Bagikan melalui

Peran untuk mengelola perwakilan layanan

  • Artikel

Artikel ini menjelaskan cara mengelola peran pada perwakilan layanan di akun Azure Databricks Anda.

Perwakilan layanan adalah identitas yang Anda buat di Azure Databricks untuk digunakan dengan alat, pekerjaan, dan aplikasi otomatis. Perwakilan layanan memberikan alat otomatis dan skrip akses khusus API ke sumber daya Azure Databricks, memberikan keamanan yang lebih besar daripada menggunakan pengguna atau grup.

Anda dapat memberikan akses kepada pengguna, perwakilan layanan, dan grup akun Azure Databricks untuk menggunakan perwakilan layanan. Ini memungkinkan pengguna untuk menjalankan pekerjaan sebagai perwakilan layanan, bukan sebagai identitas mereka. Ini mencegah pekerjaan gagal jika pengguna meninggalkan organisasi Anda atau grup dimodifikasi.

Untuk gambaran umum perwakilan layanan, lihat Mengelola perwakilan layanan.

Peran perwakilan layanan

Peran perwakilan layanan adalah peran tingkat akun. Ini berarti bahwa mereka hanya perlu didefinisikan sekali, di akun Anda, dan berlaku di semua ruang kerja. Ada dua peran yang dapat Anda berikan pada perwakilan layanan: Manajer Perwakilan Layanan dan Pengguna Perwakilan Layanan.

  • Service Principal Manager memungkinkan Anda mengelola peran pada perwakilan layanan. Pembuat perwakilan layanan memiliki peran Manajer Perwakilan Layanan pada perwakilan layanan. Admin akun memiliki peran Service Principal Manager pada semua perwakilan layanan di akun.

Catatan

Jika perwakilan layanan dibuat sebelum 13 Juni 2023, pembuat perwakilan layanan tidak memiliki peran Manajer Perwakilan Layanan secara default. Jika Anda perlu menjadi manajer, minta admin akun untuk memberi Anda peran Manajer Perwakilan Layanan.

  • Pengguna Perwakilan Layanan memungkinkan pengguna ruang kerja untuk menjalankan pekerjaan sebagai perwakilan layanan. Pekerjaan akan berjalan dengan identitas perwakilan layanan, alih-alih identitas pemilik pekerjaan.

Pengguna dengan peran Manajer Perwakilan Layanan tidak mewarisi peran Pengguna Perwakilan Layanan. Jika Anda ingin menggunakan perwakilan layanan untuk menjalankan pekerjaan, Anda perlu secara eksplisit menetapkan peran pengguna perwakilan layanan, bahkan setelah membuat perwakilan layanan.

Catatan

Peran perwakilan layanan Azure Databricks tidak tumpang tindih dengan peran Azure atau peran ID Microsoft Entra (sebelumnya Azure Active Directory). Peran ini hanya mencakup akun Azure Databricks.

Mengelola peran perwakilan layanan menggunakan konsol akun

Admin akun dapat mengelola peran perwakilan layanan menggunakan konsol akun.

Melihat peran pada perwakilan layanan

  1. Sebagai admin akun, masuk ke konsol akun.
  2. Di bar samping, klik Manajemen pengguna.
  3. Pada tab Perwakilan layanan , temukan dan klik nama.
  4. Klik tab Izin.

Anda dapat melihat daftar prinsipal dan peran yang diberikan pada perwakilan layanan. Anda juga dapat menggunakan bilah pencarian untuk mencari prinsipal atau peran tertentu.

Memberikan peran pada perwakilan layanan

  1. Sebagai admin akun, masuk ke konsol akun.

  2. Di bar samping, klik Manajemen pengguna.

  3. Pada tab Perwakilan layanan , temukan dan klik nama.

  4. Klik tab Izin.

  5. Klik Beri akses.

  6. Cari dan pilih pengguna, perwakilan layanan, atau grup dan pilih peran atau peran (Perwakilan layanan: Manajer atau Perwakilan layanan: Pengguna) untuk ditetapkan.

    Catatan

    Pengguna dengan peran Manajer Perwakilan Layanan tidak mewarisi peran Pengguna Perwakilan Layanan. Jika Anda ingin pengguna menggunakan perwakilan layanan untuk menjalankan pekerjaan, Anda harus secara eksplisit menetapkan peran Pengguna Perwakilan Layanan.

