Gérer les droits d’utilisation

Cette page explique comment gérer les droits des utilisateurs, des principaux de service et des groupes.

Vue d’ensemble des droits d’utilisation

Un droit est une propriété qui permet à un utilisateur, un principal de service ou un groupe d’interagir avec Azure Databricks de manière spécifiée. Les droits sont attribués aux utilisateurs au niveau de l’espace de travail. Les droit d’utilisation sont disponibles uniquement dans le plan Premium.

Droits d’accès

Chaque droit d’accès accorde à un utilisateur l’accès à un ensemble spécifique de fonctionnalités dans l’espace de travail :

Accès consommateur : accorde l’accès à un environnement simplifié pour l’affichage des tableaux de bord, des espaces Génie et des applications Databricks partagés avec eux. Voir Qu’est-ce que l’accès au consommateur ?.
Accès Databricks SQL : accorde l’accès aux fonctionnalités Databricks SQL, notamment les tableaux de bord, les requêtes et les entrepôts SQL. Découvrez comment utiliser Databricks SQL.
Accès à l’espace de travail : accorde l’accès aux principales fonctionnalités de l’espace de travail telles que les blocs-notes, les travaux, les modèles et les pipelines dans les zones IA Data Science &Engineering et Databricks Mosaic. Consultez l’ingénierie des données avec Databricks et l’IA et le Machine Learning sur Databricks.

Le tableau ci-dessous montre quelles fonctionnalités sont accordées avec chaque droit d’accès :

Capacité	Accès consommateur	Accès à Databricks SQL	Accès à l’espace de travail
Lire/exécuter des tableaux de bord partagés, des espaces Génie et des applications Databricks	✓	✓	✓
Interroger des entrepôts SQL à l’aide d’outils de business intelligence	✓	✓
Lire/écrire les objets SQL Databricks		✓
Lire/écrire les objets de science et d’ingénierie des données			✓
Lire/écrire les objets Databricks Mosaic AI			✓

Pour accéder à un espace de travail Azure Databricks, un utilisateur doit disposer d’au moins un droit d’accès.

Accès consommateur et utilisateurs de compte

Le tableau précédent récapitule les droits d’accès dans un espace de travail. Le tableau suivant compare les fonctionnalités disponibles pour les utilisateurs de l’espace de travail avec accès consommateur aux utilisateurs de compte qui ne sont pas membres de l’espace de travail.

Capacité	Accès consommateur à un espace de travail	Utilisateur de compte sans appartenance à l’espace de travail
Afficher les tableaux de bord à l’aide des autorisations de données partagées	✓	✓
Afficher les tableaux de bord à l’aide des identifiants du visualisateur	✓	✓
Afficher les espaces Genie partagés et les applications Databricks	✓
Afficher les objets à l’aide de la sécurité au niveau des lignes et des colonnes	✓	✓
Accès limité à l’interface utilisateur de l’espace de travail consommateur	✓
Interroger des entrepôts SQL à l’aide d’outils de business intelligence	✓

Droits d’utilisation de la capacité de calcul

La autorisation de création illimitée de clusters et autorisation de création de pool contrôlent la possibilité de provisionner des ressources de calcul dans un espace de travail. Les administrateurs de l’espace de travail reçoivent ces droits par défaut et ne peuvent pas être supprimés. Les utilisateurs non administrateurs ne se voient pas accorder ces derniers, sauf si cela leur est explicitement attribué.

Autoriser la création d’un cluster illimité accorde aux utilisateurs ou aux principaux de service l’autorisation de créer des clusters illimités.
Autoriser la création de pool active la création du pool d’instances. Elle ne peut être accordée qu’aux groupes.

Ce droit apparaît dans l’interface utilisateur des paramètres d’administration uniquement si un groupe l’a déjà. Vous pouvez la supprimer à l’aide de l’interface utilisateur pour n’importe quel groupe, à l’exception du admins groupe, où elle ne peut pas être supprimée. Pour l’affecter à un groupe, utilisez l’API. Consultez Gérer les droits à l’aide de l’API.

