أدوار لإدارة كيانات الخدمة

  • مقالة

توضح هذه المقالة كيفية إدارة الأدوار على أساسيات الخدمة في حساب Azure Databricks الخاص بك.

كيان الخدمة هو هوية تقوم بإنشائها في Azure Databricks لاستخدامها مع الأدوات والوظائف والتطبيقات التلقائية. تمنح أساسيات الخدمة الأدوات والبرامج النصية التلقائية حق الوصول إلى موارد Azure Databricks فقط، ما يوفر أمانا أكبر من استخدام المستخدمين أو المجموعات.

يمكنك منح مستخدمي Azure Databricks وكيانات الخدمة ومجموعات الحسابات حق الوصول لاستخدام كيان الخدمة. يسمح هذا للمستخدمين بتشغيل الوظائف ككيان الخدمة، بدلا من هويتهم. يؤدي هذا إلى منع فشل المهام إذا غادر مستخدم مؤسستك أو تم تعديل مجموعة.

للحصول على نظرة عامة على كيانات الخدمة، راجع إدارة كيانات الخدمة.

أدوار كيان الخدمة

أدوار كيان الخدمة هي أدوار على مستوى الحساب. وهذا يعني أنها تحتاج إلى تعريف مرة واحدة فقط، في حسابك، وتطبيقها عبر جميع مساحات العمل. هناك دوران يمكنك منحهما على كيان الخدمة: مدير الخدمة الأساسي والمستخدم الأساسي للخدمة.

  • يسمح لك مدير كيان الخدمة بإدارة الأدوار على كيان الخدمة. لدى منشئ كيان الخدمة دور مدير الخدمة الأساسي على كيان الخدمة. يكون لمسؤولي الحساب دور مدير الخدمة الأساسي على جميع كيانات الخدمة في الحساب.

إشعار

إذا تم إنشاء كيان خدمة قبل 13 يونيو 2023، فلن يكون لمنشئ كيان الخدمة دور مدير كيان الخدمة بشكل افتراضي. إذا كنت بحاجة إلى أن تكون مديرا، فاطلب من مسؤول الحساب منحك دور مدير كيان الخدمة.

  • يسمح مستخدم كيان الخدمة لمستخدمي مساحة العمل بتشغيل المهام ككيان الخدمة. سيتم تشغيل الوظيفة بهوية كيان الخدمة، بدلا من هوية مالك الوظيفة.

لا يرث المستخدمون الذين لديهم دور مدير الخدمة الأساسي دور المستخدم الأساسي للخدمة. إذا كنت ترغب في استخدام كيان الخدمة لتنفيذ المهام، فأنت بحاجة إلى تعيين دور المستخدم الأساسي للخدمة بشكل صريح، حتى بعد إنشاء كيان الخدمة.

إشعار

لا تتداخل الأدوار الأساسية لخدمة Azure Databricks مع أدوار Azure أو أدوار معرف Microsoft Entra (المعروف سابقا ب Azure Active Directory). تمتد هذه الأدوار فقط إلى حساب Azure Databricks.

إدارة أدوار كيان الخدمة باستخدام وحدة تحكم الحساب

يمكن لمسؤولي الحساب إدارة أدوار كيانات الخدمة باستخدام وحدة تحكم الحساب.

عرض الأدوار على كيان الخدمة

  1. بصفتك مسؤول حساب، سجل الدخول إلى وحدة تحكم الحساب.
  2. في الشريط الجانبي، انقر فوق إدارة المستخدم.
  3. في علامة التبويب أساسيات الخدمة، ابحث عن الاسم وانقر فوقه.
  4. انقر فوق علامة التبويب أذونات.

يمكنك مشاهدة قائمة الأساسيات والأدوار التي يتم منحها على كيان الخدمة. يمكنك أيضا استخدام شريط البحث للبحث عن دور أو أساس معين.

منح الأدوار على كيان الخدمة

  1. بصفتك مسؤول حساب، سجل الدخول إلى وحدة تحكم الحساب.

  2. في الشريط الجانبي، انقر فوق إدارة المستخدم.

  3. في علامة التبويب أساسيات الخدمة، ابحث عن الاسم وانقر فوقه.

  4. انقر فوق علامة التبويب أذونات.

  5. انقر فوق منح الوصول.

  6. ابحث عن المستخدم أو كيان الخدمة أو المجموعة وحددها واختر الدور أو الأدوار (كيان الخدمة: المدير أو كيان الخدمة: المستخدم) لتعيينه.

    إشعار

    لا يرث المستخدمون الذين لديهم دور مدير الخدمة الأساسي دور المستخدم الأساسي للخدمة. إذا كنت تريد أن يستخدم المستخدم كيان الخدمة لتنفيذ المهام، فستحتاج إلى تعيين دور المستخدم الأساسي للخدمة بشكل صريح.

