Megosztás a következőn keresztül:

Szerepkörök a szolgáltatásnevek kezeléséhez

  • Cikk

Ez a cikk azt ismerteti, hogyan kezelheti a szerepköröket az Azure Databricks-fiókban lévő szolgáltatásneveken.

A szolgáltatásnév az Azure Databricksben létrehozott identitás, amely automatizált eszközökkel, feladatokkal és alkalmazásokkal használható. A szolgáltatásnevek automatizált eszközöket és szkripteket biztosítanak, amelyek csak API-hozzáférést adnak az Azure Databricks-erőforrásokhoz, nagyobb biztonságot nyújtva, mint ami a felhasználók vagy csoportok használata esetén elérhető.

Hozzáférést biztosíthat az Azure Databricks felhasználóinak, szolgáltatásneveinek és fiókcsoportjainak a szolgáltatásnév használatához. Így a felhasználók szolgáltatásnévként futtathatnak feladatokat, nem pedig identitásként. Ez megakadályozza, hogy a feladatok meghiúsulnak, ha egy felhasználó elhagyja a szervezetét, vagy egy csoport módosul.

A szolgáltatásnevek áttekintését a Szolgáltatásnevek kezelése című témakörben tekintheti meg.

Szolgáltatásnév-szerepkörök

A szolgáltatásnév-szerepkörök fiókszintű szerepkörök. Ez azt jelenti, hogy csak egyszer kell definiálni őket a fiókjában, és minden munkaterületre alkalmazni kell őket. Egy szolgáltatásnéven két szerepkör adható: a Szolgáltatásnév-kezelő és a Szolgáltatásnév-felhasználó.

  • A Szolgáltatásnév-kezelő lehetővé teszi a szerepkörök kezelését egy szolgáltatásnéven. A szolgáltatásnév létrehozója a Szolgáltatásnév-kezelő szerepkörrel rendelkezik a szolgáltatásnéven. A fiókadminisztrátor szolgáltatásnév-kezelő szerepkörrel rendelkezik egy fiók összes szolgáltatásnevén.

Feljegyzés

Ha egy szolgáltatásnév 2023. június 13. előtt lett létrehozva, a szolgáltatásnév létrehozója alapértelmezés szerint nem rendelkezik a Szolgáltatásnév-kezelő szerepkörrel. Ha vezetőnek kell lennie, kérje meg a fiókadminisztrátort, hogy adja meg Önnek a Szolgáltatásnév-kezelő szerepkört.

  • A szolgáltatásnév felhasználója lehetővé teszi, hogy a munkaterület felhasználói szolgáltatásnévként futtatjanak feladatokat. A feladat a feladat tulajdonosának identitása helyett a szolgáltatásnév identitásával fog futni.

A Szolgáltatásnév-kezelő szerepkörrel rendelkező felhasználók nem öröklik a Szolgáltatásnév felhasználói szerepkört. Ha a szolgáltatásnévvel szeretne feladatokat végrehajtani, a szolgáltatásnév létrehozása után is explicit módon kell hozzárendelnie magát a szolgáltatásnév felhasználói szerepköréhez.

Feljegyzés

Az Azure Databricks szolgáltatásnév-szerepkörei nem fedik át az Azure-szerepköröket és a Microsoft Entra ID-szerepköröket. Ezek a szerepkörök csak az Azure Databricks-fiókra terjednek ki.

Szolgáltatásnév-szerepkörök kezelése a fiókkonzol használatával

A fiókgazdák a fiókkonzol használatával kezelhetik a szolgáltatásnevek szerepköreit.

Szerepkörök megtekintése szolgáltatásnéven

  1. Fiókadminisztrátorként jelentkezzen be a fiókkonzolra.
  2. Az oldalsávon kattintson a Felhasználókezelés elemre.
  3. A Szolgáltatásnevek lapon keresse meg és kattintson a névre.
  4. Kattintson az Engedélyek fülre .

Megtekintheti a szolgáltatásnéven azoknak a tagoknak és szerepköröknek a listáját, amelyeket a szolgáltatásnéven kapnak. A keresősáv használatával is kereshet egy adott tagot vagy szerepkört.

Szerepkörök megadása szolgáltatásnéven

  1. Fiókadminisztrátorként jelentkezzen be a fiókkonzolra.

  2. Az oldalsávon kattintson a Felhasználókezelés elemre.

  3. A Szolgáltatásnevek lapon keresse meg és kattintson a névre.

  4. Kattintson az Engedélyek fülre .

  5. Kattintson a Hozzáférés megadása gombra.

  6. Keresse meg és jelölje ki a felhasználót, a szolgáltatásnevet vagy a csoportot, és válassza ki a hozzárendelni kívánt szerepkört vagy szerepköröket (szolgáltatásnév: Felettes vagy Szolgáltatásnév: Felhasználó).

