使用Account API创建一个新的工作空间

方法创建工作区帐户API 2.0如果你的账号在E2版平台bob体育客户端下载或选择自定义计划，允许每个帐户有多个工作区。所有新的Databricks帐户和大多数现有帐户现在都是E2。如果您不确定您拥有哪种帐户类型，请与Databricks代表联系。请与Databricks代表联系以请求访问。

Account API允许您以编程方式创建与单个Databricks帐户关联的多个新的Databricks工作区。您创建的每个工作区都可以具有不同的配置设置。

如果希望使用，则必须使用Account API来创建工作区用于托管服务的客户管理密钥或AWS PrivateLink．

提示

您可以使用Databricks Terraform提供商．看到使用Terraform创建Databricks工作区．

方法还可以执行本文中描述的许多任务E2帐户的帐户控制台．

请注意

许多工作区创建步骤可以使用模板自动化。模板可以帮助您实现快速、一致、自动化的工作空间部署。看到使用帐户API模板自动创建工作空间．

重要的

这篇文章提到了这个术语数据平面，是Databricks平台的计算层。bob体育客户端下载在本文上下文中，数据平面指的是AWS帐户中的经典数据平面。相比之下，支持无服务器数据平面的无服务器SQL仓库(公开预览)在Databricks AWS帐户中运行。要了解BOB低频彩更多信息，请参见Serverless计算．

需求

只有启用了多个工作区的Databricks帐户的帐户所有者和帐户管理员才能使用该API。在Databricks代表更新您的帐户订阅以支持多个工作区后，您将收到一封欢迎电子邮件。

在使用Account API创建新工作区之前，您必须:

请查看您的欢迎邮件，了解以下信息:
- 帐户ID，用作跨帐户访问的外部ID，许多API调用都需要它。本文使用该变量< databricks-account-id >在示例API请求和响应中表示此标识符。
  
  重要的
  
  像保护凭证一样保护您的帐户ID。
- 帐户用户名，即您的电子邮件地址。该值区分大小写。使用与发送给Databricks代表时相同的大写字母。
- 账户密码。点击邮件中的链接可以重置密码。你也可以重置稍后再。
确定您的工作空间是否将启用以下功能，这些功能要求您的帐户在E2版平台bob体育客户端下载：
- Customer-managed VPC:用户自行提供VPC。
  
  重要的
  
  配置要使用的工作区AWS PrivateLink对于任何类型的连接，您的工作空间必须使用客户管理的VPC。
- 安全的集群连接:无VPC开放端口、无Databricks runtime worker公网IP地址的网络架构。在一些api中，这被称为无公共IP或NPIP。注意:在2020年9月1日之后，帐户API创建的所有工作区默认启用安全集群连接。
- 客户管理的加密密钥：
  - 控制平面中托管服务的客户管理密钥:提供KMS密钥，用于对数据库管理控制平面的笔记本和保密数据进行加密。
  - 用于工作空间存储的客户管理密钥:提供KMS密钥来加密工作空间的S3桶(工作空间的根DBFS、作业结果等)和可选的集群节点EBS卷。
- AWS PrivateLink: AWS PrivateLink提供从AWS vpc和内部网络到AWS服务的私有连接，而不会将流量暴露给公共网络。
确定工作区要使用的区域数据平面(VPC)。的控制飞机区域由数据平面区域决定。工作区数据平面vpc可以位于AWS区域ap-northeast-1，ap-northeast-2，ap-south-1，ap-southeast-1，ap-southeast-2，ca-central-1，一来就，eu-west-2，eu-central-1，us-east-1，us-east-2，us-west-1,us-west-2．不能使用VPCus-west-1如果你想用的话customer-managed键为加密。

如何使用帐户API

帐户API发布在accounts.cloud.www.neidfyre.com所有AWS区域部署的基本端点。

使用下面的API请求基URL:https://accounts.cloud.www.neidfyre.com/api/2.0/．

这个REST API需要HTTP基本身份验证，这需要设置HTTP报头授权．在本节中，用户名指您的帐户电子邮件地址。电子邮件地址区分大小写，因此使用与发送给Databricks代表时相同的大写字母。有几种方法可以向curl等工具提供凭据。

