Pular para o conteúdo principal

gerenciar grupos

Este artigo explica como os administradores criam e gerenciam grupos em Databricks. Para obter uma visão geral do modelo de identidade do Databricks, consulte Identidades do Databricks.

Para gerenciar o acesso de grupos, consulte Autenticação e controle de acesso.

Visão geral do gerenciamento de grupos

Grupos simplificam a gestão de identidades, tornando mais fácil atribuir acesso o workspace, dados e outros objetos seguráveis.Todas as identidades do Databricks podem ser atribuídas como membros de grupos.

Tipos de grupos na Databricks

O Databricks tem quatro tipos de grupos, categorizados com base em sua origem:

  • Os grupos de contas podem receber acesso aos dados em um Unity Catalog metastore, funções concedidas em entidades de serviço e grupos e permissões para o espaço de trabalho federado de identidade.

  • Os grupos locais do espaço de trabalho são grupos herdados que só podem ser usados no contexto do site workspace em que foram criados. Esses grupos não podem ser atribuídos a espaços de trabalho adicionais, receber acesso a dados em um metastore Unity Catalog ou receber funções de nível account. Databricks recomenda transformar os grupos workspace-local existentes em grupos account. Para obter mais informações sobre workspace-local groups, consulte gerenciar workspace-local groups (legacy).

  • Grupos externos são grupos criados no Databricks a partir do seu provedor de identidade. Esses grupos são criados usando um conector de provisionamento SCIM e permanecem em sincronia com seu provedor de identidade. Por default, a associação a grupos externos não pode ser atualizada no console Databricks account ou na página de configurações de administração workspace. Os grupos externos são account.

nota

Para atualizar a associação de grupos externos na interface do usuário Databricks, um administrador do account pode desativar a visualização de grupos externos imutáveis na página de visualização do console account.

  • Os grupos de sistemas são criados e mantidos pela Databricks. Cada account tem um grupo de sistema account chamado account users, que inclui todos os usuários. Há dois grupos de sistemas de nível workspaceem cada workspace: users e admins. Todos os membros do workspace pertencem ao grupo users e os administradores do workspace também são membros do grupo admins. Os grupos do sistema não podem ser excluídos.

Quem pode gerenciar os grupos do account?

Para criar grupos de contas no Databricks, você deve ser administrador de conta ou administrador de workspace. Os administradores do workspace devem estar em workspaces federados por identidade para criar um grupo de contas.

Para gerenciar grupos account em Databricks, o senhor deve ter a função de gerente de grupo (Public Preview) em um grupo. Os gerentes de grupo podem gerenciar a associação do grupo e excluir o grupo. Eles também podem atribuir a outros usuários a função de gerente de grupo. Os administradores de conta podem gerenciar funções de grupo usando o consoleaccount, e os administradores de workspace podem gerenciar funções de grupo usando a página de configurações de administraçãoworkspace. Os gerentes de grupo que não são administradores do workspace podem gerenciar funções de grupo usando o controle de acesso à conta API.

Os administradores de conta têm a função de gerente de grupo no nível da conta, o que significa que eles têm a função de gerente de grupo em todos os grupos da conta. Os administradores do workspace têm a função de gerente de grupo nos grupos de contas que criam.

Os workspaceadministradores do espaço de trabalho também podem criar e gerenciar -local groups.

Sincronize grupos com o site Databricks account a partir de um provedor de identidade

O senhor pode sincronizar grupos do seu provedor de identidade (IdP) com o site Databricks account usando um conector de provisionamento SCIM. Para obter instruções, consulte Sincronizar usuários e grupos com o site Databricks account .

important

Se o senhor já tiver conectores que sincronizam identidades diretamente com o seu espaço de trabalho, deverá desativar esses SCIM SCIM conectores quando o accountconector de nível SCIM estiver ativado. Consulte Migrar workspace-level SCIM provisionamento para o accountnível.

Gerenciar grupos account usando o console account

Os administradores de conta podem adicionar e gerenciar grupos no site Databricks account usando o consoleaccount. Os administradores de workspace e gerentes de grupo podem gerenciar grupos usando a página de configurações workspace e Databricks APIs. Veja como gerenciar account grupos usando a workspace página de configurações administrativas e como gerenciar grupos usando account API a página.

Adicione grupos ao seu account usando o console account

Para adicionar um grupo à conta usando o console da conta, faça o seguinte:

  1. Como administrador da conta, faça login no console da conta.
  2. Na barra lateral, clique em Gerenciamento de usuários .
  3. Na guia Grupos , clique em Adicionar grupo .
  4. Insira um nome para o grupo.
  5. Clique em Confirmar .
  6. Quando solicitado, adicione usuários, princípios de serviço e grupos ao grupo.

