Pular para o conteúdo principal
Última atualização em

Permissões necessárias para a accountdo serviço workspace

A account do serviço workspace requer permissões na seguinte função IAM no projeto workspace para operar e gerenciar um workspace. Essas funções são criadas automaticamente pelo Databricks quando você implanta seu workspace.

  • Função de projetoDatabricks v2 : Esta função é necessária para operar e gerenciar recursos em nível de projeto, como instâncias, discos, operações cloud e gerenciamento de contas de serviço pelo Databricks. É concedido no nível do projeto para a account do serviço workspace .

  • Função de recursoDatabricks v2 : Esta função é necessária para operar e gerenciar instâncias do Google Compute Engine (GCE), discos de armazenamento e outros recursos em nível workspacegerenciados pelo Databricks. Essa função é concedida no nível do projeto para a account do serviço workspace . O escopo em nível workspaceé imposto usando uma condição IAM no ID workspace . O exemplo a seguir usa 1234567890 em vez de um ID workspace real:

    Bash
    resource.name.extract("{x}databricks”) != "" &&
    resource.name.extract("{x}1234567890”) != ""

  • Função de redeDatabricks v2 : Esta função é necessária para usar o recurso de sub-rede em uma rede VPC gerenciada pelo cliente. A função deve existir no projeto VPC na sub-rede primária da VPC de gerenciamento do cliente.

Se as chaves de gerenciamento do cliente estiverem habilitadas para seu workspace, as funções Cloud KMS CryptoKey Decrypter e Cloud KMS CryptoKey Encrypter serão necessárias no recurso de chave do Cloud KMS .

Permissões para a função de projeto Databricks v2

Permissão

Propósito

Caso de uso

compute.disks.list

Listar discos

gerenciamento do recurso Google Compute Engine (GCE) para cargas de trabalho de execução

compute.globalOperations.list

Liste as operações cloud

gerenciamento do recurso Google Compute Engine (GCE) para cargas de trabalho de execução

compute.regionOperations.list

Listar operações regionais cloud

gerenciamento do recurso Google Compute Engine (GCE) para cargas de trabalho de execução

compute.zoneOperations.list

Liste as operações cloud zonais

gerenciamento do recurso Google Compute Engine (GCE) para cargas de trabalho de execução

compute.instances.list

Listar instâncias do GCE

gerenciamento do recurso Google Compute Engine (GCE) para cargas de trabalho de execução

compute.zones.list

Listar zonas disponíveis

gerenciamento do recurso Google Compute Engine (GCE) para cargas de trabalho de execução

compute.zones.get

Obtenha a descrição da zona.

gerenciamento do recurso Google Compute Engine (GCE) para cargas de trabalho de execução

compute.regions.get

Obtenha a descrição da região.

gerenciamento do recurso Google Compute Engine (GCE) para cargas de trabalho de execução

serviceusage.services.list

Listar serviços ativados

Necessário para que Databricks verifique se os serviços requeridos estão habilitados.

serviceusage.quotas.get

Obtenha detalhes sobre a cota

gerenciamento do recurso Google Compute Engine (GCE) para cargas de trabalho de execução

storage.buckets.list

Listar buckets Databricks-gerenciar GCS

gerenciamento do recurso Google Compute Engine (GCE) para cargas de trabalho de execução

compute.instances.recommendLocations

Receba recomendações de capacidade sob demanda

Obtenha recomendações de zona/tipo de máquina para instâncias sob demanda com base na capacidade disponível na região.

compute.spotAssistants.get

Obtenha recomendações sobre capacidade spot.

Obtenha recomendações de zona/tipo de máquina para instâncias spot com base na capacidade disponível na região.

compute.reservations.get

Obtenha detalhes sobre uma reserva para o GCE.

Obtenha detalhes de uma reserva GCE para uso na seleção de zona/tipo de máquina.

compute.reservations.list

Liste todas as reservas do GCE

Liste os detalhes de todas as reservas GCE para uso na seleção de zona/tipo de máquina.

As permissões a seguir são mantidas para compatibilidade com permissões legadas. Podem ser removidos ou modificados conforme aplicável.

