Configurar e usar a autenticação do Google Cloud ID
Siga os passos deste artigo para autenticar do clouds serviço de do Google account para automatizar sua account e do Databricks.workspace
de clouds serviço de do Google account é um tipo especial de do Google,clouds account normalmente usada por um aplicativo, e não por uma pessoa. Uma account de serviço é identificada pelo seu endereço email , que é exclusivo da account. Consulte Visão geral das contas de serviço.
Observação
A conta do Google cloud serviço é diferente da Databricks entidade de serviço. A escolha de usar um serviço do Google cloud account ou uma entidade de serviço Databricks pode depender das preferências ou políticas de segurança de sua organização. Para saber como usar a Databricks entidade de serviço para autenticação Databricks em vez da conta de serviço do Google cloud, consulte gerenciar entidade de serviço.
O Databricks fornece duas abordagens para autenticar de clouds serviço de account do Google com o Databricks:
clouds Autenticação de ID do Google, que usa o clouds endereço de uma de serviço do Google account email para autenticação. Este artigo descreve como usar o clouds endereço de uma de serviço do Google account email para autenticação. Consulte também Autenticação de ID clouds do Google.
Autenticação de credenciais do Google cloud, que usa pares Google-gerenciar key para autenticação. Para obter mais informações, consulte Configurar e usar a autenticação de credenciais do Google cloud . Consulte também Credenciais da conta de serviço e Autenticação de credenciais do Google Cloud.
Este artigo demonstra como configurar e usar a autenticação de ID clouds do Google da seguinte maneira:
Crie uma de clouds serviço do account Google.
Atribua sua de clouds serviço do Google account à sua do Databricks account e a um workspace do Databricks nessa account.
Instale a clouds interface de linha de comando do Google (CLI clouds do Google ) e autorize a CLI do Google clouds a usar seu login para representar a do clouds serviço de do account Google.
Instale a CLI do Databricks em sua máquina de desenvolvimento local e, em seguida, configure a CLI do Databricks para autenticação de ID clouds do Google.
comando de execução com a CLI do Databricks para automatizar sua account e workspace do Databricks usando a autenticação de ID clouds do Google, ou ambos.
Requisitos
Para criar uma de clouds serviço do account Google, você deve ter a Criar de serviço account IAM role para seu projeto do Google. Consulte Funções necessárias.
Para atribuir um serviço do Google cloud account ao seu Databricks account, o senhor deve ser um administrador desse account. Consulte Atribuir funções de administrador de conta a um usuário.
Para atribuir um serviço do Google cloud account ao seu Databricks workspace, o senhor deve ser um administrador desse workspace. Consulte Atribuir a função de administrador do workspace a um usuário usando a página de configurações de administrador do workspace .
o passo 1: Crie uma conta de serviço clouds do Google
Nesta etapa, você cria uma de clouds serviço do Google account para seu projeto de destino do Google no clouds console do Google.
Faça login no console clouds do Google.
Se você tiver acesso a vários projetos, mude para o projeto de destino. Para fazer isso, na barra de navegação superior, ao lado do logotipo clouds do Google, clique no seletor de projetos. Em seguida, selecione o nome do projeto na lista.
Em Buscar (/) por recurso, docs, produto, e mais, procure e selecione accountde serviço.
Clique em + Criar accountde serviço.
Na seção Detalhes account de serviço , em Nome account serviço, insira um nome exclusivo para a account de serviço que seja fácil de lembrar.
Anote o endereçoemail abaixo da caixa ID account de serviço , pois você precisará dele nas etapas 2, 3, 4, 5 e 7. Será algo parecido com o seguinte:
<your-service-account-name>@<your-project-name>.iam.gserviceaccount.com
Opcionalmente, em Service account description, insira uma descrição significativa sobre a conta de serviço.
Clique em Criar e continuar.
Clique em Concluído.
o passo 2: Atribua sua conta de serviço clouds do Google à sua conta do Databricks
Nesta etapa, você concede à sua de clouds serviço do Google account acesso à sua do account Databricks. Se você não quiser conceder à sua account de serviço acesso à sua account do Databricks, vá para a etapa 3.