  7. انقر فوق حفظ.

إبطال الأدوار على كيان الخدمة

  1. بصفتك مسؤول حساب، سجل الدخول إلى وحدة تحكم الحساب.
  2. في الشريط الجانبي، انقر فوق إدارة المستخدم.
  3. في علامة التبويب أساسيات الخدمة، ابحث عن الاسم وانقر فوقه.
  4. انقر فوق علامة التبويب أذونات.
  5. ابحث عن المستخدم أو كيان الخدمة أو المجموعة لتحرير أدوارهم.
  6. في الصف الذي يحتوي على الأساسي، انقر فوق قائمة القطع الناقص العمودي kebab ثم حدد Edit. بدلا من ذلك، حدد حذف لإبطال كافة الأدوار الخاصة بالمدير.
  7. انقر فوق تحرير.
  8. انقر فوق X بجوار الأدوار التي تريد إبطالها.
  9. انقر فوق حفظ.

إدارة أدوار كيان الخدمة باستخدام صفحة إعدادات مسؤول مساحة العمل

يمكن لمسؤولي مساحة العمل إدارة أدوار كيانات الخدمة لكيانات الخدمة التي لديهم دور مدير الخدمة الأساسي على استخدام صفحة إعدادات المسؤول.

عرض الأدوار على كيان الخدمة

  1. كمسؤول مساحة عمل، سجل الدخول إلى مساحة عمل Azure Databricks.
  2. انقر فوق اسم المستخدم الخاص بك في الشريط العلوي من مساحة عمل Azure Databricks وحدد الإعدادات.
  3. انقر فوق علامة التبويب الهوية والوصول .
  4. إلى جانب أساسيات الخدمة، انقر فوق إدارة.
  5. ابحث عن الاسم وانقر فوقه.
  6. انقر فوق علامة التبويب أذونات.

يمكنك مشاهدة قائمة الأساسيات والأدوار التي يتم منحها على كيان الخدمة. يمكنك أيضا استخدام شريط البحث للبحث عن دور أو أساس معين.

منح الأدوار على كيان الخدمة

يجب أن يكون لديك دور مدير الخدمة الأساسي على كيان الخدمة من أجل منح الأدوار.

  1. كمسؤول مساحة عمل، سجل الدخول إلى مساحة عمل Azure Databricks.

  2. انقر فوق اسم المستخدم الخاص بك في الشريط العلوي من مساحة عمل Azure Databricks وحدد الإعدادات.

  3. انقر فوق علامة التبويب الهوية والوصول .

  4. إلى جانب أساسيات الخدمة، انقر فوق إدارة.

  5. ابحث عن الاسم وانقر فوقه.

  6. انقر فوق علامة التبويب أذونات.

  7. انقر فوق منح الوصول.

  8. ابحث عن المستخدم أو كيان الخدمة أو المجموعة وحددها واختر الدور أو الأدوار (كيان الخدمة: المدير أو كيان الخدمة: المستخدم) لتعيينه.

    إشعار

    يمكن منح الأدوار لأي مستخدم أو كيان خدمة أو مجموعة على مستوى الحساب، حتى إذا لم يكن عضوا في مساحة العمل. لا يمكن منح الأدوار للمجموعات المحلية لمساحة العمل.

    لا يرث المستخدمون الذين لديهم دور مدير الخدمة الأساسي دور المستخدم الأساسي للخدمة. إذا كنت تريد أن يستخدم المستخدم كيان الخدمة لتنفيذ المهام، فستحتاج إلى تعيين دور المستخدم الأساسي للخدمة بشكل صريح.

  9. انقر فوق حفظ.

إبطال الأدوار على كيان الخدمة

يجب أن يكون لديك دور مدير الخدمة الأساسي على كيان الخدمة من أجل إبطال الأدوار.

  1. كمسؤول مساحة عمل، سجل الدخول إلى مساحة عمل Azure Databricks.
  2. انقر فوق اسم المستخدم الخاص بك في الشريط العلوي من مساحة عمل Azure Databricks وحدد الإعدادات.
  3. انقر فوق علامة التبويب الهوية والوصول .
  4. إلى جانب أساسيات الخدمة، انقر فوق إدارة.
  5. ابحث عن الاسم وانقر فوقه.
  6. انقر فوق علامة التبويب أذونات.
  7. ابحث عن المستخدم أو كيان الخدمة أو المجموعة لتحرير أدوارهم.
  8. في الصف الذي يحتوي على الأساسي، انقر فوق قائمة القطع الناقص العمودي kebab ثم حدد Edit. بدلا من ذلك، حدد حذف لإبطال كافة الأدوار الخاصة بالمدير.
  9. انقر فوق تحرير.
  10. انقر فوق X بجوار الأدوار التي تريد إبطالها.
  11. انقر فوق حفظ.

