Hizmet sorumlularını yönetme rolleri

Bu makalede, Azure Databricks hesabınızdaki hizmet sorumlularındaki rollerin nasıl yönetileceğini açıklanmaktadır.

Hizmet sorumlusu, Azure Databricks'te otomatik araçlar, işler ve uygulamalarla kullanmak için oluşturduğunuz bir kimliktir. Hizmet sorumluları, Azure Databricks kaynaklarına yalnızca API'ye yönelik otomatik araç ve betik erişimi sunarak kullanıcıları veya grupları kullanmaktan daha fazla güvenlik sağlar.

Azure Databricks kullanıcılarına, hizmet sorumlularına ve hesap gruplarına hizmet sorumlusu kullanma erişimi veresiniz. Bu, kullanıcıların işleri kimlikleri yerine hizmet sorumlusu olarak çalıştırmasına olanak tanır. Bu, bir kullanıcı kuruluşunuzdan ayrıldığında veya bir grup değiştirildiğinde işlerin başarısız olmasını önler.

Hizmet sorumlularına genel bakış için bkz. Hizmet sorumlularını yönetme.

Hizmet sorumlusu rolleri

Hizmet sorumlusu rolleri hesap düzeyinde rollerdir. Bu, bunların hesabınızda yalnızca bir kez tanımlanması ve tüm çalışma alanlarına uygulanması gerektiği anlamına gelir. Hizmet sorumlusunda verebileceğiniz iki rol vardır: Hizmet Sorumlusu Yöneticisi ve Hizmet Sorumlusu Kullanıcısı.

• Hizmet Sorumlusu Yöneticisi , bir hizmet sorumlusundaki rolleri yönetmenize olanak tanır. Hizmet sorumlusunu oluşturan, hizmet sorumlusunda Hizmet Sorumlusu Yöneticisi rolüne sahiptir. Hesap yöneticileri, bir hesaptaki tüm hizmet sorumlularında Hizmet Sorumlusu Yöneticisi rolüne sahiptir.

Not

13 Haziran 2023'e kadar bir hizmet sorumlusu oluşturulduysa, hizmet sorumlusunu oluşturanın varsayılan olarak Hizmet Sorumlusu Yöneticisi rolü yoktur. Yönetici olmanız gerekiyorsa, hesap yöneticisinden size Hizmet Sorumlusu Yöneticisi rolünü vermesini isteyin.

• Hizmet Sorumlusu Kullanıcısı , çalışma alanı kullanıcılarının işleri hizmet sorumlusu olarak çalıştırmasına olanak tanır. İş, iş sahibinin kimliği yerine hizmet sorumlusu kimliğiyle çalışır.

Hizmet Sorumlusu Yöneticisi rolüne sahip kullanıcılar Hizmet Sorumlusu Kullanıcı rolünü devralmıyor. İşleri yürütmek için hizmet sorumlusunu kullanmak istiyorsanız, hizmet sorumlusunu oluşturduktan sonra bile kendinize hizmet sorumlusu kullanıcı rolünü açıkça atamanız gerekir.

Not

Azure Databricks hizmet sorumlusu rolleri, Azure rolleriyle veya Microsoft Entra Id (eski adıyla Azure Active Directory) rolleriyle çakışmaz. Bu roller yalnızca Azure Databricks hesabına yayılmıştır.

Hesap konsolunu kullanarak hizmet sorumlusu rollerini yönetme

Hesap yöneticileri, hesap konsolunu kullanarak hizmet sorumluları rollerini yönetebilir.

Hizmet sorumlusundaki rolleri görüntüleme

1. Hesap yöneticisi olarak hesap konsolunda oturum açın.
2. Kenar çubuğunda Kullanıcı yönetimi'ne tıklayın.
3. Hizmet sorumluları sekmesinde adı bulun ve tıklayın.
4. İzinler sekmesine tıklayın.

Hizmet sorumlusunda sorumluların listesini ve kendilerine verilen rolleri görebilirsiniz. Belirli bir sorumluyu veya rolü aramak için arama çubuğunu da kullanabilirsiniz.

Hizmet sorumlusunda rol verme

1. Hesap yöneticisi olarak hesap konsolunda oturum açın.

2. Kenar çubuğunda Kullanıcı yönetimi'ne tıklayın.

3. Hizmet sorumluları sekmesinde adı bulun ve tıklayın.

4. İzinler sekmesine tıklayın.

5. Erişim ver'e tıklayın.

6. Kullanıcı, hizmet sorumlusu veya grubu arayıp seçin ve atanacak rol veya rolleri (Hizmet sorumlusu: Yönetici veya Hizmet sorumlusu: Kullanıcı) seçin.

