管理服務主體

這篇文章解釋了如何創建和管理服務主體為磚和工作區。

磚的身份模式的概述,請參閱磚的身份和角色

服務主體是什麼?

創建的服務主體是一個身份在磚使用自動化工具,工作,和應用程序。服務主體提供自動化工具和腳本簡化純api訪問數據磚資源,提供更大的安全比使用用戶或組。

格蘭特和可以限製服務主體的資源訪問同樣的磚的用戶。例如,您可以執行以下操作:

  • 給一個服務主體賬戶管理和工作空間管理角色。

  • 給一個服務主體訪問數據,在帳戶級別使用統一目錄,或在工作空間的水平。

  • 添加一個服務主體賬戶和工作空間,包括工作空間管理員組。

你也可以授予磚用戶、服務主體和組權限使用服務主體。這允許用戶運行工作為服務主體,而不是自己的身份。這可以防止工作失敗如果用戶離開你的組織或一組修改。

與磚用戶,服務主體是一個簡化純api的身份;它不能用於訪問數據磚UI。

請注意

磚內服務主體進行管理。他們不集成穀歌雲服務帳戶

磚建議你使你的工作區聯合身份驗證所以你可以管理你的帳戶服務主體。如果你的工作不支持聯合身份驗證,您可以創建和管理使用工作空間層SCIM api服務主體。

添加一個服務主體磚賬戶

賬戶管理員可以添加服務主體磚賬戶使用帳戶控製台或SCIM(賬戶)API。

使用帳戶控製台服務主體添加到你的賬戶

添加一個服務主體的賬戶使用賬戶控製台:

  1. 作為一個賬戶管理,登錄到控製台。

  2. 在側邊欄中,單擊用戶管理

  3. 服務主體選項卡上,單擊添加服務主體

  4. 輸入一個名稱服務主體。

  5. 點擊添加

使用SCIM服務主體添加到您的帳戶(帳戶)API

賬戶管理員可以添加和管理服務主體在磚賬戶使用SCIM API的賬戶。

工作區管理員也可以創建和管理服務主體使用該API,但是他們必須使用不同的端點URL調用API:

  • 賬戶管理員使用accounts.gcp.www.eheci.com/api/2.0/accounts/ {account_id} / scim / v2 /

  • 工作空間管理員使用{workspace-domain} / api / 2.0 /賬戶/ scim / v2 /

詳情,請參閱賬戶組API

指定賬戶管理服務主體的權利

使用指定賬戶管理權利賬戶控製台,請執行以下操作:

  1. 作為一個賬戶管理,登錄到控製台。

    1. 在側邊欄中,單擊用戶管理

    2. 服務主體選項卡,找到並單擊用戶名。

    3. 角色選項卡,打開賬戶管理

你也可以指定帳戶使用admin角色組API

使用服務主體作為管理員帳戶,您必須生成Google ID標記。看到與穀歌身份驗證ID標記

從你的磚賬戶刪除服務主體

賬戶管理員可以刪除從磚帳戶服務主體。工作空間管理員不能。當你刪除一個服務主體的賬戶,主要也是從他們的工作區。

重要的

當你刪除一個服務主體的賬戶,服務主體也從他們的工作區,不管聯合身份驗證已啟用。我們建議您不要刪除帳戶級別服務主體,除非你想讓他們失去所有的工作區帳戶。注意以下刪除服務主體的後果:

  • 應用程序或腳本,使用生成的令牌服務主體將不再能夠訪問數據磚API

  • 工作屬於服務主體將會失敗

  • 集群所擁有的服務主體將會停止

  • 查詢或儀表板創建的服務主體和共享使用運行作為所有者憑證必須分配給新主人阻止分享失敗

刪除一個服務主體使用賬戶控製台,請執行以下操作:

