Gerenciar grupos

Este artigo explica como os administradores criam e gerenciam grupos do Databricks. Para obter uma visão geral do modelo de identidade Databricks, consulte identidades Databricks.

Para gerenciar o acesso de grupos, consulte Autenticação e controle de acesso.

Visão geral do gerenciamento de grupos

Grupos simplificam a gestão de identidades, tornando mais fácil atribuir acesso o workspace, dados e outros objetos seguráveis.Todas as identidades do Databricks podem ser atribuídas como membros de grupos.

Diferença entre grupos de contas e grupos locais do workspace

Databricks tem o conceito de gruposaccount e grupos locaisworkspace herdados:

account grupos podem receber acesso a dados em um Unity Catalog metastore , funções concedidas em entidades de serviço e grupos e permissões para o federado de identidade workspace.
gruposworkspace-local são grupos legados. Esses grupos são identificados como workspace-local na página de configurações de administração workspace . workspace-local groups não podem ser atribuídos a workspace adicionais ou receber acesso a dados em um metastore Unity Catalog . Os grupos workspace-local não podem receber funções no nível account . Para obter mais informações sobre grupos locais de espaço de trabalho, consulte gerenciar grupos locais de espaço de trabalho (legado).

Existem dois grupos de sistemas em cada workspace: users e admins. Todos os usuários workspace são membros do grupo users e todos os administradores workspace são membros do grupo admins. Grupos de sistema são grupos locais workspace . Os grupos de sistemas não podem ser excluídos.

A Databricks recomenda transformar grupos locais de workspaceexistentes em grupos de account para aproveitar a atribuição de workspace centralizado e o gerenciamento de acesso a dados usando o Unity Catalog. Consulte Migrar grupos locais de espaço de trabalho para grupos account .

Quem pode gerenciar grupos de contas?

Para criar grupos de contas no Databricks, você deve ser administrador de conta ou administrador de workspace. Os administradores do workspace devem estar em workspaces federados por identidade para criar um grupo de contas.

Para gerenciar grupos account no Databricks, você deve ter a função de gerente de grupo (Visualização Pública) em um grupo. Os gerentes de grupo podem gerenciar a associação ao grupo e excluí-lo. Eles também podem atribuir a função de gerente de grupo a outros usuários. Os administradores de conta podem gerenciar funções de grupo usando o console daaccount , e os administradores de workspace podem gerenciar funções de grupo usando a página de configurações de administradorworkspace . Os gerentes de grupo que não são administradores workspace podem gerenciar funções de grupo usando a API de controle de acesso da conta.

Os administradores de conta têm a função de gerente de grupo no nível da conta, o que significa que eles têm a função de gerente de grupo em todos os grupos da conta. Os administradores do workspace têm a função de gerente de grupo nos grupos de contas que criam.

Os administradores do workspace também podem criar e gerenciar grupos locais do workspace.

Sincronizar grupos com sua conta do Databricks a partir de um provedor de identidade

Você pode sincronizar grupos de seu provedor de identidade (IdP) para sua account Databricks usando um conector de provisionamento SCIM. Para obter instruções, consulte identidades de provisionamento para sua conta do Databricks.

Importante

Se você já tiver conectores SCIM que sincronizam identidades diretamente com seu workspace, deverá desabilitar esses conectores SCIM quando o conector SCIM no nível accountestiver habilitado. Consulte Migrar o provisionamento do SCIM no nível workspacepara o nível account .

Gerenciar grupos de contas com o console da conta

os administradores account podem adicionar e gerenciar grupos na account do Databricks usando o consoleaccount . administradores workspace e gerentes de grupo podem gerenciar grupos usando a página de configurações workspace e APIs do Databricks. Consulte gerenciar grupos account usando a página de configurações de administrador do espaço de trabalho e gerenciar grupos account usando a API.

Adicione grupos à sua conta usando o console da conta

Para adicionar um grupo à conta usando o console da conta, faça o seguinte:

Como administrador da conta, faça login no console da conta.
Na barra lateral, clique em Gerenciamento de usuários.
Na guia Grupos, clique em Adicionar grupo.
Insira um nome para o grupo.
Clique em Confirmar.
Quando solicitado, adicione usuários, princípios de serviço e grupos ao grupo.

