Pular para o conteúdo principal

Configurar e usar a autenticação de credenciais do Google Cloud

Siga as etapas deste artigo para autenticar a conta de serviço do Google Cloud e automatizar sua conta e seu espaço de trabalho em Databricks.

A conta de serviço do Google Cloud é um tipo especial de conta do Google Cloud account, normalmente usada por um aplicativo, e não por uma pessoa. Um serviço account é identificado por seu endereço email, que é exclusivo do account. Veja a visão geral da conta de serviço.

nota

A conta de serviço do Google Cloud é diferente de Databricks entidade de serviço. A escolha entre usar um serviço do Google Cloud account ou uma entidade de serviço Databricks pode depender das preferências ou políticas de segurança da sua organização. Para saber como usar Databricks entidade de serviço para autenticação Databricks em vez da conta do Google Cloud serviço, consulte gerenciar entidade de serviço.

Databricks fornece duas abordagens para autenticar a conta de serviço do Google Cloud com Databricks:

Este artigo demonstra como configurar e usar a autenticação de credenciais do Google Cloud da seguinte forma:

  • Crie uma conta de serviço do Google Cloud.
  • Atribua seu serviço do Google Cloud account ao seu Databricks account e a um Databricks workspace nesse account.
  • Crie um par Google-gerenciar key para seu serviço Google Cloud account e, em seguida, download a parte privada key desse par Google-gerenciar key. Esse arquivo key privado é necessário para a autenticação de credenciais do Google Cloud para Databricks.
  • Instale a CLI da Databricks em sua máquina de desenvolvimento local e, em seguida, configure a CLI da Databricks para autenticação de credenciais do Google Cloud.
  • Execute o comando com o Databricks CLI para automatizar seu Databricks account e workspace usando a autenticação de credenciais do Google Cloud.

Requisitos

Etapa 1: Criar um serviço do Google Cloud account

Nesta etapa, o senhor cria um serviço do Google Cloud account para o seu projeto Google de destino no console do Google Cloud.

  1. Faça login no console do Google Cloud.

  2. Se você tiver acesso a vários projetos, mude para o projeto de destino. Para fazer isso, na barra de navegação superior, ao lado do logotipo do Google Cloud, clique no seletor de projetos. Em seguida, selecione o nome do projeto na lista.

  3. Em Search (/) for recurso, docs, produto, and more , procure e selecione serviço account .

  4. Clique em + Criar conta de serviço .

  5. Na seção de detalhes do serviço account , para o nome do serviço account , insira um nome exclusivo para o serviço account que seja fácil para o senhor lembrar.

  6. Anote o endereço de e-mail abaixo da caixa de ID do serviço account , pois o senhor precisará dele nas Etapas 2, 3, 4 e 6. Será algo parecido com o seguinte:

    <your-service-account-name>@<your-project-name>.iam.gserviceaccount.com

  7. Opcionalmente, para a descrição do serviço account , insira uma descrição significativa sobre o serviço account.

  8. Clique em Criar e continuar .

  9. Clique em Concluído .

Etapa 2: Atribua seu serviço do Google Cloud account ao seu Databricks account

Nesta etapa, o senhor concede ao seu serviço do Google Cloud account acesso ao seu Databricks account. Se o senhor não quiser dar ao seu serviço account acesso ao seu Databricks account, pule para a Etapa 3.

  1. Em seu site Databricks workspace, clique em seu nome de usuário na barra superior e clique em gerenciar account .

    Como alternativa, acesse diretamente o console Databricks account , em https://accounts.gcp.databricks.com.

  2. Faça login no site Databricks account, se solicitado.

  3. Na barra lateral, clique em Gerenciamento de usuários .

  4. Clique em Users tab.

nota

Embora este tab seja para usuários de rótulo, este tab também funciona com contas de serviço. Databricks trata a conta de serviço como usuários em seu site Databricks account.

  1. Clique em Adicionar usuário .

  2. Para o e-mail , digite o endereço de e-mail que o senhor copiou da Etapa 1 para o seu serviço account.

  3. Para First name (Nome ) e Last name (Sobrenome ), insira um texto significativo para ajudar o senhor a procurar o serviço account posteriormente. Por exemplo, para First name , o senhor pode inserir o nome do serviço account da Etapa 1. Para Last name , o senhor pode inserir a conta do serviço Google Cloud .

  4. Clique em Adicionar usuário . Databricks adiciona o serviço account como um usuário ao seu Databricks account.

  5. Atribua as permissões de nível accountque deseja que o usuário tenha:

    1. Em Users (Usuários ) tab, clique no nome do usuário. Se o nome de usuário não estiver visível, use Filtrar usuários para encontrá-lo.
    2. Em Roles (Funções ) tab, alterne para ativar ou desativar cada função de destino que deseja que esse usuário tenha. Consulte Atribuir funções de administrador do account a um usuário.