   Not

   Hizmet Sorumlusu Yöneticisi rolüne sahip kullanıcılar Hizmet Sorumlusu Kullanıcı rolünü devralmıyor. Kullanıcının işleri yürütmek için hizmet sorumlusunu kullanmasını istiyorsanız, Hizmet Sorumlusu Kullanıcı rolünü açıkça atamanız gerekir.

7. Kaydet'e tıklayın.

Hizmet sorumlusundaki rolleri iptal etme

1. Hesap yöneticisi olarak hesap konsolunda oturum açın.
2. Kenar çubuğunda Kullanıcı yönetimi'ne tıklayın.
3. Hizmet sorumluları sekmesinde adı bulun ve tıklayın.
4. İzinler sekmesine tıklayın.
5. Rollerini düzenlemek için kullanıcı, hizmet sorumlusu veya grubu arayın.
6. Sorumlunun olduğu satırda kebap menüsüne tıklayın ve düzenle'yi seçin. Alternatif olarak, sorumlunun tüm rollerini iptal etmek için Sil'i seçin.
7. Düzenle'yi tıklatın.
8. İptal etmek istediğiniz rollerin yanındaki X işaretine tıklayın.
9. Kaydet'e tıklayın.

Çalışma alanı yönetici ayarları sayfasını kullanarak hizmet sorumlusu rollerini yönetme

Çalışma alanı yöneticileri, yönetici ayarları sayfasını kullanarak Hizmet Sorumlusu Yöneticisi rolüne sahip oldukları hizmet sorumluları için hizmet sorumluları rollerini yönetebilir.

Hizmet sorumlusundaki rolleri görüntüleme

1. Çalışma alanı yöneticisi olarak Azure Databricks çalışma alanında oturum açın.
2. Azure Databricks çalışma alanının üst çubuğunda kullanıcı adınıza tıklayın ve Ayarlar'yi seçin.
3. Kimlik ve erişim sekmesine tıklayın.
4. Hizmet sorumluları'nın yanındaki Yönet'e tıklayın.
5. Adı bulun ve tıklayın.
6. İzinler sekmesine tıklayın.

Hizmet sorumlusunda sorumluların listesini ve kendilerine verilen rolleri görebilirsiniz. Belirli bir sorumluyu veya rolü aramak için arama çubuğunu da kullanabilirsiniz.

Hizmet sorumlusunda rol verme

Rol verebilmek için hizmet sorumlusunda Hizmet Sorumlusu Yöneticisi rolüne sahip olmanız gerekir.

1. Çalışma alanı yöneticisi olarak Azure Databricks çalışma alanında oturum açın.

2. Azure Databricks çalışma alanının üst çubuğunda kullanıcı adınıza tıklayın ve Ayarlar'yi seçin.

3. Kimlik ve erişim sekmesine tıklayın.

4. Hizmet sorumluları'nın yanındaki Yönet'e tıklayın.

5. Adı bulun ve tıklayın.

6. İzinler sekmesine tıklayın.

7. Erişim ver'e tıklayın.

8. Kullanıcı, hizmet sorumlusu veya grubu arayıp seçin ve atanacak rol veya rolleri (Hizmet sorumlusu: Yönetici veya Hizmet sorumlusu: Kullanıcı) seçin.

   Not

   Roller, çalışma alanının üyesi olmasalar bile herhangi bir hesap düzeyindeki kullanıcıya, hizmet sorumlusuna veya gruba verilebilir. Çalışma alanı yerel gruplarına roller verilemez.

   Hizmet Sorumlusu Yöneticisi rolüne sahip kullanıcılar Hizmet Sorumlusu Kullanıcı rolünü devralmıyor. Kullanıcının işleri yürütmek için hizmet sorumlusunu kullanmasını istiyorsanız, Hizmet Sorumlusu Kullanıcı rolünü açıkça atamanız gerekir.

9. Kaydet'e tıklayın.

Hizmet sorumlusundaki rolleri iptal etme

Rolleri iptal etmek için hizmet sorumlusunda Hizmet Sorumlusu Yöneticisi rolüne sahip olmanız gerekir.

1. Çalışma alanı yöneticisi olarak Azure Databricks çalışma alanında oturum açın.
2. Azure Databricks çalışma alanının üst çubuğunda kullanıcı adınıza tıklayın ve Ayarlar'yi seçin.
3. Kimlik ve erişim sekmesine tıklayın.
4. Hizmet sorumluları'nın yanındaki Yönet'e tıklayın.
5. Adı bulun ve tıklayın.
6. İzinler sekmesine tıklayın.
7. Rollerini düzenlemek için kullanıcı, hizmet sorumlusu veya grubu arayın.
8. Sorumlunun olduğu satırda kebap menüsüne tıklayın ve düzenle'yi seçin. Alternatif olarak, sorumlunun tüm rollerini iptal etmek için Sil'i seçin.
9. Düzenle'yi tıklatın.
10. İptal etmek istediğiniz rollerin yanındaki X işaretine tıklayın.
11. Kaydet'e tıklayın.