Adicione membros a um grupo com o console da conta

Para adicionar usuários, diretores de serviços e grupos a um grupo com o console da conta, faça o seguinte:

Como administrador da conta, faça login no console da conta.
Na barra lateral, clique em Gerenciamento de usuários.
Na guia Grupos, selecione o grupo que deseja atualizar.
Clique em Adicionar membros.
Pesquise o usuário, grupo ou principal de serviço que você deseja adicionar e selecione-o.
Clique em Adicionar.

Observação

Há um atraso de alguns minutos entre a atualização de um grupo de uma account e a atualização do grupo no workspace.

Gerenciar funções em um grupo com o console da conta

Visualização

Esse recurso está em visualização pública.

Os administradores de conta podem conceder funções em grupos de conta no console da conta.

Como administrador da conta, faça login no console da conta.
Na barra lateral, clique em Gerenciamento de usuários.
Na guia Grupos, localize e clique no nome do grupo.
Clique na aba Permissões.
Clique em Conceder acesso.
Procure e selecione o usuário, a entidade de serviço ou o grupo e escolha a função Grupo: Gerente .
Clique em Salvar.

Alterar o nome de um grupo

Os administradores de contas podem atualizar o nome dos grupos de contas com o console de contas:

Como administrador da conta, faça login no console da conta.
Na barra lateral, clique em Gerenciamento de usuários.
Na guia Grupos, selecione o grupo que deseja atualizar.
Clique em Informações do grupo.
Em Nome, atualize o nome.
Clique em Salvar.

Os gerentes de grupo não podem alterar o nome de um grupo usando o console da conta. Em vez disso, use a API de grupos de conta. Por exemplo:

curl --netrc -X PATCH \
https://${DATABRICKS_HOST}/api/2.0/accounts/{account_id}/scim/v2/Groups/{id} \
--header 'Content-type: application/scim+json' \
--data @update-group.json \
| jq .

update-group.json:

{
  "schemas": [ "urn:ietf:params:scim:api:messages:2.0:PatchOp" ],
  "Operations": [
    {
      {
          "op": "replace",
          "path": "displayName",
          "value": "<updated-name>"
      }
    }
  ]
}

Para obter informações sobre como autenticar a account Groups API, consulte Autenticação para automação do Databricks – visão geral.

Atribuir um grupo a um workspace usando o console da conta

Para adicionar grupos a um workspace usando o console de conta, o workspace deve ser habilitado para federação de identidade. Somente grupos account podem ser atribuídos ao workspace.

Como administrador da conta, faça login no console da conta.
Na barra lateral, clique em Espaços de trabalho.
Clique no nome do workspace.
Na guia Permissões , clique em Adicionar permissões.
Procure e selecione o grupo, atribua o nível de permissão ( usuário ou administrador do espaço de trabalho) e clique em Salvar.

Remover um grupo de um workspace usando o console da conta

Para remover grupos de um workspace usando o consoleaccount , o workspace deve estar habilitado para federação de identidades. Somente grupos account podem ser removidos do espaço de trabalho usando o console account .

Quando um grupo account é removido de um workspace, os membros do grupo não podem mais acessar o workspace, mas as permissões são mantidas no grupo. Se o grupo for adicionado novamente a um workspace posteriormente, o grupo recuperará as permissões anteriores.

Como administrador da conta, faça login no console da conta.
Na barra lateral, clique em Espaços de trabalho.
Clique no nome do workspace.
Na Permissões tab, encontre o grupo.
Clique no menu kebab na extremidade direita da linha do grupo e selecione Remover.
Na caixa de diálogo de confirmação, clique em Remover.

Atribuir funções de administrador de conta a um grupo

Não é possível atribuir a função de administrador de conta ou de administrador do marketplace a um grupo usando o console de conta, mas você pode atribuí-la a grupos utilizando a API de Grupos de Conta. Por exemplo:

curl --netrc -X PATCH \
https://${DATABRICKS_HOST}/api/2.0/accounts/{account_id}/scim/v2/Groups/{id} \
--header 'Content-type: application/scim+json' \
--data @update-group.json \
| jq .

update-group.json:

{
  "schemas": [ "urn:ietf:params:scim:api:messages:2.0:PatchOp" ],
  "Operations": [
    {
      "op": "add",
      "path": "roles",
      "value": [
        {
          "value": "account_admin"
        }
      ]
    }
  ]
}

Para obter informações sobre como autenticar a account Groups API, consulte Autenticação para automação do Databricks – visão geral.