Etapa 3: Atribua seu serviço do Google Cloud account ao seu Databricks workspace

Nesta etapa, o senhor concede ao seu serviço do Google Cloud account acesso ao seu Databricks workspace.

Se o seu site workspace estiver habilitado para federação de identidade, o senhor poderá usar o link para o seu site:

  1. No site Databricks workspace, clique no seu nome de usuário na barra superior e clique em Settings (Configurações ).

  2. Clique em Usuários .

nota

Embora este tab seja para usuários de rótulo, este tab também funciona com contas de serviço. Databricks trata a conta de serviço como usuários em seu site Databricks workspace.

  1. Clique em Adicionar usuário .

  2. Selecione o usuário na Etapa 2 e clique em Adicionar . O serviço account é adicionado como um usuário em seu Databricks workspace.

  3. Atribua as permissões de nível workspaceque deseja que o usuário tenha:

    1. Em Users (Usuários ) tab, clique no nome do usuário.
    2. Em Entitlements (Direitos ) tab, selecione ou desmarque para conceder ou revogar cada status de destino ou direito que o senhor deseja que esse usuário tenha. Para obter mais informações, consulte:

Vá para a Etapa 4.

Se o seu site workspace não estiver habilitado para a federação de identidade, o senhor pode usar o link para o seu site:

  1. No site Databricks workspace, clique no seu nome de usuário na barra superior e clique em Settings (Configurações ).

  2. Clique em Usuários .

nota

Embora este tab seja para usuários de rótulo, este tab também funciona com contas de serviço. Databricks trata a conta de serviço como usuários em seu site Databricks workspace.

  1. Clique em Adicionar novo .

  2. Para New user email , digite o endereço de e-mail que o senhor copiou da Etapa 1 para o seu serviço account.

  3. Clique em Adicionar . O serviço account é adicionado como um usuário em seu Databricks workspace.

  4. Atribua as permissões de nível workspaceque deseja que o usuário tenha:

    1. Em Users (Usuários ) tab, clique no nome do usuário.
    2. Em Entitlements (Direitos ) tab, selecione ou desmarque para conceder ou revogar cada status de destino ou direito que o senhor deseja que esse usuário tenha. Para obter mais informações, consulte:

Etapa 4: Crie um par Google-gerenciar key para seu serviço Google Cloud account

Nesta etapa, crie um par Google-gerenciar key para o seu serviço do Google Cloud account no console do Google Cloud. O senhor então download a parte key privada desse par Google-gerenciar key.

  1. No console do Google Cloud no qual você fez login na Etapa 1, na página de configurações do seu serviço account, clique na chave tab.

    Para retornar à página de configurações do seu serviço accountse o senhor a fechou anteriormente, em Search (/) for recurso, docs, produto, and more , pesquise e selecione o nome do seu serviço account.

  2. Clique em Add key > Create new key .

  3. Na caixa de diálogo Create private key (Criar chave privada ), selecione JSON e clique em Create (Criar ). A parte privada key do par Google-gerenciar key é download para sua máquina de desenvolvimento local como <your-project-name>-<random-id>.json. Anote onde esse arquivo .json foi baixado, pois o senhor precisará dele mais tarde na Etapa 6.

    Certifique-se de armazenar esse key privado em um local seguro. Se o senhor perder esse key privado, poderá repetir esta etapa para retornar à página de configurações do seu serviço accountmais tarde para download um key privado substituto.

Etapa 5: Instale a CLI da Databricks em sua máquina de desenvolvimento local

Nesta etapa, o senhor instala o Databricks CLI para que possa usá-lo para executar comandos que automatizam sua conta Databricks e seu espaço de trabalho.

dica

O senhor também pode usar o provedor Databricks Terraform ou o Databricks SDK for Go junto com a autenticação de credenciais do Google Cloud para automatizar sua conta Databricks e seu espaço de trabalho executando código HCL ou Go. Consulte o SDK da Databricks para autenticação de credenciais do Go e do Google Cloud.

  1. Se ainda não estiver instalado, instale o Databricks CLI da seguinte forma:

Use Homebrew to install the Databricks CLI by running the following two commands:

Bash
brew tap databricks/tap
brew install databricks

  1. Confirme se a CLI do Databricks está instalada executando o seguinte comando, que exibe a versão atual da CLI do Databricks instalada. Essa versão deve ser a 0.205.0 ou superior:

    Bash
    databricks -v
nota

Se o senhor executar databricks, mas receber um erro como command not found: databricks, ou se executar databricks -v e for listado um número de versão 0.18 ou abaixo, isso significa que o computador não consegue encontrar a versão correta do executável Databricks CLI . Para corrigir isso, consulte Verificar a instalação da CLI.

