Pular para o conteúdo principal

Configurar e usar a autenticação do Google Cloud ID

Siga as etapas deste artigo para autenticar a conta de serviço do Google Cloud e automatizar sua conta e seu espaço de trabalho em Databricks.

A conta de serviço do Google Cloud é um tipo especial de conta do Google Cloud account, normalmente usada por um aplicativo, e não por uma pessoa. Um serviço account é identificado por seu endereço email, que é exclusivo do account. Veja a visão geral da conta de serviço.

nota

A conta de serviço do Google Cloud é diferente de Databricks entidade de serviço. A escolha entre usar um serviço do Google Cloud account ou uma entidade de serviço Databricks pode depender das preferências ou políticas de segurança da sua organização. Para saber como usar Databricks entidade de serviço para autenticação Databricks em vez da conta do Google Cloud serviço, consulte gerenciar entidade de serviço.

Databricks fornece duas abordagens para autenticar a conta de serviço do Google Cloud com Databricks:

Este artigo demonstra como configurar e usar a autenticação do Google Cloud ID da seguinte forma:

  • Crie uma conta de serviço do Google Cloud.
  • Atribua seu serviço do Google Cloud account ao seu Databricks account e a um Databricks workspace nesse account.
  • Instale a interface de comando-line do Google Cloud (Google Cloud CLI) e, em seguida, autorize o Google Cloud CLI a usar seu login para representar o serviço do Google Cloud account.
  • Instale a CLI da Databricks em sua máquina de desenvolvimento local e, em seguida, configure a CLI da Databricks para autenticação do Google Cloud ID.
  • Execute o comando com o Databricks CLI para automatizar seu Databricks account e workspace usando a autenticação do Google Cloud ID ou ambos.

Requisitos

Etapa 1: Criar um serviço do Google Cloud account

Nesta etapa, o senhor cria um serviço do Google Cloud account para o seu projeto Google de destino no console do Google Cloud.

  1. Faça login no console do Google Cloud.

  2. Se você tiver acesso a vários projetos, mude para o projeto de destino. Para fazer isso, na barra de navegação superior, ao lado do logotipo do Google Cloud, clique no seletor de projetos. Em seguida, selecione o nome do projeto na lista.

  3. Em Search (/) for recurso, docs, produto, and more , procure e selecione serviço account .

  4. Clique em + Criar conta de serviço .

  5. Na seção de detalhes do serviço account , para o nome do serviço account , insira um nome exclusivo para o serviço account que seja fácil para o senhor lembrar.

  6. Anote o endereço de e-mail abaixo da caixa de ID do serviço account , pois o senhor precisará dele nas Etapas 2, 3, 4, 5 e 7. Será algo parecido com o seguinte:

    <your-service-account-name>@<your-project-name>.iam.gserviceaccount.com

  7. Opcionalmente, para a descrição do serviço account , insira uma descrição significativa sobre o serviço account.

  8. Clique em Criar e continuar .

  9. Clique em Concluído .

Etapa 2: Atribua seu serviço do Google Cloud account ao seu Databricks account

Nesta etapa, o senhor concede ao seu serviço do Google Cloud account acesso ao seu Databricks account. Se o senhor não quiser dar ao seu serviço account acesso ao seu Databricks account, pule para a Etapa 3.

  1. Em seu site Databricks workspace, clique em seu nome de usuário na barra superior e clique em gerenciar account .

    Como alternativa, acesse diretamente o console Databricks account , em https://accounts.gcp.databricks.com.

  2. Faça login no site Databricks account, se solicitado.

  3. Na barra lateral, clique em Gerenciamento de usuários .

  4. Clique em Users tab.

nota

Embora este tab seja para usuários de rótulo, este tab também funciona com contas de serviço. Databricks trata a conta de serviço como usuários em seu site Databricks account.