Remover grupos da sua conta Databricks

os administradores account podem remover grupos de uma account do Databricks. Os gerentes de grupo também podem remover grupos da account usando a API de grupos account . Consulte gerenciar grupos account usando a API.

Importante

Quando você remove um grupo, todos os usuários desse grupo são excluídos da conta e perdem o acesso aos workspaces aos quais tinham acesso (a menos que sejam membros de outro grupo ou tenham recebido acesso direto à conta ou a qualquer workspace). A Databricks recomenda que você evite excluir grupos no nível da conta, a menos que queira que percam o acesso a todos os workspaces na conta. Você deve estar ciente das seguintes consequências da exclusão de usuários:

Os aplicativos ou scripts que utilizam os tokens gerados pelo usuário não poderão mais acessar APIs do Databricks
Os jobs pertencentes ao usuário não funcionarão
Os clusters pertencentes ao usuário serão interrompidos
As consultas ou os painéis criados pelo usuário e compartilhados com a credencial Executar como proprietário terão que ser atribuídos a outro proprietário para evitar falha no compartilhamento

Para remover um grupo usando o console da conta, faça o seguinte:

Como administrador da conta, faça login no console da conta.
Na barra lateral, clique em Gerenciamento de usuários.
Na guia Grupos, encontre o grupo que deseja remover.
Clique no menu kebab na extrema direita da linha do usuário e selecione Excluir.
Na caixa de diálogo de confirmação, clique em Confirmar exclusão.

Se você remover um grupo usando o console da conta, é importante garantir que você também remova o grupo usando quaisquer conectores de provisionamento SCIM ou aplicativos de API SCIM que tenham sido configurados para a conta.Caso contrário, o provisionamento do SCIM simplesmente adicionará o grupo e seus membros de volta na próxima vez em que for sincronizado. Consulte Sincronizar usuários e grupos do seu provedor de identidade.

Para remover um grupo de uma conta do Databricks usando a API, consulte provisionamento de identidades para sua conta do Databricks e a API de Grupos de Contas.

Gerencie grupos de contas com a página de configurações de administrador do workspace

Os administradores de workspaces podem criar e gerenciar grupos de contas em workspaces federados por identidades com a página de configurações de administrador do workspace.

Observação

Há um atraso de alguns minutos entre a atualização de um grupo account de um workspace e a atualização do grupo na account.

Para obter informações sobre como criar grupos locais de área de trabalho em áreas de trabalho, consulte gerenciar grupos locais de área de trabalho (legado).

Criar ou atribuir um grupo a um workspace usando a página de configurações de administrador do workspace

Para atribuir ou criar um grupo de contas em um workspace usando a página de configurações de administrador do workspace, faça o seguinte:

Como administrador do workspace, faça login no workspace do Databricks.
Clique no seu nome de usuário na barra superior do site Databricks workspace e selecione Settings (Configurações).
Clique na Identidade e acesso tab.
Ao lado de Grupos, clique em gerenciar.
Clique em Adicionar grupo.
Selecione um grupo existente para atribuir ao workspace ou clique em Adicionar novo para criar um novo grupo account .

Observação

Se seu workspace não estiver habilitado para federação de identidade, você não poderá atribuir grupos account existentes ou adicionar grupos account criados em seu workspace. Em vez disso, você deve usar grupos locais de espaço de trabalho, consulte gerenciar grupos locais de espaço de trabalho (legado).

Adicionar membros a um grupo com a página de configurações de administrador do workspace

Você deve ser um administrador do workspace para adicionar usuários, entidades de serviço e grupos a um grupo de conta usando a página de configurações de administrador do workspace. Você pode gerenciar membros somente de um grupo em que você tenha a função de gerente do grupo.

Observação

Você não pode adicionar um grupo filho ao grupo admins . Você não pode adicionar grupos locais de workspaceou grupos de sistemas como membros de grupos account .

Os gerentes de grupo que não são administradores workspace devem gerenciar a associação ao grupo usando a account Groups API.

Como administrador do workspace, faça login no workspace do Databricks.
Clique no seu nome de usuário na barra superior do site Databricks workspace e selecione Settings (Configurações).
Clique na Identidade e acesso tab.
Ao lado de Grupos, clique em gerenciar.
Selecione o grupo que deseja atualizar. Você deve ter a função de gerente de para atualizá-lo.
Na Membros tab, clique em Adicionar membros.
Na caixa de diálogo, navegue ou pesquise os usuários, diretores de serviço e grupos que deseja adicionar e selecione-os.
Clique em Confirmar.