Em seu workspace do Databricks, clique em seu nome de usuário na barra superior e clique em gerenciar account.
Como alternativa, acesse diretamente o console da sua account do Databricks, em https://accounts.gcp.databricks.com.
Faça login em sua account do Databricks, se solicitado.
Na barra lateral, clique em Gerenciamento de usuários.
Clique na Usuários tab.
Observação
Embora esta tab seja o rótulo Users, esta tab também funciona com account de serviço. O Databricks trata account de serviço como usuários na sua account do Databricks.
Clique em Adicionar usuário.
Em Email, insira o endereço de email que você copiou do passo 1 para sua account de serviço.
Para Nome e Sobrenome, insira algum texto significativo para ajudá-lo a pesquisar a account de serviço posteriormente. For example, for First name you could enter the Service account name from Step 1. Para Sobrenome, você pode inserir do clouds serviço do Google account.
Clique em Adicionar usuário. O Databricks adiciona a account de serviço como usuário à sua account do Databricks.
Atribua quaisquer permissões em nível de accountque você deseja que o usuário tenha:
Na Usuários tab, clique no nome do usuário. Se o nome de usuário não estiver visível, use Filtrar usuários para encontrá-lo.
Em Roles (Funções ) tab, alterne para ativar ou desativar cada função de destino que deseja que esse usuário tenha. Consulte Atribuir funções de administrador de conta a um usuário.
o passo 3: Atribua sua conta de serviço clouds do Google ao seu espaço de trabalho do Databricks
Nesta etapa, você concede à sua de clouds serviço do Google account acesso ao seu do workspace Databricks.
Se o seu site workspace estiver habilitado para federação de identidade, o senhor poderá usar o link para o seu site:
No site Databricks workspace, clique no seu nome de usuário na barra superior e clique em Settings (Configurações).
Clique em Usuários.
Observação
Embora esta tab seja o rótulo Users, esta tab também funciona com account de serviço. Databricks treats service accounts as users in your Databricks workspace.
Clique em Adicionar usuário.
Selecione o usuário no passo 2 e clique em Adicionar. A account de serviço é adicionada como um usuário no seu workspace do Databricks.
Atribua quaisquer permissões no nível workspaceque você deseja que o usuário tenha:
Na Usuários tab, clique no nome do usuário.
Na Direitos tab, marque ou desmarque para conceder ou revogar cada status de destino ou direito que você deseja que esse usuário tenha. For more information, see:
Vá para o passo 4.
Se o seu workspace não estiver habilitado para federação de identidades:
No site Databricks workspace, clique no seu nome de usuário na barra superior e clique em Settings (Configurações).
Clique em Usuários.
Observação
Embora esta tab seja o rótulo Users, esta tab também funciona com account de serviço. Databricks treats service accounts as users in your Databricks workspace.
Clique em Adicionar novo.
Para Novo e-mail de usuário, insira o endereço de e-mail que você copiou do passo 1 para sua account de serviço.
Clique em Adicionar. A account de serviço é adicionada como um usuário no seu workspace do Databricks.
Atribua quaisquer permissões no nível workspaceque você deseja que o usuário tenha:
Na Usuários tab, clique no nome do usuário.
Na Direitos tab, marque ou desmarque para conceder ou revogar cada status de destino ou direito que você deseja que esse usuário tenha. For more information, see:
o passo 4: Instale a CLI do Google clouds em sua máquina de desenvolvimento local
Instale a CLI do Google clouds seguindo as instruções em Instalar a CLI gcloud.
o passo 5: Representar a conta de serviço clouds do Google
Nesta etapa, você usa seu login do Google clouds para automatizar o Databricks por meio de sua de clouds serviço do account Google, usando uma técnica chamada personificação. Para obter mais informações, consulte Representação de conta de serviço.
Para personificar a account de serviço, você deve conceder ao usuário do Google clouds permissões para personificar account de serviço. Em seguida, você inicia a representação por meio da CLI do Google clouds .
Dê ao seu usuário do Google clouds permissões para se passar por account de serviço: no console do Google clouds no qual você fez login a partir do passo 1, em Pesquisar (/) por recurso, docs, produto, e mais, pesquise e selecione IAM.