  1. Clique em Adicionar usuário .

  2. Para o e-mail , digite o endereço de e-mail que o senhor copiou da Etapa 1 para o seu serviço account.

  3. Para First name (Nome ) e Last name (Sobrenome ), insira um texto significativo para ajudar o senhor a procurar o serviço account posteriormente. Por exemplo, para First name , o senhor pode inserir o nome do serviço account da Etapa 1. Para Last name , o senhor pode inserir a conta do serviço Google Cloud .

  4. Clique em Adicionar usuário . Databricks adiciona o serviço account como um usuário ao seu Databricks account.

  5. Atribua as permissões de nível accountque deseja que o usuário tenha:

    1. Em Users (Usuários ) tab, clique no nome do usuário. Se o nome de usuário não estiver visível, use Filtrar usuários para encontrá-lo.
    2. Em Roles (Funções ) tab, alterne para ativar ou desativar cada função de destino que deseja que esse usuário tenha. Consulte Atribuir funções de administrador do account a um usuário.

Etapa 3: Atribua seu serviço do Google Cloud account ao seu Databricks workspace

Nesta etapa, o senhor concede ao seu serviço do Google Cloud account acesso ao seu Databricks workspace.

Se o seu site workspace estiver habilitado para federação de identidade, o senhor poderá usar o link para o seu site:

  1. No site Databricks workspace, clique no seu nome de usuário na barra superior e clique em Settings (Configurações ).

  2. Clique em Usuários .

nota

Embora este tab seja para usuários de rótulo, este tab também funciona com contas de serviço. Databricks trata a conta de serviço como usuários em seu site Databricks workspace.

  1. Clique em Adicionar usuário .

  2. Selecione o usuário na Etapa 2 e clique em Adicionar . O serviço account é adicionado como um usuário em seu Databricks workspace.

  3. Atribua as permissões de nível workspaceque deseja que o usuário tenha:

    1. Em Users (Usuários ) tab, clique no nome do usuário.
    2. Em Entitlements (Direitos ) tab, selecione ou desmarque para conceder ou revogar cada status de destino ou direito que o senhor deseja que esse usuário tenha. Para obter mais informações, consulte:

Vá para a Etapa 4.

Se o seu site workspace não estiver habilitado para a federação de identidade, o senhor pode usar o link para o seu site:

  1. No site Databricks workspace, clique no seu nome de usuário na barra superior e clique em Settings (Configurações ).

  2. Clique em Usuários .

nota

Embora este tab seja para usuários de rótulo, este tab também funciona com contas de serviço. Databricks trata a conta de serviço como usuários em seu site Databricks workspace.

  1. Clique em Adicionar novo .

  2. Para New user email , digite o endereço de e-mail que o senhor copiou da Etapa 1 para o seu serviço account.

  3. Clique em Adicionar . O serviço account é adicionado como um usuário em seu Databricks workspace.

  4. Atribua as permissões de nível workspaceque deseja que o usuário tenha:

    1. Em Users (Usuários ) tab, clique no nome do usuário.
    2. Em Entitlements (Direitos ) tab, selecione ou desmarque para conceder ou revogar cada status de destino ou direito que o senhor deseja que esse usuário tenha. Para obter mais informações, consulte:

Etapa 4: Instale o Google Cloud CLI em sua máquina de desenvolvimento local

Instale a CLI do Google Cloud seguindo as instruções em Instalar a CLI do gcloud.

Etapa 5: fazer-se passar pelo serviço do Google Cloud account

Nesta etapa, o senhor usa seu login do Google Cloud para automatizar o Databricks por meio do serviço do Google Cloud account, usando uma técnica chamada personificação . Para obter mais informações, consulte o serviço account impersonation.

Para se passar pelo serviço account, o senhor deve conceder ao seu usuário do Google Cloud permissões para se passar pela conta do serviço. Em seguida, o senhor inicia a personificação por meio da CLI do Google Cloud.

