Gerenciar grupos

Este artigo explica como os administradores criam e gerenciam grupos do Azure Databricks. Para obter uma visão geral do modelo de identidade do Azure Databricks, confira Identidades do Azure Databricks.

Visão geral do gerenciamento de grupo

Os grupos simplificam o gerenciamento de identidades, facilitando a atribuição de acesso a workspaces, dados e outros objetos protegíveis. Todas as identidades do Databricks podem ser atribuídas como membros de grupos.

Diferença entre os grupos de conta e os grupos locais de workspace

Em vez disso, o Azure Databricks tem o conceito de grupos de contas e grupos locais do workspace herdados:

• Os Grupos de contas podem receber acesso aos dados em um metastore do Catálogo do Unity, funções concedidas em entidades de serviço e grupos, e permissões para workspaces federados por identidade.
• Os grupos locais de workspace são grupos herdados. Esses grupos são identificados como workspace-local na página de configurações do administrador do workspace. Grupos locais de workspace não podem ser atribuídos a workspaces adicionais ou receber acesso a dados em um metastore do Catálogo do Unity. Os grupos locais de workspace não podem receber funções no nível da conta. Para obter mais informações sobre grupos locais de workspace, consulte Gerenciar grupos locais de workspace (herdado).

Há dois grupos de sistema em cada workspace: users e admins. Todos os usuários do workspace são membros do grupo users e todos os administradores do workspace são membros do grupo admins. Os grupos do sistema são grupos locais de workspace. Os grupos do sistema não podem ser excluídos.

A Databricks recomenda transformar os grupos locais de workspace existentes em grupos de contas para aproveitar a atribuição centralizada de workspace e o gerenciamento de acesso a dados usando o Catálogo do Unity. Confira Migrar grupos locais de workspace para grupos de contas.

Observação

Os usuários com a função Colaborador ou Proprietário no recurso de workspace no Azure são atribuídos automaticamente ao grupo admins do workspace. Para saber mais, confira Gerenciar sua assinatura.

Quem pode gerenciar os grupos de contas?

Para criar grupos de contas no Azure Databricks, você deve ser um administrador de conta ou um administrador de workspace. Os administradores do workspace devem estar em um workspace federado por identidade para criar um grupo de contas.

Para gerenciar grupos de contas no Azure Databricks, você deve ter a função gerente de grupo (Visualização Pública) em um grupo. Os gerentes de grupo podem gerenciar a associação ao grupo e excluir o grupo. Eles também podem atribuir a outros usuários a função de gerente de grupo. Os administradores de conta podem gerenciar funções de grupo usando o console da conta e os administradores do workspace podem gerenciar funções de grupo usando a página de configurações de administrador do workspace. Os gerentes de grupo que não são administradores de workspace podem gerenciar funções de grupo usando a API Controle de Acesso contas.

Os administradores de conta têm a função de gerente de grupo no nível da conta, o que significa que eles têm a função de gerente de grupo em todos os grupos na conta. Os administradores do workspace têm a função de gerente de grupo em grupos de contas que eles criam.

Os administradores do workspace também podem criar e gerenciar grupos locais de workspace.

Sincronizar grupos locais do seu locatário do Microsoft Entra ID (antigo Azure Active Directory) para a sua conta do Azure Databricks

Você pode sincronizar grupos do seu locatário do Microsoft Entra ID (antigo Azure Active Directory) para a sua conta do Azure Databricks usando um conector de provisionamento do SCIM. Para obter instruções, consulte Provisionar identidades para a sua conta do Azure Databricks usando o Microsoft Entra ID.

Importante

Se você tiver conectores SCIM que sincronizam identidades diretamente com seus workspaces e esses workspaces estiverem habilitados para a federação de identidades , recomendamos desabilitar esses conectores SCIM quando o conector SCIM no nível da conta estiver habilitado. Se você tiver workspaces que não estejam usando federação de identidade, deverá continuar usando qualquer conector SCIM configurado para esses workspaces, funcionando em paralelo com o conector SCIM no nível da conta.

Gerenciar grupos de conta usando o console da conta

Os administradores da conta podem adicionar e gerenciar grupos na conta do Azure Databricks usando o console da conta. Os administradores de workspace e gerentes de grupo podem gerenciar grupos usando a página de configurações do workspace e as APIs do Databricks. Confira Gerenciar grupos de contas usando a página de configurações de administrador do workspace e Gerenciar grupos de contas usando a API.

