Terraform을 사용하여 서비스 주체 프로비저닝
참고 항목
대신 Azure Portal 및 Azure Databricks 사용자 인터페이스를 사용하여 Microsoft Entra ID 관리 서비스 주체를 프로비전하려면 서비스 주체 관리를 참조하세요.
Azure 리소스에 대한 관리 ID는 Azure Databricks가 인증을 지원하는 Microsoft Entra ID 관리 서비스 주체와 다릅니다. Azure Databricks 인증을 위해 Microsoft Entra ID 관리 서비스 주체 대신 Azure 리소스에 대한 관리 ID를 사용하는 방법을 알아보려면 Azure Databricks 자동화에 대한 Azure 관리 ID 인증 설정 및 사용을 참조하세요.
서비스 주체는 스크립트, 앱 및 CI/CD 플랫폼 같은 자동화된 도구 및 시스템을 위한 ID입니다. Databricks는 Azure Databricks 사용자 계정 및 개인용 액세스 토큰 대신 서비스 주체와 해당 OAuth 토큰 또는 개인용 액세스 토큰을 사용하는 것이 좋습니다. 이점은 다음과 같습니다.
- 사용자와 독립적으로 리소스에 대한 액세스 권한 부여 및 제한.
- 사용자가 자신의 액세스 토큰을 더 잘 보호할 수 있도록 합니다.
- 다른 사용자에게 영향을 주지 않고 서비스 주체를 사용 안 하거나 삭제합니다.
- 서비스 주체에 영향을 주지 않고 조직을 떠날 때 사용자를 제거합니다.
이 지침에 따라 Terraform을 사용하여 Azure에서 Microsoft Entra ID 관리 서비스 주체를 만들고, Databricks Terraform 공급자를 사용하여 Microsoft Entra ID 서비스 주체를 Azure Databricks 작업 영역에 연결한 다음, 필요에 따라 서비스 주체에 대한 Microsoft Entra ID 토큰 또는 Azure Databricks OAuth 토큰을 만듭니다.
요구 사항
- Terraform CLI. Terraform 다운로드를 참조하세요.
az login
명령을 실행하여 대상 Microsoft Entra ID 구독에 로그인한 Azure CLI. Microsoft Entra ID 서비스 주체를 사용하여 로그인하려면 Microsoft Entra ID 서비스 주체를 사용하여 Azure CLI 로그인을 참조하세요. Azure Databricks 사용자 계정을 사용하여 로그인하려면 Azure Databricks 사용자 계정으로 Azure CLI 로그인을 참조 하세요.
1단계: 서비스 주체 만들기
Microsoft Entra ID 관리 서비스 주체를 이미 사용할 수 있는 경우 2단계로 건너뜁니다.
터미널에 빈 디렉터리를 만든 다음, 해당 디렉터리로 전환합니다. (Terraform 구성 파일의 각 개별 세트는 자체 디렉터리에 있어야 합니다.) 예:
mkdir terraform_azure_service_principal_demo && cd terraform_azure_service_principal_demo
.mkdir terraform_azure_service_principal_demo && cd terraform_azure_service_principal_demo
이 빈 디렉터리에서
main.tf
라는 파일을 만듭니다. 다음 콘텐츠를 이 파일에 추가한 다음, 파일을 저장합니다.variable "azure_service_principal_display_name" { description = "A display name for the <entra-service-principal>." type = string } terraform { required_providers { azuread = { source = "hashicorp/azuread" } } } provider "azurerm" { features {} } resource "azuread_application" "this" { display_name = var.azure_service_principal_display_name } resource "azuread_service_principal" "this" { application_id = azuread_application.this.application_id } resource "time_rotating" "month" { rotation_days = 30 } resource "azuread_service_principal_password" "this" { service_principal_id = azuread_service_principal.this.object_id rotate_when_changed = { rotation = time_rotating.month.id } } output "azure_client_id" { description = "The Azure AD service principal's application (client) ID." value = azuread_application.this.application_id } output "azure_client_secret" { description = "The Azure AD service principal's client secret value." value = azuread_service_principal_password.this.value sensitive = true }
동일한 디렉터리에
terraform.tfvars
라는 파일을 만듭니다. 이 파일에 다음 콘텐츠를 추가하고 다음 값을 바꾼 다음, 파일을 저장합니다.azure_service_principal_display_name
값을 Microsoft Entra ID 서비스 주체의 표시 이름으로 바꿉니다.
