Role pro správu instančních objektů
Tento článek popisuje, jak spravovat role u instančních objektů ve vašem účtu Azure Databricks.
Instanční objekt je identita, kterou vytvoříte v Azure Databricks pro použití s automatizovanými nástroji, úlohami a aplikacemi. Instanční objekty poskytují automatizovaným nástrojům a skriptům přístup k prostředkům Azure Databricks jenom pomocí rozhraní API a poskytují větší zabezpečení než používání uživatelů nebo skupin.
K používání instančního objektu můžete grant uživatele Azure Databricks, instanční objekty a skupiny účtů. To umožňuje uživatelům spouštět úlohy jako instanční objekt, nikoli jako jejich identitu. Tím zabráníte selhání úloh, pokud uživatel opustí vaši organizaci nebo skupinu.
Přehled instančních objektů najdete v tématu Správa instančních objektů.
Role instančního objektu
Role instančního objektu jsou role na úrovni účtu. To znamená, že je potřeba je v účtu definovat jenom jednou a použít je ve všech pracovních prostorech. V instančním objektu můžete
- Správce instančního objektu umožňuje spravovat role v instančním objektu. Tvůrce instančního objektu má v instančním objektu roli Správce instančního objektu. Správci účtů mají roli Správce instančního objektu pro všechny instanční objekty v účtu.
Poznámka:
Pokud byl instanční objekt vytvořen před 13. červnem 2023, tvůrce instančního objektu ve výchozím nastavení nemá roli Správce instančního objektu. Pokud potřebujete získat roli manažera, požádejte správce účtu, aby vám grant roli správce objektu služby .
- Uživatel instančního objektu umožňuje uživatelům pracovního prostoru spouštět úlohy jako instanční objekt. Úloha se spustí s identitou instančního objektu místo identity vlastníka úlohy.
Uživatelé s rolí Správce instančního objektu nedědí roli uživatele instančního objektu. Pokud chcete k provádění úloh použít instanční objekt, musíte explicitně přiřadit roli uživatele instančního objektu i po vytvoření instančního objektu.
Poznámka:
Role instančního objektu Azure Databricks se nepřekrývají s rolemi Azure ani s rolemi Microsoft Entra ID. Tyto role zahrnují pouze účet Azure Databricks.
Správa rolí instančního objektu pomocí konzoly účtu
Správci účtů můžou spravovat role instančních objektů pomocí konzoly účtu.
Zobrazení rolí v instančním objektu
- Jako správce účtu se přihlaste ke konzole účtu.
- Na bočním panelu klikněte na Správa uživatelů.
- Na kartě Instanční objekty vyhledejte a klikněte na název.
- Klikněte na kartu Oprávnění .
Můžete zobrazit list principálů a role, které jsou uděleny na služebním účtu. K vyhledání konkrétního objektu zabezpečení nebo role můžete použít také panel hledání.
Grant role na služebním principu
Jako správce účtu se přihlaste ke konzole účtu.
Na bočním panelu klikněte na Správa uživatelů.
Na kartě Instanční objekty vyhledejte a klikněte na název.
Klikněte na kartu Oprávnění .
Klepněte na Grant pro přístup.
Vyhledejte a select uživatele, instanční objekt nebo skupinu a zvolte roli nebo role (Instanční objekt: Správce nebo Instanční objekt: Uživatel) k přiřazení.
Poznámka:
Uživatelé s rolí Správce instančního objektu nedědí roli uživatele instančního objektu. Pokud chcete, aby uživatel použil instanční objekt ke spouštění úloh, budete muset explicitně přiřadit roli instančního objektu uživatele .
Klikněte na Uložit.
Revoke role služby principála
- Jako správce účtu se přihlaste ke konzole účtu.
- Na bočním panelu klikněte na Správa uživatelů.
- Na kartě Instanční objekty vyhledejte a klikněte na název.
- Klikněte na kartu Oprávnění .
- Vyhledejte uživatele, instanční objekt nebo skupinu, abyste mohli upravit své role.
- Na řádku s hlavním objektem klikněte na Kebab menu
a pak selectUpravit. Alternativně selectodstranit až revoke všechny role objektu zabezpečení. - Klikněte na možnost Upravit.
- Klikněte na X vedle rolí, které chcete revoke.
- Klikněte na Uložit.
Správa rolí instančního objektu pomocí stránky nastavení pracovního prostoru
Správci pracovního prostoru můžou spravovat role instančních objektů pro instanční objekty, které mají roli Správce instančních objektů na stránce nastavení správce.
Zobrazení rolí v instančním objektu
- Jako správce pracovního prostoru se přihlaste k pracovnímu prostoru Azure Databricks.
- Klikněte na své uživatelské jméno v horním panelu pracovního prostoru Azure Databricks a selectNastavení.
- Klikněte na kartu Identita a přístup .
- Vedle instančních objektů klikněte na Spravovat.
- Vyhledejte název a klikněte na název.
- Klikněte na kartu Oprávnění .
Můžete zobrazit list hlavních objektů a role, které jsou jim uděleny na služebním objektu. K vyhledání konkrétního objektu zabezpečení nebo role můžete použít také panel hledání.
Grant role instančního objektu
Abyste mohli
Jako správce pracovního prostoru se přihlaste k pracovnímu prostoru Azure Databricks.
Klikněte na své uživatelské jméno v horním panelu pracovního prostoru Azure Databricks a selectNastavení.
Klikněte na kartu Identita a přístup .
Vedle instančních objektů klikněte na Spravovat.
Vyhledejte název a klikněte na název.
Klikněte na kartu Oprávnění .
Klikněte na Grant pro přístup k.