在每个请求的头中分别传递您的用户名和帐户密码<用户名>:<密码>语法。

例如:

               curl -X GET -u <用户名>:<密码> -H“application / json内容类型:＼“https://accounts.cloud.www.neidfyre.com/api/2.0/accounts/ < accountId > / <端点>”
              

应用base64编码到:字符串，并直接在HTTP报头中提供它:

               curl -X GET -H“application / json内容类型:＼- h授权:Basic “https://accounts.cloud.www.neidfyre.com/api/2.0/accounts/ < accountId > / <端点>”
              

创建一个. netrc文件,机，登录,密码属性:

               机器accounts.cloud.www.neidfyre.com登录<用户名>密码<密码>
              

调用. netrc文件,使用- n在你的旋度命令:

               curl -n -X GET“https://accounts.cloud.www.neidfyre.com/api/2.0/accounts/ <帐户id > /工作区”
              

本文的示例使用这种身份验证样式。

有关完整的API参考，请参见帐户API 2.0．

步骤1:配置跨帐号认证

Databricks需要访问AWS帐户中的跨帐户服务IAM角色，以便Databricks可以在新的工作空间的适当VPC中部署集群。

如果这样的角色还不存在，请参见创建跨帐号IAM角色为您的部署类型创建适当的角色和策略。您将需要用于新角色的ARNrole_arn)。

请注意

您可以与多个工作区共享跨帐户IAM角色。您不需要为每个工作空间创建新的跨帐户IAM角色。如果您已经拥有跨帐户IAM角色，则可以跳过此步骤。
为您的AWS角色创建Databricks凭据配置ID。调用创建凭证配置API（帖子/账户/ < accountId > /凭证)．此请求建立跨帐户信任，并返回一个引用ID，以便在创建新工作空间时使用。

请注意

您可以与多个工作区共享一个凭据配置ID。不需要为每个工作区创建一个新的。如果您已经有一个，您可以跳过这一步。

取代< accountId >与您的Databricks帐户ID。对于身份验证，请参见本页前面的步骤2。在请求体中:
- 集credentials_name到这些凭证的名称。该名称在您的帐户中必须唯一。
- 集aws_credentials属性的对象sts_role财产。该对象必须包含role_arn属性，该属性为您创建的角色指定AWS角色ARN。
响应体将包括credentials_id字段，它是创建新工作空间所需的Databricks凭据配置ID。复制并保存这个值，您将在后面的步骤中使用它来创建工作空间。
例如:
```
curl -X POST -n＼“https://accounts.cloud.www.neidfyre.com/api/2.0/accounts/ < databricks-account-id > /凭证”＼- d”{:“credentials_name databricks-workspace-credentials-v1”," aws_credentials ": {" sts_role ": {:“role_arn攻击:aws:我::< aws-account-id >: / my-company-example-role”角色｝｝} '
```
示例响应:
```
｛“credentials_id”：“< databricks-credentials-id >”，“account_id”：“< databricks-account-id >”，“aws_credentials”：｛“sts_role”：｛“role_arn”：“攻击:aws:我::< aws-account-id >: / my-company-example-role”角色，“external_id”：“< databricks-account-id >”｝}，“credentials_name”：“databricks-workspace-credentials-v1”，“creation_time”：1579753556257｝
```
复制credentials_id字段，以供以后使用。

步骤2:配置根存储

帐户中的根存储S3桶存储集群日志、笔记本修订和作业结果等对象。您还可以使用根存储S3桶来存储非生产数据，比如测试所需的数据。

请注意

您可以在一个帐户中与多个工作区共享根S3桶。您不必为每个工作区创建新的桶。如果一个帐户中的多个工作空间共用一个S3根桶，则S3根桶中的数据将按工作空间划分到不同的目录中。如果您已经有了一个桶和Account API生成的关联存储配置ID，则可以跳过此步骤。但是，不要重用遗留工作区中的桶。例如，如果要迁移到E2，则为E2设置创建一个新的AWS桶。

