Permissões necessárias

Esta página explica as permissões necessárias para criar e gerenciar um Databricks workspace no Google cloud.

No Google cloud, cada execução do workspace dentro de um projeto workspace de propriedade do cliente. Databricks cria e possui um serviçoworkspace account com as permissões mínimas necessárias para gerenciar o workspace. Databricks usa as credenciais do criador do workspace para conceder permissões ao serviço account no projeto workspace. Um administrador do Databricks account deve ter as permissões necessárias no projeto workspace para criar com êxito um workspace.

Permissões necessárias para o criador do espaço de trabalho

Databricks usa as credenciais do criador do workspace para validar as configurações, conceder permissões, habilitar o serviço necessário e provisionar o workspace. Durante esse processo, o site Databricks requer as seguintes permissões no projeto workspace e no projeto de rede.

Observação

A criação do espaço de trabalho normalmente leva menos de um minuto para ser concluída. Databricks não manterá nem usará essas permissões após a criação do site workspace.

Permissão do Google

Propósito

Caso de uso

iam.roles.create

Criar a função personalizada.

Crie e gerencie uma função personalizada para conceder permissões ao serviço workspace's account.

iam.roles.delete

Excluir a função personalizada.

Crie e gerencie uma função personalizada para conceder permissões ao serviço workspace's account.

iam.roles.get

Obter a função personalizada.

Crie e gerencie uma função personalizada para conceder permissões ao serviço workspace's account.

iam.roles.update

Atualizar a função personalizada.

Crie e gerencie uma função personalizada para conceder permissões ao serviço workspace's account.

iam.serviceAccounts.getIamPolicy

Obter a política de IAM.

Conceda ao workspace serviço account a função Service Account User no Google cloud compute Engine (GCE) serviço account para lançar o GKE clusters.

iam.serviceAccounts.setIamPolicy

Definir a política de IAM.

Conceda ao workspace serviço account a função Service Account User no Google cloud compute Engine (GCE) serviço account para lançar o GKE clusters.

resourcemanager.projects.get

Obter um número de projeto a partir de seu ID de projeto.

Obtenha informações básicas sobre o projeto workspace.

resourcemanager.projects.getIamPolicy

Obter a política de IAM.

Obtenha informações básicas sobre o projeto workspace.

resourcemanager.projects.setIamPolicy

Definir a política de IAM.

Obtenha informações básicas sobre o projeto workspace.

serviceusage.services.get

Valide se o projeto do cliente ativou o Google cloud APIs necessário.

Habilite o Google cloud serviço necessário para as cargas de trabalho do Databricks.

serviceusage.services.list

Valide se o projeto do cliente ativou o Google cloud APIs necessário.

Habilite o Google cloud serviço necessário para as cargas de trabalho do Databricks.

serviceusage.services.enable

Habilite o Google cloud APIs necessário no projeto, se ainda não estiver habilitado.

Habilite o Google cloud serviço necessário para as cargas de trabalho do Databricks.

compute.networks.get

Validar a existência de uma rede VPC.

Validar o recurso de rede para a rede VPC fornecida pelo cliente, que pode pertencer a um projeto diferente do projeto workspace.

compute.projects.get

Obter o projeto de host de uma rede VPC.

Validar o recurso de rede para a rede VPC fornecida pelo cliente, que pode pertencer a um projeto diferente do projeto workspace.

compute.subnetworks.get

Validar sub-redes de uma rede VPC.

Validar o recurso de rede para a rede VPC fornecida pelo cliente, que pode pertencer a um projeto diferente do projeto workspace.

compute.forwardingRules.get

Listar regras de encaminhamento para o serviço privado Connect.

Necessário se o senhor ativar o serviço privado Connect.

compute.forwardingRules.list

Obter regras de encaminhamento para o serviço privado Connect.

Necessário se o senhor ativar o serviço privado Connect.

cloudkms.cryptoKeys.getIamPolicy

Obtenha a política de controle de acesso para uma nuvem KMS recurso.

Necessário na nuvem KMS key se o senhor ativar a chave de gerenciar o cliente.

cloudkms.cryptoKeys.setIamPolicy

Defina a política de controle de acesso em uma nuvem KMS recurso.

Necessário na nuvem KMS key se o senhor ativar a chave de gerenciar o cliente.