    Feljegyzés

    A Szolgáltatásnév-kezelő szerepkörrel rendelkező felhasználók nem öröklik a Szolgáltatásnév felhasználói szerepkört. Ha azt szeretné, hogy a felhasználó a szolgáltatásnév használatával hajtsa végre a feladatokat, explicit módon ki kell osztania a szolgáltatásnév felhasználói szerepkörét.

  7. Kattintson a Mentés gombra.

Szerepkörök visszavonása szolgáltatásnéven

  1. Fiókadminisztrátorként jelentkezzen be a fiókkonzolra.
  2. Az oldalsávon kattintson a Felhasználókezelés elemre.
  3. A Szolgáltatásnevek lapon keresse meg és kattintson a névre.
  4. Kattintson az Engedélyek fülre .
  5. A szerepkörök szerkesztéséhez keresse meg a felhasználót, a szolgáltatásnevet vagy a csoportot.
  6. Az egyszerűt tartalmazó sorban kattintson a kebab menüreKebab menü, majd válassza a Szerkesztés lehetőséget. Másik lehetőségként válassza a Törlés lehetőséget az egyszerű szerepkörök visszavonásához.
  7. Kattintson a Szerkesztés gombra.
  8. Kattintson a visszavonni kívánt szerepkörök melletti X elemre.
  9. Kattintson a Mentés gombra.

Szolgáltatásnév-szerepkörök kezelése a munkaterület rendszergazdai beállításainak lapjával

A munkaterület rendszergazdái kezelhetik azoknak a szolgáltatásneveknek a szolgáltatásnév-szerepköreit, amelyeken a Szolgáltatásnév-kezelő szerepkörrel rendelkeznek a rendszergazdai beállítások lap használatával.

Szerepkörök megtekintése szolgáltatásnéven

  1. Munkaterület-rendszergazdaként jelentkezzen be az Azure Databricks-munkaterületre.
  2. Kattintson a felhasználónevére az Azure Databricks-munkaterület felső sávjában, és válassza a Beállítások lehetőséget.
  3. Kattintson az Identitás és hozzáférés lapra.
  4. A Szolgáltatásnevek mellett kattintson a Kezelés gombra.
  5. Keresse meg a nevet, és kattintson rá.
  6. Kattintson az Engedélyek fülre .

Megtekintheti a szolgáltatásnéven azoknak a tagoknak és szerepköröknek a listáját, amelyeket a szolgáltatásnéven kapnak. A keresősáv használatával is kereshet egy adott tagot vagy szerepkört.

Szerepkörök megadása szolgáltatásnéven

A szerepkörök megadásához szolgáltatásnév-kezelői szerepkörrel kell rendelkeznie egy szolgáltatásnéven.

  1. Munkaterület-rendszergazdaként jelentkezzen be az Azure Databricks-munkaterületre.

  2. Kattintson a felhasználónevére az Azure Databricks-munkaterület felső sávjában, és válassza a Beállítások lehetőséget.

  3. Kattintson az Identitás és hozzáférés lapra.

  4. A Szolgáltatásnevek mellett kattintson a Kezelés gombra.

  5. Keresse meg a nevet, és kattintson rá.

  6. Kattintson az Engedélyek fülre .

  7. Kattintson a Hozzáférés megadása gombra.

  8. Keresse meg és jelölje ki a felhasználót, a szolgáltatásnevet vagy a csoportot, és válassza ki a hozzárendelni kívánt szerepkört vagy szerepköröket (szolgáltatásnév: Felettes vagy Szolgáltatásnév: Felhasználó).

    Feljegyzés

    A szerepkörök bármely fiókszintű felhasználónak, szolgáltatásnévnek vagy csoportnak adhatóak, még akkor is, ha nem tagjai a munkaterületnek. A szerepkörök nem adhatók meg a munkaterület-helyi csoportok számára.

    A Szolgáltatásnév-kezelő szerepkörrel rendelkező felhasználók nem öröklik a Szolgáltatásnév felhasználói szerepkört. Ha azt szeretné, hogy a felhasználó a szolgáltatásnév használatával hajtsa végre a feladatokat, explicit módon ki kell osztania a szolgáltatásnév felhasználói szerepkörét.

  9. Kattintson a Mentés gombra.

Szerepkörök visszavonása szolgáltatásnéven

A szerepkörök visszavonásához szolgáltatásnév-kezelői szerepkörrel kell rendelkeznie egy szolgáltatásnéven.

  1. Munkaterület-rendszergazdaként jelentkezzen be az Azure Databricks-munkaterületre.
  2. Kattintson a felhasználónevére az Azure Databricks-munkaterület felső sávjában, és válassza a Beállítások lehetőséget.
  3. Kattintson az Identitás és hozzáférés lapra.
  4. A Szolgáltatásnevek mellett kattintson a Kezelés gombra.
  5. Keresse meg a nevet, és kattintson rá.
  6. Kattintson az Engedélyek fülre .
  7. A szerepkörök szerkesztéséhez keresse meg a felhasználót, a szolgáltatásnevet vagy a csoportot.
  8. Az egyszerűt tartalmazó sorban kattintson a kebab menüreKebab menü, majd válassza a Szerkesztés lehetőséget. Másik lehetőségként válassza a Törlés lehetőséget az egyszerű szerepkörök visszavonásához.
  9. Kattintson a Szerkesztés gombra.
  10. Kattintson a visszavonni kívánt szerepkörök melletti X elemre.
  11. Kattintson a Mentés gombra.

