Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Esta página descreve como gerenciar direitos para usuários, entidades de serviço e grupos.
Visão geral dos direitos
Um direito é uma propriedade que permite que um usuário, entidade de serviço ou grupo interaja com o Azure Databricks de uma maneira especificada. Os direitos são atribuídos aos usuários no nível do espaço de trabalho. Os direitos estão disponíveis apenas no plano Premium.
Direitos de acesso
Cada direito de acesso concede a um usuário acesso a um conjunto específico de recursos no espaço de trabalho:
- Acesso do consumidor: concede acesso a um ambiente simplificado para visualizar painéis, espaços Genie e aplicativos Databricks compartilhados com eles. Consulte O que é o acesso do consumidor?.
- Acesso ao Databricks SQL: concede acesso aos recursos do Databricks SQL, incluindo painéis, consultas e armazéns SQL. Veja Como usar o SQL do Databricks.
- Acesso ao espaço de trabalho: concede acesso aos principais recursos do espaço de trabalho, como blocos de anotações, trabalhos, modelos e pipelines nas áreas Data Science & Engineering e Databricks Mosaic AI. Veja Engenharia de dados com Databricks e IA e aprendizado de máquina no Databricks.
A tabela abaixo mostra quais recursos são concedidos com cada direito de acesso:
| Capacidade | Acesso dos consumidores | Acesso ao Databricks SQL | Acesso à área de trabalho |
|---|---|---|---|
| Leia/execute painéis compartilhados, espaços Genie e aplicativos Databricks | ✓ | ✓ | ✓ |
| Consultar armazéns SQL usando ferramentas de BI | ✓ | ✓ | |
| Ler/gravar objetos SQL do Databricks | ✓ | ||
| Ler/gravar objetos de Ciência de Dados e Engenharia | ✓ | ||
| Ler/gravar objetos Databricks Mosaic AI | ✓ |
Para acessar um espaço de trabalho do Azure Databricks, um usuário deve ter pelo menos um direito de acesso.
Acesso do consumidor vs usuários da conta
A tabela anterior resume os direitos de acesso em um espaço de trabalho. A tabela seguinte compara as capacidades disponíveis para utilizadores do espaço de trabalho com acesso de consumidor a utilizadores de contas que não são membros de um espaço de trabalho.
| Capacidade | Acesso do consumidor a um espaço de trabalho | Utilizador da conta sem associação ao espaço de trabalho |
|---|---|---|
| Exibir painéis usando permissões de dados compartilhados | ✓ | ✓ |
| Exibir painéis usando credenciais de visualizador | ✓ | ✓ |
| Visualizar os espaços Genie partilhados e as aplicações Databricks | ✓ | |
| Exibir objetos usando segurança em nível de linha e coluna | ✓ | ✓ |
| Acesso à interface limitada do espaço de trabalho do consumidor | ✓ | |
| Consultar armazéns SQL usando ferramentas de BI | ✓ |
Calcular direitos
Os direitos Permitir criação irrestrita de cluster e Permitir criação de pool controlam a capacidade de provisionar recursos de computação em um espaço de trabalho. Os administradores do espaço de trabalho recebem esses direitos por padrão e eles não podem ser removidos. Os usuários não administradores não recebem esses dados, a menos que explicitamente atribuídos.
Permitir a criação irrestrita de clusters concede aos usuários ou entidades de serviço permissão para criar clusters irrestritos.
Permitir a criação de pool habilita a criação de pool de instâncias. Só pode ser concedido a grupos.
Essa permissão aparece na interface de configurações do administrador somente se um grupo já a tenha. Você pode removê-lo usando a interface do usuário para qualquer grupo, exceto o
adminsgrupo, onde ele não pode ser removido. Para atribuí-lo a um grupo, use a API. Consulte Gerenciar direitos usando a API.
Direitos por defeito
Alguns direitos são concedidos automaticamente a utilizadores e grupos específicos:
Os administradores do espaço de trabalho recebem sempre os seguintes direitos e não podem ser removidos:
- Acesso à área de trabalho
- Permitir a criação irrestrita de clusters
- Permitir a criação de pool
Os administradores também recebem acesso ao Databricks SQL por padrão, mas ele pode ser removido. No entanto, como os administradores mantêm permissões de gerenciamento de direitos, eles podem reatribuí-las a si mesmos a qualquer momento.
Os usuários do espaço de trabalho recebem acesso ao espaço de trabalho e acesso ao Databricks SQL por padrão por meio de sua associação ao
usersgrupo. Todos os utilizadores do espaço de trabalho e principais de serviço são adicionados automaticamente a esse grupo.Os direitos padrão no grupo afetam a
usersforma como você atribui ou restringe direitos. Para fornecer a experiência de acesso do consumidor, você deve remover os direitos padrão do grupo (e dousersgrupo, se aplicável) e atribuir direitos individualmente a usuários, entidades deaccount usersserviço ou grupos específicos. Consulte Clonar um grupo de espaços de trabalho para um novo grupo de contas.
Gerenciar direitos usando a página de configurações de administração do espaço de trabalho
Os administradores de espaço de trabalho podem gerenciar direitos para usuários, entidades de serviço e grupos usando a página de configurações de administração do espaço de trabalho.
- Como administrador do espaço de trabalho, faça logon no espaço de trabalho do Azure Databricks.
- Clique no seu nome de utilizador na barra superior e selecione Definições.
- Clique na guia Identidade e acesso .
- Dependendo do que você deseja gerenciar, clique em Gerenciar ao lado de Usuários, Entidades de serviço ou Grupos.
- Selecione o usuário, a entidade de serviço ou o grupo que deseja atualizar.
- Para utilizadores e grupos, clique no separador Permissões. Para entidades de serviço, as caixas de seleção de permissões são exibidas diretamente.
- Para conceder uma permissão, selecione o interruptor ao lado da permissão.
Para remover um direito, desmarque a alternância.
Se um direito for herdado de um grupo, o botão aparecerá selecionado, mas ficará acinzentado. Para remover um direito herdado, faça o seguinte:
- Remover o utilizador ou a entidade de serviço do grupo que tem o direito, ou
- Remova o privilégio do próprio grupo.
A supressão de um direito de grupo afeta todos os membros desse grupo, a menos que lhes seja concedido o direito individualmente ou através de outro grupo.
Gerenciar direitos usando a API
Você pode gerenciar direitos para usuários, entidades de serviço e grupos usando as seguintes APIs:
- API de usuários do espaço de trabalho
- API de Entidades de Serviço de Espaço de Trabalho
- API de grupos de espaços de trabalho
A tabela abaixo lista cada direito e seu nome de API correspondente:
| Nome do direito | Nome da API de direito |
|---|---|
| Acesso dos consumidores | workspace-consume |
| Acesso à área de trabalho | workspace-access |
| Acesso ao Databricks SQL | databricks-sql-access |
| Permitir a criação irrestrita de clusters | allow-cluster-create |
| Permitir a criação de pool | allow-instance-pool-create |
Por exemplo, para atribuir o allow-instance-pool-create direito a um grupo usando a API:
curl --netrc -X PATCH \
https://<databricks-instance>/api/2.0/preview/scim/v2/Groups/<group-id> \
--header 'Content-type: application/scim+json' \
--data @update-group.json \
| jq .
update-group.json:
{
"schemas": ["urn:ietf:params:scim:api:messages:2.0:PatchOp"],
"Operations": [
{
"op": "add",
"path": "entitlements",
"value": [
{
"value": "allow-instance-pool-create"
}
]
}
]
}