用於管理服務主體的角色

預覽

這個特性是在公共預覽

本文描述了如何管理角色在你的磚賬戶服務主體。

創建的服務主體是一個身份在磚使用自動化工具,工作,和應用程序。服務主體提供自動化工具和腳本簡化純api訪問數據磚資源,提供更大的安全比使用用戶或組。

能給予磚用戶、服務主體和帳戶組訪問使用一個服務主體。這允許用戶運行工作為服務主體,而不是自己的身份。這可以防止工作失敗如果用戶離開你的組織或一組修改。

為服務主體的概述管理服務主體

服務主體的角色

服務主體角色戶頭級別的角色。這意味著他們隻需要定義一次,您的帳戶,並應用在所有工作區。有兩個角色,你可以在一個服務主體授予:服務主體的經理服務主體的用戶

  • 服務主體的經理允許您管理服務主體的角色。服務主體的創建者成為服務主體的經理。賬戶管理員也在服務主體經理一個帳戶中的所有服務主體。

請注意

如果創建一個服務主體在6月13日之前,2023年,服務主體的創建者沒有默認服務主體經理角色。如果你需要一個經理,問一個帳戶管理員授予你服務主體管理器的角色。

  • 服務主體的用戶允許您運行作業服務主體。作業將運行與服務主體的身份,而不是工作的主人的身份。有關更多信息,請參見運行一個服務主體的工作

請注意

服務主體管理者不繼承服務主體用戶角色。如果你想使用服務主體執行工作,你需要顯式地指定服務主體的用戶角色,甚至在創建服務主體。

使用帳戶控製台管理服務主體角色

賬戶管理員可以使用賬戶管理服務主體角色控製台。

查看服務主體的角色

  1. 作為一個賬戶管理,登錄到賬戶控製台

  2. 在側邊欄中,單擊用戶管理

  3. 服務主體選項卡,找到並單擊這個名字。

  4. 單擊權限選項卡。

你可以看到的主體和服務主體的角色,他們被授予。還可以使用搜索欄搜索特定的主體或角色。

格蘭特在服務主體的角色

  1. 作為一個賬戶管理,登錄到賬戶控製台

  2. 在側邊欄中,單擊用戶管理

  3. 服務主體選項卡,找到並單擊這個名字。

  4. 單擊權限選項卡。

  5. 點擊授權訪問

  6. 搜索並選擇用戶、服務主體或組,選擇角色或角色(服務主體:經理服務主體:用戶)分配。

    請注意

    服務主體管理者不繼承服務主體用戶角色。如果您希望用戶使用服務主體執行工作,你將需要顯式地指定服務主體的用戶角色。

  7. 點擊保存

撤銷服務主體的角色

  1. 作為一個賬戶管理,登錄到賬戶控製台

  2. 在側邊欄中,單擊用戶管理

  3. 服務主體選項卡,找到並單擊這個名字。

  4. 單擊權限選項卡。

  5. 搜索用戶、服務主體或組來編輯他們的角色。

  6. 在主要的行,點擊菜單烤肉串垂直的省略然後選擇編輯。另外,選擇刪除撤銷所有的主要角色。

  7. 點擊編輯

  8. 單擊X旁邊的角色你想撤銷。

  9. 點擊保存

管理服務主體角色使用工作區管理設置頁麵

工作區管理員可以管理服務主體為服務主體的角色,他們有服務主體的經理使用管理設置頁麵上的作用。

查看服務主體的角色

  1. 工作區管理,登錄到磚工作區。

  2. 點擊你的用戶名在酒吧的磚工作區並選擇管理設置

  3. 服務主體選項卡,找到並單擊這個名字。

  4. 單擊權限選項卡。

你可以看到的主體和服務主體的角色,他們被授予。還可以使用搜索欄搜索特定的主體或角色。

格蘭特在服務主體的角色

你必須有服務主體的經理作用在一個服務主體為了授予的角色。

  1. 工作區管理,登錄到磚工作區。

  2. 點擊你的用戶名在酒吧的磚工作區並選擇管理設置

  3. 服務主體選項卡,找到並單擊這個名字。

  4. 單擊權限選項卡。

  5. 點擊授權訪問

  6. 搜索並選擇用戶、服務主體或組,選擇角色或角色(服務主體:經理服務主體:用戶)分配。

    請注意

    角色可以授予任何戶頭級別用戶,服務主體,或組,即使他們不是一個成員的工作空間。角色不能授予workspace-local組。

    服務主體管理者不繼承服務主體用戶角色。如果您希望用戶使用服務主體執行工作,你將需要顯式地指定服務主體的用戶角色。

  7. 點擊保存

撤銷服務主體的角色

你必須有服務主體的經理作用在一個服務主體為了撤銷的角色。

  1. 工作區管理,登錄到磚工作區。

  2. 點擊你的用戶名在酒吧的磚工作區並選擇管理設置

  3. 服務主體選項卡,找到並單擊這個名字。

  4. 單擊權限選項卡。

  5. 搜索用戶、服務主體或組來編輯他們的角色。

