Gerenciar grupos

Este artigo explica como os administradores criam e gerenciam grupos em Databricks. Para obter uma visão geral do modelo de identidade do Databricks, consulte Identidades do Databricks.

Para gerenciar o acesso de grupos, consulte Autenticação e controle de acesso.

Visão geral do gerenciamento de grupos

Grupos simplificam a gestão de identidades, tornando mais fácil atribuir acesso o workspace, dados e outros objetos seguráveis.Todas as identidades do Databricks podem ser atribuídas como membros de grupos.

Diferença entre grupos de contas e grupos locais do workspace

Databricks tem o conceito de gruposaccount e gruposworkspace-local legados:

  • account grupos podem receber acesso aos dados em um Unity Catalog metastore, funções concedidas em entidades de serviço e grupos e permissões para o espaço de trabalho federado de identidade.

  • workspace-Os grupos locais são grupos legados. Esses grupos são identificados como workspace-local na página de configurações de administração do workspace. workspace-Os grupos locais não podem ser atribuídos a um espaço de trabalho adicional ou receber acesso aos dados em um Unity Catalog metastore. workspaceOs grupos locais não podem receber funções de nível account. Para obter mais informações sobre workspace-local groups, consulte gerenciar workspace-local groups (legacy).

Há dois grupos de sistemas em cada workspace: users e admins. Todos os usuários do site workspace são membros do grupo users e todos os administradores do site workspace são membros do grupo admins. Os grupos do sistema são workspace-local groups. Os grupos de sistema não podem ser excluídos.

Databricks recomenda transformar os grupos workspace-local existentes em grupos account para aproveitar a atribuição centralizada de workspace e o gerenciamento de acesso a dados usando Unity Catalog. Consulte Migrar grupos workspace-local para grupos account .

Quem pode gerenciar grupos de contas?

Para criar grupos de contas no Databricks, você deve ser administrador de conta ou administrador de workspace. Os administradores do workspace devem estar em workspaces federados por identidade para criar um grupo de contas.

Para gerenciar grupos account em Databricks, o senhor deve ter a função de gerente de grupo (Public Preview) em um grupo. Os gerentes de grupo podem gerenciar a associação do grupo e excluir o grupo. Eles também podem atribuir a outros usuários a função de gerente de grupo. account os administradores podem gerenciar funções de grupo usando o consoleaccount e os administradores do workspace podem gerenciar funções de grupo usando a página de configurações do administradorworkspace . Os gerentes de grupo que não são administradores do workspace podem gerenciar funções de grupo usando o controle de acesso à conta API.

Os administradores de conta têm a função de gerente de grupo no nível da conta, o que significa que eles têm a função de gerente de grupo em todos os grupos da conta. Os administradores do workspace têm a função de gerente de grupo nos grupos de contas que criam.

Os administradores do workspace também podem criar e gerenciar grupos locais do workspace.

Sincronizar grupos com sua conta do Databricks a partir de um provedor de identidade

O senhor pode sincronizar grupos do seu provedor de identidade (IdP) com o site Databricks account usando um conector de provisionamento SCIM. Para obter instruções, consulte Sincronizar usuários e grupos com a sua conta Databricks.

Importante

Se o senhor já tiver conectores que sincronizam identidades diretamente com o seu espaço de trabalho, deverá desativar esses SCIM SCIM conectores quando o accountconector de nível SCIM estiver ativado. Consulte Migrar workspace-level SCIM provisionamento para o nível account .

Gerenciar grupos de contas com o console da conta

account Os administradores podem adicionar e gerenciar grupos no site Databricks account usando o consoleaccount . workspace Os administradores e gerentes de grupo podem gerenciar grupos usando a página de configurações workspace e Databricks APIs. Veja como gerenciar grupos account usando a página de configurações administrativas workspace e como gerenciar grupos account usando a página API.

Adicione grupos à sua conta usando o console da conta

Para adicionar um grupo à conta usando o console da conta, faça o seguinte:

  1. Como administrador da conta, faça login no console da conta.

  2. Na barra lateral, clique em Gerenciamento de usuários.

  3. Na guia Grupos, clique em Adicionar grupo.

  4. Insira um nome para o grupo.

  5. Clique em Confirmar.

  6. Quando solicitado, adicione usuários, princípios de serviço e grupos ao grupo.

Adicione membros a um grupo com o console da conta

Para adicionar usuários, diretores de serviços e grupos a um grupo com o console da conta, faça o seguinte:

  1. Como administrador da conta, faça login no console da conta.

  2. Na barra lateral, clique em Gerenciamento de usuários.

  3. Na guia Grupos, selecione o grupo que deseja atualizar.

  4. Clique em Adicionar membros.

  5. Pesquise o usuário, grupo ou principal de serviço que você deseja adicionar e selecione-o.

  6. Clique em Adicionar.

Observação

Há um atraso de alguns minutos entre a atualização de um grupo em um site account e a atualização do grupo no espaço de trabalho.

