Configurar e usar a autenticação do Google Cloud ID

Siga as etapas deste artigo para autenticar a conta de serviço do Google Cloud e automatizar sua conta e seu espaço de trabalho em Databricks.

A conta de serviço do Google Cloud é um tipo especial de conta do Google Cloud account, normalmente usada por um aplicativo, e não por uma pessoa. Um serviço account é identificado por seu endereço email, que é exclusivo do account. Veja a visão geral da conta de serviço.

nota

A conta de serviço do Google Cloud é diferente de Databricks entidade de serviço. A escolha entre usar um serviço do Google Cloud account ou uma entidade de serviço Databricks pode depender das preferências ou políticas de segurança da sua organização. Para saber como usar a entidade de serviço Databricks para autenticação Databricks em vez da conta de serviço do Google Cloud, consulte entidade de serviço.

Databricks fornece duas abordagens para autenticar a conta de serviço do Google Cloud com Databricks:

• accountAutenticação do Google Cloud ID, que usa o endereço email de um serviço do Google Cloud para autenticação. accountEste artigo descreve como usar o endereço email de um serviço do Google Cloud para autenticação. Veja também a autenticação do Google Cloud ID.
• Autenticação de credenciais do Google Cloud, que usa pares Google-gerenciar key para autenticação. Para obter mais informações, consulte Configurar e usar a autenticação de credenciais do Google Cloud. account Consulte também as credenciais do serviço e a autenticação de credenciais do Google Cloud.

Este artigo demonstra como configurar e usar a autenticação do Google Cloud ID da seguinte forma:

• Crie uma conta de serviço do Google Cloud.
• Atribua seu serviço do Google Cloud account ao seu Databricks account e a um Databricks workspace nesse account.
• Instale a interface de comando-line do Google Cloud (Google Cloud CLI) e, em seguida, autorize o Google Cloud CLI a usar seu login para representar o serviço do Google Cloud account.
• Instale a CLI da Databricks em sua máquina de desenvolvimento local e, em seguida, configure a CLI da Databricks para autenticação do Google Cloud ID.
• Execute o comando com o Databricks CLI para automatizar seu Databricks account e workspace usando a autenticação do Google Cloud ID ou ambos.

Requisitos

• Para criar um serviço do Google Cloud account, o senhor deve ter a conta Criar serviço IAM role para o seu projeto do Google. Consulte Funções obrigatórias.
• Para atribuir um serviço do Google Cloud account ao seu Databricks account, o senhor deve ser um administrador desse account. Consulte Atribuir funções de administrador do account a um usuário.
• Para atribuir um serviço do Google Cloud account ao seu Databricks workspace, o senhor deve ser um administrador desse workspace. Consulte Atribuir a função de administrador do workspace a um usuário.

Etapa 1: Criar um serviço do Google Cloud account

Nesta etapa, o senhor cria um serviço do Google Cloud account para o seu projeto Google de destino no console do Google Cloud.

1. Faça login no console do Google Cloud.

2. Se você tiver acesso a vários projetos, mude para o projeto de destino. Para fazer isso, na barra de navegação superior, ao lado do logotipo do Google Cloud, clique no seletor de projetos. Em seguida, selecione o nome do projeto na lista.

3. Em Search (/) for recurso, docs, produto, and more , procure e selecione serviço account .

4. Clique em + Criar conta de serviço .

5. Na seção de detalhes do serviço account , para o nome do serviço account , insira um nome exclusivo para o serviço account que seja fácil para o senhor lembrar.

6. Anote o endereço de e-mail abaixo da caixa de ID do serviço account , pois o senhor precisará dele nas Etapas 2, 3, 4, 5 e 7. Será algo parecido com o seguinte:

   <your-service-account-name>@<your-project-name>.iam.gserviceaccount.com

7. Opcionalmente, para a descrição do serviço account , insira uma descrição significativa sobre o serviço account.

8. Clique em Criar e continuar .

9. Clique em Concluído .

Etapa 2: Atribua seu serviço do Google Cloud account ao seu Databricks account

Nesta etapa, o senhor concede ao seu serviço do Google Cloud account acesso ao seu Databricks account. Se o senhor não quiser dar ao seu serviço account acesso ao seu Databricks account, pule para a Etapa 3.

1. Em seu Databricks workspace, clique em seu nome de usuário na barra superior e clique em gerenciar account .

   Como alternativa, acesse diretamente o console Databricks account , em https://accounts.gcp.databricks.com.