Na Permissões tab, na view principais tab, clique em Conceder acesso.
For New Principals, enter and select your Google Cloud username. (Não insira o clouds accountnome da sua de serviço do Google aqui.)
Clique em Selecionar uma função e insira e selecione
Service Account Token Creator
.Clique em Adicionar outra função.
Clique em Selecionar uma função e insira e selecione
Service Account User
.Clique em account tokens Criador de serviço.
Clique em Salvar.
Inicie a representação: use a CLI do Google clouds para executar o comando a seguir, substituindo
<your-service-account-name>@<your-project-name>.iam.gserviceaccount.com
pelo endereçoemail que você copiou da etapa 1 para sua account de serviço.gcloud auth login --impersonate-service-account=<your-service-account-name>@<your-project-name>.iam.gserviceaccount.com
No seu navegador da web, faça login com sua de clouds usuário do Google account seguindo as instruções de login na tela.
o passo 6: Instale a CLI do Databricks em sua máquina de desenvolvimento local
Nesta etapa, você instala a CLI do Databricks para poder usá-la para executar comandos que automatizam sua account e workspace do Databricks.
Dica
Você também pode usar o provedor Databricks Terraform ou o SDK do Databricks para Go junto com a autenticação de ID clouds do Google para automatizar sua account e workspace do Databricks executando o código HCL ou Go. See the Databricks SDK for Go and Google Cloud ID authentication.
Se ainda não estiver instalado, instale a CLI do Databricks da seguinte maneira:
Use o Homebrew para instalar a CLI do Databricks executando os dois comandos a seguir:
brew tap databricks/tap brew install databricks
Você pode usar winget, Chocolatey ou Windows Subsystem for Linux (WSL) para instalar a CLI do Databricks. Se você não puder usar
winget
, Chocolatey ou WSL, ignore este procedimento e use o prompt de comando ou o PowerShell para instalar a CLI do Databricks a partir da origem .Observação
Instalar a CLI do Databricks com Chocolatey é experimental.
Para usar
winget
para instalar a CLI do Databricks, execute os dois comandos a seguir e reinicie o prompt de comando:winget search databricks winget install Databricks.DatabricksCLI
Para usar o Chocolatey para instalar a CLI do Databricks, execute o seguinte comando:
choco install databricks-cli
Para usar WSL para instalar a CLI do Databricks:
Instale
curl
ezip
por meio do WSL. Para mais informações, consulte a documentação do seu sistema operacional.Use WSL para instalar a CLI do Databricks executando o seguinte comando:
curl -fsSL https://raw.githubusercontent.com/databricks/setup-cli/main/install.sh | sh
Confirme se a CLI do Databricks está instalada executando o comando a seguir, que exibe a versão atual da CLI do Databricks instalada. Esta versão deve ser 0.205.0 ou acima:
databricks -v
Observação
Se você executar
databricks
mas obtiver um erro comocommand not found: databricks
, ou se executardatabricks -v
e um número de versão 0,18 ou abaixo estiver listado, isso significa que sua máquina não consegue encontrar a versão correta do executável da CLI do Databricks. Para corrigir isso, consulte Verifique a instalação da CLI.
o passo 7: Configurar a CLI do Databricks para autenticação de ID clouds do Google
Nesta etapa, você configura a CLI do Databricks para usar a clouds autenticação de ID do Google para Databricks usando o clouds accountnome da sua de serviço de do Google. Para fazer isso, você cria um arquivo com um nome de arquivo default e em um local default que a CLI do Databricks espera encontrar as configurações de autenticação necessárias.