إدارة أدوار كيان الخدمة باستخدام Databricks CLI

يجب أن يكون لديك دور مدير الخدمة الأساسي لإدارة الأدوار على كيان الخدمة. يمكنك استخدام Databricks CLI لإدارة الأدوار. للحصول على معلومات حول التثبيت والمصادقة على Databricks CLI، راجع ما هو Databricks CLI؟.

يمكنك أيضا إدارة أدوار كيان الخدمة باستخدام واجهة برمجة تطبيقات التحكم في الوصول إلى الحسابات. يتم دعم واجهة برمجة تطبيقات التحكم في الوصول إلى الحسابات من خلال حساب Azure Databricks ومساحات العمل.

يتصل مسؤولو الحساب بواجهة برمجة التطبيقات على accounts.azuredatabricks.net ({account-domain}/api/2.0/preview/accounts/{account_id}/access-control).

يتصل المستخدمون الذين لديهم دور مدير كيان الخدمة غير المسؤولين عن الحساب بواجهة برمجة التطبيقات على مجال مساحة العمل ({workspace-domain}/api/2.0/preview/accounts/access-control/).

منح الأدوار على كيان الخدمة باستخدام Databricks CLI

تستخدم واجهة برمجة تطبيقات التحكم في الوصول إلى الحسابات حقلا etag لضمان التناسق. لمنح أو إبطال أدوار كيان الخدمة من خلال واجهة برمجة التطبيقات، قم أولا بإصدار GET أمر مجموعة قواعد وتلقي استجابة etag . يمكنك بعد ذلك تطبيق التغييرات محليا، وأخيرا إصدار مجموعة PUT قواعد باستخدام etag.

على سبيل المثال، قم بإصدار مجموعة GET قواعد على كيان الخدمة الذي تريد منح حق الوصول إليه عن طريق تشغيل الأمر التالي:

databricks account access-control get-rule-set accounts/<account-id>/servicePrincipals/<application-id>/ruleSets/default <etag>

استبدل:

  • <account-id> بمعرف الحساب.
  • <application-id> مع معرف التطبيق الأساسي للخدمة.
  • <etag> مع ""

استجابة مثال:

{
  "etag":"<etag>",
  "grant_rules": [
    {
      "principals": [
        "users/user@example.com"
      ],
      "role":"roles/servicePrincipal.manager"
    },
    {
      "principals": [
        "users/user@example.com"
      ],
      "role":"roles/servicePrincipal.user"
    }
  ],
  "name":"<name>"
}

انسخ etag الحقل من نص الاستجابة لاستخدامه لاحقا.

بعد ذلك، يمكنك إجراء التحديثات محليا عندما تقرر الحالة النهائية للقواعد ثم تحديث مجموعة القواعد باستخدام etag. لمنح كيان الخدمة: دور المستخدم للمستخدم user2@example.com، قم بتشغيل ما يلي:

databricks account access-control update-rule-set --json '{
  "name": "accounts/<account-id>/servicePrincipals/<application-id>/ruleSets/default",
  "rule_set": {
      "name": "accounts/<account-id>/servicePrincipals/<application-id>/ruleSets/default",
      "grant_rules": [
        {
            "role": "roles/servicePrincipal.user",
            "principals": ["users/user2@example.com"]
        }
      ],
      "etag": "<etag>"
  }
}'

استبدل:

  • <account-id> بمعرف الحساب.
  • <application-id> مع معرف التطبيق الأساسي للخدمة.
  • <etag> مع etag الذي نسخته من الاستجابة الأخيرة.

استجابة مثال:

{
  "etag":"<new-etag>",
  "grant_rules": [
    {
      "principals": [
        "users/user2@example.com"
      ],
      "role":"roles/servicePrincipal.user"
    }
  ],
  "name":"accounts/<account-id>/servicePrincipals/<application-id>/ruleSets/default"
}

هام

لأن هذا أسلوب PUT ، تتم الكتابة فوق كافة الأدوار الموجودة. للاحتفاظ بأي أدوار موجودة، يجب إضافتها إلى grant_roles الصفيف.

سرد كيانات الخدمة التي يمكنك استخدامها

باستخدام واجهة برمجة تطبيقات كيانات خدمة مساحة العمل، يمكنك سرد أساسيات الخدمة التي لديك دور المستخدم عليها عن طريق التصفية على servicePrincipal/use.

لسرد أساسيات الخدمة التي لديك دور المستخدم الأساسي للخدمة عليها، قم بتشغيل الأمر التالي:

databricks service-principals list -p WORKSPACE --filter "permission eq 'servicePrincipal/use'"

يمكنك أيضا سرد كيانات الخدمة باستخدام واجهة برمجة تطبيقات كيانات خدمة مساحة العمل.