Permissões necessárias

Esta página explica as permissões necessárias para criar e gerenciar um workspace do Databricks nas clouds do Google.

Nas clouds do Google, cada execução workspace dentro de um projeto workspace de propriedade do cliente. O Databricks cria e possui uma deworkspace serviço por account com as permissões mínimas necessárias para gerenciar o workspace. O Databricks usa as credenciais do criador do workspace para conceder permissões à account de serviço no projeto do workspace. Um administrador account do Databricks deve ter as permissões necessárias no projeto workspace para criar um workspace com êxito.

Permissões necessárias para o criador do espaço de trabalho

Databricks usa as credenciais do criador do espaço de trabalho para validar configurações, conceder permissões, habilitar o serviço necessário e provisionar o espaço de trabalho. Durante este processo, o Databricks requer as seguintes permissões no projeto workspace e no projeto de rede.

Permissão do Google

Propósito

Caso de uso

iam.roles.create

Crie a função personalizada.

Crie e gerencie uma função personalizada para conceder permissões à account de serviço do workspace.

iam.roles.delete

Exclua a função personalizada.

Crie e gerencie uma função personalizada para conceder permissões à account de serviço do workspace.

iam.roles.get

Obtenha a função personalizada.

Crie e gerencie uma função personalizada para conceder permissões à account de serviço do workspace.

iam.roles.update

Atualize a função personalizada.

Crie e gerencie uma função personalizada para conceder permissões à account de serviço do workspace.

iam.serviceAccounts.getIamPolicy

Obtenha a política IAM.

Conceda de serviço workspace account o Service Account User papel na clouds compute de serviço do Google Engine (GCE)account para iniciar clusters do GKE.

iam.serviceAccounts.setIamPolicy

Defina a política do IAM.

Conceda de serviço workspace account o Service Account User papel na clouds compute de serviço do Google Engine (GCE)account para iniciar clusters do GKE.

resourcemanager.projects.get

Obtenha um número de projeto a partir do ID do projeto.

Obtenha informações básicas sobre o projeto workspace .

resourcemanager.projects.getIamPolicy

Obtenha a política IAM.

Obtenha informações básicas sobre o projeto workspace .

resourcemanager.projects.setIamPolicy

Defina a política do IAM.

Obtenha informações básicas sobre o projeto workspace .

serviceusage.services.get

Valide se o projeto do cliente ativou as APIs clouds do Google necessárias.

Habilite o serviço clouds do Google necessário para cargas de trabalho do Databricks.

serviceusage.services.list

Valide se o projeto do cliente ativou as APIs clouds do Google necessárias.

Habilite o serviço clouds do Google necessário para cargas de trabalho do Databricks.

serviceusage.services.enable

Ative as APIs clouds do Google necessárias no projeto, caso elas ainda não estejam ativadas.

Habilite o serviço clouds do Google necessário para cargas de trabalho do Databricks.

compute.networks.get

Valide a existência de uma rede VPC.

Valide o recurso de rede para a rede VPC fornecida pelo cliente, que pode pertencer a um projeto diferente do projeto do espaço de trabalho.

compute.projects.get

Obtenha o projeto host de uma rede VPC.

Valide o recurso de rede para a rede VPC fornecida pelo cliente, que pode pertencer a um projeto diferente do projeto do espaço de trabalho.

compute.subnetworks.get

Valide sub-redes de uma rede VPC.

Valide o recurso de rede para a rede VPC fornecida pelo cliente, que pode pertencer a um projeto diferente do projeto do espaço de trabalho.

compute.forwardingRules.get

Listar regras de encaminhamento para o serviço Private Connect.

Obrigatório se você ativar o Serviço Privado Connect.

compute.forwardingRules.list

Obtenha regras de encaminhamento para o serviço Private Connect.

Obrigatório se você ativar o Serviço Privado Connect.

Permissões necessárias para a conta de serviço do workspace

A account de serviço do workspace requer permissões na seguinte IAM role no projeto do workspace para operar e gerenciar um workspace:

  • Função de administrador do GKE: necessária para operar e gerenciar cargas de trabalho do cliente em execução no GKE.

  • Função de administrador de armazenamento do GCE: necessária para operar e gerenciar armazenamentos persistentes do Google compute Engine (GCE) associados aos nós do GKE.