Permissão

Propósito

Caso de uso

iam.serviceAccounts.actAs

Falsificar accountde serviço

Necessário para que clusters utilizem uma conta do Google Service. Pode ser removido se o GSA não for utilizado. ou pode ser concedida apenas em contas de serviço específicas usadas pelos seus clusters Databricks .

iam.serviceAccounts.getAccessToken

Falsificar accountde serviço

Necessário para que clusters utilizem uma conta do Google Service. Pode ser removido se o GSA não for utilizado. ou pode ser concedida apenas em contas de serviço específicas usadas pelos seus clusters Databricks .

iam.serviceAccounts.getOpenIdToken

Falsificar accountde serviço

Necessário para que clusters utilizem uma conta do Google Service. Pode ser removido se o GSA não for utilizado. ou pode ser concedida apenas em contas de serviço específicas usadas pelos seus clusters Databricks .

Permissões para a função de recurso Databricks v2

Permissão

Propósito

Caso de uso

compute.disks.create

Criar discos Databricks-gerenciar

gerenciamento do recurso Google Compute Engine (GCE) para cargas de trabalho de execução

compute.disks.delete

Excluir Databricks-gerenciar discos

gerenciamento do recurso Google Compute Engine (GCE) para cargas de trabalho de execução

compute.disks.get

Obtenha informações do disco Databricks-gerenciar

gerenciamento do recurso Google Compute Engine (GCE) para cargas de trabalho de execução

compute.disks.resize

Redimensionar Databricks- discos de gerenciamento

gerenciamento do recurso Google Compute Engine (GCE) para cargas de trabalho de execução

compute.disks.setLabels

Definir rótulo em discos Databricks-gerenciar

gerenciamento do recurso Google Compute Engine (GCE) para cargas de trabalho de execução

compute.disks.update

Atualizar Databricks-gerenciar discos

gerenciamento do recurso Google Compute Engine (GCE) para cargas de trabalho de execução

compute.disks.use

Anexar discos Databricks-gerenciar a uma VM

gerenciamento do recurso Google Compute Engine (GCE) para cargas de trabalho de execução

compute.disks.useReadOnly

Anexe discos Databricks-gerenciar a uma máquina virtual em modo somente leitura.

gerenciamento do recurso Google Compute Engine (GCE) para cargas de trabalho de execução

compute.instances.create

Criar instâncias Databricks-gerenciar

gerenciamento do recurso Google Compute Engine (GCE) para cargas de trabalho de execução

compute.instances.delete

Excluir instâncias Databricks-gerenciar

gerenciamento do recurso Google Compute Engine (GCE) para cargas de trabalho de execução

compute.instances.attachDisk

Anexe um disco a uma instância Databricks-gerenciar

gerenciamento do recurso Google Compute Engine (GCE) para cargas de trabalho de execução

compute.instances.detachDisk

Desanexar um disco de uma instância Databricks-gerenciar

gerenciamento do recurso Google Compute Engine (GCE) para cargas de trabalho de execução

compute.instances.get

Obter detalhes da instância

gerenciamento do recurso Google Compute Engine (GCE) para cargas de trabalho de execução

compute.instances.getGuestAttributes

Obter atributos de convidado da instância

gerenciamento do recurso Google Compute Engine (GCE) para cargas de trabalho de execução

compute.instances.getSerialPortOutput

Obter logsda porta serial da instância

Falha na depuração do recurso do Google Compute Engine (GCE)

compute.instances.setLabels

Defina o rótulo em uma instância.

gerenciamento do recurso Google Compute Engine (GCE) para cargas de trabalho de execução

compute.instances.setTags

Definir tags em uma instância

gerenciamento do recurso Google Compute Engine (GCE) para cargas de trabalho de execução

compute.instances.update

Atualizar uma instância

gerenciamento do recurso Google Compute Engine (GCE) para cargas de trabalho de execução

compute.instances.setMetadata

Definir metadados em uma instância

gerenciamento do recurso Google Compute Engine (GCE) para cargas de trabalho de execução

compute.instances.setServiceAccount

Defina account de serviço em uma instância.

gerenciamento do recurso Google Compute Engine (GCE) para cargas de trabalho de execução

storage.multipartUploads.abort

Cancelar um upload multipart para o bucket Databricks-gerenciar GCS

Gerenciar sessões upload Google Cloud Storage (GCS) ao enviar arquivos grandes.

