Gerenciar instance profiles no Databricks

Este artigo explica como gerenciar o acesso e atualizar instance profiles no Databricks.

Gerencie o acesso aos perfis de instância

Os usuários com permissões para implantar clusters podem implantar clusters com qualquer instance profile atribuído. Todos os usuários com acesso aos clusters obtêm as permissões definidas pelo instance profile. Consulte instance profile.

Os SQL warehouses usam um único instance profile para cada workspace. Consulte Habilitar a configuração de acesso a dados. Em seguida, você pode usar o controle de acesso à tabela do Hive Metastore para obter permissões refinadas.

Observação

O access control da tabela do Hive metastore é um modelo de governança de dados herdado. A Databricks recomenda que você use Unity Catalog devido à sua simplicidade e ao modelo de governança baseado na conta. Você pode atualizar as tabelas gerenciadas pelo metastore do Hive para o metastore do Unity Catalog.

Gerenciar o acesso a instance profiles usando a página de configurações de administrador

  1. Como administrador workspace , acesse a página de configurações do administrador.

  2. Clique na guia Perfis de Instância .

  3. Selecione o perfil da instância que você deseja atualizar.

  4. No menu suspenso abaixo dos detalhes do perfil da instância, selecione ou insira o usuário, o grupo ou o principal do serviço:

    Adicionar usuários
  5. Clique em Adicionar.

Opcionalmente, atribua os instance profiles diretamente aos grupos:

  1. Como administrador workspace , acesse a página de configurações do administrador.

  2. Clique na Identidade e acesso tab.

  3. Ao lado de Grupos, clique em gerenciar.

  4. Selecione o grupo que deseja atualizar.

  5. Na guia Perfis de Instância, clique em + Adicionar Perfis de Instância ao grupo.

  6. Na caixa de diálogo Adicionar perfis de instância, clique na seta para baixo para exibir uma lista suspensa de perfis de instância e selecione os que deseja adicionar.

  7. Clique na seta para baixo para ocultar a lista suspensa.

  8. Clique em Adicionar.

Gerenciar o acesso a instance profiles com a API

Os administradores de workspace podem gerenciar o acesso a instance profiles usando APIs SCIM no nível do workspace para usuários, entidades de serviço e grupos.

Por exemplo, para conceder a um grupo acesso a um perfil de instância, use o seguinte padrão:

curl --netrc -X PATCH \
https://<databricks-instance>/api/2.0/preview/scim/v2/Groups/<group-id> \
--header 'Content-type: application/scim+json' \
--data @update-group.json \
| jq .

update-group.json:

{
  "schemas": [ "urn:ietf:params:scim:api:messages:2.0:PatchOp" ],
  "Operations": [
    {
      {
          "op": "add",
          "path": "roles",
          "value": "<instance-profile-role-arn>"
      }
    }
  ]
}

Substituir:

  • <group-id> com a ID do grupo.

  • <instance-profile-role-arn> com o nome de recurso da Amazon (ARN) da função de perfil da instância, por exemplo arn:aws:iam::123456789012:instance-profile/my-role.

Para as referências completas da API, consulte API de workspace, API de Usuários do workspace e API de entidade de serviço de workspace.

Editar o ARN da função do instance profile

Para os instance profiles que você já criou, você pode editá-los posteriormente, mas apenas para especificar outro ARN de IAM role. Esta etapa é necessária para que os Databricks SQL Serverless funcionem com um instance profile com o nome de função (o texto após a última barra na função do ARN) e o nome do instance profile (o texto após a última barra no ARN do instance profile) diferentes. Para obter informações relacionadas, consulte Habilitar SQL warehouses serverless.

  1. Ir para a página de configurações do administrador.

  2. Clique na Segurança tab.

  3. Clique em gerenciar próximo ao instance profile.

  4. Clique no nome do instance profile que você deseja editar.

  5. Clique em Editar. Será exibida uma caixa de diálogo.

    Edite o ARN da função do instance profile

    Edite o campo ARN da função do IAM e cole o ARN da função associado ao seu instance profile. Como administrador, você pode obter esse valor no console da AWS.

  6. Clique em Salvar.