Gerenciar funções em um grupo com o console da conta

Visualização

Este recurso está em visualização pública.

Os administradores de conta podem conceder funções em grupos de conta no console da conta.

  1. Como administrador da conta, faça login no console da conta.

  2. Na barra lateral, clique em Gerenciamento de usuários.

  3. Na guia Grupos, localize e clique no nome do grupo.

  4. Clique na guia Permissões .

  5. Clique em Conceder acesso.

  6. Procure e selecione o usuário, a entidade de serviço ou o grupo e escolha a função Grupo: Gerente .

  7. Clique em Salvar.

Alterar o nome de um grupo

Os administradores de contas podem atualizar o nome dos grupos de contas com o console de contas:

  1. Como administrador da conta, faça login no console da conta.

  2. Na barra lateral, clique em Gerenciamento de usuários.

  3. Na guia Grupos, selecione o grupo que deseja atualizar.

  4. Clique em Informações do grupo.

  5. Em Nome, atualize o nome.

  6. Clique em Salvar.

Os gerentes de grupo não podem alterar o nome de um grupo usando o console account. Em vez disso, use o site account Groups API. Por exemplo:

curl --netrc -X PATCH \
https://${DATABRICKS_HOST}/api/2.1/accounts/{account_id}/scim/v2/Groups/{id} \
--header 'Content-type: application/scim+json' \
--data @update-group.json \
| jq .

update-group.json:

{
  "schemas": [ "urn:ietf:params:scim:api:messages:2.0:PatchOp" ],
  "Operations": [
    {
      {
          "op": "replace",
          "path": "displayName",
          "value": "<updated-name>"
      }
    }
  ]
}

Para obter informações sobre como autenticar os grupos de contas API, consulte Autenticar o acesso ao recurso Databricks .

Atribuir um grupo a um workspace usando o console da conta

Para adicionar grupos a um workspace usando o consoleaccount , o workspace deve estar habilitado para a federação de identidade. Somente os grupos account podem ser atribuídos ao espaço de trabalho.

  1. Como administrador da conta, faça login no console da conta.

  2. Na barra lateral, clique em Espaços de trabalho.

  3. Clique no nome do workspace.

  4. Na guia Permissões, clique em Adicionar permissões.

  5. Procure e selecione o grupo, atribua o nível de permissão ( usuário ou administrador do espaço de trabalho) e clique em Salvar.

Remover um grupo de um espaço de trabalho usando o console de conta

Para remover grupos de um workspace usando o consoleaccount , o workspace deve estar habilitado para a federação de identidade. Somente os grupos account são removíveis do espaço de trabalho usando o console account.

Quando um grupo account é removido de um workspace, os membros do grupo não podem mais acessar o workspace, mas as permissões são mantidas no grupo. Se o grupo for adicionado novamente a um workspace, ele recuperará suas permissões anteriores.

  1. Como administrador da conta, faça login no console da conta.

  2. Na barra lateral, clique em Espaços de trabalho.

  3. Clique no nome do workspace.

  4. Em Permissions (Permissões ) tab, localize o grupo.

  5. Clique no menu Menu Kebab kebab na extremidade direita da linha do grupo e selecione Remove (Remover).

  6. Na caixa de diálogo de confirmação, clique em Remover.

Atribuir funções de administrador de conta a um grupo

Não é possível atribuir a função account admin ou marketplace admin a um grupo usando o console account, mas é possível atribuí-la a grupos usando account Groups API. Por exemplo:

curl --netrc -X PATCH \
https://${DATABRICKS_HOST}/api/2.1/accounts/{account_id}/scim/v2/Groups/{id} \
--header 'Content-type: application/scim+json' \
--data @update-group.json \
| jq .

update-group.json:

{
  "schemas": [ "urn:ietf:params:scim:api:messages:2.0:PatchOp" ],
  "Operations": [
    {
      "op": "add",
      "path": "roles",
      "value": [
        {
          "value": "account_admin"
        }
      ]
    }
  ]
}

Para obter informações sobre como autenticar os grupos de contas API, consulte Autenticar o acesso ao recurso Databricks .

Remover grupos da sua conta Databricks

account Os administradores podem remover grupos de um site Databricks account. Os gerentes de grupo também podem remover grupos do site account usando os grupos account API, consulte gerenciar grupos account usando o API.

