Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Auf dieser Seite wird beschrieben, wie Berechtigungen für Benutzer, Dienstprinzipale und Gruppen verwaltet werden.
Übersicht über Berechtigungen
Eine Berechtigung ist eine Eigenschaft, die einem Benutzer, einem Dienstprinzipal oder einer Gruppe die Interaktion mit Azure Databricks auf eine bestimmte Weise gestattet. Berechtigungen werden Benutzern auf Arbeitsbereichsebene zugewiesen. Berechtigungen sind nur im Premium-Plan verfügbar.
Zugriffsberechtigungen
Jede Zugriffsberechtigung gewährt einem Benutzer Zugriff auf einen bestimmten Satz von Features im Arbeitsbereich:
- Verbraucherzugriff: Gewährt Zugriff auf eine vereinfachte Umgebung zum Anzeigen von Dashboards, Genie-Räumen und Databricks-Apps, die für sie freigegeben wurden. Siehe Was ist der Verbraucherzugriff?.
- Sql-Zugriff auf Databricks: Gewährt Zugriff auf Sql-Features von Databricks, einschließlich Dashboards, Abfragen und SQL-Warehouses. Siehe wie Sie Databricks SQL verwenden.
- Arbeitsbereichszugriff: Gewährt Zugriff auf kerne Arbeitsbereichsfeatures wie Notizbücher, Aufträge, Modelle und Pipelines in den Bereichen Data Science & Engineering und Databricks Mosaik AI. Siehe Data Engineering mit Databricks und KI und maschinellem Lernen auf Databricks.
Die folgende Tabelle zeigt, welche Funktionen mit jeder Zugriffsberechtigung gewährt werden:
| Fähigkeit | Verbraucherzugriff | Databricks SQL-Zugriff | Arbeitsbereichszugriff |
|---|---|---|---|
| Lesen/Ausführen von gemeinsamen Dashboards, Genie Spaces und Datenbausteine Apps | ✓ | ✓ | ✓ |
| Abfragen von SQL-Lagerhäusern mit BI-Tools | ✓ | ✓ | |
| Datenbausteine SQL-Objekte lesen/schreiben | ✓ | ||
| Lesen/Schreiben Data Science & Technische Objekte | ✓ | ||
| Lese-/Schreibzugriff auf Databricks Mosaic AI-Objekte | ✓ |
Um auf einen Azure Databricks-Arbeitsbereich zuzugreifen, muss ein Benutzer über mindestens eine Zugriffsberechtigung verfügen.
Verbraucherzugriff im Vergleich zu Kontobenutzern
In der vorherigen Tabelle sind Zugriffsberechtigungen in einem Arbeitsbereich zusammengefasst. In der folgenden Tabelle werden die Funktionen für Arbeitsbereichsbenutzer mit Verbraucherzugriff im Vergleich zu Kontobenutzern ohne Arbeitsbereichsmitgliedschaft verglichen.
| Fähigkeit | Verbraucherzugriff auf einen Arbeitsbereich | Kontobenutzer ohne Arbeitsbereichsmitgliedschaft |
|---|---|---|
| Dashboards ansehen unter Verwendung von freigegebenen Datenberechtigungen | ✓ | ✓ |
| Dashboards anzeigen mit Nutzeranmeldeinformationen | ✓ | ✓ |
| Freigegebene Genie-Räume und Databricks-Apps anzeigen | ✓ | |
| Objekte mit Zeilen- und Spaltenebenen-Sicherheit anzeigen | ✓ | ✓ |
| Zugriff auf die begrenzte Benutzeroberfläche des Arbeitsbereichs | ✓ | |
| Abfragen von SQL-Lagerhäusern mit BI-Tools | ✓ |
Berechnen von Berechtigungen
Die Berechtigung " Uneingeschränkte Clustererstellung zulassen " und " Berechtigungen zum Erstellen von Pools zulassen " steuern die Möglichkeit, Computeressourcen in einem Arbeitsbereich bereitzustellen. Arbeitsbereichsadministratoren erhalten diese Berechtigungen standardmäßig, und sie können nicht entfernt werden. Benutzern ohne Administratorrechte werden diese nur gewährt, wenn sie explizit zugewiesen sind.
Die Erlaubnis zur uneingeschränkten Clustererstellung gibt Benutzern oder Dienstprinzipalen die Berechtigung, uneingeschränkte Cluster zu erstellen.
Die Aktivierung der Pool-Erstellung ermöglicht die Erstellung von Instanzenpools. Sie kann nur Gruppen erteilt werden.
Diese Berechtigung wird nur dann in der Benutzeroberfläche der Administratoreinstellungen angezeigt, wenn eine Gruppe sie bereits besitzt. Sie können sie mithilfe der Benutzeroberfläche für jede Gruppe außer der
adminsGruppe entfernen, in der sie nicht entfernt werden kann. Verwenden Sie die API, um sie einer Gruppe zuzuweisen. Siehe Verwalten von Berechtigungen mithilfe der API.
