gerenciar entidade de serviço

Esta página explica como gerenciar entidade de serviço para seu Databricks account e espaço de trabalho.

Para obter uma visão geral da entidade de serviço, consulte entidade de serviço.

Adicionar entidade de serviço ao seu account

Os administradores de conta e os administradores do site workspace podem adicionar entidades de serviço ao site Databricks account usando o console account ou a página de configurações de administração workspace.

Account console

1. Como administrador da conta, faça login no console da conta.
2. Na barra lateral, clique em Gerenciamento de usuários .
3. Na guia Entidades de serviço , clique em Adicionar entidade de serviço .
4. Insira um nome para a entidade de serviço.
5. Clique em Adicionar .

Workspace admin settings

1. Como administrador do workspace, faça login no workspace do Databricks.
2. Clique no seu nome de usuário na barra superior do workspace do Databricks e selecione Configurações .
3. Clique na guia Identidade e acesso .
4. Ao lado de Entidades de serviço , clique em Gerenciar .
5. Clique em Adicionar entidade de serviço .
6. Clique em Adicionar novo .
7. Insira um nome para a entidade de serviço.
8. Clique em Adicionar .

Atribuir funções de administrador de nível accounta uma entidade de serviço

1. Como administrador da conta, faça login no console da conta.
2. Na barra lateral, clique em Gerenciamento de usuários .
3. Na guia Entidades de serviço , localize e clique no nome de usuário.
4. Na seção Roles (Funções ) tab, selecione uma ou mais funções.

Atribuir uma entidade de serviço a um workspace

Os administradores de conta e os administradores de workspace podem atribuir entidade de serviço a um Databricks workspace usando o console account ou a página de configurações de administração workspace.

Account console

Para adicionar usuários a um workspace usando o consoleaccount, o workspace deve estar habilitado para a federação de identidade.

1. Como administrador da conta, faça login no console da conta.
2. Na barra lateral, clique em Workspaces .
3. Clique no nome do workspace.
4. Na guia Permissões , clique em Adicionar permissões .
5. Pesquise e selecione a entidade de serviço, atribua o nível de permissão ( Usuário ou Administrador do workspace) e clique em Salvar .

Workspace admin settings

1. Como administrador do workspace, faça login no workspace do Databricks.
2. Clique no seu nome de usuário na barra superior do workspace do Databricks e selecione Configurações .
3. Clique na guia Identidade e acesso .
4. Ao lado de Entidades de serviço , clique em Gerenciar .
5. Clique em Adicionar entidade de serviço .
6. Selecione uma entidade de serviço existente.
7. Clique em Adicionar .

Remover uma entidade de serviço de um workspace

Os administradores de conta e os administradores de workspace podem remover uma entidade de serviço de um Databricks workspace usando o console account ou a página de configurações de administração workspace.

Quando uma entidade de serviço é removida de um workspace, a entidade de serviço não pode mais acessar o workspace, porém as permissões são mantidas na entidade de serviço. Se a entidade de serviço for adicionada novamente ao site workspace, ela recuperará suas permissões anteriores.

Account console

Para remover a entidade de serviço de um workspace usando o console account, o workspace deve estar habilitado para a federação de identidade.

1. Como account administrador do, log in acesse o account console em
2. Na barra lateral, clique em Workspaces .
3. Clique no nome do workspace.
4. Na guia Permissões , localize a entidade de serviço.
5. Clique no menu kebab na extremidade direita da linha da entidade de serviço e selecione Remover .
6. Na caixa de diálogo de confirmação, clique em Remover .

Workspace admin settings

Quando uma entidade de serviço é removida de um workspace, a entidade de serviço não pode mais acessar o workspace, porém as permissões são mantidas na entidade de serviço. Se a entidade de serviço for posteriormente adicionada novamente a um workspace, ela recuperará suas permissões anteriores.