Permissões necessárias para a conta de serviço do workspace

O serviço workspace account requer permissões na seguinte função IAM no projeto workspace para operar e gerenciar a workspace:

  • Função de administrador do GKE: É necessária para operar e gerenciar as cargas de trabalho do cliente em execução no GKE.

  • Função de administrador de armazenamento do GCE: É necessária para operar e gerenciar os armazenamentos persistentes do Google compute Engine (GCE) associados aos nós do GKE.

  • Databricks Workspace Função: Uma função personalizada porworkspace para conceder permissões adicionais necessárias para gerenciar um workspace.

Permissão

Propósito

Caso de uso

compute.globalOperations.get

Obtenha dados de operações para obter visibilidade das operações do GCE durante as interrupções do GCE.

gerenciar o recurso do Google cloud compute Engine (GCE) para executar cargas de trabalho.

compute.instanceGroups.get

Obter grupos de instâncias para solução de problemas de GCE. gerenciar o recurso do Google cloud compute Engine (GCE) para executar cargas de trabalho.

gerenciar o recurso do Google cloud compute Engine (GCE) para executar cargas de trabalho.

compute.instanceGroups.list

Listar grupos de instâncias para solução de problemas de GCE. gerenciar o recurso do Google cloud compute Engine (GCE) para executar cargas de trabalho.

gerenciar o recurso do Google cloud compute Engine (GCE) para executar cargas de trabalho.

compute.instances.get

Obter instâncias de compute. gerenciar o recurso do Google cloud compute Engine (GCE) para executar cargas de trabalho.

gerenciar o recurso do Google cloud compute Engine (GCE) para executar cargas de trabalho.

compute.instances.list

Liste as instâncias de compute para solução de problemas de GCE. gerenciar o recurso do Google cloud compute Engine (GCE) para executar cargas de trabalho.

gerenciar o recurso do Google cloud compute Engine (GCE) para executar cargas de trabalho.

compute.instances.setLabels

Definir o rótulo da instância compute. gerenciar o recurso do Google cloud compute Engine (GCE) para executar cargas de trabalho.

gerenciar o recurso do Google cloud compute Engine (GCE) para executar cargas de trabalho.

compute.disks.get

Obter discos. gerenciar o recurso do Google cloud compute Engine (GCE) para executar cargas de trabalho.

gerenciar o recurso do Google cloud compute Engine (GCE) para executar cargas de trabalho.

compute.disks.setLabels

Definir o rótulo do disco. gerenciar o recurso do Google cloud compute Engine (GCE) para executar cargas de trabalho.

gerenciar o recurso do Google cloud compute Engine (GCE) para executar cargas de trabalho.

compute.networks.access

gerenciar recurso de rede.

gerenciar o recurso do Google cloud compute Engine (GCE) para executar cargas de trabalho.

compute.networks.create

gerenciar recurso de rede. Se o senhor usar um cliente-gerenciar VPC, essa permissão não estará na função personalizada que Databricks concede ao serviço account.

gerenciar o recurso do Google cloud compute Engine (GCE) para executar cargas de trabalho.

compute.networks.delete

gerenciar recurso de rede. Se o senhor usar um cliente-gerenciar VPC, essa permissão não estará na função personalizada que Databricks concede ao serviço account.

gerenciar o recurso do Google cloud compute Engine (GCE) para executar cargas de trabalho.

compute.networks.get

gerenciar recurso de rede.

gerenciar o recurso do Google cloud compute Engine (GCE) para executar cargas de trabalho.

compute.networks.getEffectiveFirewalls

gerenciar recurso de rede.

gerenciar o recurso do Google cloud compute Engine (GCE) para executar cargas de trabalho.

compute.networks.update

gerenciar recurso de rede. Se o senhor usar um cliente-gerenciar VPC, essa permissão não estará na função personalizada que Databricks concede ao serviço account.

gerenciar o recurso do Google cloud compute Engine (GCE) para executar cargas de trabalho.

compute.networks.updatePolicy

gerenciar recurso de rede. Se o senhor usar um cliente-gerenciar VPC, essa permissão não estará na função personalizada que Databricks concede ao serviço account.

gerenciar o recurso do Google cloud compute Engine (GCE) para executar cargas de trabalho.

compute.networks.use

gerenciar recurso de rede.

gerenciar o recurso do Google cloud compute Engine (GCE) para executar cargas de trabalho.