Vyhledejte a select uživatele, instanční objekt nebo skupinu a zvolte roli nebo role (Instanční objekt: Správce nebo Instanční objekt: Uživatel) k přiřazení.
Poznámka:
Role se dají udělit libovolnému uživateli, instančnímu objektu nebo skupině na úrovni účtu, i když nejsou členem pracovního prostoru. Role nelze udělit místním skupinám pracovního prostoru.
Uživatelé s rolí Správce instančního objektu nedědí roli uživatele instančního objektu. Pokud chcete, aby uživatel použil instanční objekt ke spouštění úloh, budete muset explicitně přiřadit roli instančního objektu uživatele .
Klikněte na Uložit.
Revoke role na služebním principalu
Aby bylo možné vykonávat role revoke, musíte mít u služební identity roli Správce.
- Jako správce pracovního prostoru se přihlaste k pracovnímu prostoru Azure Databricks.
- Klikněte na své uživatelské jméno v horním panelu pracovního prostoru Azure Databricks a selectNastavení.
- Klikněte na kartu Identita a přístup .
- Vedle instančních objektů klikněte na Spravovat.
- Vyhledejte název a klikněte na název.
- Klikněte na kartu Oprávnění .
- Vyhledejte uživatele, instanční objekt nebo skupinu, abyste mohli upravit své role.
- Na řádku s hlavním klikněte na nabídku kebab a potom selectUpravit. Případně selectodstranit až revoke všechny role principálu.
- Klikněte na možnost Upravit.
- Klikněte na X vedle rolí, které chcete revoke.
- Klikněte na Uložit.
Správa rolí instančního objektu pomocí rozhraní příkazového řádku Databricks
Abyste mohli spravovat role instančního objektu, musíte mít roli Instančního objektu. Ke správě rolí můžete použít rozhraní příkazového řádku Databricks. Informace o instalaci a ověřování v rozhraní příkazového řádku Databricks najdete v tématu Co je rozhraní příkazového řádku Databricks?.
Role instančního objektu můžete spravovat také pomocí rozhraní API pro řízení přístupu k účtům. Rozhraní API pro řízení přístupu k účtům se podporuje prostřednictvím účtu a pracovních prostorů Azure Databricks.
Správci účtů volají rozhraní API na accounts.azuredatabricks.net ({account-domain}/api/2.0/preview/accounts/{account_id}/access-control).
Uživatelé s rolí Správce instančního objektu, kteří nejsou správci účtu, volají rozhraní API v doméně pracovního prostoru ({workspace-domain}/api/2.0/preview/accounts/access-control/).
Grant role instančního objektu pomocí rozhraní příkazového řádku Databricks
Rozhraní API pro řízení přístupu k účtům etag a rozhraní příkazového řádku používají pole k zajištění konzistence. Chcete-li nastavit role instančního objektu grant nebo revoke prostřednictvím rozhraní API, nejprve zadejte příkaz pro pravidlo GETset a obdržíte etag jako odpověď. Pak můžete aplikovat změny lokálně a nakonec vydat pravidlo PUTset pomocí etag.
Například vydáním pravidla GETset na služebním principálu, ke kterému chcete grant přístup, spusťte následující příkaz:
databricks account access-control get-rule-set accounts/<account-id>/servicePrincipals/<application-id>/ruleSets/default <etag>
Nahrazení:
-
<account-id>s ID účtu. -
<application-id>s ID aplikace instančního objektu. -
<etag>s ""
Příklad odpovědi:
{
"etag":"<etag>",
"grant_rules": [
{
"principals": [
"users/user@example.com"
],
"role":"roles/servicePrincipal.manager"
},
{
"principals": [
"users/user@example.com"
],
"role":"roles/servicePrincipal.user"
}
],
"name":"<name>"
}
etag Zkopírujte pole z textu odpovědi pro pozdější použití.
Potom můžete provést aktualizace místně, když se rozhodnete o konečném stavu pravidel, a pak update pravidlo set pomocí značky etag. Pokud chcete grant instančního objektu : Role uživatele pro user2@example.comuživatele, spusťte následující příkaz:
databricks account access-control update-rule-set --json '{
"name": "accounts/<account-id>/servicePrincipals/<application-id>/ruleSets/default",
"rule_set": {
"name": "accounts/<account-id>/servicePrincipals/<application-id>/ruleSets/default",
"grant_rules": [
{
"role": "roles/servicePrincipal.user",
"principals": ["users/user2@example.com"]
}
],
"etag": "<etag>"
}
}'
Nahrazení:
-
<account-id>s ID účtu. -
<application-id>s ID aplikace instančního objektu. -
<etag>s značkou etag, kterou jste zkopírovali z poslední odpovědi.
Příklad odpovědi:
{
"etag":"<new-etag>",
"grant_rules": [
{
"principals": [
"users/user2@example.com"
],
"role":"roles/servicePrincipal.user"
}
],
"name":"accounts/<account-id>/servicePrincipals/<application-id>/ruleSets/default"
}
Důležité
Vzhledem k tomu, že se jedná o metodu, přepíšou PUT se všechny existující role. Pokud chcete zachovat všechny existující role, musíte je přidat do grant_roles pole.
List účty služeb, které můžete použít
Pomocí rozhraní API instančních objektů pracovního prostoru můžete list instanční objekty, na kterých máte roli uživatele, filtrováním podle servicePrincipal/use.
Pokud chcete list instanční objekty, na kterých máte roli uživatele instančního objektu, spusťte následující příkaz:
databricks service-principals list -p WORKSPACE --filter "permission eq 'servicePrincipal/use'"
Instanční objekty můžete také list pomocí rozhraní API instančních objektů pracovního prostoru .