Amazon
Web Services
Microsoft Azure
Google Cloud PlatformGerenciar instance profiles no Databricks
Este artigo explica como gerenciar o acesso e atualizar instance profiles no Databricks.
Gerencie o acesso aos perfis de instância
Os usuários com permissões para implantar clusters podem implantar clusters com qualquer instance profile atribuído. Todos os usuários com acesso aos clusters obtêm as permissões definidas pelo instance profile. Consulte instance profile.
Os SQL warehouses usam um único instance profile para cada workspace. Consulte Habilitar a configuração de acesso a dados. Em seguida, você pode usar o controle de acesso à tabela do Hive Metastore para obter permissões refinadas.
Observação
O access control da tabela do Hive metastore é um modelo de governança de dados herdado. A Databricks recomenda que você use Unity Catalog devido à sua simplicidade e ao modelo de governança baseado na conta. Você pode atualizar as tabelas gerenciadas pelo metastore do Hive para o metastore do Unity Catalog.
Gerenciar o acesso a instance profiles usando a página de configurações de administrador
Como administrador do workspace, acesse a página de configurações.
Clique na guia Perfis de Instância .
Selecione o perfil da instância que você deseja atualizar.
No menu suspenso abaixo dos detalhes do perfil da instância, selecione ou insira o usuário, o grupo ou o principal do serviço:
Clique em Adicionar.
Opcionalmente, atribua os instance profiles diretamente aos grupos:
Como administrador do workspace, acesse a página de configurações.
Clique na Identidade e acesso tab.
Ao lado de Grupos, clique em gerenciar.
Selecione o grupo que deseja atualizar.
Na guia Perfis de Instância, clique em + Adicionar Perfis de Instância ao grupo.
Na caixa de diálogo Adicionar perfis de instância, clique na seta para baixo para exibir uma lista suspensa de perfis de instância e selecione os que deseja adicionar.
Clique na seta para baixo para ocultar a lista suspensa.
Clique em Adicionar.
Gerenciar o acesso a instance profiles com a API
Os administradores de workspace podem gerenciar o acesso a instance profiles usando APIs SCIM no nível do workspace para usuários, entidades de serviço e grupos.
Por exemplo, para conceder a um grupo acesso a um perfil de instância, use o seguinte padrão:
curl --netrc -X PATCH \
https://<databricks-instance>/api/2.0/preview/scim/v2/Groups/<group-id> \
--header 'Content-type: application/scim+json' \
--data @update-group.json \
| jq .
update-group.json:
{
"schemas": [ "urn:ietf:params:scim:api:messages:2.0:PatchOp" ],
"Operations": [
{
{
"op": "add",
"path": "roles",
"value": "<instance-profile-role-arn>"
}
}
]
}
Substituir:
<group-id>com a ID do grupo.<instance-profile-role-arn>com o nome de recurso da Amazon (ARN) da função de perfil da instância, por exemploarn:aws:iam::123456789012:instance-profile/my-role.
Para as referências completas da API, consulte API de workspace, API de Usuários do workspace e API de entidade de serviço de workspace.
Editar o ARN da função do instance profile
Para os instance profiles que você já criou, você pode editá-los posteriormente, mas apenas para especificar outro ARN de IAM role. Esta etapa é necessária para que os Databricks SQL Serverless funcionem com um instance profile com o nome de função (o texto após a última barra na função do ARN) e o nome do instance profile (o texto após a última barra no ARN do instance profile) diferentes. Para obter informações relacionadas, consulte Habilitar SQL warehouses serverless.
Vá para a página de configurações.
Clique na Segurança tab.
Clique em gerenciar próximo ao instance profile.
Clique no nome do instance profile que você deseja editar.
Clique em Editar. Será exibida uma caixa de diálogo.
Edite o campo ARN da função do IAM e cole o ARN da função associado ao seu instance profile. Como administrador, você pode obter esse valor no console da AWS.
Clique em Salvar.