中的说明创建根S3桶配置AWS存储．

创建表示根S3桶的存储配置记录。方法指定根S3桶的名称创建存储配置API（帖子/账户/ <帐户id > /存储配置)．

请求返回一个表示S3桶的存储配置ID。

通过以下内容:

storage_configuration_name:新的唯一存储配置名称。
root_bucket_info对象的JSON对象bucket_name字段，包含您的S3桶名。

响应体包括storage_configuration_id属性，它是该桶的存储配置ID。复制该值以供以后使用。

例如:

               curl -X POST -n＼“https://accounts.cloud.www.neidfyre.com/api/2.0/accounts/ < databricks-account-id > /存储配置＼- d”{:“storage_configuration_name databricks-workspace-storageconf-v1”," root_bucket_info ": {:“bucket_name my-company-example-bucket”｝} '
              

回应:

               ｛“storage_configuration_id”：“< databricks-storage-config-id >”，“account_id”：“< databricks-account-id >”，“root_bucket_info”：｛“bucket_name”：“my-company-example-bucket”}，“storage_configuration_name”：“databricks-workspace-storageconf-v1”，“creation_time”：1579754875555｝
              

步骤3:配置PrivateLink(可选)

预览

此步骤仅当您想使用时才有必要AWS PrivateLink．

AWS PrivateLink提供从您的AWS VPC和内部网络到AWS服务的私有连接，而不会将流量暴露到公共网络。

E2版本平台上的Databricks工作区支持为两种连接类型添加PrivateLink连接:bob体育客户端下载

用户到工作区(前端)
数据平面到控制平面(后端)

对于新工作区的PrivateLink连接:

仔细阅读文章AWS PrivateLink并在继续之前确认先决条件。
1. 在AWS控制台中或使用自动化工具创建AWS VPC端点。看到步骤2:创建VPC端点．
2. 回顾使用Account API创建VPC端点注册、网络配置和私有访问设置对象的步骤。看到使用帐户API．
继续执行本文的下一步。如果需要实现任何类型的PrivateLink连接(包括前端连接)，则必须使用由客户管理的VPC。

步骤4:配置客户管理VPC(可选，如果使用PrivateLink则必须配置)

默认情况下，Databricks在您的AWS帐户中为每个工作空间创建一个VPC。Databricks使用它在工作空间中运行集群。您也可以使用该特性使用自己的VPC作为工作空间customer-managed VPC．Databricks建议您提供自己的VPC，以便您可以根据组织的企业云标准配置它，同时仍然符合Databricks的要求。不能将已有的工作空间迁移到自己的VPC中。

重要的

配置要使用的工作区启用AWS PrivateLink对于任何类型的连接(仅包括前端连接)，您的工作空间必须使用客户管理的VPC。

参考章节，设置VPC、子网和安全组Customer-managed VPC．为下一步复制每个对象的ID，在下一步中向Databricks注册它们，并获得一个网络ID来表示新网络。

重要的

您可以在一个帐户中与多个工作空间共享一个由客户管理的VPC。您不需要为每个工作空间创建新的VPC。然而,你不能将子网或安全组与任何其他资源一起重用，包括其他工作区或非databricks资源。如果您计划与多个工作区共享一个VPC，请确定相应的VPC大小和子网大小。由于Databricks网络ID封装了此信息，因此不能跨工作空间重用网络ID。
要向Databricks注册网络配置，请调用创建网络配置API（帖子/账户/ <帐户id > /网络)．
通过以下内容:
- network_name:新的唯一网络名称。
- vpc_id: VPC id。
- subnet_ids:子网id，数组形式。
- security_group_ids:安全组id，数组形式。
- vpc_endpoints:仅用于AWS PrivateLink．当部署后端(数据平面到控制平面)PrivateLink连接时，此节点必须具有两个属性，用于引用已注册的VPC端点注册。集rest_api到只包含工作区VPC端点注册的Databricks ID的数组。集dataplane_relay到仅包含用于安全集群连通性VPC端点注册的Databricks ID的数组。有关这些对象的详细信息，请参见启用AWS PrivateLink．这些id是在注册VPC端点时返回的步骤3a:注册VPC端点(前端、后端或两者)．
  - rest_api:将此设置为仅包含一个元素的JSON数组:为您注册的后端REST API VPC端点指定databicks -specific ID。这是Databricks VPC端点注册ID，不是AWS VPC端点ID。
    