Adicionar grupos à sua conta usando o console da conta

Para adicionar um grupo à conta usando o console da conta, faça o seguinte:

1. Como administrador da conta, faça logon no console da conta.
2. Na barra lateral, clique em Gerenciamento de usuários .
3. Na guia Grupos, clique em Adicionar grupo.
4. Insira um nome para o grupo.
5. Clique em Confirmar.
6. Quando solicitado, adicione usuários, entidades de serviço e grupos ao grupo.

Adicionar membros a um grupo usando o console da conta

Para adicionar usuários, entidades de serviço e grupos a um grupo usando o console da conta, faça o seguinte:

1. Como administrador da conta, faça logon no console da conta.
2. Na barra lateral, clique em Gerenciamento de usuários .
3. Na guia Grupos, selecione o grupo que você deseja atualizar.
4. Clique em Adicionar membros.
5. Pesquise pelo usuário, grupo ou entidade de serviço que você deseja adicionar e selecione-a.
6. Clique em Adicionar.

Observação

Existe um atraso de alguns minutos entre a atualização de um grupo de uma conta e a atualização do grupo nos espaços de trabalho.

Gerenciar funções em um grupo usando o console da conta

Importante

Esse recurso está em uma versão prévia.

Os administradores de contas podem conceder funções em grupos de contas no console da conta.

1. Como administrador de conta, faça logon no console da conta.
2. Na barra lateral, clique em Gerenciamento de usuários .
3. Na guia Grupos, encontre e clique no nome do grupo.
4. Clique na guia Permissões.
5. Clique em Conceder acesso.
6. Pesquise e selecione o usuário, entidade de serviço ou grupo e escolha a função Grupo: Gerente.
7. Clique em Save (Salvar).

Alterar o nome de um grupo

Os administradores de contas podem atualizar o nome dos grupos de contas usando o console de contas:

1. Como administrador de conta, faça logon no console da conta.
2. Na barra lateral, clique em Gerenciamento de usuários .
3. Na guia Grupos, selecione o grupo que você deseja atualizar.
4. Clique em Informações do grupo.
5. Em Nome, atualize o nome.
6. Clique em Save (Salvar).

Os gerentes de grupo não podem alterar o nome de um grupo usando o console de contas. Em vez disso, use a API de Grupos de Contas. Por exemplo:

curl --netrc -X PATCH \
https://${DATABRICKS_HOST}/api/2.0/accounts/{account_id}/scim/v2/Groups/{id} \
--header 'Content-type: application/scim+json' \
--data @update-group.json \
| jq .

update-group.json:

{
  "schemas": [ "urn:ietf:params:scim:api:messages:2.0:PatchOp" ],
  "Operations": [
    {
      {
          "op": "replace",
          "path": "displayName",
          "value": "<updated-name>"
      }
    }
  ]
}

Para obter informações sobre como autenticar a API de Grupos de Contas, confira Autenticação para automação do Azure Databricks - visão geral.

Atribuir um grupo a um workspace usando o console da conta

Para adicionar grupos a um workspace usando o console da conta, o workspace deve ser habilitado para federação de identidade. Somente grupos de contas podem ser atribuíveis a workspaces.

1. Como administrador da conta, faça logon no console da conta.
2. Na barra lateral, clique em Workspaces.
3. Clique no nome do seu workspace.
4. Na guia Permissões, clique em Adicionar permissões.
5. Pesquise e selecione o grupo, atribua o nível de permissão (usuário do workspace ou Administrador) e, em seguida, clique em Salvar.

Remover um grupo de um workspace usando o console da conta

Para remover grupos para um workspace usando o console da conta, o workspace deve ser habilitado para federação de identidade. Somente grupos de contas são removíveis de workspaces usando o console da conta.

Quando um grupo de contas é removido de um workspace, os membros do grupo não podem mais acessar o workspace; no entanto, as permissões são mantidas no grupo. Se o grupo for adicionado posteriormente a um workspace, o grupo recuperará suas permissões anteriores.

1. Como administrador de conta, faça logon no console da conta.
2. Na barra lateral, clique em Workspaces.
3. Clique no nome do seu workspace.
4. Na guia Permissões, localize o grupo.
5. Clique no menu kebab à direita da linha do grupo e selecione Remover.
6. No diálogo de confirmação, clique em Remover.