Droits par défaut

Certains droits sont accordés automatiquement aux utilisateurs et groupes spécifiques :

Les administrateurs d’espace de travail reçoivent toujours les droits suivants et ne peuvent pas être supprimés :
- Accès à l’espace de travail
- Autoriser la création de cluster sans restriction
- Autoriser la création d’un pool
Les administrateurs bénéficient également de l'accès SQL Databricks par défaut, mais cet accès peut être retiré. Toutefois, étant donné que les administrateurs conservent les autorisations de gestion des droits d’utilisation, ils peuvent les réaffecter à eux-mêmes à tout moment.
Les utilisateurs de l’espace de travail reçoivent l’accès à l’espace de travail et l’accès Databricks SQL par défaut par le biais de leur appartenance au users groupe. Tous les utilisateurs de l’espace de travail et les principaux de service sont automatiquement ajoutés à ce groupe.

Les droits par défaut sur le users groupe affectent la façon dont vous attribuez ou limitez les droits. Pour fournir l’expérience d’accès consommateur , vous devez supprimer les droits par défaut du users groupe (et le account users groupe, le cas échéant) et attribuer des droits individuellement à des utilisateurs, des principaux de service ou des groupes spécifiques. Veuillez consulter Cloner un groupe d’espaces de travail vers un nouveau groupe de comptes.

Gérer les droits à l’aide de la page des paramètres d’administration de l’espace de travail

Les administrateurs d’espace de travail peuvent gérer les droits des utilisateurs, des principaux de service et des groupes à l’aide de la page des paramètres d’administration de l’espace de travail.

En tant qu’administrateur d’espace de travail, connectez-vous à l’espace de travail Azure Databricks.
Cliquez sur votre nom d’utilisateur dans la barre supérieure, puis sélectionnez Paramètres.
Cliquez sur l’onglet Identité et accès .
Selon ce que vous souhaitez gérer, cliquez sur Gérer en regard des utilisateurs, des principaux de service ou des groupes.
Sélectionnez l’utilisateur, le principal de service ou le groupe que vous souhaitez mettre à jour.
Pour les utilisateurs et les groupes, cliquez sur l’onglet Autorisations. Pour les entités de service, les cases à cocher des autorisations sont affichées directement.
Pour accorder un droit d’utilisation, sélectionnez le bouton bascule en regard du droit d’utilisation correspondant.

Pour supprimer un droit d’utilisation, désélectionnez le bouton bascule.

Si un droit d’utilisation est hérité d’un groupe, le bouton bascule apparaît comme sélectionné, mais est grisé. Pour supprimer un droit hérité, vous pouvez :

Supprimez l’utilisateur ou le principal de service du groupe disposant du droit ou
Supprimer le droit d’utilisation du groupe lui-même,

ce qui affecte tous les membres de ce groupe, sauf si les droits sont attribués individuellement ou via un autre groupe.

Gérer les droits à l’aide de l’API

Vous pouvez gérer les droits des utilisateurs, des principaux de service et des groupes à l’aide des API suivantes :

Le tableau ci-dessous répertorie chaque droit et son nom d’API correspondant :

Nom du droit d’utilisation	Nom de l’API du droit d’utilisation
Accès consommateur	`workspace-consume`
Accès à l’espace de travail	`workspace-access`
Accès à Databricks SQL	`databricks-sql-access`
Autoriser la création de cluster sans restriction	`allow-cluster-create`
Autoriser la création d’un pool	`allow-instance-pool-create`

Par exemple, pour attribuer le allow-instance-pool-create droit à un groupe à l’aide de l’API :

curl --netrc -X PATCH \
https://<databricks-instance>/api/2.0/preview/scim/v2/Groups/<group-id> \
--header 'Content-type: application/scim+json' \
--data @update-group.json \
| jq .

update-group.json :

{
  "schemas": ["urn:ietf:params:scim:api:messages:2.0:PatchOp"],
  "Operations": [
    {
      "op": "add",
      "path": "entitlements",
      "value": [
        {
          "value": "allow-instance-pool-create"
        }
      ]
    }
  ]
}

Commentaires

Cette page a-t-elle été utile ?

Last updated on 2025-12-17