  • FunçãoDatabricks Workspace : uma função personalizada porworkspace para conceder permissões adicionais necessárias para gerenciar um workspace.

Permissão

Propósito

Caso de uso

compute.globalOperations.get

Obtenha dados operacionais para ter visibilidade das operações do GCE durante interrupções do GCE.

gerenciamento do recurso Google clouds compute Engine (GCE) para cargas de trabalho de execução.

compute.instanceGroups.get

Obtenha grupos de instâncias para solução de problemas do GCE. gerenciamento do recurso Google clouds compute Engine (GCE) para cargas de trabalho de execução.

gerenciamento do recurso Google clouds compute Engine (GCE) para cargas de trabalho de execução.

compute.instanceGroups.list

Liste grupos de instâncias para solução de problemas do GCE. gerenciamento do recurso Google clouds compute Engine (GCE) para cargas de trabalho de execução.

gerenciamento do recurso Google clouds compute Engine (GCE) para cargas de trabalho de execução.

compute.instances.get

Obtenha instâncias compute . gerenciamento do recurso Google clouds compute Engine (GCE) para cargas de trabalho de execução.

gerenciamento do recurso Google clouds compute Engine (GCE) para cargas de trabalho de execução.

compute.instances.list

Liste instâncias compute para solução de problemas do GCE. gerenciamento do recurso Google clouds compute Engine (GCE) para cargas de trabalho de execução.

gerenciamento do recurso Google clouds compute Engine (GCE) para cargas de trabalho de execução.

compute.instances.setLabels

Defina o rótulo da instância compute . gerenciamento do recurso Google clouds compute Engine (GCE) para cargas de trabalho de execução.

gerenciamento do recurso Google clouds compute Engine (GCE) para cargas de trabalho de execução.

compute.disks.get

Obtenha discos. gerenciamento do recurso Google clouds compute Engine (GCE) para cargas de trabalho de execução.

gerenciamento do recurso Google clouds compute Engine (GCE) para cargas de trabalho de execução.

compute.disks.setLabels

Coloque o rótulo do disco. gerenciamento do recurso Google clouds compute Engine (GCE) para cargas de trabalho de execução.

gerenciamento do recurso Google clouds compute Engine (GCE) para cargas de trabalho de execução.

compute.networks.access

gerenciamento de recurso de rede.

gerenciamento do recurso Google clouds compute Engine (GCE) para cargas de trabalho de execução.

compute.networks.create

gerenciamento de recurso de rede. Se você usar uma VPC gerenciada pelo cliente, essa permissão não estará na função personalizada que o Databricks concede à account de serviço.

gerenciamento do recurso Google clouds compute Engine (GCE) para cargas de trabalho de execução.

compute.networks.delete

gerenciamento de recurso de rede. Se você usar uma VPC gerenciada pelo cliente, essa permissão não estará na função personalizada que o Databricks concede à account de serviço.

gerenciamento do recurso Google clouds compute Engine (GCE) para cargas de trabalho de execução.

compute.networks.get

gerenciamento de recurso de rede.

gerenciamento do recurso Google clouds compute Engine (GCE) para cargas de trabalho de execução.

compute.networks.getEffectiveFirewalls

gerenciamento de recurso de rede.

gerenciamento do recurso Google clouds compute Engine (GCE) para cargas de trabalho de execução.

compute.networks.update

gerenciamento de recurso de rede. Se você usar uma VPC gerenciada pelo cliente, essa permissão não estará na função personalizada que o Databricks concede à account de serviço.

gerenciamento do recurso Google clouds compute Engine (GCE) para cargas de trabalho de execução.

compute.networks.updatePolicy

gerenciamento de recurso de rede. Se você usar uma VPC gerenciada pelo cliente, essa permissão não estará na função personalizada que o Databricks concede à account de serviço.

gerenciamento do recurso Google clouds compute Engine (GCE) para cargas de trabalho de execução.

compute.networks.use

gerenciamento de recurso de rede.

gerenciamento do recurso Google clouds compute Engine (GCE) para cargas de trabalho de execução.

compute.networks.useExternalIp

gerenciamento de recurso de rede.

gerenciamento do recurso Google clouds compute Engine (GCE) para cargas de trabalho de execução.