Adicione membros a um grupo usando o console account

Para manter os grupos externos sincronizados com o provedor de identidade, o senhor não pode gerenciar a associação de grupos externos no console account pelo endereço default. Para adicionar usuários, entidades de serviço e grupos a um grupo usando o console account, faça o seguinte:

  1. Como administrador da conta, faça login no console da conta.
  2. Na barra lateral, clique em Gerenciamento de usuários .
  3. Na guia Grupos , selecione o grupo que deseja atualizar.
  4. Clique em Adicionar membros .
  5. Pesquise o usuário, grupo ou principal de serviço que você deseja adicionar e selecione-o.
  6. Clique em Adicionar .

Há um atraso de alguns minutos entre a atualização de um grupo em um site account e a atualização do grupo no espaço de trabalho.

Gerenciar funções em um grupo usando o console account

info

Visualização

Esse recurso está em Public Preview.

Os administradores de conta podem conceder funções em grupos de conta no console da conta.

  1. Como administrador da conta, faça login no console da conta.
  2. Na barra lateral, clique em Gerenciamento de usuários .
  3. Na guia Grupos , localize e clique no nome do grupo.
  4. Clique na guia Permissões .
  5. Clique em Conceder acesso .
  6. Procure e selecione o usuário, a entidade de serviço ou o grupo e escolha a função Grupo: Gerente .
  7. Clique em Salvar .

Alterar o nome de um grupo

Para manter os grupos externos sincronizados com o provedor de identidade, não é possível atualizar o nome de um grupo externo no console account pelo endereço default. Os administradores de conta podem atualizar o nome dos grupos account usando o console account:

  1. Como administrador da conta, faça login no console da conta.
  2. Na barra lateral, clique em Gerenciamento de usuários .
  3. Na guia Grupos , selecione o grupo que deseja atualizar.
  4. Clique em Informações do grupo .
  5. Em Nome , atualize o nome.
  6. Clique em Salvar .

Os gerentes de grupo não podem alterar o nome de um grupo usando o console da conta. Em vez disso, use a API de grupos de conta. Por exemplo:

Bash
curl --netrc -X PATCH \
https://${DATABRICKS_HOST}/api/2.1/accounts/{account_id}/scim/v2/Groups/{id} \
--header 'Content-type: application/scim+json' \
--data @update-group.json \
| jq .

update-group.json:

JSON
{
  "schemas": [ "urn:ietf:params:scim:api:messages:2.0:PatchOp" ],
  "Operations": [
    {
      {
          "op": "replace",
          "path": "displayName",
          "value": "<updated-name>"
      }
    }
  ]
}

Para obter informações sobre como se autenticar em grupos de contas API, consulte Autorização de acesso ao recurso Databricks.

Atribua um grupo a um workspace usando o console account

Para adicionar grupos a um workspace usando o consoleaccount, o workspace deve estar habilitado para a federação de identidade. Somente os grupos account podem ser atribuídos ao espaço de trabalho.

  1. Como administrador da conta, faça login no console da conta.
  2. Na barra lateral, clique em Workspaces .
  3. Clique no nome do workspace.
  4. Na guia Permissões , clique em Adicionar permissões .
  5. Procure e selecione o grupo, atribua o nível de permissão ( usuário ou administrador do espaço de trabalho) e clique em Salvar .

Remova um grupo de um workspace usando o console account

Para remover grupos de um workspace usando o consoleaccount, o workspace deve estar habilitado para a federação de identidade. Somente os grupos account são removíveis do espaço de trabalho usando o console account.

Quando um grupo account é removido de um workspace, os membros do grupo não podem mais acessar o workspace, mas as permissões são mantidas no grupo. Se o grupo for adicionado novamente a um workspace, ele recuperará suas permissões anteriores.

  1. Como administrador da conta, faça login no console da conta.
  2. Na barra lateral, clique em Workspaces .
  3. Clique no nome do workspace.
  4. Em Permissions (Permissões ) tab, localize o grupo.
  5. Clique no Menu Kebab menu de kebab na extremidade direita da linha do grupo e selecione Remover.
  6. Na caixa de diálogo de confirmação, clique em Remover .

Atribuir funções de administrador do account a um grupo

Não é possível atribuir a função de administrador de conta ou de administrador do marketplace a um grupo usando o console de conta, mas você pode atribuí-la a grupos utilizando a API de Grupos de Conta. Por exemplo:

Bash
curl --netrc -X PATCH \
https://${DATABRICKS_HOST}/api/2.1/accounts/{account_id}/scim/v2/Groups/{id} \
--header 'Content-type: application/scim+json' \
--data @update-group.json \
| jq .

update-group.json:

JSON
{
  "schemas": ["urn:ietf:params:scim:api:messages:2.0:PatchOp"],
  "Operations": [
    {
      "op": "add",
      "path": "roles",
      "value": [
        {
          "value": "account_admin"
        }
      ]
    }
  ]
}

Para obter informações sobre como se autenticar em grupos de contas API, consulte Autorização de acesso ao recurso Databricks.

