需要的权限
对于每个工作空间,Databricks都会创建一个服务帐户,该帐户具有创建和管理工作空间所需的最低权限。您的谷歌OAuth标识将用于向项目上的服务帐户授予权限。你所要做的就是点击好吧在标准OAuth对话框中。创建工作空间的Databricks帐户admin必须对创建工作空间时指定的项目具有正确的权限。
如果您计划创建工作区,请确保以下其中之一适用于您:
您是在工作空间创建期间指定的谷歌Cloud项目的项目所有者。
您是在工作空间创建期间指定的谷歌Cloud项目的项目编辑器和IAM管理员。
Databricks授予服务帐户的项目权限集包括与以下角色关联的权限:
Kubernetes管理员(内置角色)
计算存储管理员(内置角色)
Databricks在启动工作区时自动创建的自定义角色的权限。
请参阅以下权限列表以及Databricks如何使用每个权限:
最右边的一列指定了Databricks应用程序的一个或多个阶段:
发射:初始启动Databricks工作区时需要。
操作:需要Databricks工作区的一般持续功能。
修复:可能需要修复Databricks工作区。
删除:删除工作空间时需要。
创建工作空间所需的用户权限或服务帐户权限
要创建工作空间,您的帐户必须具有以下谷歌权限,可以是a谷歌账户或者一个服务帐户.
谷歌许可 |
目的 |
阶段所需 |
---|---|---|
|
创建自定义角色。 |
发射 |
|
删除自定义角色。 |
删除 |
|
获取自定义角色。 |
发射 |
|
更新自定义角色。 |
修复 |
|
获取IAM策略。 |
发射 |
|
设置IAM policy。 |
发射 |
|
从项目ID中获取项目号。 |
发射 |
|
获取IAM策略 |
发射 |
|
设置IAM策略 |
发射 |
|
验证客户项目是否启用了所需的谷歌云api。 |
发射 |
|
验证客户项目是否启用了所需的谷歌云api。 |
发射 |
|
如果项目上还没有启用所需的谷歌云api,则启用它们。 |
发射 |
Databricks授予服务帐户的自定义角色中的权限
在创建工作空间时,Databricks创建一个服务帐户并授予一个角色与权限Databricks需要管理您的工作空间。
如果您的工作空间使用客户管理的VPC,则不需要那么多权限。Databricks创建的角色省略了网络、路由器、子网等对象的创建、更新、删除等权限。有关完整列表,请参见Databricks授予服务帐户的自定义角色中的权限.
谷歌许可 |
目的 |
阶段所需 |
---|---|---|
|
GCE中断期间对GCE操作的可见性。 |
操作 |
|
全球教育运动故障排除。 |
操作 |
|
全球教育运动故障排除。 |
操作 |
|
全球教育运动故障排除。 |
操作 |
|
全球教育运动故障排除。 |
操作 |
|
管理网络资源。 |
操作 |
|
管理网络资源。如果你使用customer-managed VPC,此权限为不在Databricks授予服务帐户的自定义角色中。 |
发射 |
|
管理网络资源。如果你使用customer-managed VPC,此权限为不在Databricks授予服务帐户的自定义角色中。 |
删除 |
|
管理网络资源。 |
启动、操作 |
|
管理网络资源。 |
操作 |
|
管理网络资源。 |
修复 |
|
管理网络资源。如果你使用customer-managed VPC,此权限为不在Databricks授予服务帐户的自定义角色中。 |
修复 |
|
管理网络资源。 |
操作 |
|
管理网络资源。 |
发射 |
|
GCE中断期间对GCE操作的可见性。 |
操作 |
|
管理网络资源。如果你使用customer-managed VPC,此权限为不在Databricks授予服务帐户的自定义角色中。 |
发射 |
|
管理网络资源。如果你使用customer-managed VPC,此权限为不在Databricks授予服务帐户的自定义角色中。 |
删除 |
|
管理网络资源。 |
操作 |
|
管理网络资源。如果你使用customer-managed VPC,此权限为不在Databricks授予服务帐户的自定义角色中。 |
修复 |
|
管理网络资源。 |
操作 |
|
管理网络资源。如果你使用customer-managed VPC,此权限为不在Databricks授予服务帐户的自定义角色中。 |
发射 |
|