  7. Klik Simpan.

Mencabut peran pada perwakilan layanan

  1. Sebagai admin akun, masuk ke konsol akun.
  2. Di bar samping, klik Manajemen pengguna.
  3. Pada tab Perwakilan layanan , temukan dan klik nama.
  4. Klik tab Izin.
  5. Cari pengguna, perwakilan layanan, atau grup untuk mengedit peran mereka.
  6. Pada baris dengan prinsipal, klik menu Menu kebab kebab lalu pilih Edit. Atau, pilih Hapus untuk mencabut semua peran untuk prinsipal.
  7. Klik Edit.
  8. Klik X di samping peran yang ingin Anda cabut.
  9. Klik Simpan.

Mengelola peran perwakilan layanan menggunakan halaman pengaturan admin ruang kerja

Admin ruang kerja dapat mengelola peran perwakilan layanan untuk perwakilan layanan yang memiliki peran Manajer Perwakilan Layanan tentang penggunaan halaman pengaturan admin.

Melihat peran pada perwakilan layanan

  1. Sebagai admin ruang kerja, masuk ke ruang kerja Azure Databricks.
  2. Klik nama pengguna Anda di bilah atas ruang kerja Azure Databricks dan pilih Pengaturan.
  3. Klik tab Identitas dan akses .
  4. Di samping Perwakilan layanan, klik Kelola.
  5. Temukan dan klik nama.
  6. Klik tab Izin.

Anda dapat melihat daftar prinsipal dan peran yang diberikan pada perwakilan layanan. Anda juga dapat menggunakan bilah pencarian untuk mencari prinsipal atau peran tertentu.

Memberikan peran pada perwakilan layanan

Anda harus memiliki peran Manajer Perwakilan Layanan pada perwakilan layanan untuk memberikan peran.

  1. Sebagai admin ruang kerja, masuk ke ruang kerja Azure Databricks.

  2. Klik nama pengguna Anda di bilah atas ruang kerja Azure Databricks dan pilih Pengaturan.

  3. Klik tab Identitas dan akses .

  4. Di samping Perwakilan layanan, klik Kelola.

  5. Temukan dan klik nama.

  6. Klik tab Izin.

  7. Klik Beri akses.

  8. Cari dan pilih pengguna, perwakilan layanan, atau grup dan pilih peran atau peran (Perwakilan layanan: Manajer atau Perwakilan layanan: Pengguna) untuk ditetapkan.

    Catatan

    Peran dapat diberikan kepada pengguna, perwakilan layanan, atau grup tingkat akun apa pun, bahkan jika mereka bukan anggota ruang kerja. Peran tidak dapat diberikan ke grup ruang kerja-lokal.

    Pengguna dengan peran Manajer Perwakilan Layanan tidak mewarisi peran Pengguna Perwakilan Layanan. Jika Anda ingin pengguna menggunakan perwakilan layanan untuk menjalankan pekerjaan, Anda harus secara eksplisit menetapkan peran Pengguna Perwakilan Layanan.

  9. Klik Simpan.

Mencabut peran pada perwakilan layanan

Anda harus memiliki peran Manajer Perwakilan Layanan pada perwakilan layanan untuk mencabut peran.

  1. Sebagai admin ruang kerja, masuk ke ruang kerja Azure Databricks.
  2. Klik nama pengguna Anda di bilah atas ruang kerja Azure Databricks dan pilih Pengaturan.
  3. Klik tab Identitas dan akses .
  4. Di samping Perwakilan layanan, klik Kelola.
  5. Temukan dan klik nama.
  6. Klik tab Izin.
  7. Cari pengguna, perwakilan layanan, atau grup untuk mengedit peran mereka.
  8. Pada baris dengan prinsipal, klik menu Menu kebab kebab lalu pilih Edit. Atau, pilih Hapus untuk mencabut semua peran untuk prinsipal.
  9. Klik Edit.
  10. Klik X di samping peran yang ingin Anda cabut.
  11. Klik Simpan.