Atribuir funções de administrador de conta a um grupo

Não é possível atribuir a função de administrador da conta ou administrador de marketplace a um grupo por meio do console da conta, mas é possível atribuí-la a grupos por meio da API Grupos de Contas. Por exemplo:

curl --netrc -X PATCH \
https://${DATABRICKS_HOST}/api/2.0/accounts/{account_id}/scim/v2/Groups/{id} \
--header 'Content-type: application/scim+json' \
--data @update-group.json \
| jq .

update-group.json:

{
  "schemas": [ "urn:ietf:params:scim:api:messages:2.0:PatchOp" ],
  "Operations": [
    {
      "op": "add",
      "path": "roles",
      "value": [
        {
          "value": "account_admin"
        }
      ]
    }
  ]
}

Para obter informações sobre como autenticar a API de Grupos de Contas, confira Autenticação para automação do Azure Databricks - visão geral.

Remover grupos da conta do Azure Databricks

Os administradores da conta podem remover grupos de uma conta do Azure Databricks. Os gerentes de grupo também podem remover grupos da conta usando a API de Grupos de Contas, consulte Gerenciar grupos de contas usando a API.

Importante

Quando um grupo é removido, todos os usuários desse grupo são excluídos da conta e perdem o acesso a quaisquer workspaces aos quais tinham acesso, a menos que sejam membros de outro grupo ou tenham recebido acesso direto à conta ou a qualquer workspace. O Databricks recomenda que você se abstenha de excluir grupos no nível da conta, a menos que queira que eles percam acesso a todos os workspaces da conta. Esteja ciente das seguintes consequências da exclusão de usuários:

• Os aplicativos ou scripts que usam os tokens gerados pelo usuário não podem mais acessar as APIs do Databricks
• Os trabalhos pertencentes ao usuário falharão
• Os clusters pertencentes ao usuário serão interrompidos
• Consultas ou painéis criados pelo usuário e compartilhados usando a credencial Executar como Proprietário terão que ser atribuídos a um novo proprietário para evitar que o compartilhamento falhe

Para remover um grupo usando o console da conta, faça o seguinte:

1. Como administrador da conta, faça logon no console da conta.
2. Na barra lateral, clique em Gerenciamento de usuários .
3. Na guia Grupos, localize o grupo que você deseja remover.
4. Clique no menu kebab no canto direito da linha da usuário e selecione Excluir.
5. Na caixa de diálogo de confirmação, clique em Confirmar exclusão.

Se você remover um grupo usando o console da conta, lembre-se de também remover o grupo usando quaisquer conectores de provisionamento do SCIM ou aplicativos de API SCIM que tenham sido configurados para a conta. Se você não fizer isso, o provisionamento do SCIM simplesmente adicionará o grupo e seus membros novamente na próxima vez que ele for sincronizado. Confira Sincronizar usuários e grupos do Microsoft Entra ID.

Para remover um grupo de uma conta do Azure Databricks usando a API, consulte Provisionar identidades para sua conta do Azure Databricks e a API de Grupos de Contas.

Gerenciar grupos de conta usando a página de configurações de administrador do workspace

Os administradores do workspace podem criar e gerenciar grupos de contas em workspaces federados por identidade usando a página de configurações de administrador do workspace.

Observação

Existe um atraso de alguns minutos entre a atualização de um grupo de contas de um espaço de trabalho e a atualização do grupo na conta.

Para obter informações sobre como criar grupos locais de workspace em workspaces, consulte Gerenciar grupos locais de workspace (herdado).

Criar ou atribuir um grupo a um workspace usando a página de configurações da administração do workspace

Para atribuir ou criar um grupo de contas em um workspace usando a página de configurações de administrador do workspace, faça o seguinte:

1. Como administrador do workspace, faça logon no workspace do Azure Databricks.

2. Clique em seu nome de usuário na barra superior do workspace do Azure Databricks e selecione Configurações de administração.

3. Clique na guia Identidade e acesso.

4. Ao lado de Grupos, clique em Gerenciar.

5. Clique em Adicionar Grupo.

6. Selecione um grupo existente para atribuir ao workspace ou clique em Adicionar novo para criar um novo grupo de contas.

   Observação

   Se o workspace não estiver habilitado para federação de identidade, você não poderá atribuir grupos de contas existentes ou adicionar grupos de contas de criação em seu workspace. Em vez disso, você deve usar grupos locais de workspace, consulte Gerenciar grupos locais de workspace (herdado).

Adicionar membros a um grupo usando a página de configurações de administrador do workspace

Você deve ser um administrador de workspace para adicionar usuários, entidades de serviço e grupos a um grupo de contas usando a página de configurações de administrador do workspace. Você só pode gerenciar membros de um grupo no qual você tem a função de gerente de grupo.