storage.multipartUploads.create

Criar um upload multipart para o bucket Databricks-gerenciar GCS

Gerenciar sessões upload Google Cloud Storage (GCS) ao enviar arquivos grandes.

storage.multipartUploads.list

Listar upload multipart para Databricks-gerenciar bucket GCS

Gerenciar sessões upload Google Cloud Storage (GCS) ao enviar arquivos grandes.

storage.multipartUploads.listParts

Listar partes do upload para um upload multipart específico para um bucket Databricks-gerenciar GCS

Gerenciar sessões upload Google Cloud Storage (GCS) ao enviar arquivos grandes.

storage.buckets.create

Criar um bucket Databricks-gerenciar GCS

gerenciamento do recurso Google Compute Engine (GCE) para cargas de trabalho de execução

storage.buckets.delete

Excluir um bucket Databricks-gerenciar GCS

gerenciamento do recurso Google Compute Engine (GCE) para cargas de trabalho de execução

storage.buckets.get

Obtenha detalhes de um bucket Databricks-gerenciar GCS

gerenciamento do recurso Google Compute Engine (GCE) para cargas de trabalho de execução

storage.buckets.getIamPolicy

Obter a política IAM de um bucket GCS Databricks-gerenciar

gerenciamento do recurso Google Compute Engine (GCE) para cargas de trabalho de execução

storage.buckets.setIamPolicy

Defina a política IAM de um bucket GCS Databricks-gerenciar

gerenciamento do recurso Google Compute Engine (GCE) para cargas de trabalho de execução

storage.buckets.update

Atualizar um bucket Databricks-gerenciar GCS

gerenciamento do recurso Google Compute Engine (GCE) para cargas de trabalho de execução

storage.objects.create

Criar um bucket Databricks-gerenciar GCS

gerenciamento do recurso Google Compute Engine (GCE) para cargas de trabalho de execução

storage.objects.delete

Excluir um bucket Databricks-gerenciar GCS

gerenciamento do recurso Google Compute Engine (GCE) para cargas de trabalho de execução

storage.objects.get

Obtenha detalhes para um bucket Databricks-gerenciar GCS

gerenciamento do recurso Google Compute Engine (GCE) para cargas de trabalho de execução

storage.objects.list

Listar objetos em um bucket Databricks-gerenciar GCS

gerenciamento do recurso Google Compute Engine (GCE) para cargas de trabalho de execução

storage.objects.update

Atualizar objetos em um bucket Databricks-gerenciar GCS

gerenciamento do recurso Google Compute Engine (GCE) para cargas de trabalho de execução

Permissões adicionais para o espaço de trabalho na rede VPC Databricks- gerenciar

As seguintes permissões também são necessárias para espaços de trabalho que utilizam a rede VPC Databricks :

Permissão

Propósito

Caso de uso

compute.networks.access

Iniciar VMs na VPCdo Databricks-gerenciar

gerenciamento do recurso Google Compute Engine (GCE) para cargas de trabalho de execução

compute.networks.get

Obtenha detalhes sobre a VPCde gerenciamento Databricks

gerenciamento do recurso Google Compute Engine (GCE) para cargas de trabalho de execução

compute.networks.use

Iniciar VMs na VPCdo Databricks-gerenciar

gerenciamento do recurso Google Compute Engine (GCE) para cargas de trabalho de execução

compute.networks.useExternalIp

Iniciar VMs na VPCdo Databricks-gerenciar

gerenciamento do recurso Google Compute Engine (GCE) para cargas de trabalho de execução

compute.routers.get

Obtenha detalhes sobre o roteador Databricks-gerenciar

gerenciamento do recurso Google Compute Engine (GCE) para cargas de trabalho de execução

compute.subnetworks.get

Obtenha detalhes da sub-rede Databricks-gerenciar

gerenciamento do recurso Google Compute Engine (GCE) para cargas de trabalho de execução

compute.subnetworks.use

Iniciar VMs na VPCdo Databricks-gerenciar

gerenciamento do recurso Google Compute Engine (GCE) para cargas de trabalho de execução

compute.routers.use

Iniciar VMs na VPCdo Databricks-gerenciar

gerenciamento do recurso Google Compute Engine (GCE) para cargas de trabalho de execução

compute.subnetworks.getIamPolicy

Obter política IAM para Databricks-gerenciar subnet

gerenciamento do recurso Google Compute Engine (GCE) para cargas de trabalho de execução