Com seu editor de texto favorito, crie um arquivo local chamado
.databrickscfg
no diretório inicial do usuário, caso ele ainda não exista. Para Linux e macOS, o diretório inicial do usuário é~
. Para Windows, o diretório inicial do usuário é%USERPROFILE%
.Insira o seguinte conteúdo no arquivo
.databrickscfg
. Neste conteúdo, substitua os seguintes valores:Substitua
<account-console-url>
pela URL do console da suaaccount do Databricks, como https://accounts.gcp.databricks.com.Substitua
<account-id>
pelo seu Databricks account ID. Consulte Localizar o ID de sua conta.Substitua
<google-cloud-service-account-email-address>
pelo endereçoemail que você copiou da etapa 1 da sua account de serviço.Substitua
<workspace-url>
pelo URL da instância do seu espaço de trabalho, por exemplohttps://1234567890123456.7.gcp.databricks.com
.Você pode substituir os nomes de perfil de configuração sugeridos
GCP_ID_ACCOUNT
eGCP_ID_WORKSPACE
por nomes de perfil de configuração diferentes, se desejar. Esses nomes específicos não são obrigatórios.
Se não quiser executar account-level operações, o senhor pode omitir a seção
[GCP_ID_ACCOUNT]
no conteúdo a seguir.[GCP_ID_ACCOUNT] host = <account-console-url> account_id = <account-id> google_service_account = <google-cloud-service-account-email-address> [GCP_ID_WORKSPACE] host = <workspace-url> google_service_account = <google-cloud-service-account-email-address>
o passo 8: execução de um comando em nível de conta com a CLI do Databricks
Nesta etapa, você usa a CLI do Databricks e a autenticação do Google clouds ID para executar um comando que automatiza a account do Databricks que foi configurada na etapa 7. This step assumes that your Google Cloud user account is currently impersonating the service account as described previously in Step 5.
Se você não deseja executar o comando account-level, vá para a etapa 9.
Com o terminal ou prompt de comando ainda aberto a partir da etapa 6, execute o seguinte comando para listar todos os usuários disponíveis em sua account do Databricks. Se você renomeou GCP_ID_ACCOUNT
na etapa 7, certifique-se de substituí-lo aqui.
databricks account users list -p GCP_ID_ACCOUNT
o passo 9: execução de um comando em nível de espaço de trabalho com a CLI do Databricks
In this step, you use the Databricks CLI and Google Cloud credentials authentication to run a command that automates the Databricks account that was configured in Step 7. Esta etapa pressupõe que sua de clouds usuário account do Google está atualmente representando a de serviço account conforme descrito anteriormente na etapa 5.
Com o terminal ou prompt de comando ainda aberto a partir da etapa 6, execute o seguinte comando para listar todos os usuários disponíveis em seu espaço de trabalho do Databricks. Se você renomeou GCP_ID_WORKSPACE
na etapa 7, certifique-se de substituí-lo aqui.
databricks users list -p GCP_ID_WORKSPACE
o passo 10: Limpar
Este passo é opcional. Se você não quiser mais continuar usando a de clouds serviço do Google account que criou para estes artigos, esta etapa descreve como excluir a de serviço account do seu projeto do Google e da sua e do Databricks.account workspace
Exclua a conta de serviço do seu projeto do Google
No console do Google clouds em que você fez login a partir do passo 1, em Pesquisar (/) por recurso, docs, produto e mais, pesquise e selecione accountde serviço.
Na linha do nome da sua accountde serviço, clique nas reticências. Se o nome da sua accountde serviço não estiver visível, use Insira o nome ou valor da propriedade para encontrá-lo.
Clique em Excluir.
Na caixa de diálogo de confirmação, clique em Excluir.
Exclua a conta de serviço da sua conta do Databricks
Na sua account do Databricks, na barra lateral, clique em Gerenciamento de usuários.
Clique na Usuários tab.
Clique no nome da account de serviço que você adicionou na etapa 2. Se o nome da accountde serviço não estiver visível, use Filtrar usuários para localizá-lo.
Clique no botão de reticências e, em seguida, clique em Excluir usuário.
Clique em Confirmar exclusão.
Exclua a conta de serviço do seu workspace do Databricks
No site Databricks workspace, clique no seu nome de usuário na barra superior e clique em Settings (Configurações).
Clique na Usuário tab.
Clique no nome da account de serviço que você adicionou na etapa 3. Se o nome da accountde serviço não estiver visível, use Filtrar usuários para localizá-lo.
Clique em Remover usuário.
Na caixa de diálogo de confirmação, clique em Excluir.