Observação

Não é possível adicionar um grupo filho ao grupo admins. Você não pode adicionar grupos locais de workspace ou grupos de sistema como membros de grupos de contas.

Os gerentes de grupo que não são administradores de workspace devem gerenciar a associação de grupo usando a API de Grupos de Contas.

1. Como administrador do workspace, faça logon no workspace do Azure Databricks.
2. Clique em seu nome de usuário na barra superior do workspace do Azure Databricks e selecione Configurações de administração.
3. Clique na guia Identidade e acesso.
4. Ao lado de Grupos, clique em Gerenciar.
5. Selecione o grupo que deseja atualizar. Você deve ter a função de gerente de grupo no grupo para atualizá-la.
6. Na guia Membros, clique em Adicionar membro.
7. Na caixa de diálogo, procure ou pesquise os usuários, as entidades de serviço e os grupos que você deseja adicionar e selecione-os.
8. Clique em Confirmar.

Gerenciar funções em um grupo de contas usando a página de configurações do administrador do workspace

Importante

Esse recurso está em uma versão prévia.

Você pode atribuir a função de gerente de grupo a usuários, grupos de contas e entidades de serviço. Os gerentes de grupo podem gerenciar a associação ao grupo. Eles também podem atribuir a função de gerente de grupo a outros usuários.

Você deve ser um administrador de workspace para gerenciar funções de grupo usando a página de configurações de administrador do workspace. Os gerentes de grupo que não são administradores de workspace podem gerenciar funções de grupo usando a API de Controle de Acesso a Contas.

1. Como administrador do workspace, faça logon no workspace do Azure Databricks.

2. Clique em seu nome de usuário na barra superior do workspace do Azure Databricks e selecione Configurações de administração.

3. Clique na guia Identidade e acesso.

4. Ao lado de Grupos, clique em Gerenciar.

5. Selecione o grupo que deseja atualizar. Você deve ter a função de gerente de grupo no grupo para atualizá-la.

6. Clique na guia Permissões.

7. Clique em Conceder acesso.

8. Pesquise e selecione o usuário, entidade de serviço ou grupo e escolha a função Grupo: Gerente.

   Observação

   Você não pode atribuir grupos locais de workspace ou funções de grupos de sistema em grupos de contas.

9. Clique em Save (Salvar).

Atribuir direitos a um grupo

Um direito é uma propriedade que permite que um usuário, uma entidade de serviço ou um grupo interaja com o Azure Databricks de uma forma especificada. Os direitos são atribuídos aos usuários no nível do workspace. A tabela a seguir lista os direitos e a interface do usuário do workspace e o nome da propriedade de API usada para gerenciar cada um deles. Você pode usar a página de configurações do administrador do workspace e as APIs REST do SCIM no nível do workspace para gerenciar direitos.

Nome do direito	Nome da API de Direitos	Padrão	Descrição
Acesso ao workspace	workspace-access	Concedido por padrão.	Quando ele é concedido a um usuário ou uma entidade de serviço, ele pode acessar os ambientes baseados em persona de Ciência de Dados e Engenharia e de Machine Learning do Databricks. Não pode ser removido dos administradores do workspace.
Acesso do Databricks SQL	databricks-sql-access	Concedido por padrão.	Quando ele é concedido a um usuário ou uma entidade de serviço, ele pode acessar o Databricks SQL.
Permitir a criação irrestrita de cluster	allow-cluster-create	Não concedido a usuários ou entidades de serviço por padrão.	Quando concedida a um usuário ou entidade de serviço, ele pode criar clusters sem restrições. Você pode restringir o acesso aos clusters existentes usando permissões de nível do cluster. Não pode ser removido dos administradores do workspace.
Permitir a criação do pool (não disponível por meio da interface do usuário)	allow-instance-pool-create	Não pode ser concedido a usuários individuais ou entidades de serviço.	Quando ele é concedido a um grupo, os membros podem criar pools de instâncias. Não pode ser removido dos administradores do workspace.

Por padrão, o grupo users recebe os direitos de Acesso ao workspace e de Acesso ao SQL do Databricks. Todos os usuários do espaço de trabalho e entidades de serviço são membros do grupo users. Para atribuir esses direitos a cada usuário, o administrador do espaço de trabalho deve remover o direito do grupo users e atribuí-lo individualmente a usuários, entidades de serviço e grupos.

