Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Na tej stronie opisano sposób zarządzania uprawnieniami użytkowników, jednostek usługi i grup.
Omówienie uprawnień
Uprawnienie to właściwość, która umożliwia użytkownikowi, jednostce usługi lub grupie interakcję z usługą Azure Databricks w określony sposób. Uprawnienia są przypisywane do użytkowników na poziomie obszaru roboczego. Uprawnienia są dostępne tylko w planie Premium.
Uprawnienia dostępu
Każde uprawnienie dostępu udziela użytkownikowi dostępu do określonego zestawu funkcji w obszarze roboczym:
- Dostęp użytkownikom końcowym: udziela dostępu do uproszczonego środowiska do wyświetlania pulpitów nawigacyjnych, przestrzeni Genie i aplikacji Databricks udostępnionych im. Zobacz Co to jest dostęp konsumentów?.
- Dostęp do bazy danych SQL usługi Databricks: udziela dostępu do funkcji SQL usługi Databricks, w tym pulpitów nawigacyjnych, zapytań i magazynów SQL. Zobacz Jak używać usługi Databricks SQL.
- Dostęp do obszaru roboczego: Udziela dostępu do kluczowych funkcji obszarów roboczych, takich jak notesy, zadania, modele i potoki w obszarach Data Science & Engineering i Databricks Mosaic AI. Zobacz Inżynieria danych za pomocą usługi Databricks i sztucznej inteligencji oraz uczenia maszynowego w usłudze Databricks.
W poniższej tabeli pokazano, które możliwości są przyznawane z każdym uprawnieniem dostępu:
| Zdolność | Dostęp konsumentów | Dostęp do bazy danych SQL usługi Databricks | Dostęp do obszaru roboczego |
|---|---|---|---|
| Odczytywanie/uruchamianie udostępnionych pulpitów nawigacyjnych, przestrzeni Genie i aplikacji Databricks | ✓ | ✓ | ✓ |
| Wykonywanie zapytań względem magazynów SQL przy użyciu narzędzi analizy biznesowej | ✓ | ✓ | |
| Odczyt/zapis obiektów SQL usługi Databricks | ✓ | ||
| Odczytywanie/zapisywanie obiektów nauki o danych i inżynierii | ✓ | ||
| Odczyt/zapis obiektów Mosaic AI na platformie Databricks | ✓ |
Aby uzyskać dostęp do obszaru roboczego usługi Azure Databricks, użytkownik musi mieć co najmniej jedno uprawnienie dostępu.
Dostęp konsumentów a użytkownicy kont
W poprzedniej tabeli podsumowano uprawnienia dostępu w obszarze roboczym. W poniższej tabeli porównane są możliwości dostępne dla użytkowników obszaru roboczego z dostępem typu konsumenckiego z użytkownikami kont, którzy nie mają członkostwa w obszarze roboczym.
| Zdolność | Dostęp użytkownika do obszaru roboczego | Użytkownik konta bez członkostwa w workspace |
|---|---|---|
| Wyświetlanie pulpitów nawigacyjnych przy użyciu uprawnień udostępnionych danych | ✓ | ✓ |
| Wyświetlanie pulpitów nawigacyjnych używając poświadczeń widza | ✓ | ✓ |
| Przeglądaj udostępnione przestrzenie Genie i aplikacje Databricks | ✓ | |
| Wyświetlanie obiektów przy użyciu zabezpieczeń na poziomie wiersza i kolumny | ✓ | ✓ |
| Dostęp do ograniczonego interfejsu użytkownika obszaru roboczego użytkownika | ✓ | |
| Wykonywanie zapytań względem magazynów SQL przy użyciu narzędzi analizy biznesowej | ✓ |
Uprawnienia obliczeniowe
Uprawnienie Zezwalaj na nieograniczone tworzenie klastra i Zezwalaj na tworzenie puli kontroluje możliwość aprowizacji zasobów obliczeniowych w obszarze roboczym. Administratorzy obszaru roboczego domyślnie otrzymują te uprawnienia i nie można ich usunąć. Użytkownicy niebędący administratorami nie otrzymują ich, chyba że zostaną jawnie przypisani.
Zezwalaj na nieograniczone tworzenie klastra przyznaje użytkownikom lub jednostkom usługi uprawnienia do tworzenia klastrów bez ograniczeń.
Zezwalaj na tworzenie puli umożliwia tworzenie puli wystąpień. Można go udzielić tylko grupom.
To uprawnienie jest wyświetlane w interfejsie użytkownika ustawień administratora tylko wtedy, gdy grupa już ją ma. Można go usunąć przy użyciu interfejsu użytkownika dla dowolnej grupy z wyjątkiem
adminsgrupy, gdzie nie można go usunąć. Aby przypisać ją do grupy, użyj interfejsu API. Zobacz Zarządzanie uprawnieniami przy użyciu interfejsu API.