Importante

Quando você remove um grupo, todos os usuários desse grupo são excluídos da conta e perdem o acesso aos workspaces aos quais tinham acesso (a menos que sejam membros de outro grupo ou tenham recebido acesso direto à conta ou a qualquer workspace). A Databricks recomenda que você evite excluir grupos no nível da conta, a menos que queira que percam o acesso a todos os workspaces na conta. Você deve estar ciente das seguintes consequências da exclusão de usuários:

  • Os aplicativos ou scripts que utilizam os tokens gerados pelo usuário não poderão mais acessar APIs do Databricks

  • Os jobs pertencentes ao usuário não vão funcionar

  • Os clusters pertencentes ao usuário serão interrompidos

  • As consultas ou os painéis criados pelo usuário e compartilhados com a credencial Executar como proprietário terão que ser atribuídos a outro proprietário para evitar falha no compartilhamento

Para remover um grupo usando o console da conta, faça o seguinte:

  1. Como administrador da conta, faça login no console da conta.

  2. Na barra lateral, clique em Gerenciamento de usuários.

  3. Na guia Grupos, encontre o grupo que deseja remover.

  4. Clique no menu Menu Kebab kebab na extremidade direita da linha do usuário e selecione Delete (Excluir).

  5. Na caixa de diálogo de confirmação, clique em Confirmar exclusão.

Se você remover um grupo usando o console da conta, é importante garantir que você também remova o grupo usando quaisquer conectores de provisionamento SCIM ou aplicativos de API SCIM que tenham sido configurados para a conta.Caso contrário, o provisionamento do SCIM simplesmente adicionará o grupo e seus membros de volta na próxima vez em que for sincronizado. Consulte Sincronizar usuários e grupos do seu provedor de identidade.

Para remover um grupo de um Databricks account usando o API, consulte Sincronizar usuários e grupos com o Databricks accounte a conta Groups API.

Gerencie grupos de contas com a página de configurações de administrador do workspace

Os administradores de workspaces podem criar e gerenciar grupos de contas em workspaces federados por identidades com a página de configurações de administrador do workspace.

Observação

Há um atraso de alguns minutos entre a atualização de um grupo account de um workspace e a atualização do grupo no account.

Para obter informações sobre como criar grupos workspace-local no espaço de trabalho, consulte gerenciar workspace-local groups (legacy).

Criar ou atribuir um grupo a um workspace usando a página de configurações de administrador do workspace

Para atribuir ou criar um grupo de contas em um workspace usando a página de configurações de administrador do workspace, faça o seguinte:

  1. Como administrador do espaço de trabalho, faça logon no espaço de trabalho Databricks.

  2. Clique no seu nome de usuário na barra superior do site Databricks workspace e selecione Settings (Configurações).

  3. Clique em Identity and access (Identidade e acesso ) tab.

  4. Ao lado de Groups, clique em gerenciar.

  5. Clique em Add Group.

  6. Selecione um grupo existente para atribuir ao workspace ou clique em Add new (Adicionar novo ) para criar um novo grupo account.

    Observação

    Se o seu workspace não estiver habilitado para federação de identidade, o senhor não poderá atribuir grupos account existentes ou adicionar grupos account em seu workspace. Em vez disso, o senhor deve usar workspace-local groups, consulte gerenciar workspace-local groups (legacy).

Adicionar membros a um grupo com a página de configurações de administrador do workspace

Você deve ser um administrador do workspace para adicionar usuários, entidades de serviço e grupos a um grupo de conta usando a página de configurações de administrador do workspace. Você pode gerenciar membros somente de um grupo em que você tenha a função de gerente do grupo.

Observação

O senhor não pode adicionar um grupo filho ao grupo admins. O senhor não pode adicionar workspace-local groups ou system groups como membros de account groups.

Os gerentes de grupo que não são administradores do workspace devem gerenciar a associação do grupo usando o account Groups API.

  1. Como administrador do espaço de trabalho, faça logon no espaço de trabalho Databricks.

  2. Clique no seu nome de usuário na barra superior do site Databricks workspace e selecione Settings (Configurações).

  3. Clique em Identity and access (Identidade e acesso ) tab.

  4. Ao lado de Groups, clique em gerenciar.

  5. Selecione o grupo que deseja atualizar. Você deve ter a função de gerente de para atualizá-lo.

  6. Em Members (Membros ) tab, clique em Add members (Adicionar membros).

  7. Na caixa de diálogo, navegue ou pesquise os usuários, diretores de serviço e grupos que deseja adicionar e selecione-os.

