Permissões necessárias para a criação workspace
Esta página explica as permissões necessárias para criar um workspace Databricks clássico na nuvem do Google.
Na nuvem do Google, cada execução workspace está dentro de um projeto workspace de propriedade do cliente. Databricks usa as credenciais do criador workspace para validar configurações, conceder permissões, habilitar os serviços necessários e provisionar o workspace. Para criar um workspace com sucesso, o administrador account Databricks deve ter as permissões necessárias no projeto workspace.
Além disso, durante a criação workspace , Databricks cria uma nova account de serviço com as permissões mínimas necessárias para gerenciar o workspace. Databricks utiliza as credenciais do criador do workspace para conceder permissões à account de serviço no projeto workspace . Para obter uma lista das permissões concedidas à account de serviço, consulte Permissões necessárias para a accountde serviço workspace.
Permissões de administrador account necessárias
A seguir, o conjunto mínimo de permissões necessárias nos projetos workspace e de rede. Databricks recomenda que o criador do workspace tenha a função roles/owner nos projetos workspace e VPC.
A criação do espaço de trabalho normalmente leva menos de um minuto para ser concluída. Databricks não manterá nem usará essas permissões após a criação do site workspace.
Permissão do Google | Propósito | Necessário para o projeto workspace | Necessário para o projeto VPC | Caso de uso |
|---|---|---|---|---|
| Crie a função personalizada. | ✓ | ✓ | Crie e gerencie uma função personalizada para conceder permissões ao serviço workspace's account. |
| Exclua a função personalizada. | ✓ | Crie e gerencie uma função personalizada para conceder permissões ao serviço workspace's account. | |
| Obtenha a função personalizada. | ✓ | ✓ | Crie e gerencie uma função personalizada para conceder permissões ao serviço workspace's account. |
| Atualize a função personalizada. | ✓ | ✓ | Crie e gerencie uma função personalizada para conceder permissões ao serviço workspace's account. |
| Criar o Databricks-compute serviço account. | ✓ | Crie o serviço Databricks-compute account usado por todos os clusters no workspace que não têm um serviço personalizado account anexado. Esse serviço account tem permissões mínimas, limitadas a registro e métricas. | |
| Obtenha o Databricks-compute serviço account. | ✓ | Usado para verificar se o serviço necessário Databricks-compute account usado por todos os clusters no workspace existe. | |
| Obter a política de IAM. | ✓ | Conceda ao serviço workspace account a função de usuário da conta de serviço no serviço account do Google Compute Engine (GCE) para iniciar o clusters. | |
| Definir a política de IAM. | ✓ | Conceda ao serviço workspace account a função de usuário da conta de serviço no serviço account do Google Compute Engine (GCE) para iniciar o clusters. | |
| Obtenha um número de projeto a partir do ID do projeto. | ✓ | ✓ | Obtenha informações básicas sobre o projeto workspace. |
| Obter a política de IAM. | ✓ | ✓ | Obtenha informações básicas sobre o projeto workspace. |
| Definir a política de IAM. | ✓ | Obtenha informações básicas sobre o projeto workspace. | |
| Valide se o projeto do cliente ativou as APIs necessárias do Google Cloud. | ✓ | ✓ | Habilite o serviço Google Cloud necessário para as cargas de trabalho do Databricks. |
| Valide se o projeto do cliente ativou as APIs necessárias do Google Cloud. | ✓ | ✓ | Habilite o serviço Google Cloud necessário para as cargas de trabalho do Databricks. |
| Ative as APIs do Google Cloud necessárias no projeto, caso ainda não estejam ativadas. | ✓ | Habilite o serviço Google Cloud necessário para as cargas de trabalho do Databricks. | |
| Validar a existência de uma rede VPC. | ✓ | Validar o recurso de rede para a rede VPC fornecida pelo cliente, que pode pertencer a um projeto diferente do projeto workspace. | |
| Atualizar a política de firewall na rede VPC. | ✓ | Atualiza a política de firewall na rede VPC fornecida pelo cliente, que pode pertencer a um projeto diferente do projeto workspace. | |
| Obter o projeto de host de uma rede VPC. | ✓ | Validar o recurso de rede para a rede VPC fornecida pelo cliente, que pode pertencer a um projeto diferente do projeto workspace. | |
| Validar sub-redes de uma rede VPC. | ✓ | Validar o recurso de rede para a rede VPC fornecida pelo cliente, que pode pertencer a um projeto diferente do projeto workspace. Necessário se o senhor usar um gerenciador de clientes VPC. | |
| Obtenha a política de IAM na sub-rede VPC. | ✓ | Valide as concessões na sub-rede para a rede VPC fornecida pelo cliente, que pode pertencer a um projeto diferente do projeto workspace. Necessário se o senhor usar um gerenciador de clientes VPC. | |
| Defina a política de IAM na sub-rede VPC. | ✓ | Define a política IAM na sub-rede para a rede VPC fornecida pelo cliente, que pode pertencer a um projeto diferente do projeto workspace. Necessário se o senhor usar um gerenciador de clientes VPC. | |
| Listar regras de encaminhamento para o serviço privado Connect. | ✓ | Necessário se o senhor ativar o serviço privado Connect. | |
| Obter regras de encaminhamento para o serviço privado Connect. | ✓ | Necessário se o senhor ativar o serviço privado Connect. | |
| Obtenha uma regra de firewall. | ✓ | Obtém a regra de firewall necessária na rede VPC fornecida pelo cliente para verificar se ela existe. | |
| Crie uma regra de firewall. | ✓ | Cria uma regra de firewall na rede VPC fornecida pelo cliente, que pode pertencer a um projeto diferente do projeto workspace. | |
| Obtenha a política de controle de acesso para um recurso do Cloud KMS. | ✓ | Necessário no Cloud KMS key se o senhor ativar a chave de gerenciamento de clientes. | |
| Defina a política de controle de acesso em um recurso do Cloud KMS. | ✓ | Necessário no Cloud KMS key se o senhor ativar a chave de gerenciamento de clientes. |