compute.networks.useExternalIp

gerenciar recurso de rede.

gerenciar o recurso do Google cloud compute Engine (GCE) para executar cargas de trabalho.

compute.regionOperations.get

Obtenha operações regionais para obter visibilidade das operações do Google compute Engine (GCE) durante as interrupções do GCE.

gerenciar o recurso do Google cloud compute Engine (GCE) para executar cargas de trabalho.

compute.routers.create

gerenciar recurso de rede. Se o senhor usar um cliente-gerenciar VPC, essa permissão não estará na função personalizada que Databricks concede ao serviço account.

gerenciar o recurso do Google cloud compute Engine (GCE) para executar cargas de trabalho.

compute.routers.delete

gerenciar recurso de rede. Se o senhor usar um cliente-gerenciar VPC, essa permissão não estará na função personalizada que Databricks concede ao serviço account.

gerenciar o recurso do Google cloud compute Engine (GCE) para executar cargas de trabalho.

compute.routers.get

gerenciar recurso de rede.

gerenciar o recurso do Google cloud compute Engine (GCE) para executar cargas de trabalho.

compute.routers.update

gerenciar recurso de rede. Se o senhor usar um cliente-gerenciar VPC, essa permissão não estará na função personalizada que Databricks concede ao serviço account.

gerenciar o recurso do Google cloud compute Engine (GCE) para executar cargas de trabalho.

compute.routers.use

gerenciar recurso de rede.

gerenciar o recurso do Google cloud compute Engine (GCE) para executar cargas de trabalho.

compute.subnetworks.create

gerenciar recurso de rede. Se o senhor usar um cliente-gerenciar VPC, essa permissão não estará na função personalizada que Databricks concede ao serviço account.

gerenciar o recurso do Google cloud compute Engine (GCE) para executar cargas de trabalho.

compute.subnetworks.delete

gerenciar recurso de rede. Se o senhor usar um cliente-gerenciar VPC, essa permissão não estará na função personalizada que Databricks concede ao serviço account.

gerenciar o recurso do Google cloud compute Engine (GCE) para executar cargas de trabalho.

compute.subnetworks.expandIpCidrRange

gerenciar recurso de rede. Se o senhor usar um cliente-gerenciar VPC, essa permissão não estará na função personalizada que Databricks concede ao serviço account.

gerenciar o recurso do Google cloud compute Engine (GCE) para executar cargas de trabalho.

compute.subnetworks.get

gerenciar recurso de rede.

gerenciar o recurso do Google cloud compute Engine (GCE) para executar cargas de trabalho.

compute.subnetworks.getIamPolicy

gerenciar recurso de rede.

gerenciar o recurso do Google cloud compute Engine (GCE) para executar cargas de trabalho.

compute.subnetworks.setIamPolicy

gerenciar recurso de rede. Se o senhor usar um cliente-gerenciar VPC, essa permissão não estará na função personalizada que Databricks concede ao serviço account.

gerenciar o recurso do Google cloud compute Engine (GCE) para executar cargas de trabalho.

compute.subnetworks.setPrivateIpGoogleAccess

gerenciar recurso de rede. Se o senhor usar um cliente-gerenciar VPC, essa permissão não estará na função personalizada que Databricks concede ao serviço account.

gerenciar o recurso do Google cloud compute Engine (GCE) para executar cargas de trabalho.

compute.subnetworks.update

gerenciar recurso de rede. Se o senhor usar um cliente-gerenciar VPC, essa permissão não estará na função personalizada que Databricks concede ao serviço account.

gerenciar o recurso do Google cloud compute Engine (GCE) para executar cargas de trabalho.

compute.subnetworks.use

gerenciar recurso de rede.

gerenciar o recurso do Google cloud compute Engine (GCE) para executar cargas de trabalho.

compute.subnetworks.useExternalIp

gerenciar recurso de rede.

gerenciar o recurso do Google cloud compute Engine (GCE) para executar cargas de trabalho.

container.clusterRoleBindings.create

Criar associações de funções de cluster.

gerenciar o GKE clusters para executar Databricks cargas de trabalho.

container.clusterRoleBindings.get

Obter associações de funções de cluster.

gerenciar o GKE clusters para executar Databricks cargas de trabalho.

container.clusterRoles.bind

Vincular os vínculos de função do cluster.

