• O azure_client_secret valor da Etapa 1, que você usará como o segredo do cliente / Valor / <client-secret> nas instruções.

Depois de criar o token de ID do Microsoft Entra, copie o access_token valor, pois você precisará fornecê-lo ao seu script, aplicativo ou sistema.

(Opcional) Etapa 4: Criar um token OAuth do Azure Databricks para uma entidade de serviço Microsoft Entra ID

Se você precisar criar manualmente um token OAuth do Azure Databricks para uma entidade de serviço Microsoft Entra ID, consulte Gerar manualmente tokens de acesso OAuth M2M.