Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
На этой странице представлен обзор служебных принципалов в Azure Databricks. Сведения об управлении субъектами-службами см. в разделе "Управление субъектами-службами".
Что такое субъект-служба?
Служебный принципал — это специализированный идентификатор в Azure Databricks, предназначенный для автоматизации и программного доступа. Сервисные учетные записи предоставляют автоматизированным инструментам и сценариям доступ только к API ресурсов Azure Databricks, обеспечивая более высокую безопасность по сравнению с использованием учетных записей пользователей.
Вы можете предоставить и ограничить доступ субъекта-службы к ресурсам таким же образом, как и пользователь Azure Databricks. Например, доступны следующие возможности:
- Предоставьте сервисному принципалу роль администратора учетной записи или роль администратора рабочей области.
- Предоставьте субъекту-службе доступ к данным с помощью каталога Unity.
- Добавьте сервисный субъект в группу как участника.
Вы можете предоставить пользователям Azure Databricks, субъектам-службам и группам разрешения на использование субъекта-службы. Это позволяет пользователям выполнять задания от имени служебного аккаунта, а не используя личную учетную запись, во избежание сбоя выполнения заданий, если пользователь покидает вашу организацию или изменяется группа.
Преимущества использования сервисных принципалов:
- Безопасность и стабильность: Автоматизация заданий и рабочих процессов без использования отдельных учетных данных пользователя для снижения рисков, связанных с изменениями или отъездами учетной записи пользователя.
- Гибкие разрешения: Предоставьте пользователям, группам или другим главам службы возможность делегировать разрешения главе службы, что позволяет выполнять задания от их имени.
- удостоверениеAPI-Only: В отличие от обычных пользователей Databricks, сервисные учетные записи предназначены исключительно для доступа к API и не могут войти в интерфейс Databricks.
Databricks и служебные принципы Microsoft Entra ID
Субъекты-службы могут быть управляемыми субъектами-службами Azure Databricks или управляемыми субъектами-службами идентификатора Microsoft Entra.
Управляемые доверенные службы Azure Databricks могут проверять подлинность в системе Azure Databricks с помощью проверки подлинности OAuth Databricks и персональных токенов доступа. Управляемые принципалы службы Microsoft Entra ID могут аутентифицироваться в Azure Databricks с использованием аутентификации Databricks OAuth и токенов Microsoft Entra ID. Дополнительные сведения о проверке подлинности для субъектов-служб см. в разделе "Управление маркерами" для субъекта-службы.
Управляемые учетные записи службы Azure Databricks управляются непосредственно в Azure Databricks. Управляемые объекты службы Microsoft Entra ID управляются в Microsoft Entra ID, для чего требуются дополнительные разрешения. Databricks рекомендует использовать управляемые субъекты-службы Azure Databricks для автоматизации Azure Databricks и использовать управляемые субъекты-службы Microsoft Entra ID в случаях, когда необходимо выполнить проверку подлинности с помощью Azure Databricks и других ресурсов Azure одновременно.
Чтобы создать управляемый объект службы Azure Databricks, пропустите этот раздел и продолжайте чтение в разделе Кто может управлять и использовать объекты службы?.
Чтобы использовать управляемые сервисные субъекты Microsoft Entra ID в Azure Databricks, пользователь-администратор должен создать приложение Microsoft Entra в Azure. Чтобы создать управляемый объект-службы Microsoft Entra ID, ознакомьтесь с аутентификацией объекта-службы MS Entra.
Кто может управлять и использовать учетные записи службы?
Чтобы управлять субъектами-службами в Azure Databricks, необходимо иметь одну из следующих: роль администратора учетной записи, роль администратора рабочей области или роль руководителя или пользователя в субъекте-службе.
- Администраторы учетных записей могут добавлять субъекты-службы в учетную запись и назначать им роли администратора. Они также могут назначать служебные учетные данные рабочим пространствам, если эти пространства используют федерацию удостоверений.
- Администраторы рабочей области могут добавлять субъектов-служб в рабочую область Azure Databricks, назначать им роль администратора рабочей области и управлять доступом к объектам и функциям в рабочей области, таким как возможность создавать кластеры или получать доступ к указанным средам на основе пользователя.
- Менеджеры служебных принципалов могут управлять ролями в служебном принципале. Создатель учетной записи службы становится ее администратором. Администраторы учетных записей являются менеджерами принципалов служб для всех принципалов служб в учетной записи.
- Пользователи служебного принципала могут выполнять задания от имени служебного принципала. Задание выполняется с использованием учетной записи службы, вместо учетных данных владельца задания. Дополнительные сведения см. в разделе "Управление удостоверениями, разрешениями и привилегиями" для заданий Lakeflow.
Пользователи с ролью менеджера служебных сущностей не наследуют роль пользователя служебной сущности. Если вы хотите использовать субъект-службу для выполнения заданий, необходимо явно назначить себе роль пользователя субъекта-службы даже после создания субъекта-службы.
Сведения о том, как предоставить роли администратора и пользователя для управляющего субъекта-службы, см. в разделе Роли для управления субъектами-службами.
Синхронизация субъектов-служб с учетной записью Azure Databricks из клиента Идентификатора Microsoft Entra
Вы можете автоматически синхронизировать принципы служб Microsoft Entra ID из клиента Microsoft Entra ID с вашей учетной записью Azure Databricks, используя автоматизированное управление идентификацией (общедоступная предварительная версия). Databricks использует идентификатор Microsoft Entra в качестве источника, поэтому в Azure Databricks учитывается любое изменение членства пользователей или групп. Инструкции см. в Синхронизация пользователей и групп автоматически из Microsoft Entra ID.
Подготовка SCIM не поддерживает синхронизацию принципалов службы.