compute.subnetworks.useExternalIp

Iniciar VMs na VPCdo Databricks-gerenciar

gerenciamento do recurso Google Compute Engine (GCE) para cargas de trabalho de execução

compute.networks.create

Criar a VPC Databricks-gerenciar

gerenciamento do recurso Google Compute Engine (GCE) para cargas de trabalho de execução

compute.networks.delete

Excluir o Databricks-gerenciar VPC

gerenciamento do recurso Google Compute Engine (GCE) para cargas de trabalho de execução

compute.networks.update

Atualizar o Databricks-gerenciar VPC

gerenciamento do recurso Google Compute Engine (GCE) para cargas de trabalho de execução

compute.networks.updatePolicy

Atualizar o Databricks-gerenciar VPC

gerenciamento do recurso Google Compute Engine (GCE) para cargas de trabalho de execução

compute.subnetworks.create

Criar a sub-rede Databricks-gerenciar

gerenciamento do recurso Google Compute Engine (GCE) para cargas de trabalho de execução

compute.subnetworks.delete

Exclua a sub-rede Databricks-gerenciar

gerenciamento do recurso Google Compute Engine (GCE) para cargas de trabalho de execução

compute.subnetworks.expandIpCidrRange

Expandir o intervalo CIDR na sub-rede Databricks-gerenciar

gerenciamento do recurso Google Compute Engine (GCE) para cargas de trabalho de execução

compute.subnetworks.setIamPolicy

Defina a política IAM na sub-rede Databricks-gerenciar

gerenciamento do recurso Google Compute Engine (GCE) para cargas de trabalho de execução

compute.subnetworks.setPrivateIpGoogleAccess

Configure o acesso privado API do Google na sub-rede Databricks-gerenciar

gerenciamento do recurso Google Compute Engine (GCE) para cargas de trabalho de execução

compute.subnetworks.update

Atualizar a sub-rede Databricks-gerenciar

gerenciamento do recurso Google Compute Engine (GCE) para cargas de trabalho de execução

compute.routers.create

Criar o roteador Databricks-gerenciar

gerenciamento do recurso Google Compute Engine (GCE) para cargas de trabalho de execução

compute.routers.delete

Exclua o roteador Databricks-gerenciar

gerenciamento do recurso Google Compute Engine (GCE) para cargas de trabalho de execução

compute.routers.update

Atualizar o roteador Databricks-gerenciar

gerenciamento do recurso Google Compute Engine (GCE) para cargas de trabalho de execução

compute.firewalls.create

Crie uma regra de firewall de entrada para permitir que as VMs do Databricks se comuniquem.

gerenciamento do recurso Google Compute Engine (GCE) para cargas de trabalho de execução

compute.firewalls.delete

Exclua a regra de firewall de entrada ao encerrar workspace para limpar a VPC

gerenciamento do recurso Google Compute Engine (GCE) para cargas de trabalho de execução

compute.firewalls.get

Obtenha os detalhes da regra de firewall de entrada.

gerenciamento do recurso Google Compute Engine (GCE) para cargas de trabalho de execução

compute.firewalls.update

Atualizar detalhes da regra do firewall de entrada

gerenciamento do recurso Google Compute Engine (GCE) para cargas de trabalho de execução

Permissões para a função de rede Databricks v2

Permissão

Propósito

Caso de uso

compute.subnetworks.use

Utilize a sub-rede na rede gerenciada do cliente.

gerenciamento do recurso Google Compute Engine (GCE) para cargas de trabalho de execução

compute.subnetworks.get

Obtenha as informações da sub-rede na rede de gerenciamento de clientes.

gerenciamento do recurso Google Compute Engine (GCE) para cargas de trabalho de execução

Permissões legadas

No modelo de implantação GKE legado, a account do serviço workspace exigia permissões na seguinte função IAM no projeto workspace para operar e gerenciar um workspace:

  • Função de administrador do GKE : Necessário para operar e gerenciar as cargas de trabalho dos clientes em execução no GKE.
  • Função de administrador de armazenamento do GCE : Necessária para operar e gerenciar os armazenamentos persistentes do Google Compute Engine (GCE) associados aos nós do GKE.
  • FunçãoDatabricks Workspace : Necessária para conceder permissões adicionais para gerenciar um workspace.