Etapa 6: configurar a CLI do Databricks para autenticação de credenciais do Google Cloud

Nesta etapa, o senhor configura o Databricks CLI para usar a autenticação de credenciais do Google Cloud para Databricks usando o key privado para o seu serviço do Google Cloud account. Para fazer isso, o senhor cria um arquivo com um nome de arquivo default e em um local default onde o Databricks CLI espera encontrar as configurações de autenticação de que precisa.

  1. Com seu editor de texto favorito, crie um arquivo local chamado .databrickscfg no diretório inicial do usuário, caso ele ainda não exista. Para Linux e macOS, seu diretório inicial de usuário é ~. No Windows, o diretório inicial do usuário é %USERPROFILE%.

  2. Insira o conteúdo a seguir no arquivo .databrickscfg. Neste conteúdo, substitua os seguintes valores:

    • Substitua <account-console-url> pelo Databricks URL account do console, como https://accounts.gcp.databricks.com.
    • Substitua <account-id> pelo seu Databricks account ID. Consulte Localizar sua account ID.
    • Substitua <path-to-google-service-account-credentials-file> pelo caminho para seus downloads privados key da Etapa 4.
    • Substitua <workspace-url> pelo URL da instânciaworkspace, por exemplo, https://1234567890123456.7.gcp.databricks.com.
    • Você pode substituir os nomes de perfil de configuração sugeridos GCP_CREDS_ACCOUNT e GCP_CREDS_WORKSPACE por nomes de perfil de configuração diferentes, se desejar. Esses nomes específicos não são obrigatórios.

    Se não quiser executar account-level operações, o senhor pode omitir a [GCP_CREDS_ACCOUNT] seção no conteúdo a seguir.

    [GCP_CREDS_ACCOUNT]
    host               = <account-console-url>
    account_id         = <account-id>
    google_credentials = <path-to-google-service-account-credentials-file>

    [GCP_CREDS_WORKSPACE]
    host               = <workspace-url>
    google_credentials = <path-to-google-service-account-credentials-file>

Etapa 7: executar um comando de nível accountcom o Databricks CLI

Nesta etapa, o senhor usa a autenticação Databricks CLI e as credenciais do Google Cloud para executar um comando que automatiza o Databricks account que foi configurado na Etapa 6.

Se o senhor não quiser executar o comando account-level, pule para a Etapa 8.

Com o terminal ou prompt de comando ainda aberto na Etapa 5, execute o seguinte comando para listar todos os usuários disponíveis em seu Databricks account. Se você renomeou GCP_CREDS_ACCOUNT na Etapa 6, certifique-se de substituí-lo aqui.

Bash
databricks account users list -p GCP_CREDS_ACCOUNT

Etapa 8: executar um comando de nível workspacecom o Databricks CLI

Nesta etapa, o senhor usa a autenticação Databricks CLI e as credenciais do Google Cloud para executar um comando que automatiza o Databricks workspace que foi configurado na Etapa 6.

Com o terminal ou prompt de comando ainda aberto na Etapa 5, execute o seguinte comando para listar todos os usuários disponíveis em seu Databricks workspace. Se você renomeou GCP_CREDS_WORKSPACE na Etapa 6, certifique-se de substituí-lo aqui.

Bash
databricks account users list -p GCP_CREDS_ACCOUNT

Etapa 9: Limpar

Essa etapa é opcional. Se o senhor não quiser mais continuar usando o serviço do Google Cloud account que criou para este artigo, esta etapa descreve como excluir o serviço account do seu projeto do Google e dos seus sites Databricks account e workspace.

Exclua o serviço account de seu projeto do Google

  1. No console do Google Cloud em que fez login na Etapa 1, em Search (/) for recurso, docs, produto, and more , pesquise e selecione serviço account .
  2. Na linha do seu serviço account's name, clique nas elipses. Se o nome do seu serviço accountnão estiver visível, use Enter property name ou value para localizá-lo.
  3. Clique em Excluir .
  4. Na caixa de diálogo de confirmação, clique em Excluir .

Exclua o serviço account de seu site Databricks account

  1. No site Databricks account, na barra lateral, clique em User management (Gerenciamento de usuários ).
  2. Clique em Users tab.
  3. Clique no nome do serviço account que o senhor adicionou na Etapa 2. Se o nome da conta de serviço não estiver visível, use Filtrar usuários para localizá-lo.
  4. Clique no botão de elipses e, em seguida, clique em Excluir usuário.
  5. Clique em Confirmar exclusão .

Exclua o serviço account de seu site Databricks workspace

  1. No site Databricks workspace, clique no seu nome de usuário na barra superior e clique em Settings (Configurações ).
  2. Clique em User tab.
  3. Clique no nome do serviço account que o senhor adicionou na Etapa 3. Se o nome do serviço accountnão estiver visível, use Filtrar usuários para localizá-lo.
  4. Clique em Remover usuário .
  5. Na caixa de diálogo de confirmação, clique em Excluir .
Última atualização em