此頁面概述 Azure Databricks 中的服務主體。 如需如何管理服務主體,請參閱 管理服務主體。
何謂服務主體?
服務主體是 Azure Databricks 中專為自動化和程式設計存取而設計的特製化身分識別。 服務主體提供自動化工具和腳本僅透過 API 存取 Azure Databricks 資源,比使用者帳戶提供更大的安全性。
您可以使用與 Azure Databricks 使用者相同的方式,授與和限制服務主體對資源的存取權。 例如,您可以:
- 將帳戶管理員或工作區管理員角色授與服務主體
- 使用 Unity 目錄授與服務主體對數據的存取權。
- 將服務主體新增為群組的成員。
您可以授與 Azure Databricks 使用者、服務主體和群組許可權,以使用服務主體。 這可讓使用者以服務主體的形式執行作業,而不是以其身分識別執行。如此一來,便能防止萬一使用者離開組織或群組遭到修改時,作業失敗。
使用服務主體的優點:
- 安全性和穩定性: 將作業和工作流程自動化,而不需要依賴個別使用者認證來降低與使用者帳戶變更或離職相關聯的風險。
- 彈性許可權: 允許使用者、群組或其他服務主體將許可權委派給服務主體,並代表其啟用作業執行。
- API-Only 身分識別: 與一般 Databricks 使用者不同的是,服務主體專為 API 存取而設計,而且無法登入 Databricks UI。
Databricks 和 Microsoft Entra ID 服務主體
服務主體可以是 Azure Databricks 受控服務主體或 Microsoft Entra ID 受控服務主體。
Azure Databricks 受控服務主體可以使用 Databricks OAuth 驗證和個人存取權杖向 Azure Databricks 進行驗證。 Microsoft Entra ID 受控服務主體可以使用 Databricks OAuth 驗證和 Microsoft Entra ID 權杖向 Azure Databricks 進行驗證。 如需更進一步的服務主體認證資訊,請參閱 管理服務主體的令牌。
Azure Databricks 管理的服務主體會直接在 Azure Databricks 中進行管理。 在 Microsoft Entra ID 中管理 Microsoft Entra ID 受控服務主體,這需要額外的權限。 Databricks 建議您針對 Azure Databricks 自動化使用 Azure Databricks 受控服務主體,並在您必須同時向 Azure Databricks 和其他 Azure 資源進行驗證的情況下,使用 Microsoft Entra ID 受控服務主體。
若要建立 Azure Databricks 受控服務主體,請略過本節,並繼續閱讀 誰可以管理和使用服務主體?。
若要在 Azure Databricks 中使用 Microsoft Entra ID 受控服務主體,管理員使用者必須在 Azure 中建立 Microsoft Entra ID 應用程式。 若要建立Microsoft Entra ID 受控服務主體,請參閱 MS Entra 服務主體驗證。
誰可以管理及使用服務主體?
若要在 Azure Databricks 中管理服務主體,您必須擁有下列其中一項:帳戶管理員角色、工作區管理員角色,或服務主體上的管理員或使用者角色。
- 帳戶管理員可以 將服務主體新增至帳戶,並指派系統管理員角色。 只要這些工作區使用識別身分同盟,他們也可以將服務主體指派給工作區。
- 工作區管理員可以 將服務主體新增至 Azure Databricks 工作區、指派工作區管理員角色,以及管理工作區中物件和功能的存取權,例如建立叢集或存取指定角色型環境的能力。
- 服務主體管理員 可以在服務主體上管理角色。 服務主體的建立者會成為服務主體管理員。 帳戶管理員是帳戶中所有服務主體的管理者。
- 服務主體 用戶可以 以服務主體身分執行作業。 工作會使用服務主體的身分識別來執行,而不是工作擁有者的身分識別。 如需詳細資訊,請參閱 管理 Lakeflow 作業的身分識別、許可權和許可權。
具有 服務主體管理員 角色的使用者不會繼承 服務主體使用者 角色。 如果您想要使用服務主體來執行作業,即使建立服務主體之後,您也必須明確指派服務主體使用者角色。
如需如何授與服務主體管理員和使用者角色的資訊,請參閱 管理服務主體的角色。
從您的 Microsoft Entra ID 租用者將服務主體同步到 Azure Databricks 帳戶
您可以使用自動身分識別管理,將 Microsoft Entra ID 服務主體從 Microsoft Entra ID 租用戶自動同步到 Azure Databricks 帳戶(公測版)。 Databricks 會使用 Microsoft Entra 標識碼作為來源,因此 Azure Databricks 中會尊重使用者或群組成員資格的任何變更。 如需指示,請參閱 從Microsoft Entra ID 自動同步使用者和群組。
SCIM 布建不支援同步服務主體。