  6. 在主要的行,點擊菜單烤肉串垂直的省略然後選擇編輯。另外,選擇刪除撤銷所有的主要角色。

  7. 點擊編輯

  8. 單擊X旁邊的角色你想撤銷。

  9. 點擊保存

使用API管理服務主體角色

你可以使用管理服務主體角色賬戶訪問控製API。賬戶訪問控製API支持通過磚賬戶和工作區。

賬戶管理員調用API在accounts.gcp.cloud.www.eheci.com ({帳戶域}/ api / 2.0 /預覽/賬戶/ {account_id} /訪問控製)。

服務主體管理者沒有帳戶管理員調用API在空間域({workspace-domain} / api / 2.0 /預覽/賬戶/訪問控製)。

如何驗證賬戶信息訪問控製API,明白了身份驗證數據磚自動化

完整的REST API參考,請參閱賬戶訪問控製的API

格蘭特的角色在一個服務主體使用API

使用一個賬戶訪問控製的APIetag場,以確保一致性。授予或撤銷服務主體角色通過API,第一期得到規則集命令和接收一個etag作為回應。然後,您可以在本地應用的變化,最後發出規則集的etag

例如,一個問題得到規則集你想授權訪問的服務主體通過運行下麵的命令:

curl - x - h得到“application / json內容類型:\“https://{帳戶域}/ api / 2.0 /預覽/賬戶/ <帳戶id > /訪問控製規則集”\- d”{“名稱”:“賬戶/ <帳戶id > / servicePrincipals / <應用程序id > /規則集/默認”,“etag”:“}'

替換:

  • {帳戶域}與accounts.gcp.cloud.www.eheci.com

  • <帳戶id >帳戶ID。

  • <應用程序id >與服務主要應用程序ID。

示例響應:

{“名稱”:“賬戶/ <帳戶id > / servicePrincipals / <應用程序id > /規則集/違約”,“描述”:”“,“etag”:“< etag >”}

複製etag從響應的身體供以後使用。

然後,您可以在本地進行更新,當你決定規則的最終狀態,然後更新規則集使用etag。授予的服務主體:用戶用戶角色user@example.com運行以下:

curl - x將- h“application / json內容類型:\“https://{帳戶域}/ api / 2.0 /預覽/賬戶/ <帳戶id > /訪問控製規則集”\- d”{“名稱”:“賬戶/ <帳戶id > / servicePrincipals / <應用程序id > /規則集/默認”," rule_set ": {“名稱”:“賬戶/ <帳戶id > / servicePrincipals / <應用程序id > /規則集/默認”,“grant_rules”:({“角色”:“角色/ servicePrincipal.user”,“校長”:(“用戶/ user@example.com”)}),:“etag < etag >”}}'

替換:

  • {帳戶域}與accounts.gcp.cloud.www.eheci.com

  • <帳戶id >帳戶ID。

  • <應用程序id >與服務主要應用程序ID。

  • < etag >你抄襲最後的etag的回應。

示例響應:

{“名稱”:“賬戶/ <帳戶id > / servicePrincipals / <應用程序id > /規則集/違約”,“描述”:”“,“grant_rules”:({“校長”:(“用戶/ user@example.com”],“角色”:“角色/ servicePrincipal.user”}],“etag”:“< new-etag >”}

重要的

因為這是一個方法,覆蓋所有現有的角色。任何現有的角色,你必須將它們添加到grant_roles數組中。

列出可以使用的服務主體

使用工作空間層SCIM (ServicePrincipals) API,您可以列出的服務主體通過過濾用戶角色servicePrincipal /使用

列出你的服務主體服務主體的用戶作用,運行以下命令:

curl——netrc - x\“https:// < databricks-instance > / api / 2.0 /預覽/ scim / v2 / ServicePrincipals ?過濾器=許可+ eq +“servicePrincipal /使用”\|金橋。

替換:

  • < databricks-instance >你的域名磚部署。

有關更多信息,請參見服務主體(SCIM) API