  1. Conceda permissões ao seu usuário do Google Cloud para representar a conta de serviço: no console do Google Cloud em que você fez login na Etapa 1, em Search (/) for recurso, docs, produto, and more , pesquise e selecione IAM .

  2. Em Permissions (Permissões ) tab, na visualização By Principals (Por diretores ) tab, clique em Grant Access (Conceder acesso ).

  3. Em Novos diretores , insira e selecione seu nome de usuário do Google Cloud. (Não insira o nome do seu serviço do Google Cloud accountaqui.)

  4. Clique em Selecionar uma função e insira e selecione Service Account Token Creator.

  5. Clique em Adicionar outra função .

  6. Clique em Selecionar uma função e insira e selecione Service Account User.

  7. Clique em serviço account tokens Creator .

  8. Clique em Salvar .

  9. Inicie a personificação: use o Google Cloud CLI para executar o seguinte comando, substituindo <your-service-account-name>@<your-project-name>.iam.gserviceaccount.com pelo endereço de e-mail que o senhor copiou da Etapa 1 para o seu serviço account.

    Bash
    gcloud auth login --impersonate-service-account=<your-service-account-name>@<your-project-name>.iam.gserviceaccount.com

  10. No navegador da Web, faça login com seu usuário do Google Cloud account seguindo as instruções de login na tela.

Etapa 6: Instale a CLI da Databricks em sua máquina de desenvolvimento local

Nesta etapa, o senhor instala o Databricks CLI para que possa usá-lo para executar comandos que automatizam sua conta Databricks e seu espaço de trabalho.

dica

O senhor também pode usar o provedor Databricks Terraform ou o Databricks SDK for Go junto com a autenticação do Google Cloud ID para automatizar sua conta Databricks e seu espaço de trabalho executando código HCL ou Go. Consulte o SDK da Databricks para autenticação Go e Google Cloud ID.

  1. Se ainda não estiver instalado, instale o Databricks CLI da seguinte forma:

Use Homebrew to install the Databricks CLI by running the following two commands:

Bash
brew tap databricks/tap
brew install databricks

  1. Confirme se a CLI do Databricks está instalada executando o seguinte comando, que exibe a versão atual da CLI do Databricks instalada. Essa versão deve ser a 0.205.0 ou superior:

    Bash
    databricks -v
nota

Se o senhor executar databricks, mas receber um erro como command not found: databricks, ou se executar databricks -v e for listado um número de versão 0.18 ou abaixo, isso significa que o computador não consegue encontrar a versão correta do executável Databricks CLI . Para corrigir isso, consulte Verificar a instalação da CLI.

Etapa 7: configurar a CLI do Databricks para autenticação do Google Cloud ID

Nesta etapa, o senhor configura o Databricks CLI para usar a autenticação do Google Cloud ID para Databricks usando o nome do seu serviço do Google Cloud account. Para fazer isso, o senhor cria um arquivo com um nome de arquivo default e em um local default onde o Databricks CLI espera encontrar as configurações de autenticação de que precisa.

  1. Com seu editor de texto favorito, crie um arquivo local chamado .databrickscfg no diretório inicial do usuário, caso ele ainda não exista. Para Linux e macOS, seu diretório inicial de usuário é ~. No Windows, o diretório inicial do usuário é %USERPROFILE%.

  2. Insira o conteúdo a seguir no arquivo .databrickscfg. Neste conteúdo, substitua os seguintes valores:

    • Substitua <account-console-url> pelo Databricks URL account do console, como https://accounts.gcp.databricks.com.
    • Substitua <account-id> pelo seu Databricks account ID. Consulte Localizar sua account ID.
    • Substitua <google-cloud-service-account-email-address> pelo endereço de e-mail que o senhor copiou da Etapa 1 para o seu serviço account.
    • Substitua <workspace-url> pelo URL da instânciaworkspace, por exemplo, https://1234567890123456.7.gcp.databricks.com.
    • Você pode substituir os nomes de perfil de configuração sugeridos GCP_ID_ACCOUNT e GCP_ID_WORKSPACE por nomes de perfil de configuração diferentes, se desejar. Esses nomes específicos não são obrigatórios.