  1. 作為一個賬戶管理,登錄到控製台。

  2. 在側邊欄中,單擊用戶管理

  3. 服務主體選項卡,找到並單擊用戶名。

  4. 主要信息選項卡上,單擊烤肉串菜單烤肉在右上角菜單並選擇刪除

  5. 在確認對話框中,單擊確認刪除

服務主體添加到工作區

賬戶管理員可以添加服務主體身份聯合工作區使用帳戶控製台和工作區任務API。

工作區管理員可以管理服務主體在工作區使用工作區管理設置頁麵,工作區任務API,和工作空間層SCIM (ServicePrincipals) API。

分配一個工作區使用帳戶控製台服務主體

  1. 作為一個賬戶管理,登錄到賬戶控製台

  2. 在側邊欄中,單擊工作區

  3. 權限選項卡上,單擊添加權限

  4. 搜索和選擇服務主體,分配權限級別(工作區用戶管理),然後點擊保存

服務主體添加到工作區使用工作區管理設置

服務主體添加到工作區使用工作區管理設置頁麵,必須啟用工作區聯合身份驗證。

  1. 工作區管理,登錄到磚工作區。

  2. 點擊你的用戶名在酒吧的磚工作區並選擇管理設置

  3. 服務主體選項卡上,單擊添加服務主體

  4. 選擇一個已存在的服務主體分配到工作區或創建一個新的。

    創建一個新的服務主體,點擊搜索框,然後單擊下拉箭頭+添加新服務主體

請注意

如果沒有啟用您的工作區聯合身份驗證,你不能分配現有的賬戶服務主體工作區。

分配一個服務主體使用REST api工作區

REST api,您可以使用它們來分配服務主體啟用工作區取決於工作區聯合身份驗證:

  • 工作區為聯合身份驗證啟用:賬戶和工作區管理員可以使用工作區任務API服務主體分配到工作區。看到工作區任務API

  • 工作空間不支持聯合身份驗證:一個工作區管理可以使用工作空間層SCIM (ServicePrincipal) API服務主體分配給他們的工作空間。看到服務主體(SCIM) API

工作區管理權利分配給一個服務主體

你可以指定使用帳戶控製台工作區管理角色,工作區管理設置頁麵,或REST api。

工作區管理角色分配給一個服務主體使用帳戶控製台

使用帳戶控製台分配工作區管理角色,必須啟用工作區聯合身份驗證

  1. 作為一個賬戶管理,登錄到賬戶控製台

  2. 點擊工作空間的圖標工作區

  3. 權限選項卡,找到服務主體。

  4. 單擊烤肉串菜單烤肉串菜單在用戶行和選擇的權利編輯

  5. 角色,選擇管理

  6. 點擊保存

刪除管理角色從一個工作空間的服務主體,執行相同的步驟,但是選擇用戶角色

工作區管理角色分配給一個服務主體使用工作區管理設置頁麵

工作區管理角色分配使用工作區管理設置頁麵,執行以下操作:

  1. 工作區管理,登錄到磚工作區。

  2. 點擊你的用戶名在酒吧的磚工作區並選擇管理設置

  3. 選項卡中,選擇管理員組。

  4. 點擊添加用戶或服務主體

  5. 選擇服務主體並單擊確認

刪除工作區管理角色從一個服務主體,把服務主體從管理組。

工作區管理角色分配給一個服務主體使用REST api

REST api,您可以使用它來指定工作區管理角色取決於是否支持工作區聯合身份驗證:

  • 工作區為聯合身份驗證啟用:一個帳戶管理員可以使用帳戶級別工作區任務API指定或刪除工作區管理角色。帳戶管理或工作區管理可以使用工作空間層空間分配API來執行這個任務。

