管理服务主体

预览

此功能已在公共预览

本文解释如何为Databricks帐户和工作区创建和管理服务主体。

有关Databricks标识模型的概述,请参见数据库身份和角色

什么是服务主体?

服务主体是在Databricks中创建的标识,用于自动化工具、作业和应用程序。服务主体为自动化工具和脚本提供了对Databricks资源的仅api访问,这比使用用户或组提供了更高的安全性。它还可以防止在用户离开组织或修改组时作业和自动化失败。

可以像Databricks用户那样授予和限制服务主体对资源的访问。例如:

  • 给一个服务主体帐户admin和工作空间admin角色。

与Databricks用户不同,服务主体是一个仅限api的标识;无法访问Databricks界面。

请注意

服务主体在Databricks中进行管理。它们不与谷歌云服务帐户

向Databricks帐户添加一个服务主体

帐户管理员可以使用帐户控制台或SCIM(帐户)API向Databricks帐户添加服务主体。

使用帐户控制台向帐户添加服务主体

使用帐户控制台向帐户添加服务主体:

  1. 以admin帐户登录账户控制台

  2. 点击Account控制台用户管理图标用户管理

  3. 服务主体选项卡上,单击添加服务主体

  4. 为服务主体输入一个名称。

  5. 点击添加

要使用服务主体,必须将它们添加到工作空间,并在工作空间中为它们生成访问令牌。看到向工作区添加服务主体

使用SCIM(帐户)API将服务主体添加到您的帐户

帐户管理员可以使用SCIM帐户API在Databricks帐户中添加和管理服务主体。

工作区管理员也可以使用此API创建和管理服务主体,但他们必须使用不同的端点URL调用API:

  • 帐户管理员使用accounts.gcp.www.neidfyre.com/api/2.0/accounts/ {account_id} / scim / v2 /

  • 工作区管理员使用{workspace-domain} / api / 2.0 /账户/ scim / v2 /

使用SCIM API添加一个服务主体:

  1. 使用SCIM API 2.0(帐户)确定服务主体是否已经存在。

  2. 如果服务主体不存在,则使用相同的API创建主体。

详细信息请参见SCIM API 2.0(帐户)

将帐户管理权限分配给服务主体

通过帐户控制台为帐户admin分配权限,请执行以下操作:

  1. 以admin帐户登录账户控制台

  2. 点击Account控制台用户管理图标用户管理

  3. 服务主体选项卡,找到并单击用户名。

  4. 角色Tab,打开账户管理

从Databricks帐户中删除服务主体

帐户管理员可以从Databricks帐户中删除服务主体。工作空间管理员则不能。当您从帐户中删除服务主体时,该主体也将从其工作空间中删除。

重要的

当您从帐户中删除服务主体时,该服务主体也将从其工作区中删除,而不管是否启用了身份联邦。您应该避免删除帐户级别的服务主体,除非您希望它们失去对帐户中所有工作区的访问权。注意删除服务主体的后果如下:

  • 使用服务主体生成的令牌的应用程序或脚本将不再能够访问Databricks API

  • 服务主体拥有的作业将失败

  • 服务主体所拥有的集群将停止

  • 由服务主体创建并使用Run as Owner凭据共享的查询或仪表板必须分配给新的所有者,以防止共享失败

要使用帐户控制台删除服务主体,请执行以下操作:

  1. 以admin帐户登录账户控制台

  2. 点击Account控制台用户管理图标用户管理

  3. 服务主体选项卡,找到并单击用户名。

  4. 主要信息选项卡,单击烤肉串菜单烤肉菜单到右上方并选择删除

  5. 在弹出的确认对话框中,单击确认删除

向工作区添加服务主体

工作空间管理员可以使用工作空间级的SCIM (ServicePrincipal) API将服务主体添加到他们的工作空间。看到工作空间的SCIM API 2.0 (ServicePrincipals)

从工作区中删除服务主体

工作空间管理员可以使用工作空间级的SCIM (ServicePrincipal) API从工作空间中删除服务主体。看到工作空间的SCIM API 2.0 (ServicePrincipals)

管理服务主体的访问令牌

要将服务主体验证为Databricks上的api,管理员可以代表服务主体创建Databricks个人访问令牌。

  1. 授予可以使用令牌权限到服务主体。

  2. 属性为服务主体创建Databricks个人访问令牌帖子/令牌管理/代表/令牌令牌管理REST API.管理员还可以列出个人访问令牌,并使用相同的API删除它们。

请注意

不能在Databricks UI中为服务主体创建、列出或管理令牌。

管理服务主体的授权

授权是允许用户、服务主体或组以指定的方式与Databricks交互的属性。授权被分配给工作空间级别的用户。下表列出了用于管理每个授权的工作区UI和API属性名。您可以使用工作区管理控制台和工作区级别SCIM REST接口权限管理。

授权名称(UI)

授权名称(API)

默认的

描述

工作空间的访问

workspace-access

默认允许。

当授予用户或服务主体时,他们可以访问数据科学与工程和Databricks机器学习基于人物的环境。

不能从工作空间管理员中删除。

Databricks SQL访问

databricks-sql-access

默认允许。

当授予用户或服务主体时,它们可以访问Databricks SQL。

允许无限制地创建集群

allow-cluster-create

默认情况下不授予用户或服务主体。

当授予用户或服务主体时,它们可以创建集群。可以使用。限制对现有集群的访问集群级别的权限

不能从工作空间管理员中删除。

允许创建池(不能通过UI)

allow-instance-pool-create

不能授予单个用户或服务主体。

当授予一个组时,其成员可以创建实例池。

不能从工作空间管理员中删除。

要为服务主体添加或删除授权,请使用工作空间的SCIM API 2.0 (ServicePrincipals)API。