Importante

Para fazer logon e acessar um workspace do Azure Databricks, um usuário deve ter o direito de acesso ao Databricks SQL ou acesso ao Workspace.

Você não pode conceder o direito allow-instance-pool-create usando a página de configurações do administrador. Em vez disso, use a API de Usuários do Espaço de Trabalho, Entidades de Serviço ou Grupos.

Adicionar ou remover um direito para um grupo usando a página de configurações do administrador do espaço de trabalho

Você gerencia direitos de grupo no nível do workspace, independentemente do grupo ter sido criado na conta ou ser local do workspace.

1. Como administrador do workspace, faça logon no workspace do Azure Databricks.
2. Clique em seu nome de usuário na barra superior do workspace do Azure Databricks e selecione Configurações de administração.
3. Clique na guia Identidade e acesso.
4. Ao lado de Grupos, clique em Gerenciar.
5. Selecione o grupo que deseja atualizar. Você deve ter a função de gerente de grupo no grupo para atualizá-la.
6. Na guia Direitos, selecione o direito que você deseja conceder a todos os usuários do grupo.

Para remover um direito, execute as mesmas etapas, mas desmarque a alternância. Os membros do grupo perdem o direito, a menos que tenham permissão concedida como um usuário individual ou por meio de outra associação de grupo.

Visualizar grupos pai

1. Como administrador do workspace, faça logon no workspace do Azure Databricks.
2. Clique em seu nome de usuário na barra superior do workspace do Azure Databricks e selecione Configurações de administração.
3. Clique na guia Identidade e acesso.
4. Ao lado de Grupos, clique em Gerenciar.
5. Selecione o grupo que deseja exibir.
6. Na guia Grupo pai, veja os grupos pais do seu grupo.

Remover um grupo de um workspace usando a página de configurações do administrador do workspace

A remoção de um grupo de um workspace não exclui o grupo na conta. Quando um grupo é removido de um workspace, os membros do grupo não podem mais acessar o workspace; no entanto, as permissões são mantidas no grupo. Se o grupo for adicionado posteriormente ao workspace, o grupo recuperará suas permissões anteriores.

1. Como administrador do workspace, faça logon no workspace do Azure Databricks.
2. Clique em seu nome de usuário na barra superior do workspace do Azure Databricks e selecione Configurações de administração.
3. Clique na guia Identidade e acesso.
4. Ao lado de Grupos, clique em Gerenciar.
5. Selecione o grupo e clique em x Excluir
6. Clique em Excluir para confirmar.

Gerenciar grupos de conta usando a API

Os administradores de conta e os administradores do workspace e gerentes de grupo podem adicionar, excluir e gerenciar grupos na conta do Azure Databricks usando a API de Grupos de Contas. Administradores de conta e administradores de workspace e gerentes de grupo devem invocar a API usando uma URL de ponto de extremidade diferente:

• Os administradores da conta usam {account-domain}/api/2.0/accounts/{account_id}/scim/v2/.
• Administradores de workspace e gerentes de grupo usam {workspace-domain}/api/2.0/account/scim/v2/.

Para detalhes, consulte a API de Grupos de Contas.

Atribuir um grupo a um workspace usando a API

Os administradores de conta e workspace podem usar a API de atribuição de workspace para atribuir grupos a workspaces habilitados para federação de identidade. A API de Atribuição de Workspace tem suporte por meio da conta e dos workspaces do Azure Databricks.

• Os administradores da conta usam {account-domain}/api/2.0/accounts/{account_id}/workspaces/{workspace_id}/permissionassignments.
• Os administradores do workspace usam {workspace-domain}/api/2.0/preview/permissionassignments/principals/{group_id}.

Consulte API de Atribuição do Espaço de Trabalho.

Gerenciar funções para um grupo usando a API

Importante

Esse recurso está em uma versão prévia.

Os gerentes de grupos podem gerenciar funções de grupo usando a API de Controle de Acesso contas. Administradores de conta e administradores de workspace e gerentes de grupo devem invocar a API usando uma URL de ponto de extremidade diferente:

• Os administradores da conta usam {account-domain}/api/2.0/preview/accounts/{account_id}/access-control/assignable-roles.
• Administradores de workspace e gerentes de grupo usam {workspace-domain}/api/2.0/preview/accounts/access-control/assignable-roles.

Consulte API Controle de Acesso a Contas e API de Proxy do Workspace de Controle de Acesso a Contas.