    重要的
    
    在这个版本中，当您为任何工作区注册了一个前端连接或后端REST API连接的VPC端点服务后，Databricks将允许从该VPC端点到该AWS区域内Databricks帐户中所有启用privatelink的工作空间的前端(web应用程序和REST API)访问。
  - dataplane_relay:将此设置为仅包含一个元素的JSON数组:您注册的后端SCC VPC端点的特定于databicks的ID。这是Databricks VPC端点注册ID，不是AWS VPC端点ID。
  有关PrivateLink后端连接的网络配置的其他信息，请参见使用帐户API创建新的网络配置在PrivateLink文章中。
例如:
```
curl -X POST -n＼“https://accounts.cloud.www.neidfyre.com/api/2.0/accounts/ < databricks-account-id > /网络的＼- d”{:“network_name mycompany-vpc-example”,:“vpc_id < aws-vpc-id >”,“subnet_ids”:(“< aws-subnet-id-1 >”,“< aws-subnet-id-2 >”]，“security_group_ids”:(“< aws-security-group-id >”]，" vpc_endpoints ": {“dataplane_relay”:(“< databricks-vpce-id-for-scc >”]，“rest_api”:(“< databricks-vpce-id-for-rest-apis >”］｝} '
```

复制network_id以供以后使用。这是表示新工作区网络的网络ID。

示例响应:

               ｛“network_id”：“< databricks-network-id >”，“account_id”：“< databricks-account-id >”，“vpc_id”：“< aws-vpc-id >”，“subnet_ids”：［“< aws-subnet-id-1 >”，“< aws-subnet-id-2 >”]，“security_group_ids”：［“< aws-security-group-id >”]，“vpc_status”：“未婚”，“network_name”：“mycompany-vpc-example”，“creation_time”：1579767389544，“vpc_endpoints”：｛“dataplane_relay”：［“< databricks-vpce-id-for-scc >”]，“rest_api”：［“< databricks-vpce-id-for-rest-apis >”］｝｝
              

步骤5:配置客户管理的密钥(可选)

重要的

此功能要求您的帐户在Databricks平台E2版本bob体育客户端下载以及企业定价层。
工作区数据平面vpc可以位于AWS区域ap-northeast-1，ap-northeast-2，ap-south-1，ap-southeast-1，ap-southeast-2，ca-central-1，一来就，eu-west-2，eu-central-1，us-east-1，us-east-2，us-west-1,us-west-2．不能使用VPCus-west-1如果你想用的话customer-managed键为加密。

客户管理的加密密钥有两个用例:

加密托管服务，其中包括笔记本电脑和控制平面的机密数据。
加密工作空间存储，其中包括工作空间的根S3桶和可选的集群EBS卷。

您可以选择两者都配置，也可以选择其中之一或两者都配置。如果您选择为这两个用例实现加密，那么您可以为这些用例共享密钥，甚至共享相同的配置对象。

这两个用例在添加键的时候有重要的区别:

对于托管服务的客户管理密钥，您可以在创建工作区时配置它，添加密钥到正在运行的工作区，或者旋转(更新)键以后。
对于用于存储的客户管理密钥，您可以在工作空间创建期间或在工作空间创建期间对其进行配置将键添加到正在运行的工作区，但是你不能稍后旋转(更新)键。