compute.regionOperations.get

Obtenha operações regionais para ter visibilidade das operações do Google compute Engine (GCE) durante interrupções do GCE.

gerenciamento do recurso Google clouds compute Engine (GCE) para cargas de trabalho de execução.

compute.routers.create

gerenciamento de recurso de rede. Se você usar uma VPC gerenciada pelo cliente, essa permissão não estará na função personalizada que o Databricks concede à account de serviço.

gerenciamento do recurso Google clouds compute Engine (GCE) para cargas de trabalho de execução.

compute.routers.delete

gerenciamento de recurso de rede. Se você usar uma VPC gerenciada pelo cliente, essa permissão não estará na função personalizada que o Databricks concede à account de serviço.

gerenciamento do recurso Google clouds compute Engine (GCE) para cargas de trabalho de execução.

compute.routers.get

gerenciamento de recurso de rede.

gerenciamento do recurso Google clouds compute Engine (GCE) para cargas de trabalho de execução.

compute.routers.update

gerenciamento de recurso de rede. Se você usar uma VPC gerenciada pelo cliente, essa permissão não estará na função personalizada que o Databricks concede à account de serviço.

gerenciamento do recurso Google clouds compute Engine (GCE) para cargas de trabalho de execução.

compute.routers.use

gerenciamento de recurso de rede.

gerenciamento do recurso Google clouds compute Engine (GCE) para cargas de trabalho de execução.

compute.subnetworks.create

gerenciamento de recurso de rede. Se você usar uma VPC gerenciada pelo cliente, essa permissão não estará na função personalizada que o Databricks concede à account de serviço.

gerenciamento do recurso Google clouds compute Engine (GCE) para cargas de trabalho de execução.

compute.subnetworks.delete

gerenciamento de recurso de rede. Se você usar uma VPC gerenciada pelo cliente, essa permissão não estará na função personalizada que o Databricks concede à account de serviço.

gerenciamento do recurso Google clouds compute Engine (GCE) para cargas de trabalho de execução.

compute.subnetworks.expandIpCidrRange

gerenciamento de recurso de rede. Se você usar uma VPC gerenciada pelo cliente, essa permissão não estará na função personalizada que o Databricks concede à account de serviço.

gerenciamento do recurso Google clouds compute Engine (GCE) para cargas de trabalho de execução.

compute.subnetworks.get

gerenciamento de recurso de rede.

gerenciamento do recurso Google clouds compute Engine (GCE) para cargas de trabalho de execução.

compute.subnetworks.getIamPolicy

gerenciamento de recurso de rede.

gerenciamento do recurso Google clouds compute Engine (GCE) para cargas de trabalho de execução.

compute.subnetworks.setIamPolicy

gerenciamento de recurso de rede. Se você usar uma VPC gerenciada pelo cliente, essa permissão não estará na função personalizada que o Databricks concede à account de serviço.

gerenciamento do recurso Google clouds compute Engine (GCE) para cargas de trabalho de execução.

compute.subnetworks.setPrivateIpGoogleAccess

gerenciamento de recurso de rede. Se você usar uma VPC gerenciada pelo cliente, essa permissão não estará na função personalizada que o Databricks concede à account de serviço.

gerenciamento do recurso Google clouds compute Engine (GCE) para cargas de trabalho de execução.

compute.subnetworks.update

gerenciamento de recurso de rede. Se você usar uma VPC gerenciada pelo cliente, essa permissão não estará na função personalizada que o Databricks concede à account de serviço.

gerenciamento do recurso Google clouds compute Engine (GCE) para cargas de trabalho de execução.

compute.subnetworks.use

gerenciamento de recurso de rede.

gerenciamento do recurso Google clouds compute Engine (GCE) para cargas de trabalho de execução.

compute.subnetworks.useExternalIp

gerenciamento de recurso de rede.

gerenciamento do recurso Google clouds compute Engine (GCE) para cargas de trabalho de execução.

container.clusterRoleBindings.create

Crie vinculações de função clusters .

Gerenciar clusters GKE para executar cargas de trabalho do Databricks.

container.clusterRoleBindings.get

Obtenha vinculações de funções clusters .

