Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Служебный принципал — это специализированный идентификатор в Azure Databricks, предназначенный для автоматизации и программного доступа. Служебные учетные записи обеспечивают безопасный доступ через API к ресурсам Azure Databricks для автоматизированных инструментов, сценариев и платформ CI/CD без использования индивидуальных учетных данных пользователя.
Сведения об управлении субъектами-службами см. в разделе "Управление субъектами-службами".
Замечание
На этой странице предполагается, что в рабочей области включена федерация удостоверений. Это настройка по умолчанию для большинства рабочих областей. Сведения об устаревших рабочих областях без федерации удостоверений см. в статье Устаревшие рабочие области без федерации удостоверений.
Что такое субъект-служба?
Служебные принципалы предоставляют автоматическим средствам и скриптам доступ исключительно к API ресурсов Azure Databricks, обеспечивая большую безопасность по сравнению с использованием учетных записей пользователей. Вы можете предоставить и ограничить доступ субъекта-службы к ресурсам таким же образом, как и пользователь Azure Databricks. Например, можно предоставить субъекту-службе роль администратора учетной записи или администратора рабочей области, предоставить доступ к данным с помощью каталога Unity или добавить субъект-службу в группу.
Вы можете предоставить пользователям Azure Databricks, субъектам-службам и группам разрешения на использование субъекта-службы. Это позволяет пользователям выполнять задания от имени служебного аккаунта, а не используя личную учетную запись, во избежание сбоя выполнения заданий, если пользователь покидает вашу организацию или изменяется группа.
Databricks и служебные принципы Microsoft Entra ID
Субъекты-службы могут быть управляемыми субъектами-службами Azure Databricks или управляемыми субъектами-службами идентификатора Microsoft Entra.
Управляемые доверенные службы Azure Databricks могут проверять подлинность в системе Azure Databricks с помощью проверки подлинности OAuth Databricks и персональных токенов доступа. Управляемые принципалы службы Microsoft Entra ID могут аутентифицироваться в Azure Databricks с использованием аутентификации Databricks OAuth и токенов Microsoft Entra ID. Дополнительные сведения о проверке подлинности для субъектов-служб см. в разделе "Управление маркерами" для субъекта-службы.
Управляемые учетные записи службы Azure Databricks управляются непосредственно в Azure Databricks. Управляемые объекты службы Microsoft Entra ID управляются в Microsoft Entra ID, для чего требуются дополнительные разрешения. Databricks рекомендует использовать управляемые субъекты-службы Azure Databricks для автоматизации Azure Databricks и использовать управляемые субъекты-службы Microsoft Entra ID в случаях, когда необходимо выполнить проверку подлинности с помощью Azure Databricks и других ресурсов Azure одновременно.
Чтобы создать управляемый объект службы Azure Databricks, пропустите этот раздел и продолжайте чтение в разделе Кто может управлять и использовать объекты службы?.
Чтобы использовать управляемые сервисные субъекты Microsoft Entra ID в Azure Databricks, пользователь-администратор должен создать приложение Microsoft Entra в Azure. Сведения о создании управляемого субъекта-службы идентификатора Microsoft Entra см. в статье "Проверка подлинности с помощью субъектов-служб Microsoft Entra".
Распространенные варианты использования
Субъекты-службы идеально подходят для сценариев автоматизации, таких как следующие, где требуется безопасный, надежный программный доступ к ресурсам Databricks:
| Сценарий использования | Example |
|---|---|
| Конвейеры CI/CD | Разворачивайте записные книжки, библиотеки и конфигурации автоматически в процессах непрерывной интеграции и развертывания. |
| Запланированные задания | Запуск конвейеров ETL, заданий обработки данных и автоматических отчетов по расписанию без учета отдельных учетных записей пользователей. |
| Интеграция между системами | Подключите внешние приложения и службы к Databricks для приема данных, преобразования или аналитики. |
| Автоматическое тестирование | Выполнение тестов интеграции и проверка конвейеров данных в рамках платформы тестирования. |
| Инфраструктура как код | Подготовка ресурсов Databricks и управление ими с помощью таких средств, как Terraform, шаблоны ARM или декларативные пакеты автоматизации. |
Кто может управлять и использовать учетные записи службы?
Чтобы управлять субъектами-службами в Azure Databricks, необходимо иметь одну из следующих ролей:
| Role | Capabilities |
|---|---|
| Администраторы учетных записей |
|
| Администраторы рабочей области |
|
| Менеджеры сервисных принципалов |
|
| Пользователи служебного принципала |
|
Замечание
- Создатель учетной записи службы автоматически становится менеджером учетной записи службы.
- Пользователи с ролью менеджера учетных записей служб не наследуют роль пользователя учетной записи службы. Если вы хотите использовать субъект-службу для выполнения заданий, необходимо явно назначить себе роль пользователя субъекта-службы даже после создания субъекта-службы.
-
RestrictWorkspaceAdminsЕсли для параметра заданоALLOW ALLзначение, администраторы рабочей области могут создавать маркеры от имени любого субъекта-службы в рабочей области. См. раздел «Ограничение администраторов рабочей области».
Сведения о том, как предоставить роли администратора и пользователя для управляющего субъекта-службы, см. в разделе Роли для управления субъектами-службами.
Синхронизация субъектов-служб с учетной записью Azure Databricks из клиента Идентификатора Microsoft Entra
Учетные записи службы Microsoft Entra ID можно синхронизировать автоматически из арендатора Microsoft Entra ID с вашей учетной записью Azure Databricks с помощью автоматического управления идентификацией. Databricks использует идентификатор Microsoft Entra в качестве источника, поэтому в Azure Databricks учитывается любое изменение членства пользователей или групп. Автоматическое управление удостоверениями по умолчанию включено для учетных записей, созданных после 1 августа 2025 г. Посмотрите автоматическую синхронизацию пользователей и групп из Microsoft Entra ID.
Подготовка SCIM не поддерживает синхронизацию принципалов службы.
Субъекты-службы систем и приложений
Субъекты-службы системы и приложений — это субъекты-службы, управляемые Azure Databricks, которые представляют внутренние службы Azure Databricks. В отличие от служебных принципалов, которые вы создаете и управляете, системные служебные принципалы создаются и управляются Azure Databricks автоматически. Жизненный цикл связан с ресурсом Azure Databricks, например учетной записью или хранилищем метаданных, и они не требуют управления администраторами.
Субъекты-службы систем и приложений могут использоваться косвенно с помощью функций платформы Azure Databricks, таких как прогнозная оптимизация и запланированное обновление панели мониторинга. Невозможно создать, изменить или имитировать учетную запись службы системы или приложения.
В системных журналах могут отображаться системные принципы и принципы служб приложений в те моменты, когда Azure Databricks выполняет фоновые операции.
Дополнительные ресурсы
- Управление служебными учётными записями — создание и управление служебными учётными записями
- Управление доступом субъекта-службы — предоставление ролей руководителей и пользователей
- Привилегии задания — выполнение заданий в качестве субъекта-службы
- Аутентификация для автоматизации Databricks — методы аутентификации для служебных учётных записей
- Управление удостоверениями — обзор управления удостоверениями в Databricks
- Учетные записи-службы Azure — создание учетных записей-службы Microsoft Entra ID
- Автоматическое управление удостоверениями — синхронизация субъектов-служб из Microsoft Entra ID