用於管理服務主體的角色
預覽
這個特性是在公共預覽。
本文描述了如何管理角色在你的磚賬戶服務主體。
創建的服務主體是一個身份在磚使用自動化工具,工作,和應用程序。服務主體提供自動化工具和腳本簡化純api訪問數據磚資源,提供更大的安全比使用用戶或組。
能給予磚用戶、服務主體和帳戶組訪問使用一個服務主體。這允許用戶運行工作為服務主體,而不是自己的身份。這可以防止工作失敗如果用戶離開你的組織或一組修改。
為服務主體的概述管理服務主體。
服務主體的角色
服務主體角色戶頭級別的角色。這意味著他們隻需要定義一次,您的帳戶,並應用在所有工作區。有兩個角色,你可以在一個服務主體授予:服務主體的經理和服務主體的用戶。
服務主體的經理允許您管理服務主體的角色。服務主體的創建者成為服務主體的經理。賬戶管理員也在服務主體經理一個帳戶中的所有服務主體。
請注意
如果創建一個服務主體在6月13日之前,2023年,服務主體的創建者沒有默認服務主體經理角色。如果你需要一個經理,問一個帳戶管理員授予你服務主體管理器的角色。
服務主體的用戶允許您運行作業服務主體。作業將運行與服務主體的身份,而不是工作的主人的身份。有關更多信息,請參見運行一個服務主體的工作。
請注意
服務主體管理者不繼承服務主體用戶角色。如果你想使用服務主體執行工作,你需要顯式地指定服務主體的用戶角色,甚至在創建服務主體。
使用帳戶控製台管理服務主體角色
賬戶管理員可以使用賬戶管理服務主體角色控製台。
查看服務主體的角色
作為一個賬戶管理,登錄到賬戶控製台。
在側邊欄中,單擊用戶管理。
在服務主體選項卡,找到並單擊這個名字。
單擊權限選項卡。
你可以看到的主體和服務主體的角色,他們被授予。還可以使用搜索欄搜索特定的主體或角色。
格蘭特在服務主體的角色
作為一個賬戶管理,登錄到賬戶控製台。
在側邊欄中,單擊用戶管理。
在服務主體選項卡,找到並單擊這個名字。
單擊權限選項卡。
點擊授權訪問。
搜索並選擇用戶、服務主體或組,選擇角色或角色(服務主體:經理或服務主體:用戶)分配。
請注意
服務主體管理者不繼承服務主體用戶角色。如果您希望用戶使用服務主體執行工作,你將需要顯式地指定服務主體的用戶角色。
點擊保存。
撤銷服務主體的角色
作為一個賬戶管理,登錄到賬戶控製台。
在側邊欄中,單擊用戶管理。
在服務主體選項卡,找到並單擊這個名字。
單擊權限選項卡。
搜索用戶、服務主體或組來編輯他們的角色。
在主要的行,點擊菜單烤肉串然後選擇編輯。另外,選擇刪除撤銷所有的主要角色。
點擊編輯。
單擊X旁邊的角色你想撤銷。
點擊保存。
管理服務主體角色使用工作區管理設置頁麵
工作區管理員可以管理服務主體為服務主體的角色,他們有服務主體的經理使用管理設置頁麵上的作用。
查看服務主體的角色
工作區管理,登錄到磚工作區。
點擊你的用戶名在酒吧的磚工作區並選擇管理設置。
在服務主體選項卡,找到並單擊這個名字。
單擊權限選項卡。
你可以看到的主體和服務主體的角色,他們被授予。還可以使用搜索欄搜索特定的主體或角色。
使用API管理服務主體角色
你可以使用管理服務主體角色賬戶訪問控製API。賬戶訪問控製API支持通過磚賬戶和工作區。
賬戶管理員調用API在accounts.gcp.cloud.m.eheci.com ({帳戶域}/ api / 2.0 /預覽/賬戶/ {account_id} /訪問控製
)。
服務主體管理者沒有帳戶管理員調用API在空間域({workspace-domain} / api / 2.0 /預覽/賬戶/訪問控製
)。
如何驗證賬戶信息訪問控製API,明白了身份驗證數據磚自動化。
完整的REST API參考,請參閱賬戶訪問控製的API。
格蘭特的角色在一個服務主體使用API
使用一個賬戶訪問控製的APIetag
場,以確保一致性。授予或撤銷服務主體角色通過API,第一期得到
規則集命令和接收一個etag
作為回應。然後,您可以在本地應用的變化,最後發出把
規則集的etag
。
例如,一個問題得到
規則集你想授權訪問的服務主體通過運行下麵的命令:
curl - x - h得到“application / json內容類型:\“https://{帳戶域}/ api / 2.0 /預覽/賬戶/ <帳戶id > /訪問控製規則集”\- d”{“名稱”:“賬戶/ <帳戶id > / servicePrincipals / <應用程序id > /規則集/默認”,“etag”:“}'
替換:
{帳戶域}
與accounts.gcp.cloud.m.eheci.com<帳戶id >
帳戶ID。<應用程序id >
與服務主要應用程序ID。
示例響應:
{“名稱”:“賬戶/ <帳戶id > / servicePrincipals / <應用程序id > /規則集/違約”,“描述”:”“,“etag”:“< etag >”}
複製etag
從響應的身體供以後使用。
然後,您可以在本地進行更新,當你決定規則的最終狀態,然後更新規則集使用etag。授予的服務主體:用戶用戶角色user@example.com
運行以下:
curl - x將- h“application / json內容類型:\“https://{帳戶域}/ api / 2.0 /預覽/賬戶/ <帳戶id > /訪問控製規則集”\- d”{“名稱”:“賬戶/ <帳戶id > / servicePrincipals / <應用程序id > /規則集/默認”," rule_set ": {“名稱”:“賬戶/ <帳戶id > / servicePrincipals / <應用程序id > /規則集/默認”,“grant_rules”:({“角色”:“角色/ servicePrincipal.user”,“校長”:(“用戶/ user@example.com”)}),:“etag < etag >”}}'
替換:
{帳戶域}
與accounts.gcp.cloud.m.eheci.com<帳戶id >
帳戶ID。<應用程序id >
與服務主要應用程序ID。< etag >
你抄襲最後的etag的回應。
示例響應:
{“名稱”:“賬戶/ <帳戶id > / servicePrincipals / <應用程序id > /規則集/違約”,“描述”:”“,“grant_rules”:({“校長”:(“用戶/ user@example.com”],“角色”:“角色/ servicePrincipal.user”}],“etag”:“< new-etag >”}
重要的
因為這是一個把
方法,覆蓋所有現有的角色。任何現有的角色,你必須將它們添加到grant_roles
數組中。
列出可以使用的服務主體
使用工作空間層SCIM (ServicePrincipals) API,您可以列出的服務主體通過過濾用戶角色servicePrincipal /使用
。
列出你的服務主體服務主體的用戶作用,運行以下命令:
curl——netrc - x\“https:// < databricks-instance > / api / 2.0 /預覽/ scim / v2 / ServicePrincipals ?過濾器=許可+ eq +“servicePrincipal /使用”\|金橋。
替換:
< databricks-instance >
你的域名磚部署。
有關更多信息,請參見服務主體(SCIM) API。