Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
На этой странице описывается управление правами для пользователей, субъектов-служб и групп.
Общие сведения о правах
Право — это свойство, которое позволяет пользователю, субъекту-службе или группе взаимодействовать с Azure Databricks указанным способом. Права назначаются пользователям на уровне рабочей области. Права доступны только в плане "Премиум".
Права доступа
Каждое право доступа предоставляет пользователю доступ к определенному набору функций в рабочей области:
- Пользовательский доступ: предоставляет доступ к упрощенной среде для просмотра панелей мониторинга, пространств Genie и приложений Databricks, которыми с ними поделились. См. раздел "Что такое доступ к потребителю?".
- Доступ к Databricks SQL: предоставляет доступ к функциям Databricks SQL, включая панели мониторинга, запросы и хранилища SQL. См. сведения о хранилище данных в Azure Databricks.
- Доступ к рабочей области: предоставляет доступ к основным функциям рабочей области, таким как записные книжки, задания, модели и конвейеры в областях обработки и инженерии данных и Databricks Mosaic AI. См. статью "Проектирование данных" с помощью Databricks и ИИ и машинного обучения в Databricks.
В таблице ниже показано, какие возможности предоставляются при каждом назначении доступа:
| Способность | Доступ к потребителю | Доступ к Databricks SQL | Доступ к рабочей области |
|---|---|---|---|
| Чтение и запуск общих панелей мониторинга, Spaces Genie и приложений Databricks | ✓ | ✓ | ✓ |
| Запрос хранилищ SQL с помощью средств бизнес-аналитики | ✓ | ✓ | |
| Чтение/Запись объектов SQL Databricks | ✓ | ||
| Чтение и запись объектов обработки и анализа данных и инженерии | ✓ | ||
| Чтение и запись объектов Databricks Mosaic AI | ✓ |
Чтобы получить доступ к рабочей области Azure Databricks, пользователь должен иметь по крайней мере одно право доступа.
Доступ потребителей в сравнении с пользователями учетной записи
В предыдущей таблице перечислены права доступа в рабочей области. В следующей таблице сравниваются функции, доступные пользователям рабочей области с доступом потребителей, с пользователями учетной записи, не состоящими в рабочей области.
| Способность | Доступ потребителей к рабочей области | Пользователь аккаунта без членства в рабочей области |
|---|---|---|
| Просмотр панелей мониторинга с помощью разрешений общего доступа к данным | ✓ | ✓ |
| Просмотр дашбордов с использованием учетных данных пользователя | ✓ | ✓ |
| Просмотр общих пространств Genie и приложений Databricks | ✓ | |
| Просмотр объектов с помощью безопасности на уровне строк и столбцов | ✓ | ✓ |
| Доступ к данным панели мониторинга из объектов безопасности, связанных с рабочей областью | ✓ | |
| Доступ к ограниченному пользовательскому интерфейсу рабочей области потребителей | ✓ | |
| Запрос хранилищ SQL с помощью средств бизнес-аналитики | ✓ |
Вычисление прав доступа
Разрешение неограниченного создания кластера и разрешения на создание пула управляет возможностью подготовки вычислительных ресурсов в рабочей области. Администраторы рабочей области по умолчанию получают эти права и не могут быть удалены. Пользователям, не являющимся администраторами, не предоставляются права, если они не назначены явно.
Разрешить неограниченное создание кластера предоставляет пользователям или субъектам-службам разрешение на создание неограниченных кластеров.
Функция «Разрешить создание пула» позволяет создавать пул экземпляров. Его можно предоставить только группам.
Это право отображается в пользовательском интерфейсе параметров администратора только в том случае, если группа уже имеет ее. Его можно удалить с помощью пользовательского интерфейса для любой группы, кроме
adminsгруппы, где ее нельзя удалить. Чтобы назначить его группе, используйте API. См. раздел "Управление правами с помощью API".
Права по умолчанию
Некоторые права предоставляются автоматически определенным пользователям и группам:
Администраторы рабочей области всегда предоставляют следующие права, и их нельзя удалить:
- Доступ к рабочей области
- Разрешение создавать кластер без ограничений
- Разрешить создание пула
Администраторы также предоставляют доступ к Databricks SQL по умолчанию, но его можно удалить. Тем не менее, поскольку администраторы сохраняют права по управлению доступом, они могут переназначить их себе в любое время.
Пользователи рабочей области получают доступ к рабочей области и доступ к Databricks SQL по умолчанию через членство в
usersгруппе. Все пользователи рабочей области и субъекты-службы автоматически добавляются в эту группу.Права по умолчанию в
usersгруппе влияют на назначение или ограничение прав. Чтобы обеспечить доступ к потребителю , необходимо удалить права по умолчанию изusersгруппы (иaccount usersгруппы, если применимо) и назначить права отдельным пользователям, субъектам-службам или группам. Для упрощения этого процесса можно использовать функцию Изменение доступа к рабочей области по умолчанию на доступ для потребителей. Эта функция использует клонирование групп для сохранения существующего доступа пользователей при изменении значения по умолчанию для новых пользователей. См. статью "Изменение доступа к рабочей области по умолчанию" для доступа потребителей.
Управление правами с помощью страницы параметров администратора рабочей области
Администраторы рабочей области могут управлять правами для пользователей, субъектов-служб и групп с помощью страницы параметров администратора рабочей области.
- Войдите в рабочую область Azure Databricks как администратор рабочей области.
- Щелкните имя пользователя в верхней строке и выберите "Параметры".
- Перейдите на вкладку Идентификация и доступ.
- В зависимости от того, чем вы хотите управлять, щелкните Управление рядом с пользователями, служебными принципалами или группами.
- Выберите пользователя, субъекта-службы или группу, которую вы хотите обновить.
- Для пользователей и групп щелкните вкладку "Права". Для субъектов-служб флажки прав отображаются напрямую.
- Чтобы предоставить право, выберите переключатель рядом с правами.
Чтобы удалить право, отключите переключатель.
Если право наследуется от группы, переключатель появляется выбранным, но неактивен. Чтобы удалить унаследованное право, выполните указанные ниже действия.
- Удалите пользователя или учетную запись службы из группы с правами доступа либо
- Удалите полномочия самой группой.
Удаление права доступа группы влияет на всех членов этой группы, если они не получат это право доступа отдельно или через другую группу.
Управление правами с помощью API
Вы можете управлять правами для пользователей, субъектов-служб и групп с помощью следующих API:
- API пользователей рабочей области
- API принципалов служб рабочего пространства
- API групп рабочих областей
В таблице ниже перечислены все права и соответствующее имя API:
| Название права | Имя API прав доступа |
|---|---|
| Доступ к потребителю | workspace-consume |
| Доступ к рабочей области | workspace-access |
| Доступ к Databricks SQL | databricks-sql-access |
| Разрешение создавать кластер без ограничений | allow-cluster-create |
| Разрешить создание пула | allow-instance-pool-create |
Например, чтобы назначить allow-instance-pool-create право группе с помощью API:
curl --netrc -X PATCH \
https://<databricks-instance>/api/2.0/preview/scim/v2/Groups/<group-id> \
--header 'Content-type: application/scim+json' \
--data @update-group.json \
| jq .
update-group.json:
{
"schemas": ["urn:ietf:params:scim:api:messages:2.0:PatchOp"],
"Operations": [
{
"op": "add",
"path": "entitlements",
"value": [
{
"value": "allow-instance-pool-create"
}
]
}
]
}