gerenciar o GKE clusters para executar Databricks cargas de trabalho.

container.clusterRoles.create

Criar funções de cluster.

gerenciar o GKE clusters para executar Databricks cargas de trabalho.

container.clusterRoles.get

Obter funções de cluster.

gerenciar o GKE clusters para executar Databricks cargas de trabalho.

container.clusters.create

Criar funções de cluster.

gerenciar o GKE clusters para executar Databricks cargas de trabalho.

container.clusters.delete

Excluir funções de cluster.

gerenciar o GKE clusters para executar Databricks cargas de trabalho.

container.clusters.get

Obter clusters.

gerenciar o GKE clusters para executar Databricks cargas de trabalho.

container.clusters.getCredentials

Obter credenciais de cluster.

gerenciar o GKE clusters para executar Databricks cargas de trabalho.

container.clusters.list

Lista clusters.

gerenciar o GKE clusters para executar Databricks cargas de trabalho.

container.clusters.update

Atualizar clusters.

gerenciar o GKE clusters para executar Databricks cargas de trabalho.

container.configMaps.create

Criar configMaps.

gerenciar o GKE clusters para executar Databricks cargas de trabalho.

container.configMaps.get

Obter configMaps.

gerenciar o GKE clusters para executar Databricks cargas de trabalho.

container.configMaps.update

Atualizar configMaps.

gerenciar o GKE clusters para executar Databricks cargas de trabalho.

container.customResourceDefinitions.create

Criar definições de recurso personalizadas.

gerenciar o GKE clusters para executar Databricks cargas de trabalho.

container.customResourceDefinitions.get

Obter definições de recurso personalizadas.

gerenciar o GKE clusters para executar Databricks cargas de trabalho.

container.customResourceDefinitions.update

Atualizar definições de recursos personalizados.

gerenciar o GKE clusters para executar Databricks cargas de trabalho.

container.daemonSets.create

Criar conjuntos de daemons.

gerenciar o GKE clusters para executar Databricks cargas de trabalho.

container.daemonSets.get

Obter conjuntos de daemons.

gerenciar o GKE clusters para executar Databricks cargas de trabalho.

container.daemonSets.update

Atualizar conjuntos de daemon.

gerenciar o GKE clusters para executar Databricks cargas de trabalho.

container.deployments.create

Criar implantações.

gerenciar o GKE clusters para executar Databricks cargas de trabalho.

container.deployments.get

Obter implementações.

gerenciar o GKE clusters para executar Databricks cargas de trabalho.

container.deployments.update

Atualizar implantações.

gerenciar o GKE clusters para executar Databricks cargas de trabalho.

container.jobs.create

Criar Job.

gerenciar o GKE clusters para executar Databricks cargas de trabalho.

container.jobs.get

Obtenha Job.

gerenciar o GKE clusters para executar Databricks cargas de trabalho.

container.jobs.update

Atualização Job.

gerenciar o GKE clusters para executar Databricks cargas de trabalho.

container.namespaces.create

Criar espaço de nome.

gerenciar o GKE clusters para executar Databricks cargas de trabalho.

container.namespaces.get

Obter namespace.

gerenciar o GKE clusters para executar Databricks cargas de trabalho.

container.namespaces.list

Listar namespaces.

gerenciar o GKE clusters para executar Databricks cargas de trabalho.

container.operations.get

Obter operações.

gerenciar o GKE clusters para executar Databricks cargas de trabalho.

container.pods.get

Obtenha cápsulas.

gerenciar o GKE clusters para executar Databricks cargas de trabalho.

container.pods.getLogs

Obtenha o pod logs.

gerenciar o GKE clusters para executar Databricks cargas de trabalho.

container.pods.list

Listar pods.

gerenciar o GKE clusters para executar Databricks cargas de trabalho.

container.roleBindings.create

Criar vínculos de função.

gerenciar o GKE clusters para executar Databricks cargas de trabalho.

container.roleBindings.get

Obter vínculos de função.

gerenciar o GKE clusters para executar Databricks cargas de trabalho.

container.roles.bind

Vincular funções.

gerenciar o GKE clusters para executar Databricks cargas de trabalho.

container.roles.create

Criar funções.

gerenciar o GKE clusters para executar Databricks cargas de trabalho.

container.roles.get

Obter funções.

