Gerenciar instance profiles no Databricks
Este artigo explica como gerenciar o acesso e atualizar instance profiles no Databricks.
Gerencie o acesso aos perfis de instância
Os usuários com permissões para implantar o clusters podem implantar o clusters com qualquer perfil de instância atribuído. Todos os usuários com acesso ao site cluster obtêm as permissões definidas pelo site instance profile. Veja o perfil da instância.
Os SQL warehouses usam um único instance profile para cada workspace. Consulte Habilitar a configuração de acesso a dados. Em seguida, você pode usar o controle de acesso à tabela do Hive Metastore para obter permissões refinadas.
Observação
O access control da tabela Hive metastore é um modelo de governança de dados herdado. A Databricks recomenda que você use Unity Catalog em vez de sua simplicidade e modelo de governança centrado na conta. Você pode atualizar as tabelas gerenciadas pelo Hive metastore para o metastore Unity Catalog .
Gerenciar o acesso a instance profiles usando a página de configurações de administrador
Como administrador do workspace, acesse a página de configurações.
Clique na guia Instance profiles .
Selecione o perfil da instância que você deseja atualizar.
No menu suspenso abaixo dos detalhes do perfil da instância, selecione ou insira o usuário, o grupo ou o principal do serviço:
Clique em Adicionar.
Opcionalmente, atribua os instance profiles diretamente aos grupos:
Como administrador do workspace, acesse a página de configurações.
Clique em Identity and access (Identidade e acesso ) tab.
Ao lado de Groups, clique em gerenciar.
Selecione o grupo que deseja atualizar.
Na guia Perfis de Instância, clique em + Adicionar Perfis de Instância ao grupo.
Na caixa de diálogo Adicionar perfis de instância, clique na seta para baixo para exibir uma lista suspensa de perfis de instância e selecione os que deseja adicionar.
Clique na seta para baixo para ocultar a lista suspensa.
Clique em Adicionar.
Gerenciar o acesso a instance profiles com a API
Os administradores de workspace podem gerenciar o acesso a instance profiles usando APIs SCIM no nível do workspace para usuários, entidades de serviço e grupos.
Por exemplo, para conceder a um grupo acesso a um perfil de instância, use o seguinte padrão:
curl --netrc -X PATCH \
https://<databricks-instance>/api/2.0/preview/scim/v2/Groups/<group-id> \
--header 'Content-type: application/scim+json' \
--data @update-group.json \
| jq .
update-group.json
:
{
"schemas": [ "urn:ietf:params:scim:api:messages:2.0:PatchOp" ],
"Operations": [
{
{
"op": "add",
"path": "roles",
"value": "<instance-profile-role-arn>"
}
}
]
}
Substituir:
<group-id>
com a ID do grupo.<instance-profile-role-arn>
com o nome de recurso da Amazon (ARN) da função de perfil da instância, por exemploarn:aws:iam::123456789012:instance-profile/my-role
.
Para as referências completas da API, consulte API de workspace, API de Usuários do workspace e API de entidade de serviço de workspace.
Editar ARN da função do instance profile
Para os instance profiles que você já criou, você pode editá-los posteriormente, mas apenas para especificar outro ARN de IAM role. Esta etapa é necessária para que os Databricks SQL Serverless funcionem com um instance profile com o nome de função (o texto após a última barra na função do ARN) e o nome do instance profile (o texto após a última barra no ARN do instance profile) diferentes. Para obter informações relacionadas, consulte Habilitar SQL warehouses serverless.
Vá para a página de configurações.
Clique em Security tab.
Clique em gerenciar ao lado do perfil da instância.
Clique no nome do instance profile que você deseja editar.
Clique em Editar. Será exibida uma caixa de diálogo.
Edite o campo ARN da IAM role e cole o ARN da função associado ao seu instance profile. Como administrador, você pode obter esse valor no console da AWS.
Clique em Salvar.