Standardberechtigungen
Einige Berechtigungen werden bestimmten Benutzern und Gruppen automatisch gewährt:
Arbeitsbereichsadministratoren erhalten immer die folgenden Berechtigungen, und sie können nicht entfernt werden:
- Arbeitsbereichszugriff
- Zulassen der unbeschränkten Clustererstellung
- Poolerstellung zulassen
Admins werden auch gewährt Datenbausteine SQL-Zugang standardmäßig, kann aber entfernt werden. Da Verwalteren jedoch die Berechtigungsverwaltung behalten, können sie den Prozess jederzeit neu zuweisen.
Arbeitsbereichsbenutzern wird standardmäßig über ihre Mitgliedschaft in der Gruppe der Arbeitsbereichszugriff und
usersgewährt. Alle Arbeitsbereichsbenutzer und Dienstprinzipale werden dieser Gruppe automatisch hinzugefügt.Die Standardberechtigungen für die
usersGruppe wirken sich darauf aus, wie Sie Berechtigungen zuweisen oder einschränken. Um die Benutzerzugriffserfahrung bereitzustellen, müssen Sie die Standardberechtigungen aus derusersGruppe (und deraccount usersGruppe, falls zutreffend) entfernen und bestimmte Benutzer, Dienstprinzipale oder Gruppen einzeln berechtigungen zuweisen. Siehe Klonen einer Arbeitsbereichsgruppe in eine neue Kontengruppe.
Verwalten von Berechtigungen mithilfe der Seite "Arbeitsbereichsadministratoreinstellungen"
Arbeitsbereichsadministratoren können Berechtigungen für Benutzer, Dienstprinzipale und Gruppen mithilfe der Seite "Arbeitsbereichsadministratoreinstellungen" verwalten.
- Melden Sie sich als Arbeitsbereichsadministrator beim Azure Databricks-Arbeitsbereich an.
- Klicken Sie in der oberen Leiste auf Ihren Benutzernamen, und wählen Sie "Einstellungen" aus.
- Klicken Sie auf die Registerkarte "Identität und Zugriff ".
- Je nachdem, was Sie verwalten möchten, klicken Sie neben "Benutzer", "Dienstprinzipale" oder "Gruppen" auf "Verwalten".
- Wählen Sie den Benutzer, den Dienstprinzipal oder die Gruppe aus, die Sie aktualisieren möchten.
- Klicken Sie für Benutzer und Gruppen auf die Registerkarte "Berechtigungen ". Für Dienstprinzipale werden Berechtigungskontrollkästchen direkt angezeigt.
- Um eine Berechtigung zu gewähren, wählen Sie den Umschalter neben der Berechtigung aus.
Um eine Berechtigung zu entfernen, deaktivieren Sie den Schalter.
Wenn eine Berechtigung von einer Gruppe weitergegeben wird, erscheint das Kästchen ausgewählt, ist aber ausgeblendet. Mit den folgenden Optionen können Sie eine weitergegebene Berechtigung entfernen:
- Entfernen Sie den Benutzer oder das Dienstprinzipal aus der Gruppe, die die Berechtigung besitzt, oder
- Entfernen Sie die Berechtigung aus der Gruppe selbst.
Das Entfernen einer Gruppenberechtigung wirkt sich auf alle Mitglieder dieser Gruppe aus, es sei denn, sie erhalten die Berechtigung einzeln oder über eine andere Gruppe.
Verwalten von Berechtigungen mithilfe der API
Sie können Berechtigungen für Benutzer, Dienstprinzipale und Gruppen mithilfe der folgenden APIs verwalten:
In der folgenden Tabelle sind die einzelnen Berechtigungen und der entsprechende API-Name aufgeführt:
| Name der Berechtigung | Name der Berechtigungs-API |
|---|---|
| Verbraucherzugriff | workspace-consume |
| Arbeitsbereichszugriff | workspace-access |
| Databricks SQL-Zugriff | databricks-sql-access |
| Zulassen der unbeschränkten Clustererstellung | allow-cluster-create |
| Poolerstellung zulassen | allow-instance-pool-create |
So weisen Sie beispielsweise die allow-instance-pool-create Berechtigung einer Gruppe mithilfe der API zu:
curl --netrc -X PATCH \
https://<databricks-instance>/api/2.0/preview/scim/v2/Groups/<group-id> \
--header 'Content-type: application/scim+json' \
--data @update-group.json \
| jq .
update-group.json:
{
"schemas": ["urn:ietf:params:scim:api:messages:2.0:PatchOp"],
"Operations": [
{
"op": "add",
"path": "entitlements",
"value": [
{
"value": "allow-instance-pool-create"
}
]
}
]
}