Remover grupos de seu site Databricks account

Os administradores de contas podem remover grupos de um site Databricks account. Os gerentes de grupo também podem remover grupos do site account usando a conta Groups API, consulte gerenciar grupos account usando o site API. Se o senhor remover um grupo usando o console account, deverá certificar-se de que também removerá o grupo usando quaisquer conectores de provisionamento SCIM ou aplicativos SCIM API que tenham sido configurados para o account. Se o senhor não fizer isso, o provisionamento do SCIM simplesmente adicionará o grupo e seus membros de volta na próxima vez que for sincronizado. Consulte Sincronizar usuários e grupos do seu provedor de identidade usando o SCIM.

important

Quando você remove um grupo, todos os usuários desse grupo são excluídos da conta e perdem o acesso aos workspaces aos quais tinham acesso (a menos que sejam membros de outro grupo ou tenham recebido acesso direto à conta ou a qualquer workspace). A Databricks recomenda que você evite excluir grupos no nível da conta, a menos que queira que percam o acesso a todos os workspaces na conta. Esteja ciente das seguintes consequências da exclusão de usuários:

  • Os aplicativos ou scripts que utilizam os tokens gerados pelo usuário não poderão mais acessar APIs do Databricks
  • Os jobs pertencentes ao usuário não vão funcionar
  • Os clusters pertencentes ao usuário serão interrompidos
  • As consultas ou os painéis criados pelo usuário e compartilhados com a credencial Executar como proprietário terão que ser atribuídos a outro proprietário para evitar falha no compartilhamento

Para remover um grupo usando o console da conta, faça o seguinte:

  1. Como administrador da conta, faça login no console da conta.
  2. Na barra lateral, clique em Gerenciamento de usuários .
  3. Na guia Grupos , encontre o grupo que deseja remover.
  4. Clique no Menu Kebab menu de kebab na extremidade direita da linha do usuário e selecione Excluir.
  5. Na caixa de diálogo de confirmação, clique em Confirmar exclusão .

Gerenciar grupos do account usando a página de configurações de administração do workspace

Os administradores de workspaces podem criar e gerenciar grupos de contas em workspaces federados por identidades com a página de configurações de administrador do workspace.

nota

Há um atraso de alguns minutos entre a atualização de um grupo account de um workspace e a atualização do grupo no account.

Para obter informações sobre como criar workspacegrupos -local no espaço de trabalho,consulte gerenciar workspace-local groups (legacy).

Crie ou atribua um grupo a um workspace usando a página de configurações de administração workspace

Para atribuir ou criar um grupo de contas em um workspace usando a página de configurações de administrador do workspace, faça o seguinte:

  1. Como administrador do workspace, faça login no workspace do Databricks.

  2. Clique no seu nome de usuário na barra superior do workspace do Databricks e selecione Configurações .

  3. Clique na guia Identidade e acesso .

  4. Ao lado de Groups , clique em gerenciar .

  5. Clique em Adicionar grupo .

  6. Selecione um grupo existente para atribuir ao workspace ou clique em Add new (Adicionar novo) para criar um novo grupo account.

nota

Se o seu workspace não estiver habilitado para federação de identidade, o senhor não poderá atribuir grupos account existentes ou adicionar grupos account em seu workspace. Em vez disso, o senhor deve usar workspace -local groups, consulte gerenciar -local groups (legacy).workspace

Adicionar membros a um grupo usando a página de configurações de administração workspace

O senhor deve ser um administrador do workspace para adicionar usuários, entidades de serviço e grupos a um grupo do account usando a página de configurações do administrador do workspace. Só é possível gerenciar membros de um grupo no qual o senhor tenha a função de gerente de grupo. Para manter os grupos externos sincronizados com o provedor de identidade, o senhor não pode gerenciar a associação de grupos externos na página de configurações de administração workspace em default.

nota

Você não pode adicionar um grupo secundário ao grupo admins. O senhor não pode adicionar workspace-local groups ou system groups como membros de account groups.

Os gerentes de grupo que não são administradores do workspace devem gerenciar a associação do grupo usando a conta Groups API.