2. Faça login no site Databricks account, se solicitado.

3. Na barra lateral, clique em Gerenciamento de usuários .

4. Clique em Users tab.

nota

Embora este tab seja para usuários de rótulo, este tab também funciona com contas de serviço. Databricks trata a conta de serviço como usuários em seu site Databricks account.

5. Clique em Adicionar usuário .

6. Para o e-mail , digite o endereço de e-mail que o senhor copiou da Etapa 1 para o seu serviço account.

7. Para First name (Nome ) e Last name (Sobrenome ), digite um texto significativo para ajudar o senhor a procurar o serviço account posteriormente. Por exemplo, para First name , o senhor pode inserir o nome do serviço account da Etapa 1. Para Last name , o senhor pode inserir a conta do serviço Google Cloud .

8. Clique em Adicionar usuário . Databricks adiciona o serviço account como um usuário ao seu Databricks account.

9. Atribua as permissões de nível accountque desejar que o usuário tenha:

   1. Em Users (Usuários ) tab, clique no nome do usuário. Se o nome de usuário não estiver visível, use Filtrar usuários para encontrá-lo.
   2. Em Roles (Funções ) tab, alterne para ativar ou desativar cada função de destino que deseja que esse usuário tenha. Consulte Atribuir funções de administrador do account a um usuário.

Etapa 3: Atribua seu serviço do Google Cloud account ao seu Databricks workspace

Nesta etapa, o senhor concede ao seu serviço do Google Cloud account acesso ao seu Databricks workspace.

Se o seu site workspace estiver habilitado para federação de identidade, o senhor poderá usar o link para o seu site:

1. No site Databricks workspace, clique no seu nome de usuário na barra superior e clique em Settings (Configurações ).

2. Clique em Usuários .

nota

Embora este tab seja para usuários de rótulo, este tab também funciona com contas de serviço. Databricks trata a conta de serviço como usuários em seu site Databricks workspace.

3. Clique em Adicionar usuário .

4. Selecione o usuário na Etapa 2 e clique em Adicionar . O serviço account é adicionado como um usuário em seu Databricks workspace.

5. Atribua as permissões de nível workspaceque deseja que o usuário tenha:

   1. Em Users (Usuários ) tab, clique no nome do usuário.
   2. Em Entitlements (Direitos ) tab, selecione ou desmarque para conceder ou revogar cada status de destino ou direito que o senhor deseja que esse usuário tenha. Para obter mais informações, consulte:
      • Atribuir a função de administrador do workspace a um usuário
      • Gerenciar direitos

Vá para a Etapa 4.

Se o seu site workspace não estiver habilitado para a federação de identidade, o senhor poderá usar o link para o seu site:

1. No site Databricks workspace, clique no seu nome de usuário na barra superior e clique em Settings (Configurações ).

2. Clique em Usuários .

nota

Embora este tab seja para usuários de rótulo, este tab também funciona com contas de serviço. Databricks trata a conta de serviço como usuários em seu site Databricks workspace.

3. Clique em Adicionar novo .

4. Para New user email , digite o endereço de e-mail que o senhor copiou da Etapa 1 para o seu serviço account.

5. Clique em Adicionar . O serviço account é adicionado como um usuário em seu Databricks workspace.

6. Atribua as permissões de nível workspaceque deseja que o usuário tenha:

   1. Em Users (Usuários ) tab, clique no nome do usuário.
   2. Em Entitlements (Direitos ) tab, selecione ou desmarque para conceder ou revogar cada status de destino ou direito que o senhor deseja que esse usuário tenha. Para obter mais informações, consulte:
      • Atribuir a função de administrador do workspace a um usuário
      • Gerenciar direitos

Etapa 4: Instale o Google Cloud CLI em sua máquina de desenvolvimento local

Instale a CLI do Google Cloud seguindo as instruções em Instalar a CLI do gcloud.

Etapa 5: fazer-se passar pelo serviço do Google Cloud account

Nesta etapa, o senhor usa seu login do Google Cloud para automatizar o Databricks por meio do serviço do Google Cloud account, usando uma técnica chamada personificação . Para obter mais informações, consulte o serviço account impersonation.

Para fazer a representação do serviço account, o senhor deve conceder ao seu usuário do Google Cloud permissões para fazer a representação da conta do serviço. Em seguida, o senhor inicia a personificação por meio da CLI do Google Cloud.

