Поделиться через


Сервисные принципы

На этой странице представлен обзор служебных принципалов в Azure Databricks. Сведения об управлении субъектами-службами см. в разделе "Управление субъектами-службами".

Что такое субъект-служба?

Служебный принципал — это специализированный идентификатор в Azure Databricks, предназначенный для автоматизации и программного доступа. Сервисные учетные записи предоставляют автоматизированным инструментам и сценариям доступ только к API ресурсов Azure Databricks, обеспечивая более высокую безопасность по сравнению с использованием учетных записей пользователей.

Вы можете предоставить и ограничить доступ субъекта-службы к ресурсам таким же образом, как и пользователь Azure Databricks. Например, доступны следующие возможности:

  • Предоставьте сервисному принципалу роль администратора учетной записи или роль администратора рабочей области.
  • Предоставьте субъекту-службе доступ к данным с помощью каталога Unity.
  • Добавьте сервисный субъект в группу как участника.

Вы можете предоставить пользователям Azure Databricks, субъектам-службам и группам разрешения на использование субъекта-службы. Это позволяет пользователям выполнять задания от имени служебного аккаунта, а не используя личную учетную запись, во избежание сбоя выполнения заданий, если пользователь покидает вашу организацию или изменяется группа.

Преимущества использования сервисных принципалов:

  • Безопасность и стабильность: Автоматизация заданий и рабочих процессов без использования отдельных учетных данных пользователя для снижения рисков, связанных с изменениями или отъездами учетной записи пользователя.
  • Гибкие разрешения: Предоставьте пользователям, группам или другим главам службы возможность делегировать разрешения главе службы, что позволяет выполнять задания от их имени.
  • удостоверениеAPI-Only: В отличие от обычных пользователей Databricks, сервисные учетные записи предназначены исключительно для доступа к API и не могут войти в интерфейс Databricks.

Databricks и служебные принципы Microsoft Entra ID

Субъекты-службы могут быть управляемыми субъектами-службами Azure Databricks или управляемыми субъектами-службами идентификатора Microsoft Entra.

Управляемые доверенные службы Azure Databricks могут проверять подлинность в системе Azure Databricks с помощью проверки подлинности OAuth Databricks и персональных токенов доступа. Управляемые принципалы службы Microsoft Entra ID могут аутентифицироваться в Azure Databricks с использованием аутентификации Databricks OAuth и токенов Microsoft Entra ID. Дополнительные сведения о проверке подлинности для субъектов-служб см. в разделе "Управление маркерами" для субъекта-службы.

Управляемые учетные записи службы Azure Databricks управляются непосредственно в Azure Databricks. Управляемые объекты службы Microsoft Entra ID управляются в Microsoft Entra ID, для чего требуются дополнительные разрешения. Databricks рекомендует использовать управляемые субъекты-службы Azure Databricks для автоматизации Azure Databricks и использовать управляемые субъекты-службы Microsoft Entra ID в случаях, когда необходимо выполнить проверку подлинности с помощью Azure Databricks и других ресурсов Azure одновременно.

Чтобы создать управляемый объект службы Azure Databricks, пропустите этот раздел и продолжайте чтение в разделе Кто может управлять и использовать объекты службы?.

Чтобы использовать управляемые сервисные субъекты Microsoft Entra ID в Azure Databricks, пользователь-администратор должен создать приложение Microsoft Entra в Azure. Чтобы создать управляемый объект-службы Microsoft Entra ID, ознакомьтесь с аутентификацией объекта-службы MS Entra.

Кто может управлять и использовать учетные записи службы?

Чтобы управлять субъектами-службами в Azure Databricks, необходимо иметь одну из следующих: роль администратора учетной записи, роль администратора рабочей области или роль руководителя или пользователя в субъекте-службе.

  • Администраторы учетных записей могут добавлять субъекты-службы в учетную запись и назначать им роли администратора. Они также могут назначать служебные учетные данные рабочим пространствам, если эти пространства используют федерацию удостоверений.
  • Администраторы рабочей области могут добавлять субъектов-служб в рабочую область Azure Databricks, назначать им роль администратора рабочей области и управлять доступом к объектам и функциям в рабочей области, таким как возможность создавать кластеры или получать доступ к указанным средам на основе пользователя.
  • Менеджеры служебных принципалов могут управлять ролями в служебном принципале. Создатель учетной записи службы становится ее администратором. Администраторы учетных записей являются менеджерами принципалов служб для всех принципалов служб в учетной записи.
  • Пользователи служебного принципала могут выполнять задания от имени служебного принципала. Задание выполняется с использованием учетной записи службы, вместо учетных данных владельца задания. Дополнительные сведения см. в разделе "Управление удостоверениями, разрешениями и привилегиями" для заданий Lakeflow.

Пользователи с ролью менеджера служебных сущностей не наследуют роль пользователя служебной сущности. Если вы хотите использовать субъект-службу для выполнения заданий, необходимо явно назначить себе роль пользователя субъекта-службы даже после создания субъекта-службы.

Сведения о том, как предоставить роли администратора и пользователя для управляющего субъекта-службы, см. в разделе Роли для управления субъектами-службами.

Синхронизация субъектов-служб с учетной записью Azure Databricks из клиента Идентификатора Microsoft Entra

Вы можете автоматически синхронизировать принципы служб Microsoft Entra ID из клиента Microsoft Entra ID с вашей учетной записью Azure Databricks, используя автоматизированное управление идентификацией (общедоступная предварительная версия). Databricks использует идентификатор Microsoft Entra в качестве источника, поэтому в Azure Databricks учитывается любое изменение членства пользователей или групп. Инструкции см. в Синхронизация пользователей и групп автоматически из Microsoft Entra ID.

Подготовка SCIM не поддерживает синхронизацию принципалов службы.