  1. Como administrador do workspace, faça login no workspace do Databricks.
  2. Clique no seu nome de usuário na barra superior do workspace do Databricks e selecione Configurações .
  3. Clique na guia Identidade e acesso .
  4. Ao lado de Groups , clique em gerenciar .
  5. Selecione o grupo que deseja atualizar. Você deve ter a função de gerente de para atualizá-lo.
  6. Em Members (Membros ) tab, clique em Add members (Adicionar membros ).
  7. Na caixa de diálogo, navegue ou pesquise os usuários, diretores de serviço e grupos que deseja adicionar e selecione-os.
  8. Clique em Confirmar .

Gerenciar funções em um grupo account usando a página de configurações de administração workspace

info

Visualização

Esse recurso está em Public Preview.

Você pode atribuir a função de gerente de grupo a usuários, grupos de contas e entidades de serviço. Os gerentes de grupo podem gerenciar a associação ao grupo. Eles também podem atribuir a função de gerente de grupo a outros usuários.

Você deve ser administrador do workspace para gerenciar funções de grupo usando a página de configurações do administrador do workspace. Os gerentes de grupo que não são administradores de workspace podem gerenciar funções de grupo usando a API de Controle de Acesso de Conta.

  1. Como administrador do workspace, faça login no workspace do Databricks.

  2. Clique no seu nome de usuário na barra superior do workspace do Databricks e selecione Configurações .

  3. Clique na guia Identidade e acesso .

  4. Ao lado de Groups , clique em gerenciar .

  5. Selecione o grupo que deseja atualizar. Você deve ter a função de gerente de para atualizá-lo.

  6. Clique na guia Permissões .

  7. Clique em Conceder acesso .

  8. Procure e selecione o usuário, a entidade de serviço ou o grupo e escolha a função Grupo: Gerente .

nota

O senhor não pode atribuir funções a grupos workspace-local ou grupos de sistema em grupos account.

  1. Clique em Salvar .

visualizar grupos de pais

  1. Como administrador do workspace, faça login no workspace do Databricks.
  2. Clique no seu nome de usuário na barra superior do workspace do Databricks e selecione Configurações .
  3. Clique na guia Identidade e acesso .
  4. Ao lado de Groups , clique em gerenciar .
  5. Selecione o grupo que o senhor deseja view.
  6. Em Parent group (Grupo pai) tab, view os grupos pais do seu grupo.

Remover um grupo de um workspace usando a página de configurações de administração workspace

A remoção de um grupo de um site workspace não exclui o grupo no site account. Quando um grupo é removido de um workspace, os membros do grupo não podem mais acessar o workspace, mas as permissões são mantidas no grupo. Se o grupo for adicionado novamente ao site workspace, ele recuperará suas permissões anteriores.

  1. Como administrador do workspace, faça login no workspace do Databricks.
  2. Clique no seu nome de usuário na barra superior do workspace do Databricks e selecione Configurações .
  3. Clique na guia Identidade e acesso .
  4. Ao lado de Groups , clique em gerenciar .
  5. Selecione o grupo e clique em x Excluir
  6. Clique em Excluir para confirmar.

gerenciar account grupos usando o API

Os administradores de conta e os administradores de workspace e gerentes de grupo podem adicionar, excluir e gerenciar grupos na conta do Databricks usando a API de grupos de conta. Administradores de conta, administradores de workspace e gerentes de grupo devem invocar a API usando outro URL de endpoint:

  • Administradores de conta usam {account-domain}/api/2.1/accounts/{account_id}/scim/v2/.
  • Administradores do workspace e gerentes de grupos utilizam. {workspace-domain}/api/2.0/account/scim/v2/

Para obter detalhes, consulte a API de grupos de contas.

Atribua um grupo a um workspace usando o API

Administradores de contas e workspaces podem usar a API de atribuição de workspace para atribuir grupos a workspaces habilitados para federação de identidades. A API de atribuição de workspace é suportada por meio da conta e dos workspaces do Databricks.

  • Administradores de conta usam {account-domain}/api/2.1/accounts/{account_id}/workspaces/{workspace_id}/permissionassignments.
  • Os administradores do workspace usam {workspace-domain}/api/2.0/preview/permissionassignments/principals/{group_id}.

Consulte API de atribuição de workspace.

gerenciar funções para um grupo usando o API

info

Visualização

Esse recurso está em Public Preview.

Os gerentes de grupo podem gerenciar funções de grupo usando a API de controle de acesso de contas. Administradores de conta, administradores de workspace e gerentes de grupo devem invocar a API usando outro URL de endpoint:

  • Administradores de conta usam {account-domain}/api/2.0/preview/accounts/{account_id}/access-control/assignable-roles.
  • Administradores do workspace e gerentes de grupos utilizam. {workspace-domain}/api/2.0/preview/accounts/access-control/assignable-roles

Consulte API de controle de acesso a contas e API de proxy de workspace de controle de acesso a contas.

Última atualização em