1. Como administrador do workspace, faça login no workspace do Databricks.
2. Clique no seu nome de usuário na barra superior do workspace do Databricks e selecione Configurações .
3. Clique na guia Identidade e acesso .
4. Ao lado de Entidades de serviço , clique em Gerenciar .
5. Selecione a entidade de serviço.
6. No canto superior direito, clique em Excluir.
7. Clique em Excluir para confirmar.

Atribuir a função de administrador do workspace a uma entidade de serviço

1. Como administrador do workspace, faça login no workspace do Databricks.
2. Clique no seu nome de usuário na barra superior do workspace do Databricks e selecione Configurações .
3. Clique na guia Identidade e acesso .
4. Ao lado de Groups , clique em gerenciar .
5. Selecione o grupo de sistemas admins.
6. Clique em Adicionar membros .
7. Selecione a entidade de serviço e clique em Confirmar .

Para remover a função de administrador workspace de uma entidade de serviço, remova a entidade de serviço do grupo de administradores.

Desativar uma entidade de serviço

O senhor pode desativar uma entidade de serviço no nível account ou workspace. A desativação impede que a entidade de serviço se autentique e acesse as APIs da Databricks, mas não remove suas permissões ou objetos. Isso é preferível à remoção, que é uma ação destrutiva.

Efeitos da desativação:

• A entidade de serviço não pode autenticar ou acessar as APIs da Databricks.
• Os aplicativos ou scripts que usam os tokens gerados pela entidade de serviço não podem mais acessar a API da Databricks. Os tokens permanecem, mas não podem ser usados para autenticação enquanto uma entidade de serviço estiver desativada.
• computar recurso de propriedade da entidade de serviço permanecem em execução.
• O trabalho agendado criado pela entidade de serviço falha, a menos que seja atribuído a um novo proprietário.

Quando reativada, a entidade de serviço recupera o acesso com as mesmas permissões.

Account level deactivation

Os administradores de conta podem desativar a entidade de serviço em um site Databricks account. Quando uma entidade de serviço é desativada no nível account, ela não pode se autenticar no site Databricks account ou em qualquer espaço de trabalho no site account.

O senhor não pode desativar uma entidade de serviço usando o console account. Em vez disso, use a conta entidade de serviço API.

Por exemplo:

Bash

curl --netrc -X PATCH \
https://${DATABRICKS_HOST}/api/2.1/accounts/{account_id}/scim/v2/ServicePrincipals/{id} \
--header 'Content-type: application/scim+json' \
--data @update-sp.json \
| jq .

update-sp.json:

JSON

{
  "schemas": ["urn:ietf:params:scim:api:messages:2.0:PatchOp"],
  "Operations": [
    {
      "op": "replace",
      "path": "active",
      "value": [
        {
          "value": "false"
        }
      ]
    }
  ]
}

Workspace level deactivation

Quando uma entidade de serviço é desativada no nível workspace, ela não pode se autenticar nesse workspace específico, mas ainda pode se autenticar no account e em outros espaços de trabalho no account.

1. Como administrador do workspace, faça login no workspace do Databricks.
2. Clique no seu nome de usuário na barra superior do workspace do Databricks e selecione Configurações .
3. Clique na guia Identidade e acesso .
4. Ao lado de Entidades de serviço , clique em Gerenciar .
5. Selecione a entidade de serviço que deseja desativar.
6. Em Status , desmarque Ativo .

Para definir uma entidade de serviço como ativa, execute as mesmas etapas, mas marque a caixa de seleção.