管理网络资源。如果你使用customer-managed VPC,此权限为不在Databricks授予服务帐户的自定义角色中。 |
删除 |
|
管理网络资源。如果你使用customer-managed VPC,此权限为不在Databricks授予服务帐户的自定义角色中。 |
修复 |
|
管理网络资源。 |
操作 |
|
管理网络资源。 |
修复 |
|
管理网络资源。如果你使用customer-managed VPC,此权限为不在Databricks授予服务帐户的自定义角色中。 |
发射 |
|
管理网络资源。如果你使用customer-managed VPC,此权限为不在Databricks授予服务帐户的自定义角色中。 |
发射 |
|
管理网络资源。如果你使用customer-managed VPC,此权限为不在Databricks授予服务帐户的自定义角色中。 |
修复 |
|
管理网络资源。 |
操作 |
|
管理网络资源。 |
发射 |
|
管理GKE集群。 |
操作 |
|
管理GKE集群。 |
操作 |
|
管理GKE集群。 |
操作 |
|
管理GKE集群。 |
操作 |
|
管理GKE集群。 |
操作 |
|
管理GKE集群。 |
操作 |
|
管理GKE集群。 |
操作 |
|
管理GKE集群。 |
操作 |
|
管理GKE集群。 |
操作 |
|
管理GKE集群。 |
操作 |
|
管理GKE集群。 |
操作 |
|
管理GKE集群。 |
操作 |
|
管理GKE集群。 |
操作 |
|
管理GKE集群。 |
操作 |
|
管理GKE集群。 |
操作 |
|
管理GKE集群。 |
操作 |
|
管理GKE集群。 |
操作 |
|
管理GKE集群。 |
操作 |
|
管理GKE集群。 |
操作 |
|
管理GKE集群。 |
操作 |
|
管理GKE集群。 |
操作 |
|
管理GKE集群。 |
操作 |
|
管理GKE集群。 |
操作 |
|
管理GKE集群。 |
操作 |
|
管理GKE集群。 |
操作 |
|
管理GKE集群。 |
操作 |
|
管理GKE集群。 |
操作 |
|
管理GKE集群。 |
操作 |
|
管理GKE集群。 |
操作 |
|
管理GKE集群。 |
操作 |
|
管理GKE集群。 |
操作 |
|
管理GKE集群。 |
操作 |
|
管理GKE集群。 |
操作 |
|
管理GKE集群。 |
操作 |
|
管理GKE集群。 |
操作 |
|
管理GKE集群。 |
操作 |
|
管理GKE集群。 |
操作 |
|
管理GKE集群。 |
操作 |
|
管理GKE集群。 |
操作 |
|
管理GKE集群。 |
操作 |
|
管理GKE集群。 |
操作 |
|
管理GKE集群。 |
操作 |
|
管理GKE集群。 |
操作 |
|
管理GKE集群。 |
操作 |
|
管理GKE集群。 |
操作 |
|
管理GKE集群。 |
操作 |
|
管理GKE集群。 |
操作 |
|
管理GKE集群。 |
操作 |
|
管理GKE集群。 |
操作 |
|
管理GKE集群。 |
操作 |
|
检查谷歌服务帐号或绑定集群。 |
操作 |
|
检查谷歌服务帐号或绑定集群。 |
操作 |
|
将客户项目ID转换为项目号。 |
启动、操作 |
|
检查项目IAM policy配置是否正确。 |
发射 |
|
实现DBFS、内部构件和日志记录。 |
发射 |
|
实现DBFS、内部构件和日志记录。 |
删除 |
|
实现DBFS、内部构件和日志记录。 |
操作 |
|
实现DBFS、内部构件和日志记录。 |
操作 |
|
实现DBFS、内部构件和日志记录。 |
操作 |
|
实现DBFS、内部构件和日志记录。 |
修复 |
|
实现DBFS、内部构件和日志记录。 |
操作 |
|
实现DBFS、内部构件和日志记录。 |
发射 |
|
实现DBFS、内部构件和日志记录。 |
删除 |
|
实现DBFS、内部构件和日志记录。 |
操作 |
|
实现DBFS、内部构件和日志记录。 |
操作 |
|
实现DBFS、内部构件和日志记录。 |
操作 |
|
实现DBFS、内部构件和日志记录。 |
启动、操作 |
|
实现DBFS、内部构件和日志记录。 |
操作 |
|
实现DBFS、内部构件和日志记录。 |
操作 |
|
实现DBFS、内部构件和日志记录。 |
操作 |
|
实现DBFS、内部构件和日志记录。 |
操作 |
|
实现DBFS、内部构件和日志记录。 |
发射 |
|
实现DBFS、内部构件和日志记录。 |
操作 |