用于管理服务主体的角色

预览

这个特性是在公共预览

本文描述了如何管理角色在你的砖账户服务主体。

创建的服务主体是一个身份在砖使用自动化工具,工作,和应用程序。服务主体提供自动化工具和脚本简化纯api访问数据砖资源,提供更大的安全比使用用户或组。

能给予砖用户、服务主体和帐户组访问使用一个服务主体。这允许用户运行工作为服务主体,而不是自己的身份。这可以防止工作失败如果用户离开你的组织或一组修改。

为服务主体的概述管理服务主体

服务主体的角色

服务主体角色户头级别的角色。这意味着他们只需要定义一次,您的帐户,并应用在所有工作区。有两个角色,你可以在一个服务主体授予:服务主体的经理服务主体的用户

  • 服务主体的经理允许您管理服务主体的角色。服务主体的创建者成为服务主体的经理。账户管理员也在服务主体经理一个帐户中的所有服务主体。

请注意

如果创建一个服务主体在6月13日之前,2023年,服务主体的创建者没有默认服务主体经理角色。如果你需要一个经理,问一个帐户管理员授予你服务主体管理器的角色。

  • 服务主体的用户允许您运行作业服务主体。作业将运行与服务主体的身份,而不是工作的主人的身份。有关更多信息,请参见运行一个服务主体的工作

请注意

服务主体管理者不继承服务主体用户角色。如果你想使用服务主体执行工作,你需要显式地指定服务主体的用户角色,甚至在创建服务主体。

使用帐户控制台管理服务主体角色

账户管理员可以使用账户管理服务主体角色控制台。

查看服务主体的角色

  1. 作为一个账户管理,登录到账户控制台

  2. 在侧边栏中,单击用户管理

  3. 服务主体选项卡,找到并单击这个名字。

  4. 单击权限选项卡。

你可以看到的主体和服务主体的角色,他们被授予。还可以使用搜索栏搜索特定的主体或角色。

格兰特在服务主体的角色

  1. 作为一个账户管理,登录到账户控制台

  2. 在侧边栏中,单击用户管理

  3. 服务主体选项卡,找到并单击这个名字。

  4. 单击权限选项卡。

  5. 点击授权访问

  6. 搜索并选择用户、服务主体或组,选择角色或角色(服务主体:经理服务主体:用户)分配。

    请注意

    服务主体管理者不继承服务主体用户角色。如果您希望用户使用服务主体执行工作,你将需要显式地指定服务主体的用户角色。

  7. 点击保存

撤销服务主体的角色

  1. 作为一个账户管理,登录到账户控制台

  2. 在侧边栏中,单击用户管理

  3. 服务主体选项卡,找到并单击这个名字。

  4. 单击权限选项卡。

  5. 搜索用户、服务主体或组来编辑他们的角色。

  6. 在主要的行,点击菜单烤肉串垂直的省略然后选择编辑。另外,选择删除撤销所有的主要角色。

  7. 点击编辑

  8. 单击X旁边的角色你想撤销。

  9. 点击保存

管理服务主体角色使用工作区管理设置页面

工作区管理员可以管理服务主体为服务主体的角色,他们有服务主体的经理使用管理设置页面上的作用。

查看服务主体的角色

  1. 工作区管理,登录到砖工作区。

  2. 点击你的用户名在酒吧的砖工作区并选择管理设置

  3. 服务主体选项卡,找到并单击这个名字。

  4. 单击权限选项卡。

你可以看到的主体和服务主体的角色,他们被授予。还可以使用搜索栏搜索特定的主体或角色。

格兰特在服务主体的角色

你必须有服务主体的经理作用在一个服务主体为了授予的角色。

  1. 工作区管理,登录到砖工作区。

  2. 点击你的用户名在酒吧的砖工作区并选择管理设置

  3. 服务主体选项卡,找到并单击这个名字。

  4. 单击权限选项卡。

  5. 点击授权访问

  6. 搜索并选择用户、服务主体或组,选择角色或角色(服务主体:经理服务主体:用户)分配。

    请注意

    角色可以授予任何户头级别用户,服务主体,或组,即使他们不是一个成员的工作空间。角色不能授予workspace-local组。

    服务主体管理者不继承服务主体用户角色。如果您希望用户使用服务主体执行工作,你将需要显式地指定服务主体的用户角色。

  7. 点击保存

撤销服务主体的角色

你必须有服务主体的经理作用在一个服务主体为了撤销的角色。

  1. 工作区管理,登录到砖工作区。

  2. 点击你的用户名在酒吧的砖工作区并选择管理设置

  3. 服务主体选项卡,找到并单击这个名字。

  4. 单击权限选项卡。

  5. 搜索用户、服务主体或组来编辑他们的角色。