  • 工作空間不支持聯合身份驗證:一個工作區管理可以使用工作空間層SCIM(集團)REST API將分配一個服務主體,從集團管理組或刪除它們。看到服務主體的API

刪除一個服務主體從一個工作空間

賬戶管理員可以刪除服務主體身份聯合工作區使用帳戶控製台和工作區任務API。

工作區管理員可以刪除服務主體在工作區使用工作區管理設置頁麵,工作區任務API,和工作空間層SCIM (ServicePrincipals) API。

刪除一個服務主體從工作區使用帳戶控製台

  1. 在側邊欄中,單擊工作區

  2. 權限選項卡,找到服務主體。

  3. 單擊烤肉串菜單烤肉最右邊的菜單服務主體行並選擇刪除

  4. 在確認對話框中,單擊刪除

刪除一個服務主體從工作區使用工作區管理設置頁麵

  1. 工作區管理,登錄到磚工作區。

  2. 點擊你的用戶名在酒吧的磚工作區並選擇管理設置

  3. 服務主體選項卡,找到服務主體並單擊刪除用戶圖標在用戶一行的最右邊。

  4. 點擊刪除來確認。

刪除一個服務主體從工作區使用REST api

REST api,您可以使用刪除服務主體從工作區取決於工作區是支持聯合身份驗證如下:

  • 工作區為聯合身份驗證啟用:賬戶和工作區管理員可以使用工作區任務API向工作區移除服務主體。看到工作區任務API

  • 工作空間不支持聯合身份驗證:一個工作區管理可以使用工作空間層SCIM (ServicePrincipal) API來從他們的工作區中刪除服務主體。看到服務主體的API

管理服務主體的角色

預覽

這個特性是在公共預覽

能給予磚用戶、服務主體和賬戶組的角色來管理和使用一個服務主體。有兩個角色,你可以在一個服務主體授予:服務主體的經理服務主體的用戶。角色不能授予workspace-local組。

  • 服務主體的經理允許您管理服務主體的角色。服務主體的創建者成為服務主體的經理。賬戶管理員也在服務主體經理一個帳戶中的所有服務主體。

請注意

如果6月13日之前創建的服務主體是2023,那麼服務主體的創建者沒有默認服務主體經理角色。請一個帳戶管理員授予你服務主體管理器的角色。

  • 服務主體的用戶允許您運行作業服務主體。作業將運行與服務主體的身份,而不是工作的主人的身份。有關更多信息,請參見運行一個服務主體的工作

請注意

服務主體管理者不繼承服務主體用戶角色。如果你想使用服務主體執行工作,你需要顯式地指定服務主體的用戶角色。

如何授予角色的更多信息,請參閱用於管理服務主體的角色

管理個人訪問令牌服務主體

進行身份驗證服務主要api在磚上,管理員可以創建一個磚個人訪問令牌代表服務主體。

  1. 授予可以使用令牌的許可服務主體。

  2. 創建一個磚個人訪問令牌代表服務主體使用帖子/令牌管理/代表/令牌操作的令牌管理API。管理員還可以列出個人訪問令牌和刪除它們使用相同的API。

請注意

不可能創建、列表或管理一個令牌服務主體在磚UI。

管理服務主體的權利

一種權利是一個屬性,允許一個用戶,服務主體或組與磚以指定的方式進行交互。在工作區級別權限分配給用戶。下表列出了權利和工作區UI和API管理每一個使用屬性名。您可以使用工作區管理設置頁麵和工作空間層SCIM REST api來管理權利。

權利的名字(UI)

權利的名字(API)

默認的

描述

工作空間的訪問

workspace-access

默認情況下。

授予用戶或服務主體時,他們可以訪問數據科學與工程和磚機器學習persona-based環境。

不能從工作區中刪除管理員。

磚SQL訪問

databricks-sql-access

默認情況下。

當授予用戶或服務主體,他們可以訪問數據磚SQL。

集群允許無限製的創建

allow-cluster-create

默認不授予用戶或服務主體。

當授予用戶或服務主體,他們可以創建集群。你可以限製訪問現有的集群使用集群級別的權限

不能從工作區中刪除管理員。

允許創建池(不可以通過UI)

allow-instance-pool-create

不能被授予個人用戶或服務主體。

當授給一個組,其成員可以創建實例池。

不能從工作區中刪除管理員。

添加或刪除一個服務主體的權利,使用服務主體的API