Mengelola peran perwakilan layanan menggunakan Databricks CLI

Anda harus memiliki peran Manajer Perwakilan Layanan untuk mengelola peran pada perwakilan layanan. Anda dapat menggunakan Databricks CLI untuk mengelola peran. Untuk informasi tentang menginstal dan mengautentikasi ke Databricks CLI, lihat Apa itu Databricks CLI?.

Anda juga dapat mengelola peran perwakilan layanan menggunakan API Kontrol Akses Akun. API Kontrol Akses Akun didukung melalui akun dan ruang kerja Azure Databricks.

Admin akun memanggil API di accounts.azuredatabricks.net ({account-domain}/api/2.0/preview/accounts/{account_id}/access-control).

Pengguna dengan peran Service Principal Manager yang bukan admin akun memanggil API di domain ruang kerja ({workspace-domain}/api/2.0/preview/accounts/access-control/).

Memberikan peran pada perwakilan layanan menggunakan Databricks CLI

API Kontrol Akses Akun dan CLI menggunakan etag bidang untuk memastikan konsistensi. Untuk memberikan atau mencabut peran perwakilan layanan melalui API, pertama-tama terbitkan GET perintah seperangkat aturan dan terima etag sebagai respons. Anda kemudian dapat menerapkan perubahan secara lokal, dan akhirnya mengeluarkan PUT seperangkat etagaturan dengan .

Misalnya, terbitkan GET seperangkat aturan pada perwakilan layanan yang ingin Anda beri akses dengan menjalankan perintah berikut:

databricks account access-control get-rule-set accounts/<account-id>/servicePrincipals/<application-id>/ruleSets/default <etag>

Ganti:

  • <account-id> dengan ID akun.
  • <application-id> dengan ID aplikasi perwakilan layanan.
  • <etag> dengan ""

Contoh respons:

{
  "etag":"<etag>",
  "grant_rules": [
    {
      "principals": [
        "users/user@example.com"
      ],
      "role":"roles/servicePrincipal.manager"
    },
    {
      "principals": [
        "users/user@example.com"
      ],
      "role":"roles/servicePrincipal.user"
    }
  ],
  "name":"<name>"
}

etag Salin bidang dari isi respons untuk digunakan nanti.

Kemudian, Anda dapat membuat pembaruan secara lokal saat memutuskan status akhir aturan lalu memperbarui seperangkat aturan menggunakan etag. Untuk memberikan perwakilan Layanan: Peran pengguna kepada pengguna user2@example.com, jalankan hal berikut:

databricks account access-control update-rule-set --json '{
  "name": "accounts/<account-id>/servicePrincipals/<application-id>/ruleSets/default",
  "rule_set": {
      "name": "accounts/<account-id>/servicePrincipals/<application-id>/ruleSets/default",
      "grant_rules": [
        {
            "role": "roles/servicePrincipal.user",
            "principals": ["users/user2@example.com"]
        }
      ],
      "etag": "<etag>"
  }
}'

Ganti:

  • <account-id> dengan ID akun.
  • <application-id> dengan ID aplikasi perwakilan layanan.
  • <etag> dengan etag yang Anda salin dari respons terakhir.

Contoh respons:

{
  "etag":"<new-etag>",
  "grant_rules": [
    {
      "principals": [
        "users/user2@example.com"
      ],
      "role":"roles/servicePrincipal.user"
    }
  ],
  "name":"accounts/<account-id>/servicePrincipals/<application-id>/ruleSets/default"
}

Penting

Karena ini adalah PUT metode, semua peran yang ada ditimpa. Untuk mempertahankan peran yang ada, Anda harus menambahkannya ke grant_roles array.

Mencantumkan perwakilan layanan yang dapat Anda gunakan

Dengan menggunakan WORKspace Service Principals API, Anda dapat mencantumkan perwakilan layanan tempat Anda memiliki peran pengguna dengan memfilter di servicePrincipal/use.

Untuk mencantumkan perwakilan layanan tempat Anda memiliki peran Pengguna Perwakilan Layanan, jalankan perintah berikut:

databricks service-principals list -p WORKSPACE --filter "permission eq 'servicePrincipal/use'"

Anda juga dapat mencantumkan perwakilan layanan menggunakan WORKspace Service Principals API.