1. Conceda ao seu usuário do Google Cloud permissões para representar a conta de serviço: no console do Google Cloud em que você fez login na Etapa 1, em Search (/) for recurso, docs, produto, and more , pesquise e selecione IAM .

2. Em Permissions (Permissões ) tab, na visualização By Principals (Por diretores ) tab, clique em Grant Access (Conceder acesso ).

3. Em Novos diretores , insira e selecione seu nome de usuário do Google Cloud. (Não insira o nome do seu serviço do Google Cloud account aqui.)

4. Clique em Selecionar uma função e insira e selecione Service Account Token Creator.

5. Clique em Adicionar outra função .

6. Clique em Selecionar uma função e insira e selecione Service Account User.

7. Clique em serviço account tokens Creator .

8. Clique em Salvar .

9. Inicie a personificação: use o Google Cloud CLI para executar o seguinte comando, substituindo <your-service-account-name>@<your-project-name>.iam.gserviceaccount.com pelo endereço de e-mail que o senhor copiou da Etapa 1 para seu serviço account.

   Bash

   gcloud auth login --impersonate-service-account=<your-service-account-name>@<your-project-name>.iam.gserviceaccount.com

10. No navegador da Web, faça login com seu usuário do Google Cloud account seguindo as instruções de login na tela.

Etapa 6: Instale a CLI da Databricks em sua máquina de desenvolvimento local

Nesta etapa, o senhor instala o Databricks CLI para que possa usá-lo para executar comandos que automatizam sua conta Databricks e seu espaço de trabalho.

dica

O senhor também pode usar o provedor Databricks Terraform ou o Databricks SDK for Go junto com a autenticação do Google Cloud ID para automatizar sua conta Databricks e seu espaço de trabalho executando código HCL ou Go. Consulte o SDK da Databricks para autenticação Go e Google Cloud ID.

1. Se ainda não estiver instalado, instale o Databricks CLI da seguinte forma:

   tab :::tab-item[Linux, macOS] Use o Homebrew para instalar o Databricks CLI executando os dois comandos a seguir:

   Bash

   brew tap databricks/tap
   brew install databricks

   :::

   :::tab-item[Windows] O senhor pode usar winget, Chocolatey ou Windows Subsystem for Linux (WSL) para instalar a CLI da Databricks. Se não for possível usar winget, Chocolatey ou WSL, o senhor deve ignorar este procedimento e usar o prompt de comando ou o PowerShell para instalar a CLI da Databricks a partir da fonte.

nota

A instalação da CLI da Databricks com o Chocolatey é experimental.

Para usar o winget para instalar a CLI do Databricks, execute os dois comandos a seguir e reinicie seu prompt de comando:

Bash

winget search databricks
winget install Databricks.DatabricksCLI

Para usar o Chocolatey para instalar a CLI do Databricks, execute o seguinte comando:

Bash

choco install databricks-cli

Para usar o WSL para instalar a CLI do Databricks:

1. Instale curl e zip por meio do WSL. Para obter mais informações, consulte a documentação do seu sistema operacional.

2. Use o WSL para instalar a CLI do Databricks executando o seguinte comando:

   Bash

   curl -fsSL https://raw.githubusercontent.com/databricks/setup-cli/main/install.sh | sh

::: :::: 2. Confirme se a CLI do Databricks está instalada executando o seguinte comando, que exibe a versão atual da CLI do Databricks instalada. Essa versão deve ser a 0.205.0 ou superior:

Bash

databricks -v

nota

Se o senhor executar databricks e receber um erro como command not found: databricks, ou se executar databricks -v e for listado um número de versão de 0,18 ou inferior, isso significa que o computador não consegue encontrar a versão correta do executável Databricks CLI . Para corrigir isso, consulte Verificar a instalação da CLI.

Etapa 7: configurar a CLI do Databricks para autenticação do Google Cloud ID

Nesta etapa, o senhor configura o Databricks CLI para usar a autenticação do Google Cloud ID para Databricks usando o nome do seu serviço do Google Cloud account. Para fazer isso, o senhor cria um arquivo com um nome de arquivo default e em um local default onde o Databricks CLI espera encontrar as configurações de autenticação de que precisa.

1. Com seu editor de texto favorito, crie um arquivo local chamado .databrickscfg no diretório inicial do usuário, caso ele ainda não exista. Para Linux e macOS, seu diretório inicial de usuário é ~. No Windows, o diretório inicial do usuário é %USERPROFILE%.