Gerenciar clusters GKE para executar cargas de trabalho do Databricks.

container.clusterRoles.bind

Vincule vinculações de função clusters .

Gerenciar clusters GKE para executar cargas de trabalho do Databricks.

container.clusterRoles.create

Crie funções clusters .

Gerenciar clusters GKE para executar cargas de trabalho do Databricks.

container.clusterRoles.get

Obtenha funções clusters .

Gerenciar clusters GKE para executar cargas de trabalho do Databricks.

container.clusters.create

Crie funções clusters .

Gerenciar clusters GKE para executar cargas de trabalho do Databricks.

container.clusters.delete

Exclua funções clusters .

Gerenciar clusters GKE para executar cargas de trabalho do Databricks.

container.clusters.get

Obtenha clusters.

Gerenciar clusters GKE para executar cargas de trabalho do Databricks.

container.clusters.getCredentials

Obtenha credenciais clusters .

Gerenciar clusters GKE para executar cargas de trabalho do Databricks.

container.clusters.list

Listar clusters.

Gerenciar clusters GKE para executar cargas de trabalho do Databricks.

container.clusters.update

Atualizar clusters.

Gerenciar clusters GKE para executar cargas de trabalho do Databricks.

container.configMaps.create

Crie configMaps.

Gerenciar clusters GKE para executar cargas de trabalho do Databricks.

container.configMaps.get

Obtenha configMaps.

Gerenciar clusters GKE para executar cargas de trabalho do Databricks.

container.configMaps.update

Atualize configMaps.

Gerenciar clusters GKE para executar cargas de trabalho do Databricks.

container.customResourceDefinitions.create

Crie definições de recursos customizados.

Gerenciar clusters GKE para executar cargas de trabalho do Databricks.

container.customResourceDefinitions.get

Obtenha definições de recursos personalizados.

Gerenciar clusters GKE para executar cargas de trabalho do Databricks.

container.customResourceDefinitions.update

Atualizar definições de recursos customizados.

Gerenciar clusters GKE para executar cargas de trabalho do Databricks.

container.daemonSets.create

Crie conjuntos de daemons.

Gerenciar clusters GKE para executar cargas de trabalho do Databricks.

container.daemonSets.get

Obtenha conjuntos de daemons.

Gerenciar clusters GKE para executar cargas de trabalho do Databricks.

container.daemonSets.update

Atualize conjuntos de daemons.

Gerenciar clusters GKE para executar cargas de trabalho do Databricks.

container.deployments.create

Crie implantações.

Gerenciar clusters GKE para executar cargas de trabalho do Databricks.

container.deployments.get

Obtenha implantações.

Gerenciar clusters GKE para executar cargas de trabalho do Databricks.

container.deployments.update

Atualize implantações.

Gerenciar clusters GKE para executar cargas de trabalho do Databricks.

container.jobs.create

Criar Job.

Gerenciar clusters GKE para executar cargas de trabalho do Databricks.

container.jobs.get

Obtenha Job.

Gerenciar clusters GKE para executar cargas de trabalho do Databricks.

container.jobs.update

Atualizar Job.

Gerenciar clusters GKE para executar cargas de trabalho do Databricks.

container.namespaces.create

Crie um espaço para nome.

Gerenciar clusters GKE para executar cargas de trabalho do Databricks.

container.namespaces.get

Obtenha o espaço para nome.

Gerenciar clusters GKE para executar cargas de trabalho do Databricks.

container.namespaces.list

Listar namespaces.

Gerenciar clusters GKE para executar cargas de trabalho do Databricks.

container.operations.get

Obtenha operações.

Gerenciar clusters GKE para executar cargas de trabalho do Databricks.

container.pods.get

Obtenha vagens.

Gerenciar clusters GKE para executar cargas de trabalho do Databricks.

container.pods.getLogs

Obtenha logs de pod.

Gerenciar clusters GKE para executar cargas de trabalho do Databricks.

container.pods.list

Listar pods.

Gerenciar clusters GKE para executar cargas de trabalho do Databricks.

container.roleBindings.create

Crie vinculações de função.

Gerenciar clusters GKE para executar cargas de trabalho do Databricks.

container.roleBindings.get

Obtenha vinculações de função.

Gerenciar clusters GKE para executar cargas de trabalho do Databricks.

container.roles.bind

Vincule funções.