azure_service_principal_display_name = "<A display name for the <entra-service-principal>>"
terraform init
명령을 실행하여main.tf
파일이 포함된 작업 디렉터리를 초기화합니다. 자세한 내용은 Terraform 웹 사이트의 명령: init를 참조하세요.terraform init
terraform validate
명령을 실행하여 구성에 구문 오류가 있는지 확인합니다. 자세한 내용은 Terraform 웹 사이트의 명령: validate를 참조하세요.terraform validate
terraform apply
명령을 실행하여 원하는 구성 상태에 도달하는 데 필요한 변경 사항을 적용합니다. 자세한 내용은 Terraform 웹 사이트의 명령: apply을 참조하세요.terraform apply
서비스 주체를 만든 후 나중에 필요하므로 azure_client_id
및 azure_client_secret
출력 값을 복사합니다.
azure_client_secret
값을 가져오려면 main.tf
파일이 포함된 작업 디렉터리에 있는 terraform.tfstate
파일의 outputs.client_secret.value
값을 참조하세요.
2단계: Azure Databricks 작업 영역에 서비스 주체 추가
참고 항목
다음 콘텐츠는 Azure Databricks 작업 영역 수준에서 서비스 주체를 추가합니다. Azure Databricks 작업 영역이 ID 페더레이션에 사용하도록 설정된 경우 다음 콘텐츠는 서비스 주체를 관련 Azure Databricks 계정과 자동으로 동기화합니다.
터미널에 빈 디렉터리를 만든 다음, 해당 디렉터리로 전환합니다. Terraform 구성 파일의 각 개별 세트는 자체 디렉터리에 있어야 합니다. 예:
mkdir terraform_databricks_service_principal_demo && cd terraform_databricks_service_principal_demo
mkdir terraform_databricks_service_principal_demo && cd terraform_databricks_service_principal_demo
이 빈 디렉터리에서
main.tf
라는 파일을 만듭니다. 다음 콘텐츠를 이 파일에 추가한 다음, 파일을 저장합니다.variable "databricks_host" { description = "The Azure Databricks workspace URL." type = string } variable "azure_client_id" { type = string description = "The application (client) ID of the <entra-service-principal> to link to an Azure Databricks service principal. This application (client) ID will be the application ID of the Azure Databricks service principal." } variable "databricks_service_principal_display_name" { type = string description = "A workspace display name for the Azure Databricks service principal." } terraform { required_providers { databricks = { source = "databricks/databricks" } } } provider "databricks" { host = var.databricks_host } resource "databricks_service_principal" "sp" { application_id = var.azure_client_id display_name = var.databricks_service_principal_display_name } output "databricks_service_principal_application_id" { value = databricks_service_principal.sp.application_id description = "Application ID of the Azure Databricks service principal." } output "databricks_service_principal_display_name" { value = databricks_service_principal.sp.display_name description = "Workspace display name of the Azure Databricks service principal." } output "databricks_workspace_service_principal_id" { value = databricks_service_principal.sp.id description = "Workspace ID of the Azure Databricks service principal. This ID is generated by Azure Databricks for this workspace." }
참고 항목
이 서비스 주체를 그룹에 추가하고 이 서비스 주체에 권한을 추가하려면 Terraform 웹 사이트의 databricks_service_principal을 참조하세요.
동일한 디렉터리에
terraform.tfvars
라는 파일을 만듭니다. 이 파일에 다음 콘텐츠를 추가하고 다음 값을 바꾼 다음, 파일을 저장합니다.databricks_host
값을 Azure Databricks 작업 영역의 URL로 바꿉니다.azure_client_id
값을 1단계의azure_client_id
값으로 바꿉니다.databricks_service_principal_display_name
값을 Azure Databricks 서비스 주체의 작업 영역 표시 이름으로 바꿉니다.
