entidade de serviço
Esta página apresenta uma visão geral da entidade de serviço em Databricks. Para saber como gerenciar entidade de serviço, consulte gerenciar entidade de serviço.
O que é uma entidade de serviço?
Uma entidade de serviço é uma identidade especializada em Databricks, projetada para automação e acesso programático. A entidade de serviço fornece a ferramentas e scripts automatizados acesso somente à API para Databricks recurso, proporcionando maior segurança do que o uso da conta do usuário.
O senhor pode conceder e restringir o acesso de uma entidade de serviço ao recurso da mesma forma que concede a um usuário do site Databricks. Por exemplo, você pode:
- Conceder à entidade de serviço a função de administrador account ou administrador workspace
- Conceder a uma entidade de serviço acesso ao uso de dados Unity Catalog.
- Adicionar uma entidade de serviço como membro de um grupo.
O senhor pode conceder aos usuários do Databricks, entidades de serviço e grupos permissões para usar uma entidade de serviço. Isso permite que os usuários executem o Job como a entidade de serviço, em vez de como sua identidade, o que evita que o Job falhe se um usuário sair da organização ou se um grupo for modificado.
Benefícios de usar a entidade de serviço:
- Segurança e estabilidade: account Automatize o Job e o fluxo de trabalho sem depender de credenciais de usuários individuais para reduzir os riscos associados a mudanças ou saídas de usuários.
- Permissões flexíveis: Permita que usuários, grupos ou outra entidade de serviço deleguem permissões a uma entidade de serviço, permitindo a execução de trabalhos em seu nome.
- API-Identidade exclusiva: Diferentemente dos usuários regulares do Databricks, as entidades de serviço são projetadas exclusivamente para acesso ao API e não podem log entrar na interface do usuário do Databricks.
Quem pode gerenciar e usar a entidade de serviço?
Para gerenciar a entidade de serviço em Databricks, o senhor deve ter uma das seguintes opções: a função de administrador account, a função de administrador workspace ou a função de gerente ou usuário em uma entidade de serviço.
-
os administradores account podem adicionar entidade de serviço à account e atribuir-lhes funções administrativas. Eles também podem atribuir entidade de serviço a workspace, desde que esses workspace usem federação de identidade.
-
Os administradores do espaço de trabalho podem adicionar entidades de serviço a um Databricks workspace, atribuir-lhes a função de administrador do workspace e gerenciar o acesso a objetos e funcionalidades no workspace, como a capacidade de criar clustering ou acessar ambientes baseados em personas específicas.
-
entidade de serviço Os gerentes podem gerenciar funções em uma entidade de serviço. O criador de uma entidade de serviço torna-se o gerente da entidade de serviço. Os administradores de contas são gerentes de entidades de serviço em todas as entidades de serviço em um site account.
-
entidade de serviço Os usuários podem executar o Job como a entidade de serviço. A execução do trabalho usando a identidade da entidade de serviço, em vez da identidade do proprietário do trabalho. Para obter mais informações, consulte Gerenciar identidades, permissões e privilégios para Databricks Jobs.
entidade de serviço Os usuários que são administradores do workspace também podem criar o tokens em nome da entidade de serviço.
Quando a configuração RestrictWorkspaceAdmins
em um workspace é definida como ALLOW ALL
, os administradores do workspace podem criar tokens de acesso pessoal em nome de qualquer entidade de serviço em seu workspace. Consulte Restringir administradores do workspace.
Os usuários com a função de gerente da entidade de serviço não herdam a função de usuário da entidade de serviço . Se quiser usar a entidade de serviço para executar o trabalho, o senhor precisa atribuir explicitamente a si mesmo a função de usuário de entidade de serviço, mesmo depois de criar a entidade de serviço.
Para obter informações sobre como conceder as funções de gerente da entidade de serviço e de usuário, consulte Funções para gerenciar a entidade de serviço.