    Se não quiser executar account-level operações, o senhor pode omitir a [GCP_ID_ACCOUNT] seção no conteúdo a seguir.

    [GCP_ID_ACCOUNT]
    host                   = <account-console-url>
    account_id             = <account-id>
    google_service_account = <google-cloud-service-account-email-address>

    [GCP_ID_WORKSPACE]
    host                   = <workspace-url>
    google_service_account = <google-cloud-service-account-email-address>

Etapa 8: executar um comando de nível accountcom o Databricks CLI

Nesta etapa, o senhor usa o Databricks CLI e a autenticação do Google Cloud ID para executar um comando que automatiza o Databricks account que foi configurado na Etapa 7. Esta etapa pressupõe que o usuário do Google Cloud account está se fazendo passar pelo serviço account, conforme descrito anteriormente na Etapa 5.

Se o senhor não quiser executar o comando account-level, pule para a Etapa 9.

Com o terminal ou prompt de comando ainda aberto na Etapa 6, execute o seguinte comando para listar todos os usuários disponíveis em seu Databricks account. Se você renomeou GCP_ID_ACCOUNT na Etapa 7, certifique-se de substituí-lo aqui.

Bash
databricks account users list -p GCP_ID_ACCOUNT

Etapa 9: executar um comando de nível workspacecom o Databricks CLI

Nesta etapa, o senhor usa a autenticação Databricks CLI e as credenciais do Google Cloud para executar um comando que automatiza o Databricks account que foi configurado na Etapa 7. Esta etapa pressupõe que o usuário do Google Cloud account está se fazendo passar pelo serviço account, conforme descrito anteriormente na Etapa 5.

Com o terminal ou prompt de comando ainda aberto na Etapa 6, execute o seguinte comando para listar todos os usuários disponíveis em seu Databricks workspace. Se você renomeou GCP_ID_WORKSPACE na Etapa 7, certifique-se de substituí-lo aqui.

Bash
databricks users list -p GCP_ID_WORKSPACE

Etapa 10: Limpar

Essa etapa é opcional. Se o senhor não quiser mais continuar usando o serviço do Google Cloud account que criou para este artigo, esta etapa descreve como excluir o serviço account do seu projeto do Google e dos seus sites Databricks account e workspace.

Exclua o serviço account de seu projeto do Google

  1. No console do Google Cloud em que fez login na Etapa 1, em Search (/) for recurso, docs, produto, and more , pesquise e selecione serviço account .
  2. Na linha do seu serviço account's name, clique nas elipses. Se o nome do seu serviço accountnão estiver visível, use Enter property name ou value para localizá-lo.
  3. Clique em Excluir .
  4. Na caixa de diálogo de confirmação, clique em Excluir .

Exclua o serviço account de seu site Databricks account

  1. No site Databricks account, na barra lateral, clique em User management (Gerenciamento de usuários ).
  2. Clique em Users tab.
  3. Clique no nome do serviço account que o senhor adicionou na Etapa 2. Se o nome da conta de serviço não estiver visível, use Filtrar usuários para localizá-lo.
  4. Clique no botão de elipses e, em seguida, clique em Excluir usuário.
  5. Clique em Confirmar exclusão .

Exclua o serviço account de seu site Databricks workspace

  1. No site Databricks workspace, clique no seu nome de usuário na barra superior e clique em Settings (Configurações ).
  2. Clique em User tab.
  3. Clique no nome do serviço account que o senhor adicionou na Etapa 3. Se o nome do serviço accountnão estiver visível, use Filtrar usuários para localizá-lo.
  4. Clique em Remover usuário .
  5. Na caixa de diálogo de confirmação, clique em Excluir .
Última atualização em