Gerenciar funções em um grupo de contas usando a página de configurações de administrador do workspace

Visualização

Esse recurso está em visualização pública.

Você pode atribuir a função de gerente de grupo a usuários, grupos de contas e entidades de serviço. Os gerentes de grupo podem gerenciar a associação ao grupo. Eles também podem atribuir a função de gerente de grupo a outros usuários.

Você deve ser administrador do workspace para gerenciar funções de grupo usando a página de configurações do administrador do workspace. Os gerentes de grupo que não são administradores de workspace podem gerenciar funções de grupo usando a API de Controle de Acesso de Conta.

Como administrador do workspace, faça login no workspace do Databricks.
Clique no seu nome de usuário na barra superior do site Databricks workspace e selecione Settings (Configurações).
Clique na Identidade e acesso tab.
Ao lado de Grupos, clique em gerenciar.
Selecione o grupo que deseja atualizar. Você deve ter a função de gerente de para atualizá-lo.
Clique na aba Permissões.
Clique em Conceder acesso.
Procure e selecione o usuário, a entidade de serviço ou o grupo e escolha a função Grupo: Gerente .

Observação

Você não pode atribuir funções de grupos locais de workspaceou grupos de sistemas em grupos account .
Clique em Salvar.

Exibir grupos de pais

Como administrador do workspace, faça login no workspace do Databricks.
Clique no seu nome de usuário na barra superior do site Databricks workspace e selecione Settings (Configurações).
Clique na Identidade e acesso tab.
Ao lado de Grupos, clique em gerenciar.
Selecione o grupo que deseja view.
Na Grupo pai tab, view os grupos pai do seu grupo.

Remover um grupo de um workspace usando a página de configurações de administração do workspace

A remoção de um grupo de um workspace não exclui o grupo da account. Quando um grupo é removido de um workspace, os membros do grupo não podem mais acessar o workspace, mas as permissões são mantidas no grupo. Se o grupo for adicionado novamente ao workspace posteriormente, o grupo recuperará suas permissões anteriores.

Como administrador do workspace, faça login no workspace do Databricks.
Clique no seu nome de usuário na barra superior do site Databricks workspace e selecione Settings (Configurações).
Clique na Identidade e acesso tab.
Ao lado de Grupos, clique em gerenciar.
Selecione o grupo e clique em x Excluir
Clique em Excluir para confirmar.

Gerenciar grupos de contas usando a API

Os administradores de conta e os administradores de workspace e gerentes de grupo podem adicionar, excluir e gerenciar grupos na conta do Databricks usando a API de grupos de conta. Administradores de contas, administradores de workspaces e gerentes de grupos devem invocar a API usando com outro URL de endpoint:

Administradores de conta usam {account-domain}/api/2.0/accounts/{account_id}/scim/v2/.
Administradores do workspace e gerentes de grupos utilizam. {workspace-domain}/api/2.0/account/scim/v2/

Para obter detalhes, consulte a API de grupos de contas.

Atribuir um grupo a um workspace usando a API

Administradores de contas e workspaces podem usar a API de atribuição de workspace para atribuir grupos a workspaces habilitados para federação de identidades. A API de atribuição de workspace é suportada por meio da conta e dos workspaces do Databricks.

Administradores de conta usam {account-domain}/api/2.0/accounts/{account_id}/workspaces/{workspace_id}/permissionassignments.
Os administradores do workspace usam {workspace-domain}/api/2.0/preview/permissionassignments/principals/{group_id}.

Consulte API de atribuição de workspace.

Gerenciar funções de um grupo usando a API

Visualização

Esse recurso está em visualização pública.

Os gerentes de grupo podem gerenciar funções de grupo usando a API de controle de acesso de contas. Administradores de conta, administradores de workspace e gerentes de grupo devem invocar a API usando outro URL de endpoint:

Administradores de conta usam {account-domain}/api/2.0/preview/accounts/{account_id}/access-control/assignable-roles.
Administradores do workspace e gerentes de grupos utilizam. {workspace-domain}/api/2.0/preview/accounts/access-control/assignable-roles

Consulte API de controle de acesso a contas e API de proxy de workspace de controle de acesso a contas.