2. Insira o conteúdo a seguir no arquivo .databrickscfg. Neste conteúdo, substitua os seguintes valores:

   • Substitua <account-console-url> pelo Databricks URL account do console, como https://accounts.gcp.databricks.com.
   • Substitua <account-id> por sua ID Databricks account . Consulte Localizar sua account ID.
   • Substitua <google-cloud-service-account-email-address> pelo endereço de e-mail que o senhor copiou da Etapa 1 para o seu serviço account.
   • Substitua <workspace-url> pelo URL da instânciaworkspace, por exemplo, https://1234567890123456.7.gcp.databricks.com.
   • Você pode substituir os nomes de perfil de configuração sugeridos GCP_ID_ACCOUNT e GCP_ID_WORKSPACE por nomes de perfil de configuração diferentes, se desejar. Esses nomes específicos não são obrigatórios.

   Se não quiser executar accountas operações de nível, poderá omitir a [GCP_ID_ACCOUNT] seção no conteúdo a seguir.

   [GCP_ID_ACCOUNT]
   host                   = <account-console-url>
   account_id             = <account-id>
   google_service_account = <google-cloud-service-account-email-address>
   
   [GCP_ID_WORKSPACE]
   host                   = <workspace-url>
   google_service_account = <google-cloud-service-account-email-address>

Etapa 8: executar um comando de nível accountcom o Databricks CLI

Nesta etapa, o senhor usa a autenticação Databricks CLI e o Google Cloud ID para executar um comando que automatiza o Databricks account que foi configurado na Etapa 7. Esta etapa pressupõe que o usuário do Google Cloud account está se fazendo passar pelo serviço account, conforme descrito anteriormente na Etapa 5.

Se o senhor não quiser executar o comando account-level, pule para a Etapa 9.

Com o terminal ou prompt de comando ainda aberto na Etapa 6, execute o seguinte comando para listar todos os usuários disponíveis em seu Databricks account. Se você renomeou GCP_ID_ACCOUNT na Etapa 7, certifique-se de substituí-lo aqui.

Bash

databricks account users list -p GCP_ID_ACCOUNT

Etapa 9: executar um comando de nível workspacecom o Databricks CLI

Nesta etapa, o senhor usa a autenticação Databricks CLI e as credenciais do Google Cloud para executar um comando que automatiza o Databricks account que foi configurado na Etapa 7. Esta etapa pressupõe que o usuário do Google Cloud account está se fazendo passar pelo serviço account, conforme descrito anteriormente na Etapa 5.

Com o terminal ou prompt de comando ainda aberto na Etapa 6, execute o seguinte comando para listar todos os usuários disponíveis em seu Databricks workspace. Se você renomeou GCP_ID_WORKSPACE na Etapa 7, certifique-se de substituí-lo aqui.

Bash

databricks users list -p GCP_ID_WORKSPACE

Etapa 10: Limpar

Essa etapa é opcional. Se o senhor não quiser mais continuar usando o serviço do Google Cloud account que criou para este artigo, esta etapa descreve como excluir o serviço account do seu projeto do Google e dos seus sites Databricks account e workspace.

Exclua o serviço account de seu projeto do Google

1. No console do Google Cloud em que fez login na Etapa 1, em Search (/) for recurso, docs, produto, and more , pesquise e selecione serviço account .
2. Na linha do seu serviço account's name, clique nas elipses. Se o nome do seu serviço account não estiver visível, use Enter property name ou value para localizá-lo.
3. Clique em Excluir .
4. Na caixa de diálogo de confirmação, clique em Excluir .

Exclua o serviço account de seu site Databricks account

1. No site Databricks account, na barra lateral, clique em User management (Gerenciamento de usuários ).
2. Clique em Users tab.
3. Clique no nome do serviço account que o senhor adicionou na Etapa 2. Se o nome da conta do serviço não estiver visível, use Filtrar usuários para localizá-lo.
4. Clique no botão de elipses e, em seguida, clique em Excluir usuário.
5. Clique em Confirmar exclusão .

Exclua o serviço account de seu site Databricks workspace

1. No site Databricks workspace, clique no seu nome de usuário na barra superior e clique em Settings (Configurações ).
2. Clique em User tab.
3. Clique no nome do serviço account que o senhor adicionou na Etapa 3. Se o nome do serviço account não estiver visível, use Filtrar usuários para localizá-lo.
4. Clique em Remover usuário .
5. Na caixa de diálogo de confirmação, clique em Excluir .