Remover entidade de serviço de seu site Databricks account

Os administradores de conta podem excluir entidades de serviço de uma conta do Databricks. Os administradores do workspace não podem. Quando você exclui uma entidade de serviço da conta, essa entidade também é removida de seus workspaces.

important

Quando o senhor remove uma entidade de serviço do site account, essa entidade de serviço também é removida do espaço de trabalho, independentemente de a federação de identidade ter sido ativada ou não. Recomendamos que o senhor não exclua a account-level entidade de serviço, a menos que queira que ela perca o acesso a todo o espaço de trabalho na account. Esteja ciente das seguintes consequências da exclusão da entidade de serviço:

• Os aplicativos ou scripts que usam os tokens gerados pela entidade de serviço não podem mais acessar as APIs da Databricks
• Os empregos pertencentes à entidade de serviço falham
• computar de propriedade da entidade de serviço stop
• As consultas ou painéis criados pela entidade de serviço e compartilhados usando a credencial de execução como proprietário devem ser atribuídos a um novo proprietário para evitar que o compartilhamento falhe.

Para remover uma entidade de serviço usando o console da conta, faça o seguinte:

1. Como administrador da conta, faça login no console da conta.
2. Na barra lateral, clique em Gerenciamento de usuários .
3. Na guia Entidades de serviço , localize e clique no nome de usuário.
4. Na guia Informações principais , clique no botão menu kebab no canto superior direito e selecione Excluir .
5. Na caixa de diálogo de confirmação, clique em Confirmar exclusão .

gerenciar entidade de serviço usando o API

Os administradores de contas e os administradores do site workspace podem gerenciar a entidade de serviço no site Databricks account e no espaço de trabalho usando o site Databricks APIs. Para gerenciar funções em uma entidade de serviço usando o API, consulte gerenciar funções de entidade de serviço usando o Databricks CLI .

gerenciar entidade de serviço no site account usando o API

Os administradores podem adicionar e gerenciar entidades de serviço no site Databricks account usando a conta entidade de serviço API. Os administradores de conta e os administradores do workspace invocam o API usando um URL endpoint diferente:

• Administradores de conta usam {account-domain}/api/2.1/accounts/{account_id}/scim/v2/.
• Os administradores do workspace usam {workspace-domain}/api/2.0/account/scim/v2/.

Para obter detalhes, consulte a conta da entidade de serviço API.

gerenciar entidade de serviço no site workspace usando o API

Os administradores da conta e do workspace podem usar o workspace Assignment API para atribuir a entidade de serviço ao workspace habilitado para a federação de identidade. O espaço de trabalho Assignment API é suportado pelo Databricks account e pelo espaço de trabalho.

• Administradores de conta usam {account-domain}/api/2.0/accounts/{account_id}/workspaces/{workspace_id}/permissionassignments.
• Os administradores do workspace usam {workspace-domain}/api/2.0/preview/permissionassignments/principals/{principal_id}.

Consulte API de atribuição de workspace.

Se o seu workspace não estiver habilitado para federação de identidade, um administrador do workspace poderá usar o workspace-level APIs para atribuir entidade de serviço ao seu espaço de trabalho. Veja o espaço de trabalho entidade de serviço API.

gerenciar tokens para uma entidade de serviço

A entidade de serviço pode se autenticar em Databricks APIs usando OAuth tokens ou acesso pessoal tokens, cada um com diferentes escopos e considerações de segurança:

• Databricks OAuth tokens

  • Autenticar em ambos account-level e workspace-level APIs.
  • OAuth tokens criado no nível account pode acessar tanto account quanto workspace APIs. OAuth tokens criados no nível workspace têm escopo para workspace APIs.
  • O OAuth é recomendado para a maioria dos cenários devido à segurança aprimorada e ao gerenciamento automático de tokens.
  • Para obter instruções de configuração, consulte a seção Autorize o acesso autônomo ao Databricks recurso com uma entidade de serviço usando o OAuth.

• Tokens de acesso pessoal

  • Autenticar somente para workspace-level APIs.
  • A Databricks recomenda o uso de PATs somente quando não houver suporte para o OAuth.
  • Para obter mais informações, consulte o site Databricks personal access tokens authentication.

A Databricks recomenda o uso de tokens OAuth para autenticação da entidade de serviço sempre que possível para melhorar a segurança e o gerenciamento do ciclo de vida. Use PATs somente quando o OAuth não estiver disponível para seu caso de uso.