Szolgáltatásnév-szerepkörök kezelése a Databricks parancssori felületével

A szolgáltatásnév szerepköreinek kezeléséhez szolgáltatásnév-kezelői szerepkörrel kell rendelkeznie. A Databricks parancssori felületével kezelheti a szerepköröket. A Databricks parancssori felület telepítésével és hitelesítésével kapcsolatos információkért lásd: Mi a Databricks parancssori felület?

A szolgáltatásnév-szerepköröket az Accounts Access Control API-val is kezelheti. Az Accounts Access Control API az Azure Databricks-fiókon és -munkaterületeken keresztül támogatott.

A fiókadminisztrátor meghívja az API-t a accounts.azuredatabricks.net ({account-domain}/api/2.0/preview/accounts/{account_id}/access-control).

A szolgáltatásnév-kezelő szerepkörrel rendelkező felhasználók, amelyek nem fiókadminisztrátorok, meghívják az API-t a munkaterület tartományán ({workspace-domain}/api/2.0/preview/accounts/access-control/).

Szerepkörök megadása szolgáltatásnéven a Databricks parancssori felületével

Az Accounts Access Control API és a CLI egy etag mezőt használ a konzisztencia biztosításához. A szolgáltatásnév-szerepkörök API-val történő megadásához vagy visszavonásához először adjon ki egy GET szabálykészlet-parancsot, és kapjon választ etag . Ezután helyileg alkalmazhatja a módosításokat, és végül kiadhat egy PUT szabálykészletet a etag.

Például a következő parancs futtatásával adjon meg egy GET szabályt azon a szolgáltatásnéven, amelyhez hozzáférést szeretne adni:

databricks account access-control get-rule-set accounts/<account-id>/servicePrincipals/<application-id>/ruleSets/default <etag>

Csere:

  • <account-id> a fiókazonosítóval.
  • <application-id> a szolgáltatásnév alkalmazásazonosítójával.
  • <etag> a ""

Példaválasz:

{
  "etag":"<etag>",
  "grant_rules": [
    {
      "principals": [
        "users/user@example.com"
      ],
      "role":"roles/servicePrincipal.manager"
    },
    {
      "principals": [
        "users/user@example.com"
      ],
      "role":"roles/servicePrincipal.user"
    }
  ],
  "name":"<name>"
}

Másolja ki a mezőt a etag válasz törzséből későbbi használatra.

Ezután helyileg is elvégezheti a frissítéseket, amikor a szabályok végleges állapotáról dönt, majd az etag használatával frissíti a szabálykészletet. A szolgáltatásnév: Felhasználói szerepkör felhasználónak való megadásához user2@example.comfuttassa a következőt:

databricks account access-control update-rule-set --json '{
  "name": "accounts/<account-id>/servicePrincipals/<application-id>/ruleSets/default",
  "rule_set": {
      "name": "accounts/<account-id>/servicePrincipals/<application-id>/ruleSets/default",
      "grant_rules": [
        {
            "role": "roles/servicePrincipal.user",
            "principals": ["users/user2@example.com"]
        }
      ],
      "etag": "<etag>"
  }
}'

Csere:

  • <account-id> a fiókazonosítóval.
  • <application-id> a szolgáltatásnév alkalmazásazonosítójával.
  • <etag> az utolsó válaszból kimásolt etaggel.

Példaválasz:

{
  "etag":"<new-etag>",
  "grant_rules": [
    {
      "principals": [
        "users/user2@example.com"
      ],
      "role":"roles/servicePrincipal.user"
    }
  ],
  "name":"accounts/<account-id>/servicePrincipals/<application-id>/ruleSets/default"
}

Fontos

Mivel ez egy PUT metódus, a rendszer minden meglévő szerepkört felülír. A meglévő szerepkörök megtartásához hozzá kell adnia őket a grant_roles tömbhöz.

A használható szolgáltatásnevek listázása

A Workspace Service Principals API használatával listázhatja a felhasználói szerepkörrel rendelkező szolgáltatásnevek listáját a szűréssel servicePrincipal/use.

A szolgáltatásnév felhasználói szerepkörével rendelkező szolgáltatásnevek listájához futtassa a következő parancsot:

databricks service-principals list -p WORKSPACE --filter "permission eq 'servicePrincipal/use'"

A Szolgáltatásnevek munkaterületi szolgáltatásnevek API-val is listázhatja a szolgáltatásneveket.