Databricks CLI kullanarak hizmet sorumlusu rollerini yönetme

Bir hizmet sorumlusundaki rolleri yönetmek için Hizmet Sorumlusu Yöneticisi rolüne sahip olmanız gerekir. Rolleri yönetmek için Databricks CLI'yi kullanabilirsiniz. Databricks CLI'yı yükleme ve kimlik doğrulaması hakkında bilgi için bkz . Databricks CLI nedir?.

Ayrıca, Hesaplar Erişim Denetimi API'sini kullanarak hizmet sorumlusu rollerini yönetebilirsiniz. Hesaplar Erişim Denetimi API'si, Azure Databricks hesabı ve çalışma alanları aracılığıyla desteklenir.

Hesap yöneticileri api'yi accounts.azuredatabricks.net (){account-domain}/api/2.0/preview/accounts/{account_id}/access-control üzerinde çağırır.

Hesap yöneticisi olmayan Hizmet Sorumlusu Yöneticisi rolüne sahip kullanıcılar, çalışma alanı etki alanında ({workspace-domain}/api/2.0/preview/accounts/access-control/) API'yi çağırır.

Databricks CLI kullanarak hizmet sorumlusunda rol verme

Hesaplar Erişim Denetimi API'sinde tutarlılık sağlamak için bir etag alan kullanılır. API aracılığıyla hizmet sorumlusu rolleri vermek veya iptal etmek için önce bir GET kural kümesi komutu verin ve yanıt olarak bir etag alın. Ardından değişiklikleri yerel olarak uygulayabilir ve son olarak ile etagbir PUT kural kümesi oluşturabilirsiniz.

Örneğin, aşağıdaki komutu çalıştırarak erişim vermek istediğiniz hizmet sorumlusunda bir GET kural kümesi oluşturun:

databricks account access-control get-rule-set accounts/<account-id>/servicePrincipals/<application-id>/ruleSets/default <etag>

Değiştirme:

• <account-id> hesap kimliğiyle birlikte.
• <application-id> hizmet sorumlusu uygulama kimliğiyle birlikte.
• <etag> "" ile

Örnek yanıt:

{
  "etag":"<etag>",
  "grant_rules": [
    {
      "principals": [
        "users/user@example.com"
      ],
      "role":"roles/servicePrincipal.manager"
    },
    {
      "principals": [
        "users/user@example.com"
      ],
      "role":"roles/servicePrincipal.user"
    }
  ],
  "name":"<name>"
}

etag Alanı daha sonra kullanmak üzere yanıt gövdesinden kopyalayın.

Ardından, kuralların son durumuna karar verince yerel olarak güncelleştirmeler yapabilir ve ardından etag'i kullanarak kural kümesini güncelleştirebilirsiniz. Hizmet sorumlusuna vermek için: Kullanıcıya kullanıcıuser2@example.comrolü, aşağıdakileri çalıştırın:

databricks account access-control update-rule-set --json '{
  "name": "accounts/<account-id>/servicePrincipals/<application-id>/ruleSets/default",
  "rule_set": {
      "name": "accounts/<account-id>/servicePrincipals/<application-id>/ruleSets/default",
      "grant_rules": [
        {
            "role": "roles/servicePrincipal.user",
            "principals": ["users/user2@example.com"]
        }
      ],
      "etag": "<etag>"
  }
}'

Değiştirme:

• <account-id> hesap kimliğiyle birlikte.
• <application-id> hizmet sorumlusu uygulama kimliğiyle birlikte.
• <etag> son yanıttan kopyaladığınız etag ile birlikte.

Örnek yanıt:

{
  "etag":"<new-etag>",
  "grant_rules": [
    {
      "principals": [
        "users/user2@example.com"
      ],
      "role":"roles/servicePrincipal.user"
    }
  ],
  "name":"accounts/<account-id>/servicePrincipals/<application-id>/ruleSets/default"
}

Önemli

Bu bir PUT yöntem olduğundan, var olan tüm rollerin üzerine yazılır. Mevcut rolleri korumak için bunları diziye grant_roles eklemeniz gerekir.

Kullanabileceğiniz hizmet sorumlularını listeleme

Çalışma Alanı Hizmet Sorumluları API'sini kullanarak, üzerinde filtreleyerek servicePrincipal/usekullanıcı rolüne sahip olduğunuz hizmet sorumlularını listeleyebilirsiniz.

Hizmet Sorumlusu Kullanıcı rolüne sahip olduğunuz hizmet sorumlularını listelemek için aşağıdaki komutu çalıştırın:

databricks service-principals list -p WORKSPACE --filter "permission eq 'servicePrincipal/use'"

Ayrıca Çalışma Alanı Hizmet Sorumluları API'sini kullanarak hizmet sorumlularını listeleyebilirsiniz.