Gerenciar clusters GKE para executar cargas de trabalho do Databricks.

container.roles.create

Crie funções.

Gerenciar clusters GKE para executar cargas de trabalho do Databricks.

container.roles.get

Obtenha papéis.

Gerenciar clusters GKE para executar cargas de trabalho do Databricks.

container.secrets.create

Crie segredo.

Gerenciar clusters GKE para executar cargas de trabalho do Databricks.

container.secrets.get

Obtenha um segredo.

Gerenciar clusters GKE para executar cargas de trabalho do Databricks.

container.secrets.update

Atualize um segredo.

Gerenciar clusters GKE para executar cargas de trabalho do Databricks.

container.serviceAccounts.create

Crie uma account de serviço.

Gerenciar clusters GKE para executar cargas de trabalho do Databricks.

container.serviceAccounts.get

Obtenha uma account de serviço.

Gerenciar clusters GKE para executar cargas de trabalho do Databricks.

container.services.create

Crie um serviço.

Gerenciar clusters GKE para executar cargas de trabalho do Databricks.

container.services.get

Obtenha um serviço.

Gerenciar clusters GKE para executar cargas de trabalho do Databricks.

container.thirdPartyObjects.create

Crie um objeto de terceiros.

Gerenciar clusters GKE para executar cargas de trabalho do Databricks.

container.thirdPartyObjects.delete

Exclua um objeto de terceiros.

Gerenciar clusters GKE para executar cargas de trabalho do Databricks.

container.thirdPartyObjects.get

Obtenha um objeto de terceiros.

Gerenciar clusters GKE para executar cargas de trabalho do Databricks.

container.thirdPartyObjects.list

Liste objetos de terceiros.

Gerenciar clusters GKE para executar cargas de trabalho do Databricks.

container.thirdPartyObjects.update

Atualize um objeto de terceiros.

Gerenciar clusters GKE para executar cargas de trabalho do Databricks.

iam.serviceAccounts.getIamPolicy

Inspecione account de serviço ou vincule-a a clusters.

Configure a identidade da carga de trabalho do GKE para que a clustersde serviço de um account acesse seus dados.

iam.serviceAccounts.setIamPolicy

Inspecione account de serviço ou vincule-a a clusters.

Configure a identidade da carga de trabalho do GKE para que a clustersde serviço de um account acesse seus dados.

resourcemanager.projects.get

Converta o ID do projeto do cliente em um número de projeto.

Valide o status do projeto, como se o projeto está ativo e se a account de serviço do workspace tem permissões suficientes.

resourcemanager.projects.getIamPolicy

Verifique se a política IAM do projeto está configurada corretamente.

Valide o status do projeto, como se o projeto está ativo e se a account de serviço do workspace tem permissões suficientes.

storage.buckets.create

Crie um balde.

Isso é necessário para criar e gerenciar buckets do GCS para DBFS.

storage.buckets.delete

Exclua um bucket.

Isso é necessário para criar e gerenciar buckets do GCS para DBFS.

storage.buckets.get

Pegue um balde.

Isso é necessário para criar e gerenciar buckets do GCS para DBFS.

storage.buckets.getIamPolicy

Obtenha a política IAM de armazenamento.

Isso é necessário para criar e gerenciar buckets do GCS para DBFS.

storage.buckets.list

Listar intervalos.

Isso é necessário para criar e gerenciar buckets do GCS para DBFS.

storage.buckets.setIamPolicy

Defina a política de armazenamento IAM.

Isso é necessário para criar e gerenciar buckets do GCS para DBFS.

storage.buckets.update

Atualize a política do IAM de armazenamento.

Isso é necessário para criar e gerenciar buckets do GCS para DBFS.

storage.objects.create

Crie um objeto de armazenamento.

Ler e gravar objetos DBFS .

storage.objects.delete

Exclua o objeto de armazenamento.

Ler e gravar objetos DBFS .

storage.objects.get

Obtenha um objeto de armazenamento.

Ler e gravar objetos DBFS .

storage.objects.list

Listar objetos de armazenamento.

Ler e gravar objetos DBFS .

storage.objects.update

Atualize um objeto de armazenamento.

Ler e gravar objetos DBFS .