Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Esta página fornece uma visão geral dos principais de serviço no Azure Databricks. Para saber como gerenciar entidades de serviço, consulte Gerenciar entidades de serviço.
O que é um principal de serviço?
Um principal de serviço é uma identidade especializada no Azure Databricks projetada para acesso programático e automação. As entidades de serviço fornecem acesso somente à API de ferramentas automatizadas e scripts aos recursos do Azure Databricks, fornecendo maior segurança do que o uso de contas de usuários.
Pode conceder e restringir o acesso de um principal de serviço a recursos da mesma forma que faz para um utilizador do Azure Databricks. Por exemplo, você pode:
- Atribuir ao principal de serviço o papel de administrador de conta ou administrador de espaço de trabalho
- Conceda a um principal de serviço acesso aos dados usando o Unity Catalog.
- Adicione um principal de serviço como membro de um grupo.
Você pode conceder permissões aos usuários, entidades de serviço e grupos do Azure Databricks para usar uma entidade de serviço. Isso permite que os utilizadores executem tarefas como principal de serviço, em vez de como sua identidade, o que evita falhas nas tarefas se um utilizador sair da organização ou se um grupo for modificado.
Benefícios do uso de entidades de serviço:
- Segurança e estabilidade: Automatize trabalhos e fluxos de trabalho sem depender de credenciais de usuário individuais para reduzir os riscos associados a alterações ou saídas de contas de usuário.
- Permissões flexíveis: Permitir que usuários, grupos ou outras entidades de serviço deleguem permissões a uma entidade de serviço, permitindo a execução de tarefas em seu nome.
- API-Only identidade: Ao contrário dos usuários regulares do Databricks, as entidades de serviço são projetadas exclusivamente para acesso à API e não podem fazer login na interface do usuário do Databricks.
Entidades de serviço Databricks e Microsoft Entra ID
As entidades de serviço podem ser entidades de serviço geridas pelo Azure Databricks ou geridas pelo Microsoft Entra ID.
Os principais de serviço geridos pelo Azure Databricks podem autenticar-se no Azure Databricks através da autenticação OAuth do Databricks e tokens de acesso pessoal. Os entidades de serviço geridas pelo Microsoft Entra ID podem autenticar-se no ambiente Azure Databricks através da autenticação OAuth do Databricks e tokens de ID do Microsoft Entra. Para obter mais informações sobre autenticação para entidades de serviço, consulte Gerenciar tokens para uma entidade de serviço.
As entidades de serviço geridas do Azure Databricks são geridas diretamente no Azure Databricks. As entidades de serviço gerenciadas do Microsoft Entra ID são gerenciadas no Microsoft Entra ID, o que requer permissões adicionais. A Databricks recomenda que se utilize entidades de serviço geridas do Azure Databricks para a automatização do Azure Databricks e que se recorra a entidades de serviço geridas do Microsoft Entra ID nos casos em que seja necessário autenticar simultaneamente com o Azure Databricks e outros recursos do Azure.
Para criar uma entidade de serviço gerenciada do Azure Databricks, ignore esta seção e continue lendo com Quem pode gerenciar e usar entidades de serviço?.
Para utilizar os principais de serviço geridos do Microsoft Entra ID no Azure Databricks, um utilizador administrador deve criar uma aplicação Microsoft Entra ID no Azure. Para criar uma entidade de serviço gerida pelo Microsoft Entra ID, consulte Autenticação da entidade de serviço Microsoft Entra.
Quem pode gerenciar e usar entidades de serviço?
Para gerenciar entidades de serviço no Azure Databricks, você deve ter uma das seguintes opções: a função de administrador de conta, a função de administrador de espaço de trabalho ou a função de gerente ou usuário em uma entidade de serviço.
- Os administradores de conta podem adicionar entidades de serviço à conta e atribuir-lhes funções de administrador. Desde que esses espaços de trabalho usem federação de identidades, eles também podem atribuir princípios de serviço a espaços de trabalho.
- Os administradores de espaço de trabalho podem adicionar entidades de serviço a um espaço de trabalho do Azure Databricks, atribuir-lhes a função de administrador do espaço de trabalho e gerenciar o acesso a objetos e funcionalidades no espaço de trabalho, como a capacidade de criar clusters ou acessar ambientes baseados em persona especificados.
- Os gerentes de entidade de serviço podem gerenciar funções em uma entidade de serviço. O criador de um principal de serviço torna-se o seu gestor. Os administradores de conta são gerentes de entidade de serviço em todas as entidades de serviço em uma conta.
- Os utilizadores da entidade de serviço podem executar tarefas em nome da entidade de serviço. A tarefa é executada usando a identidade do principal de serviço, em vez da identidade do proprietário da tarefa. Para obter mais informações, consulte Gerenciar identidades, permissões e privilégios para trabalhos do Lakeflow.
Os usuários com a função Service Principal Manager não herdam a função Service Principal User . Se quiser usar a entidade de serviço para executar trabalhos, você precisará atribuir explicitamente a si mesmo a função de usuário da entidade de serviço, mesmo depois de criar a entidade de serviço.
Para obter informações sobre como conceder funções de gerente e usuário da entidade de serviço, consulte Funções para gerir entidades de serviço.
Sincronize as entidades de serviço na sua conta do Azure Databricks a partir do seu locatário do Microsoft Entra ID.
Você pode sincronizar entidades de serviço do Microsoft Entra ID automaticamente do locatário do Microsoft Entra ID para sua conta do Azure Databricks usando o gerenciamento automático de identidades (Visualização Pública). O Databricks usa a ID do Microsoft Entra como origem, portanto, quaisquer alterações em usuários ou associações de grupo são respeitadas no Azure Databricks. Para obter instruções, consulte sincronizar usuários e grupos automaticamente a partir do Microsoft Entra ID.
O provisionamento SCIM não oferece suporte à sincronização de entidades de serviço.