Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Приложения Databricks могут интегрироваться с различными функциями платформы Azure Databricks, такими как Databricks SQL для запроса данных, Задания Lakeflow для приема и обработки данных, Мозаичная модель ИИ, обслуживающая созданные модели ИИ, и Azure Databricks секреты для управления конфиденциальной информацией. В контексте приложений эти функции платформы называются ресурсами.
Зачем использовать ресурсы?
Чтобы обеспечить переносимые и безопасные приложения, избегайте идентификаторов ресурсов жесткого кода. Например, вместо внедрения фиксированного идентификатора хранилища SQL в код приложения настройте хранилище SQL в качестве ресурса с помощью пользовательского интерфейса Databricks Apps.
Использование ресурсов Databricks Apps вместо прямых вызовов API имеет несколько преимуществ:
- Автоматически управляет учетными данными и разрешениями, что устраняет необходимость ручной обработки токенов в вашем коде.
- Автоматически обрабатывает пути ресурсов, конечные точки и сведения о подключении.
- Обеспечивает безопасный управляемый доступ, а не требует самостоятельно управляемых учетных данных для прямых вызовов API.
- Сохраняет приложения переносимыми между средами без изменений кода.
Поддерживаемые типы ресурсов
В следующей таблице перечислены все типы ресурсов, которые можно добавить в приложение Databricks:
| Тип ресурса | Description | Ключ ресурса по умолчанию | Доступные разрешения |
|---|---|---|---|
| Приложение Databricks | Взаимодействие между приложениями и вызов | app |
|
| Пространство Genie | Интерфейс аналитики с использованием искусственного интеллекта для запросов естественного языка | genie-space |
|
| База данных Lakebase | База данных PostgreSQL для хранения данных и запроса |
postgres (Автомасштабирование Lakebase), database (Подготовлено Lakebase) |
|
| Задание Lakeflow | Рабочие процессы приема и обработки данных | job |
|
| Эксперименты MLflow | Наблюдение за приложениями ИИ, оценка и отслеживание экспериментов | experiment |
|
| Конечная точка обслуживания модели | Развертывание модели машинного обучения для запросов вывода | serving-endpoint |
|
| Секрет | Безопасное хранилище для конфиденциальных значений, таких как ключи и маркеры API | secret |
|
| Хранилище SQL | Вычислительные ресурсы для выполнения запросов SQL | sql-warehouse |
|
| Подключение каталога Unity | Управляемые подключения к внешним источникам данных | connection |
|
| Таблица каталога Unity | Структурированное хранилище данных с точным контролем доступа | table |
|
| Определяемая пользователем функция | Зарегистрированные функции SQL и Python в каталоге Unity | function |
|
| Объем каталога Unity | Хранилище файлов в Unity Catalog для артефактов и данных приложений | volume |
|
| Индекс векторного поиска | Семантический поиск и выборка на основе сходства из векторных эмбеддингов | vector-search-index |
|
Необходимые условия
Чтобы добавить ресурс в приложение, необходимо выполнить следующие условия:
- Ресурс должен существовать.
- Пользователь, добавляя ресурс, должен иметь
Can manageразрешение на ресурс и приложение.
Приложения выполняются с минимальными привилегиями и используют существующие ресурсы на платформе Azure Databricks. При развертывании служебная учетная запись приложения получает доступ к этим ресурсам и должна иметь необходимые разрешения, такие как доступ на уровне таблиц для запросов SQL или доступ на чтение к секретам. См. раздел "Настройка авторизации" в приложении Databricks.
Настройка ресурсов для приложения
Ресурсы позволяют приложению безопасно подключаться к службам, от которой он зависит, без жесткой кодировки конфиденциальных или определенных средой значений.
Добавьте ресурсы непосредственно в пользовательский интерфейс Databricks Apps при создании или изменении приложения.
- При создании или изменении приложения перейдите к шагу "Настройка ".
- В разделе "Ресурсы приложения" нажмите кнопку +Добавить ресурс.
- Выберите тип ресурса, который вы хотите добавить.
- Задайте разрешения для обслуживающего субъекта приложения на ресурсе.
- Назначьте ключ ресурсу и наведите ссылку на этот ключ в
app.yamlфайле.
Замечание
Если вы определяете приложение с помощью декларативных пакетов автоматизации, вы указываете ресурсы в YAML как часть конфигурации пакета вместо использования пользовательского интерфейса. См. раздел app.resources.
Управление доступом приложения к ресурсам
Каждое приложение имеет выделенный служебный принципал. Следуйте этим рекомендациям для безопасного управления доступом.
- Используйте учетную запись службы приложения для проверки подлинности. Никогда не закодируйте личные маркеры доступа (PATS) в коде. Учетные данные доступа автоматически внедряются в качестве переменных среды:
DATABRICKS_CLIENT_IDDATABRICKS_CLIENT_SECRET
- Не делитесь учетными данными субъекта-службы между приложениями или пользователями. Каждое приложение должно использовать собственные выделенные учетные данные для изоляции и безопасности.
- Примените минимальный доступ к привилегиям. Предоставьте только минимальные необходимые разрешения субъекту-службе приложения. Например:
- Предоставьте доступ к SQL-складу
CAN USE, если приложению нужно только выполнять запросы. - Предоставьте
CAN QUERYв конечной точке обработки, если приложение отправляет только запросы вывода. - Предоставьте
SELECTилиMODIFYдоступ к таблицам каталога Unity в зависимости от потребностей приложения в доступе к данным.
- Предоставьте доступ к SQL-складу
Дальнейшие шаги
После добавления ресурсов в приложение, используйте поле env для ссылки на эти ресурсы в разделе valueFrom конфигурации приложения. Инструкции см. в разделе "Определение переменных среды" в приложении Databricks. Для получения справочной информации о значении, к которому valueFrom приводит для каждого типа ресурса, смотрите справочник valueFrom.