Domyślne uprawnienia
Niektóre uprawnienia są przyznawane automatycznie określonym użytkownikom i grupom:
Administratorzy obszaru roboczego zawsze otrzymują następujące uprawnienia i nie można ich usunąć:
- Dostęp do obszaru roboczego
- Zezwalaj na nieograniczone tworzenie klastra
- Zezwól na tworzenie puli
Administratorzy mają również domyślnie przyznawany dostęp do usługi Databricks SQL , ale można go usunąć. Jednak ze względu na to, że administratorzy zachowują uprawnienia do zarządzania uprawnieniami, mogą ponownie przypisać je do siebie w dowolnym momencie.
Użytkownicy obszaru roboczego mają domyślnie dostęp do obszaru roboczego i dostęp do Databricks SQL za pośrednictwem członkostwa w
usersgrupie. Wszyscy użytkownicy obszaru roboczego i podmioty usługowe są automatycznie dodawani do tej grupy.Domyślne uprawnienia w
usersgrupie mają wpływ na sposób przypisywania lub ograniczania uprawnień. Aby zapewnić środowisko dostępu konsumenta , musisz usunąć domyślne uprawnienia zusersgrupy (iaccount usersgrupy, jeśli ma to zastosowanie) i przypisać uprawnienia indywidualnie do określonych użytkowników, jednostek usługi lub grup. Zapoznaj się z Klonowaniem grupy obszarów roboczych do nowej grupy kont.
Zarządzanie uprawnieniami przy użyciu strony ustawień administratora obszaru roboczego
Administratorzy obszaru roboczego mogą zarządzać uprawnieniami użytkowników, jednostek usługi i grup przy użyciu strony ustawień administratora obszaru roboczego.
- Jako administrator obszaru roboczego zaloguj się do obszaru roboczego usługi Azure Databricks.
- Kliknij swoją nazwę użytkownika na górnym pasku i wybierz pozycję Ustawienia.
- Kliknij kartę Tożsamość i dostęp .
- W zależności od tego, co chcesz zarządzać, kliknij przycisk Zarządzaj obok pozycji Użytkownicy, jednostki usługi lub Grupy.
- Wybierz użytkownika, jednostkę usługi lub grupę, którą chcesz zaktualizować.
- W przypadku użytkowników i grup kliknij kartę Uprawnienia . W przypadku jednostek usługi pola wyboru uprawnień są wyświetlane bezpośrednio.
- Aby przyznać uprawnienie, wybierz przełącznik obok uprawnienia.
Aby usunąć uprawnienie, usuń zaznaczenie przełącznika.
Jeśli uprawnienie jest dziedziczone z grupy, przełącznik jest zaznaczony, ale nieaktywny. Aby usunąć dziedziczone uprawnienie, możesz wykonać jedno z poniższych działań:
- Usuń użytkownika lub jednostkę usługi z grupy, która ma uprawnienie, lub
- Usuń uprawnienie z samej grupy.
Usunięcie uprawnienia grupy wpływa na wszystkich członków tej grupy, chyba że przyznano im uprawnienie indywidualnie lub za pośrednictwem innej grupy.
Zarządzanie upoważnieniami przy użyciu interfejsu API
Uprawnieniami dla użytkowników, jednostek usługi i grup można zarządzać przy użyciu następujących interfejsów API:
- API użytkowników Workspace
- Interfejs API jednostek usługi obszaru roboczego
- Interfejs API grup przestrzeni roboczych
W poniższej tabeli wymieniono każde uprawnienie i odpowiadającą mu nazwę interfejsu API:
| Nazwa uprawnienia | Nazwa interfejsu API upoważnienia |
|---|---|
| Dostęp konsumentów | workspace-consume |
| Dostęp do obszaru roboczego | workspace-access |
| Dostęp do bazy danych SQL usługi Databricks | databricks-sql-access |
| Zezwalaj na nieograniczone tworzenie klastra | allow-cluster-create |
| Zezwól na tworzenie puli | allow-instance-pool-create |
Aby przypisać uprawnienie allow-instance-pool-create do grupy, na przykład przy użyciu API:
curl --netrc -X PATCH \
https://<databricks-instance>/api/2.0/preview/scim/v2/Groups/<group-id> \
--header 'Content-type: application/scim+json' \
--data @update-group.json \
| jq .
update-group.json:
{
"schemas": ["urn:ietf:params:scim:api:messages:2.0:PatchOp"],
"Operations": [
{
"op": "add",
"path": "entitlements",
"value": [
{
"value": "allow-instance-pool-create"
}
]
}
]
}