  6. 在主要的行,点击菜单烤肉串垂直的省略然后选择编辑。另外,选择删除撤销所有的主要角色。

  7. 点击编辑

  8. 单击X旁边的角色你想撤销。

  9. 点击保存

使用API管理服务主体角色

你可以使用管理服务主体角色账户访问控制API。账户访问控制API支持通过砖账户和工作区。

账户管理员调用API在accounts.gcp.cloud.www.neidfyre.com ({帐户域}/ api / 2.0 /预览/账户/ {account_id} /访问控制)。

服务主体管理者没有帐户管理员调用API在空间域({workspace-domain} / api / 2.0 /预览/账户/访问控制)。

如何验证账户信息访问控制API,明白了身份验证数据砖自动化

完整的REST API参考,请参阅账户访问控制的API

格兰特的角色在一个服务主体使用API

使用一个账户访问控制的APIetag场,以确保一致性。授予或撤销服务主体角色通过API,第一期得到规则集命令和接收一个etag作为回应。然后,您可以在本地应用的变化,最后发出规则集的etag

例如,一个问题得到规则集你想授权访问的服务主体通过运行下面的命令:

curl - x - h得到“application / json内容类型:\“https://{帐户域}/ api / 2.0 /预览/账户/ <帐户id > /访问控制规则集”\- d”{“名称”:“账户/ <帐户id > / servicePrincipals / <应用程序id > /规则集/默认”,“etag”:“}'

替换:

  • {帐户域}与accounts.gcp.cloud.www.neidfyre.com

  • <帐户id >帐户ID。

  • <应用程序id >与服务主要应用程序ID。

示例响应:

{“名称”:“账户/ <帐户id > / servicePrincipals / <应用程序id > /规则集/违约”,“描述”:”“,“etag”:“< etag >”}

复制etag从响应的身体供以后使用。

然后,您可以在本地进行更新,当你决定规则的最终状态,然后更新规则集使用etag。授予的服务主体:用户用户角色user@example.com运行以下:

curl - x将- h“application / json内容类型:\“https://{帐户域}/ api / 2.0 /预览/账户/ <帐户id > /访问控制规则集”\- d”{“名称”:“账户/ <帐户id > / servicePrincipals / <应用程序id > /规则集/默认”," rule_set ": {“名称”:“账户/ <帐户id > / servicePrincipals / <应用程序id > /规则集/默认”,“grant_rules”:({“角色”:“角色/ servicePrincipal.user”,“校长”:(“用户/ user@example.com”)}),:“etag < etag >”}}'

替换:

  • {帐户域}与accounts.gcp.cloud.www.neidfyre.com

  • <帐户id >帐户ID。

  • <应用程序id >与服务主要应用程序ID。

  • < etag >你抄袭最后的etag的回应。

示例响应:

{“名称”:“账户/ <帐户id > / servicePrincipals / <应用程序id > /规则集/违约”,“描述”:”“,“grant_rules”:({“校长”:(“用户/ user@example.com”],“角色”:“角色/ servicePrincipal.user”}],“etag”:“< new-etag >”}

重要的

因为这是一个方法,覆盖所有现有的角色。任何现有的角色,你必须将它们添加到grant_roles数组中。

列出可以使用的服务主体

使用工作空间层SCIM (ServicePrincipals) API,您可以列出的服务主体通过过滤用户角色servicePrincipal /使用

列出你的服务主体服务主体的用户作用,运行以下命令:

curl——netrc - x\“https:// < databricks-instance > / api / 2.0 /预览/ scim / v2 / ServicePrincipals ?过滤器=许可+ eq +“servicePrincipal /使用”\|金桥。

替换:

  • < databricks-instance >你的域名砖部署。

有关更多信息,请参见服务主体(SCIM) API