管理服務主體
預覽
這個特性在公共預覽.
本文解釋了如何為您的Databricks帳戶和工作區創建和管理服務主體。
有關Databricks身份模型的概述,請參見數據ricks身份和角色.
什麼是服務主體?
服務主體是您在Databricks中創建的用於自動化工具、作業和應用程序的標識。服務主體允許自動化工具和腳本隻使用api訪問Databricks資源,這比使用用戶或組提供了更高的安全性。如果用戶離開組織或組被修改,它還可以防止作業和自動化失敗。
您可以以與Databricks用戶相同的方式授予和限製服務主體對資源的訪問。例如,你可以這樣做:
賦予服務主體帳戶管理和工作區管理角色。
賦予服務主體對數據的訪問權限,可以使用Unity Catalog在帳戶級別,也可以在工作空間級別。
添加工作津貼給服務負責人。
將服務主體添加到組中在帳戶和工作空間級別,包括工作空間
管理員組。
與Databricks用戶不同,服務主體是一個隻使用api的標識;無法訪問Databricks用戶界麵。
Databricks建議你為身份聯合啟用工作區這樣您就可以在帳戶中管理您的服務主體。如果您的工作空間未啟用身份聯合,則可以使用工作空間級接口(如工作空間管理控製台和工作空間級SCIM api)創建和管理服務主體。
管理員可以通過以下接口管理服務主體:
賬戶控製台
SCIM (Account) API
工作空間分配API
工作空間管理員可以使用以下接口在其工作空間中管理服務主體:
工作區管理控製台
工作空間級SCIM (ServicePrincipal) API
SCIM (Account) API
工作空間分配API
有關帳戶級標識如何使用工作區的詳細信息,請參見管理用戶、組和服務主體.
有關服務主體以及如何使用它們的更多信息,請參見Databricks自動化的服務主體.
為您的Databricks帳戶添加一個服務主體
帳戶管理員可以使用帳戶控製台或SCIM(帳戶)API將服務主體添加到您的Databricks帳戶。
使用帳戶控製台將服務主體添加到帳戶中
使用帳戶控製台將服務主體添加到帳戶:
以“admin”帳號登錄賬戶控製台.
點擊
用戶管理.在服務主體選項卡上,單擊添加服務主體.
輸入服務主體的名稱。
點擊添加.
用戶管理.要使用服務主體,必須將它們添加到工作區,並在工作區中為它們生成訪問令牌。看到將服務主體添加到工作區.
使用SCIM (account) API將服務主體添加到您的帳戶
帳戶管理員可以使用帳戶的SCIM API在Databricks帳戶中添加和管理服務主體。
工作區管理員也可以使用此API創建和管理服務主體,但他們必須使用不同的端點URL調用API:
賬戶管理員使用
accounts.cloud.www.eheci.com/api/2.0/accounts/ {account_id} / scim / v2 /.工作空間管理員使用
{workspace-domain} / api / 2.0 /賬戶/ scim / v2 /.
使用SCIM API添加服務主體:
使用SCIM API 2.0(帳戶)確定服務主體是否已經存在。
如果服務主體不存在,則使用相同的API創建主體。
控件將服務主體分配到工作空間工作區任務API.
有關詳細信息,請參見SCIM API 2.0(帳戶).
為服務主體分配帳戶管理員權限
通過帳戶控製台分配帳戶admin權限,請執行如下操作:
以“admin”帳號登錄賬戶控製台.
點擊
用戶管理.在服務主體選項卡,找到並單擊用戶名。
在角色選項卡,打開賬戶管理.
還可以使用SCIM API 2.0(帳戶).
從您的Databricks帳戶中刪除服務主體
帳戶管理員可以從Databricks帳戶中刪除服務主體。工作空間管理員不能。當您從帳戶中刪除服務主體時,該主體也將從其工作空間中刪除。
要使用帳戶控製台刪除服務主體,請執行以下操作:
以“admin”帳號登錄賬戶控製台.
點擊
用戶管理.在服務主體選項卡,找到並單擊用戶名。
在主要信息選項卡上,單擊
將烤肉串菜單移到右上方並選擇刪除.在確認對話框中單擊確認刪除.
將烤肉串菜單移到右上方並選擇刪除.若要使用SCIM api從Databricks帳戶刪除服務主體,您必須是帳戶管理員。看到提供身份到您的Databricks帳戶而且SCIM API 2.0(帳戶).
將服務主體添加到工作區
帳戶管理員可以將服務主體添加到identity-federated工作區使用以下:
賬戶控製台
工作空間分配API
工作空間管理員可以使用以下方法在其工作空間中管理服務主體:
工作區管理控製台
工作空間級SCIM (ServicePrincipals) API
工作空間分配API(如果工作空間啟用了身份聯合)
使用帳戶控製台將服務主體分配到工作空間
要使用帳戶控製台將服務主體添加到工作空間,必須啟用該工作空間以進行身份聯合。
以“admin”帳號登錄賬戶控製台.
點擊
工作區.在權限選項卡上,單擊添加權限.
搜索並選擇服務主體,分配權限級別(工作區用戶或管理),然後點擊保存.