databricks_host = "<The Azure Databricks workspace URL, starting with https://>" azure_client_id = "<The Azure client ID of the Azure Active AD service principal>" databricks_service_principal_display_name = "<A workspace display name for the Azure Databricks service principal>"
terraform init
명령을 실행하여main.tf
파일이 포함된 작업 디렉터리를 초기화합니다. 자세한 내용은 Terraform 웹 사이트의 명령: init를 참조하세요.terraform init
terraform validate
명령을 실행하여 구성에 구문 오류가 있는지 확인합니다. 자세한 내용은 Terraform 웹 사이트의 명령: validate를 참조하세요.terraform validate
terraform apply
명령을 실행하여 원하는 구성 상태에 도달하는 데 필요한 변경 사항을 적용합니다. 자세한 내용은 Terraform 웹 사이트의 명령: apply을 참조하세요.terraform apply
서비스 주체를 만든 후 서비스 주체에 대한 Microsoft Entra ID 토큰을 만드는 데 필요하므로 databricks_service_principal_application_id
출력 값을 복사합니다.
(선택 사항) 3단계: Microsoft Entra ID 서비스 주체에 대한 Microsoft Entra ID 액세스 토큰 만들기
Databricks에서는 Microsoft Entra ID 서비스 주체에 대한 Microsoft Entra ID 토큰을 수동으로 만들지 않는 것이 좋습니다. 각 Microsoft Entra ID 토큰의 유효 기간은 짧으며 일반적으로 1시간 이내에 만료됩니다. 이 기간이 지나면 수동으로 Microsoft Entra ID 토큰을 생성하여 바꿔야 합니다. 대신 Databricks 클라이언트 통합 인증 표준을 구현하는 참여 도구 또는 SDK 중 하나를 사용하세요. 이러한 도구 및 SDK는 다음 Databricks 인증 유형을 활용하여 만료된 Microsoft Entra ID 토큰을 자동으로 생성하고 대체합니다.
Microsoft Entra ID 서비스 주체에 대한 Microsoft Entra ID 토큰을 수동으로 만들어야 하는 경우 다음 정보를 수집한 다음, Microsoft ID 플랫폼 REST API를 사용하여 Microsoft Entra ID 액세스 토큰 가져오기 또는 Azure CLI를 사용하여 Microsoft Entra ID 액세스 토큰 가져오기의 지침을 따릅니다.
- 지침에서 테넌트 ID/디렉터리(테넌트) ID /
<tenant-id>
로 사용할 Microsoft Entra ID 서비스 주체의 테넌트 ID. 테넌트 ID를 가져오려면 Azure Portal에서 서비스 주체 프로비저닝을 참조하세요. - 지침에서 클라이언트 ID/애플리케이션(클라이언트) ID /
<client-id>
로 사용할 2단계의databricks_service_principal_application_id
값 - 지침에서 클라이언트 암호/값 /
<client-secret>
으로 사용할 1단계의azure_client_secret
값
Microsoft Entra ID 토큰을 만든 후 이를 스크립트, 앱 또는 시스템에 제공하는 데 필요한 access_token
값을 복사합니다.
(선택 사항) 4단계: Microsoft Entra ID 서비스 주체용 Azure Databricks OAuth 토큰 만들기
Databricks에서는 Microsoft Entra ID 관리 서비스 주체에 대한 Azure Databricks OAuth 토큰을 수동으로 만들지 않는 것이 좋습니다. 이것은 각 Azure Databricks OAuth 토큰의 유효 기간은 짧으며 일반적으로 한 시간 이내에 만료되기 때문입니다. 이 기간이 지나면 수동으로 대체 Azure Databricks OAuth 토큰을 생성해야 합니다. 대신 Databricks 클라이언트 통합 인증 표준을 구현하는 참여 도구 또는 SDK 중 하나를 사용하세요. 이러한 도구 및 SDK는 만료된 Azure Databricks OAuth 토큰을 자동으로 생성하고 대체하며, OAuth(OAuth M2M)를 사용하여 서비스 주체를 사용하여 Azure Databricks에 대한 액세스 인증을 활용합니다.
Microsoft Entra ID 서비스 주체에 대한 Azure Databricks OAuth 토큰을 수동으로 만들어야 하는 경우 OAuth M2M 인증에 대한 액세스 토큰 수동 생성 및 사용을 참조하세요.