您可以跨工作空间共享客户管理的密钥或其密钥配置对象。在创建新工作空间时，密钥配置可以通过设置其use_cases字段以包括两个枚举值。

请注意

若要向已使用笔记本加密的现有工作空间添加工作空间存储密钥，必须为工作空间存储创建一个新的密钥配置对象。看到用于工作空间存储的客户管理密钥．

要使用相同的密钥实现一个加密用例或两个加密用例，请只执行一次以下过程。要为使用不同密钥的两个加密用例添加加密，请执行两次该过程，每个用例一次。

创建AWS KMS密钥。遵循以下部分中的指示，这些部分仅在人类可读的描述字段(sid)，以识别用例。为创建密钥管理服务或工作区存储．要共享两个用例的密钥和配置，请更新sid相应的字段。
要向Databricks注册KMS密钥，请调用创建客户管理的密钥配置API（帖子/账户/ <帐户id > / customer-managed-keys)．
传递以下参数:
- use_cases—指定使用该键的用例的数组，指定以下一个或两个:
  - MANAGED_SERVICES:该密钥用于加密控制平面的管理业务，其中包括笔记本电脑和控制平面的机密数据。
  - 存储:该密钥用于加密工作区存储，其中包括工作区的DBFS根卷和集群EBS卷。
- aws_key_info:具有以下属性的JSON对象:
  - key_arn: AWS KMS密钥ARN。请注意，Databricks从关键ARN推断AWS区域。
  - key_alias：（可选AWS KMS密钥别名。
  - reuse_key_for_cluster_volumes：（可选)仅在use_cases数组中包含了存储，这指定是否也使用密钥加密集群EBS卷。默认值为真正的，这意味着Databricks也将该密钥用于集群卷。如果你把这个设为假， Databricks不会使用指定的密钥加密EBS卷。在这种情况下，您的Databricks EBS卷将使用默认的AWS SSE加密或启用加密默认情况下，AWS帐户级EBS加密， AWS使用您提供给它们的单独密钥强制执行帐户级EBS加密。注意，如果reuse_key_for_cluster_volumes是真正的当您撤销该密钥的权限时，它不会影响正在运行的集群，但会影响新的和重新启动的集群。
示例请求:
```
curl -X POST -n＼“https://accounts.cloud.www.neidfyre.com/api/2.0/accounts/ < databricks-account-id > / customer-managed-keys '＼- d”{"use_cases": ["MANAGED_SERVICES"， "STORAGE"]，" aws_key_info ": {:“key_arn攻击:aws:公里:us-west-2: < aws-account-id >:键/ <键id >”,:“key_alias my-example-key”,“reuse_key_for_cluster_volumes”:真的｝} '
```
示例响应:
```
｛“use_cases”：［“MANAGED_SERVICES”，“存储”]，“customer_managed_key_id”：“< aws-kms-key-id >”，“creation_time”：1586447506984，“account_id”：“< databricks-account-id >”，“aws_key_info”：｛“key_arn”：“攻击:aws:公里:us-west-2: < aws-account-id >:键/ <键id >”，“key_alias”：“my-example-key”，“reuse_key_for_cluster_volumes”：真正的，“key_region”：“us-west-2”｝｝
```
从响应JSON中复制customer_managed_key_id．在下一步中使用该ID来设置工作区配置对象的属性managed_services_customer_managed_key_id，storage_customer_managed_key_id，或者两者都有，具体取决于该对象表示的加密用例。

步骤6:创建工作空间

要创建新的工作空间，请调用创建工作区API（帖子/账户/ <帐户id > /工作区)．

请注意

安全的集群连接对于2020年9月1日之后使用Account API创建的所有工作区默认启用。定价层默认为与您的帐户相关联的计划。看到AWS定价．

传递以下参数，这些参数是您在前面步骤中复制的值:

aws_region:工作空间数据平面的AWS区域。
workspace_name:您的工作区的人类可读的名称。这是用户在Databricks UI中看到的工作区名称。
deployment_name:(推荐但可选)工作空间的唯一部署名称。详细信息请参见关于部署名称的注意事项．
credentials_id:您的凭据ID，它表示您的跨帐户角色凭据。这是凭据配置对象中的ID。
storage_configuration_id:您的存储配置ID，它表示您的根S3桶。这是存储配置对象的ID。
network_id：（可选)，仅用于由用户管理的VPC。这是来自网络配置对象的ID。
managed_services_customer_managed_key_id：（可选)只用于对控制平面的笔记本、保密数据等托管业务进行加密．这是工作区存储的关键配置ID，即customer_managed_key_id字段。如果希望支持此加密用例，则必须在工作区创建时对其进行配置。
storage_customer_managed_key_id：（可选)只用于加密工作空间存储．这是工作区存储的关键配置ID，即customer_managed_key_id字段从关键配置对象。如果您希望支持此加密用例，您可以在工作空间创建时配置它，但也可以稍后再添加到正在运行的工作区。
private_access_settings_id：（可选)只用于AWS PrivateLink．这是为该工作空间创建的私有访问设置对象的ID。看到使用帐户API创建私有访问设置配置在PrivateLink文章中。这是所有连接类型(前端、后端或两者)的PrivateLink访问所必需的字段。