工作區.使用管理控製台將服務主體添加到工作區
工作區管理員可以使用工作區管理控製台添加和管理服務主體。要使用工作區管理控製台將服務主體添加到工作區,請執行以下操作:
以工作空間管理員身份登錄Databricks工作空間。
使用側邊欄persona-switcher選擇數據科學與工程.
點擊
設置並選擇管理控製台.在服務主體選項卡上,單擊添加服務主體.
選擇要分配給工作區的現有服務主體,或者創建一個新的服務主體。
要創建新的服務主體,請單擊搜索框中的下拉箭頭,然後單擊+添加新的服務主體.
設置並選擇管理控製台.請注意
如果您的工作空間沒有啟用聯合身份驗證,則無法將現有帳戶服務主體分配到工作區。
使用REST api將服務主體分配到工作空間
您可以用於向工作區分配服務主體的REST api取決於是否啟用了工作區聯合身份驗證:
為身份聯合啟用了工作區:帳戶管理員可以使用帳戶級別的工作區分配API將服務主體分配給工作區。帳戶管理員或工作區管理員都可以使用工作區級別的工作區分配API來執行此任務。看到工作空間分配(帳戶)API和工作空間分配(工作區)API引用
工作空間未啟用身份聯合:工作空間管理員可以使用工作空間級別的SCIM (ServicePrincipal) API將服務主體分配到其工作空間。看到用於工作區的SCIM API 2.0 (ServicePrincipals).
從工作區中刪除服務主體
帳戶管理員可以從中刪除服務主體identity-federated工作區使用以下:
賬戶控製台
工作空間分配API
工作空間管理員可以使用以下方法從其工作空間中刪除服務主體:
工作區管理控製台
工作空間級SCIM (ServicePrincipals) API
工作空間分配API(如果工作空間啟用了身份聯合)
使用帳戶控製台從工作區中刪除服務主體
若要使用帳戶控製台從工作空間中刪除服務主體,必須啟用工作空間聯合身份驗證.
點擊
工作區.在權限選項卡,找到服務主體。
單擊
烤肉串菜單在服務主體行最右邊並選擇刪除.在確認對話框中單擊刪除.
使用管理控製台從工作區中刪除服務主體
以工作空間管理員身份登錄Databricks工作空間。
使用側邊欄persona-switcher選擇數據科學與工程.
去管理控製台.
在服務主體選項,找到服務主體並單擊
在用戶行的最右邊。點擊刪除來確認。
在用戶行的最右邊。使用REST api從工作空間中刪除服務主體
可以用於從工作區中刪除服務主體的REST api取決於工作區是否啟用了身份聯合,如下所示:
為身份聯合啟用了工作區:帳戶管理員可以使用帳戶級別的工作區分配API從工作空間中刪除服務主體。帳戶管理員或工作區管理員都可以使用工作區級別的工作區分配API來執行此任務。看到工作空間分配(帳戶)API和工作空間分配(工作區)API引用
工作空間未啟用身份聯合:工作空間管理員可以使用工作空間級別的SCIM (ServicePrincipal) API從其工作空間中刪除服務主體。看到用於工作區的SCIM API 2.0 (ServicePrincipals).
管理服務主體的訪問令牌
為了將服務主體認證為Databricks上的api,管理員可以代表服務主體創建一個Databricks個人訪問令牌。
授予可以使用令牌權限敬服務負責人。
為服務主體創建一個Databricks個人訪問令牌
帖子/令牌管理/代表/令牌操作的令牌管理REST API.管理員還可以列出個人訪問令牌,並使用相同的API刪除它們。
有關為服務主體創建訪問令牌的詳細、分步說明,請參見Databricks自動化的服務主體.
請注意
在Databricks UI中不可能為服務主體創建、列出或管理令牌。
管理服務主體的授權
授權是允許用戶、服務主體或組以指定方式與Databricks交互的屬性。授權在工作區級別分配給用戶。下表列出了用於管理每個授權以及工作空間UI和API屬性名稱。您可以使用工作區管理控製台和工作區級別SCIM REST api管理權利。
權利的名字(UI) |
權利的名字(API) |
默認的 |
描述 |
|---|---|---|---|
工作空間的訪問 |
|
默認情況下。 |
當授予用戶或服務主體時,他們可以訪問數據科學與工程和Databricks機器學習基於角色的環境。 無法從工作區管理員中刪除。 |
磚SQL訪問 |
|
默認情況下。 |
當授予用戶或服務主體時,他們可以訪問Databricks SQL。 |
允許無限製地創建集群 |
|
默認情況下未授予用戶或服務主體。 |
當授予用戶或服務主體時,他們可以創建集群。您可以使用限製對現有集群的訪問集群級別的權限. 無法從工作區管理員中刪除。 |
允許創建池(不能通過UI) |
|
不能授予個人用戶或服務主體。 |
當授予組時,其成員可以創建實例池。 無法從工作區管理員中刪除。 |
若要添加或刪除服務主體的授權,請使用用於工作區的SCIM API 2.0 (ServicePrincipals)API。