  8. Clique em Confirmar.

Gerenciar funções em um grupo de contas usando a página de configurações de administrador do workspace

Visualização

Este recurso está em visualização pública.

Você pode atribuir a função de gerente de grupo a usuários, grupos de contas e entidades de serviço. Os gerentes de grupo podem gerenciar a associação ao grupo. Eles também podem atribuir a função de gerente de grupo a outros usuários.

Você deve ser administrador do workspace para gerenciar funções de grupo usando a página de configurações do administrador do workspace. Os gerentes de grupo que não são administradores de workspace podem gerenciar funções de grupo usando a API de Controle de Acesso de Conta.

  1. Como administrador do espaço de trabalho, faça logon no espaço de trabalho Databricks.

  2. Clique no seu nome de usuário na barra superior do site Databricks workspace e selecione Settings (Configurações).

  3. Clique em Identity and access (Identidade e acesso ) tab.

  4. Ao lado de Groups, clique em gerenciar.

  5. Selecione o grupo que deseja atualizar. Você deve ter a função de gerente de para atualizá-lo.

  6. Clique na guia Permissões .

  7. Clique em Conceder acesso.

  8. Procure e selecione o usuário, a entidade de serviço ou o grupo e escolha a função Grupo: Gerente .

    Observação

    O senhor não pode atribuir funções a grupos workspace-local ou grupos de sistema em grupos account.

  9. Clique em Salvar.

Exibir grupos de pais

  1. Como administrador do espaço de trabalho, faça logon no espaço de trabalho Databricks.

  2. Clique no seu nome de usuário na barra superior do site Databricks workspace e selecione Settings (Configurações).

  3. Clique em Identity and access (Identidade e acesso ) tab.

  4. Ao lado de Groups, clique em gerenciar.

  5. Selecione o grupo que o senhor deseja view.

  6. Em Parent group (Grupo pai ) tab, view os grupos pais do seu grupo.

Remover um grupo de um workspace usando a página de configurações de administração do workspace

A remoção de um grupo de um site workspace não exclui o grupo no site account. Quando um grupo é removido de um workspace, os membros do grupo não podem mais acessar o workspace, mas as permissões são mantidas no grupo. Se o grupo for adicionado novamente ao site workspace, ele recuperará suas permissões anteriores.

  1. Como administrador do espaço de trabalho, faça logon no espaço de trabalho Databricks.

  2. Clique no seu nome de usuário na barra superior do site Databricks workspace e selecione Settings (Configurações).

  3. Clique em Identity and access (Identidade e acesso ) tab.

  4. Ao lado de Groups, clique em gerenciar.

  5. Selecione o grupo e clique em x Excluir

  6. Clique em Excluir para confirmar.

Gerenciar grupos de contas usando a API

Os administradores de conta e os administradores de workspace e gerentes de grupo podem adicionar, excluir e gerenciar grupos na conta do Databricks usando a API de grupos de conta. Administradores de contas, administradores de workspaces e gerentes de grupos devem invocar a API usando com outro URL de endpoint:

  • Administradores de conta usam {account-domain}/api/2.1/accounts/{account_id}/scim/v2/.

  • Administradores do workspace e gerentes de grupos utilizam. {workspace-domain}/api/2.0/account/scim/v2/

Para obter detalhes, consulte o site account Groups API.

Atribuir um grupo a um workspace usando a API

Administradores de contas e workspaces podem usar a API de atribuição de workspace para atribuir grupos a workspaces habilitados para federação de identidades. A API de atribuição de workspace é suportada por meio da conta e dos workspaces do Databricks.

  • Administradores de conta usam {account-domain}/api/2.1/accounts/{account_id}/workspaces/{workspace_id}/permissionassignments.

  • Os administradores do workspace usam {workspace-domain}/api/2.0/preview/permissionassignments/principals/{group_id}.

Consulte API de atribuição de workspace.

Gerenciar funções de um grupo usando a API

Visualização

Este recurso está em visualização pública.

Os gerentes de grupo podem gerenciar funções de grupo usando a API de controle de acesso de contas. Administradores de conta, administradores de workspace e gerentes de grupo devem invocar a API usando outro URL de endpoint:

  • Administradores de conta usam {account-domain}/api/2.0/preview/accounts/{account_id}/access-control/assignable-roles.

  • Administradores do workspace e gerentes de grupos utilizam. {workspace-domain}/api/2.0/preview/accounts/access-control/assignable-roles

Consulte API de controle de acesso a contas e API de proxy de workspace de controle de acesso a contas.