部署名称注意事项:

选择你的deployment_name仔细地价值。部署名称为工作空间定义子域的一部分。web应用程序和REST api的工作区URL为< deployment-name > .cloud.www.neidfyre.com．例如，部署名称为ABCSales，您的工作区URL将为https://abcsales.cloud.www.neidfyre.com．此属性支持字符a-z和0-9。也可以使用连字符，但不能作为第一个或最后一个字符。
帐户可以有一个部署名称前缀。与Databricks代表联系，为帐户添加帐户部署名称前缀。如果帐户在工作空间创建时具有非空的部署名称前缀，则会更新工作空间部署名称，使其以帐户前缀和连字符开头。例如，如果帐户的部署前缀为acme工作区部署名称为工作空间1,deployment_name场就acme-workspace-1．在本例中，工作区URL为acme -工作区- 1. - cloud.www.neidfyre.com．
在对帐户前缀进行了修改之后，新值就是该工作区的JSON响应中返回的值deployment_name字段。
如果您的帐户具有非空的部署名称前缀，并且您设置了deployment_name到保留关键字空，deployment_name仅为帐户前缀。例如，如果帐户的部署前缀为acme工作区部署名称为空，deployment_name就变成了acme，工作区URL为acme.cloud.www.neidfyre.com．如果帐户还没有部署名称前缀，则使用特殊的部署名称值空是无效的。

JSON响应包含该属性workspace_id．复制此值以供以后使用。

例如:

             curl -X POST -n＼“https://accounts.cloud.www.neidfyre.com/api/2.0/accounts/ < databricks-account-id > /工作区”＼- d”{:“workspace_name my-company-example”,:“deployment_name my-company-example”,:“aws_region us-west-2”,:“credentials_id < aws-credentials-id >”,:“storage_configuration_id < databricks-storage-config-id >”,:“network_id < databricks-network-id >”,:“managed_services_customer_managed_key_id < aws-kms-managed-services-key-id >”,:“storage_customer_managed_key_id < aws-kms-notebook-workspace-storage-id >”,:“private_access_settings_id < private-access-settings-id >”} '
            

示例响应:

             ｛“workspace_id”：123456789，“workspace_name”：“my-company-example”，“aws_region”：“us-west-2”，“creation_time”：1579768294842，“deployment_name”：“my-company-example”，“workspace_status”：“配置”，“account_id”：“< databricks-account-id >”，“credentials_id”：“< aws-credentials-id >”，“storage_configuration_id”：“< databricks-storage-config-id >”，“workspace_status_message”：“正在设置工作空间资源。”，“network_id”：“< databricks-network-id >”，“managed_services_customer_managed_key_id”：“< aws-kms-managed-services-key-id >”，“storage_customer_managed_key_id”：“< aws-kms-notebook-workspace-storage-id >”，“private_access_settings_id”：“< private-access-settings-id >”，“pricing_tier”：“企业”｝
            

如果指定了客户管理的VPC，并且工作空间创建步骤返回与网络相关的错误，则可以调用获取网络配置API(端点/网络/ <网络id >)以验证网络设置。看到对部署失败的工作区进行故障排除．

步骤7:确认新的工作空间

要检查工作空间状态，请调用获取工作区API（得到/账户/ <帐户id > /工作区/ < workspace-id >)．

使用workspace_id创建工作区时返回的JSON响应的值。

在回应中，可能workspace_status值:

NOT_PROVISIONED:尚未供应。
供应:仍然提供。等待几分钟并重复此API请求。
运行:部署成功，现在正在运行。
失败的:部署失败。
禁止:禁止。
取消:正在取消中。

看到对部署失败的工作区进行故障排除有关如何处理不成功的状态值。

例如:

             curl -X GET -n＼“https://accounts.cloud.www.neidfyre.com/api/2.0/accounts/ < databricks-account-id > /工作区/ < databricks-workspace-id >”
            

回应:

             ｛“workspace_id”：123456789，“workspace_name”：“my-company-example”，“aws_region”：“us-west-2”，“creation_time”：1579768294842，“deployment_name”：“my-company-example”，“workspace_status”：“运行”，“account_id”：“< databricks-account-id >”，“credentials_id”：“< aws-credentials-id >”，“storage_configuration_id”：“< databricks-storage-config-id >”，“workspace_status_message”：“工作区正在运行。”，“network_id”：“339 f16b9-b8a3-4d50-9d1b-7e29e49448c3”，“managed_services_customer_managed_key_id”：“< aws-kms-managed-services-key-id >”，“storage_customer_managed_key_id”：“< aws-kms-notebook-workspace-storage-id >”，“pricing_tier”：“企业”｝
            

在本例中，工作区状态(workspace_status)设置为运行，所以很成功。如果是的话供应，重复此API请求，直到成功。

定价层默认为与您的帐户相关联的计划。看到AWS定价．

在新工作空间的状态为之后测试它运行：

在新的工作空间上登录用户界面—确认可以通过URL登录web应用https:// < deployment-name > .cloud.www.neidfyre.com．例如，如果在工作空间创建期间指定的部署名称为ABCSales，您的工作区URL为https://abcsales.cloud.www.neidfyre.com．使用您的帐户用户名和密码。
在新工作空间上登录REST API—确认可以访问REST接口。下面的示例使用SCIM API获取用户列表。curl工具将提示您输入密码。
```
curl -u  -X GET“https://oregon.cloud.www.neidfyre.com/api/2.0/preview/scim/v2/Users”
```
有关使用Databricks REST api(包括其他身份验证选项)的详细信息，请参见REST API(最新)

步骤8:部署后的PrivateLink配置(可选)

预览

只有在进行配置时，才需要执行此步骤AWS PrivateLink．

在创建工作区之后:

如果你要实现一个前端PrivateLink连接，实现相关的DNS配置更改步骤4:配置内部DNS，将用户请求重定向到web应用程序(用于前端)．
可选地创建其他VPC端点，如步骤5:为其他AWS业务添加VPC端点(推荐，可选)．

步骤9:其他可选的部署后配置

您可能希望为您的新工作区考虑以下可选配置步骤。

启用IP访问列表

配置哪些IP地址可以连接到web应用程序、REST api、JDBC/ODBC端点和DBConnect。您可以指定允许列表和阻止列表作为IP地址或范围。看到IP访问列表．

开启审计日志

Databricks强烈建议您配置审计日志记录，以监视Databricks用户执行的活动和使用情况。必须与Databricks代表联系，以便为新工作空间启用审计日志。看到配置审计日志记录的指令。

对部署失败的工作区进行故障排除

已达到地址的最大数目

当Databricks为您创建VPC时，您必须至少有一个未使用的弹性IP。否则，VPC未创建成功，提示如下错误:

已达到地址的最大数目。

请增加弹性ip数量后重试。

一般故障处理步骤

对于所有工作区创建错误，请按照提供的顺序尝试以下故障排除步骤。

验证网络

如果工作区创建或状态检查步骤指示了与网络相关的错误，则调用获取网络配置API确保网络设置正确。这个API端点的形式是:

/账户/ < databricks-account-id > /网络/ < databricks-network-id >

例如:

              curl -X GET -n＼“https://accounts.cloud.www.neidfyre.com/api/2.0/accounts/ < databricks-account-id > /网络/ < databricks-network-id >”
             

在响应中查看warning_messageserror_message字段。如果两个数组都为空，则没有警告或错误。

否则，请仔细查看警告和错误JSON对象:

有关警告，请参阅warning_type枚举表示问题出在子网或安全组上。的warning_message提供其他详细信息。请注意，如果您有防火墙或NAT实例(而不是NAT网关)，网络验证总是发出警告。
对于错误，error_type枚举表示问题与凭据、VPC、子网、安全组或网络ACL有关。的error_message提供其他详细信息。

修复基础设施问题

的响应中的错误获取网络配置APIAPI请求，确认:

您的安全组符合客户管理的VPC需求．
您的跨帐户IAM策略包括所需的权限。看到创建跨帐号IAM角色用于用于您的部署类型的策略。
您的Databricks帐户已被Databricks启用，可用于多个工作区和您正在使用的任何其他功能(客户管理的VPC、客户管理的笔记本、安全集群连接)。请联系您的Databricks代表确认。

更新失败的工作区

要更新失败的工作区，请调用更新工作空间并重新部署API（补丁/账户/ <帐户id > /工作区/ < workspace-id >)．

更新工作空间API支持在工作空间创建过程中失败的工作空间配置更新，仅用于更改凭证、存储、网络(用于客户管理的VPC)和密钥(用于加密笔记本)的配置。

请注意

您可以使用相同的API来更新正在运行(已成功部署)的工作空间，但您只能更改凭据和网络配置。

您可以传递这些工作区配置字段来更改它们:credentials_id，storage_configuration_id，network_id，managed_services_customer_managed_key_id,storage_customer_managed_key_id．

如果workspace_status价值的回报供应，继续检查运行使用获取工作区API．

例如:

              curl -X PATCH -n＼“https://accounts.cloud.www.neidfyre.com/api/2.0/accounts/ < databricks-account-id > /工作区/ < databricks-workspace-id >”＼- d”{:“aws_region us-west-2”,:“credentials_id < aws-credentials-id >”,:“storage_configuration_id < databricks-storage-config-id >”,:“network_id < databricks-network-id >”,:“managed_services_customer_managed_key_id < aws-kms-managed-services-key-id >”,:“storage_customer_managed_key_id < aws-kms-notebook-workspace-storage-id >”} '
             

回应:

              ｛“workspace_id”：123456789，“workspace_name”：“my-company-example”，“aws_region”：“us-west-2”，“creation_time”：1579768294842，“deployment_name”：“my-company-example”，“workspace_status”：“配置”，“account_id”：“< databricks-account-id >”，“credentials_id”：“< aws-credentials-id >”，“storage_configuration_id”：“< databricks-storage-config-id >”，“workspace_status_message”：“正在设置工作空间资源。”，“network_id”：“< databricks-network-id >”，“managed_services_customer_managed_key_id”：“< aws-kms-managed-services-key-id >”，“storage_customer_managed_key_id”：“< aws-kms-notebook-workspace-storage-id >”，“pricing_tier”：“企业”｝
             

如果工作区更新失败，请重新创建网络和工作区

如果更新工作空间API不起作用，您必须按照以下顺序删除并重新创建网络(如果您提供了自己的VPC)和失败的工作空间。

方法删除工作区删除工作区API（删除/账户/ <帐户id > /工作区/ < workspace-id >)．

例如:

                curl -X DELETE -n＼“https://accounts.cloud.www.neidfyre.com/api/2.0/accounts/ < databricks-account-id > /工作区/ < databricks-workspace-id >”＼
               

如果您提供了自己的VPC，删除“Databricks”网络配置删除网络配置API（删除/账户/ <帐户id > /网络/ <网络id >)．
例如:
```
curl -X DELETE -n＼“https://accounts.cloud.www.neidfyre.com/api/2.0/accounts/ < databricks-account-id > /网络/ < databricks-network-id >”
```
重新创建网络使用正确的值vpc_id，subnet_ids而且security_group_ids．
重新创建工作区使用正确的值credentials_id，storage_configuration_id，network_id，managed_services_customer_managed_key_id,storage_customer_managed_key_id．
如果你得到workspace_status价值供应，继续检查运行使用获取工作区API．