Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Esta página descreve como gerenciar direitos para usuários, entidades de serviço e grupos.
Visão geral de direitos
Um direito é uma propriedade que permite que um usuário, uma entidade de serviço ou um grupo interaja com o Azure Databricks de uma forma especificada. Os direitos são atribuídos aos usuários no nível do workspace. Os direitos estão disponíveis apenas no plano Premium.
Direitos de acesso
Cada direito de acesso concede a um usuário acesso a um conjunto específico de recursos no workspace:
- Acesso ao consumidor: concede acesso a um ambiente simplificado para exibir painéis, espaços do Genie e Aplicativos do Databricks compartilhados com eles. Veja o que é o acesso do consumidor?.
- Acesso ao SQL do Databricks: concede acesso aos recursos do Databricks SQL, incluindo painéis, consultas e sql warehouses. Veja como usar o SQL do Databricks.
- Acesso ao workspace: concede acesso aos principais recursos do workspace, como notebooks, trabalhos, modelos e pipelines nas áreas de Ciência e Engenharia de Dados e Mosaico AI do Databricks. Consulte a engenharia de dados com o Databricks e a IA e o aprendizado de máquina no Databricks.
A tabela a seguir mostra quais recursos são concedidos com cada direito de acesso:
| Capacidade | Acesso ao consumidor | Acesso do Databricks SQL | Acesso ao workspace |
|---|---|---|---|
| Ler/executar painéis compartilhados, espaços Genie e aplicativos Databricks | ✓ | ✓ | ✓ |
| Consultar os sql warehouses usando ferramentas de BI | ✓ | ✓ | |
| Ler/Gravar objetos SQL do Databricks | ✓ | ||
| Ler/gravar objetos de Ciência de Dados & Engenharia | ✓ | ||
| Leitura/gravação de objetos de IA do Databricks Mosaic | ✓ |
Para acessar um workspace do Azure Databricks, um usuário deve ter pelo menos um direito de acesso.
Acesso do consumidor versus usuários da conta
A tabela anterior resume os direitos de acesso em um workspace. A tabela a seguir compara os recursos disponíveis aos usuários do workspace com Acesso do Consumidor aos usuários da conta que não têm associação ao workspace.
| Capacidade | Acesso do consumidor a uma área de trabalho | Usuário da conta sem associação ao workspace |
|---|---|---|
| Exibir painéis usando permissões de dados compartilhadas | ✓ | ✓ |
| Exibir painéis usando credenciais do visualizador | ✓ | ✓ |
| Exibir espaços compartilhados do Genie e aplicativos do Databricks | ✓ | |
| Exibir objetos usando segurança em nível de linha e coluna | ✓ | ✓ |
| Acesso à interface de usuário limitada do espaço de trabalho do consumidor | ✓ | |
| Consultar os sql warehouses usando ferramentas de BI | ✓ |
Direitos de computação
Os direitos Permitir criação irrestrita de cluster e Permitir criação de pool controlam a capacidade de alocar recursos computacionais em um espaço de trabalho. Os administradores do workspace recebem esses direitos por padrão e não podem ser removidos. Usuários que não são administradores não recebem essas permissões, a menos que sejam atribuídas explicitamente.
Permitir a criação irrestrita de cluster concede aos usuários ou entidades de serviço permissão para criar clusters irrestritos.
Permitir criação de pool habilita a criação de pool de instâncias. Ele só pode ser concedido a grupos.
Essa permissão será exibida na interface de configurações administrativas somente se já estiver associada a um grupo. Você pode removê-lo usando a interface do usuário para qualquer grupo, exceto o
adminsgrupo, em que ele não pode ser removido. Para atribuí-lo a um grupo, use a API. Consulte Gerenciar direitos usando a API.
Direitos padrão
Alguns direitos são concedidos automaticamente a usuários e grupos específicos:
Os administradores do workspace sempre recebem os seguintes direitos e não podem ser removidos:
- Acesso ao workspace
- Permitir a criação irrestrita de cluster
- Permitir a criação do pool
Os administradores também recebem acesso ao SQL do Databricks por padrão, mas ele pode ser removido. No entanto, como os administradores retêm permissões de gerenciamento de direitos, eles podem reatribuí-lo a si mesmos a qualquer momento.
Os usuários do workspace recebem acesso ao Workspace e acesso ao SQL do Databricks por padrão por meio de sua associação ao
usersgrupo. Todos os usuários do workspace, assim como os principais de serviço, são adicionados automaticamente a esse grupo.Os direitos padrão no grupo
usersafetam como você atribui ou restringe direitos. Para fornecer a experiência de acesso do consumidor , você deve remover os direitos padrão dousersgrupo (e doaccount usersgrupo, se aplicável) e atribuir direitos individualmente a usuários, entidades de serviço ou grupos específicos. Consulte Clonar um grupo de espaços de trabalho em um novo grupo de contas.
Gerenciar direitos usando a página de configurações de administrador do workspace
Os administradores do workspace podem gerenciar direitos para usuários, entidades de serviço e grupos usando a página de configurações de administrador do workspace.
- Como administrador do workspace, faça logon no workspace do Azure Databricks.
- Clique no nome de usuário na barra superior e selecione Configurações.
- Clique na guia Identidade e acesso .
- Dependendo do que você deseja gerenciar, clique em Gerenciar ao lado de Usuários, Entidades de Serviço ou Grupos.
- Selecione o usuário, a entidade de serviço ou o grupo que você deseja atualizar.
- Para usuários e grupos, clique na guia Direitos. Para entidades de serviço, as caixas de seleção de direitos são mostradas diretamente.
- Para conceder um direito, selecione o botão de alternância ao lado do direito.
Para remover um direito, desmarque a alternância.
Se um direito for herdado de um grupo, a alternância aparecerá selecionada, mas estará acinzentada. Para remover um direito herdado:
- Remova o usuário ou o principal de serviço do grupo que possui a permissão ou
- remova o direito do próprio grupo.
A remoção de um direito de grupo afeta todos os membros desse grupo, a menos que sejam concedidos o direito individualmente ou por meio de outro grupo.
Gerenciar direitos usando a API
Você pode gerenciar direitos para usuários, entidades de serviço e grupos usando as seguintes APIs:
- API de Usuários do Workspace
- API de Entidades de Serviço do Espaço de trabalho
- API de Grupos de Workspace
A tabela a seguir lista cada direito e seu nome de API correspondente:
| Nome do direito | Nome da API de Direitos |
|---|---|
| Acesso ao consumidor | workspace-consume |
| Acesso ao workspace | workspace-access |
| Acesso do Databricks SQL | databricks-sql-access |
| Permitir a criação irrestrita de cluster | allow-cluster-create |
| Permitir a criação do pool | allow-instance-pool-create |
Por exemplo, para atribuir o allow-instance-pool-create direito a um grupo usando a API:
curl --netrc -X PATCH \
https://<databricks-instance>/api/2.0/preview/scim/v2/Groups/<group-id> \
--header 'Content-type: application/scim+json' \
--data @update-group.json \
| jq .
update-group.json:
{
"schemas": ["urn:ietf:params:scim:api:messages:2.0:PatchOp"],
"Operations": [
{
"op": "add",
"path": "entitlements",
"value": [
{
"value": "allow-instance-pool-create"
}
]
}
]
}