gerenciar o GKE clusters para executar Databricks cargas de trabalho.

container.secrets.create

Criar segredo.

gerenciar o GKE clusters para executar Databricks cargas de trabalho.

container.secrets.get

Obtenha um segredo.

gerenciar o GKE clusters para executar Databricks cargas de trabalho.

container.secrets.update

Atualizar um segredo.

gerenciar o GKE clusters para executar Databricks cargas de trabalho.

container.serviceAccounts.create

Criar um serviço account.

gerenciar o GKE clusters para executar Databricks cargas de trabalho.

container.serviceAccounts.get

Obtenha um serviço account.

gerenciar o GKE clusters para executar Databricks cargas de trabalho.

container.services.create

Criar um serviço.

gerenciar o GKE clusters para executar Databricks cargas de trabalho.

container.services.get

Obter um serviço.

gerenciar o GKE clusters para executar Databricks cargas de trabalho.

container.thirdPartyObjects.create

Criar um objeto de terceiros.

gerenciar o GKE clusters para executar Databricks cargas de trabalho.

container.thirdPartyObjects.delete

Excluir um objeto de terceiros.

gerenciar o GKE clusters para executar Databricks cargas de trabalho.

container.thirdPartyObjects.get

Obter um objeto de terceiros.

gerenciar o GKE clusters para executar Databricks cargas de trabalho.

container.thirdPartyObjects.list

Listar objetos de terceiros.

gerenciar o GKE clusters para executar Databricks cargas de trabalho.

container.thirdPartyObjects.update

Atualizar um objeto de terceiros.

gerenciar o GKE clusters para executar Databricks cargas de trabalho.

iam.serviceAccounts.getIamPolicy

Inspecione a conta de serviço ou vincule-a a um cluster.

Configure o GKE Workload Identity para um serviço cluster account para acessar seus dados.

iam.serviceAccounts.setIamPolicy

Inspecione a conta de serviço ou vincule-a a um cluster.

Configure o GKE Workload Identity para um serviço cluster account para acessar seus dados.

resourcemanager.projects.get

Converter o ID do projeto do cliente em um número de projeto.

Valide o status do projeto, como, por exemplo, se o projeto está ativo e se o serviço workspace account tem permissões suficientes.

resourcemanager.projects.getIamPolicy

Verifique se a política de IAM do projeto está configurada corretamente.

Valide o status do projeto, como, por exemplo, se o projeto está ativo e se o serviço workspace account tem permissões suficientes.

storage.buckets.create

Crie um balde.

Isso é necessário para criar e gerenciar buckets GCS para DBFS.

storage.buckets.delete

Excluir um bucket.

Isso é necessário para criar e gerenciar buckets GCS para DBFS.

storage.buckets.get

Pegue um balde.

Isso é necessário para criar e gerenciar buckets GCS para DBFS.

storage.buckets.getIamPolicy

Obter a política de IAM do armazenamento.

Isso é necessário para criar e gerenciar buckets GCS para DBFS.

storage.buckets.list

Listar buckets.

Isso é necessário para criar e gerenciar buckets GCS para DBFS.

storage.buckets.setIamPolicy

Definir a política de IAM do armazenamento.

Isso é necessário para criar e gerenciar buckets GCS para DBFS.

storage.buckets.update

Atualizar a política de IAM do armazenamento.

Isso é necessário para criar e gerenciar buckets GCS para DBFS.

storage.multipartUploads.abort

Abortar um upload de várias partes.

Ler e gravar objetos DBFS.

storage.multipartUploads.create

Criar um upload de várias partes.

Ler e gravar objetos DBFS.

storage.multipartUploads.list

Listar upload de várias partes.

Ler e gravar objetos DBFS.

storage.multipartUploads.listParts

Listar partes de um upload de várias partes.

Ler e gravar objetos DBFS.

storage.objects.create

Criar um objeto de armazenamento.

Ler e gravar objetos DBFS.

storage.objects.delete

Excluir objeto de armazenamento.

Ler e gravar objetos DBFS.

storage.objects.get

Obter um objeto de armazenamento.

Ler e gravar objetos DBFS.

storage.objects.list

Listar objetos de armazenamento.

Ler e gravar objetos DBFS.

storage.objects.update

Atualizar um objeto de armazenamento.

Ler e gravar objetos DBFS.