Nota
L'accés a aquesta pàgina requereix autorització. Pots provar d'iniciar sessió o canviar de directori.
L'accés a aquesta pàgina requereix autorització. Pots provar de canviar directoris.
En esta página se describe cómo administrar derechos para usuarios, entidades de servicio y grupos.
Introducción a los derechos
Un derecho es una propiedad que permite a un usuario, entidad de servicio o grupo interactuar con Azure Databricks de una manera especificada. Los derechos se asignan a los usuarios en el nivel de área de trabajo. Los derechos solo están disponibles en el Plan Premium.
Derechos de acceso
Cada derecho de acceso concede a un usuario acceso a un conjunto específico de características del área de trabajo:
- Acceso de consumidor: otorga acceso a un entorno simplificado para ver paneles de control, espacios Genie y aplicaciones de Databricks que se han compartido con ellos. Consulte ¿Qué es el acceso del consumidor?.
- Acceso a SQL de Databricks: concede acceso a las características de SQL de Databricks, incluidos los paneles, las consultas y los almacenes de SQL. Consulte Uso de Databricks SQL.
- Acceso al área de trabajo: concede acceso a las características principales del área de trabajo, como cuadernos, trabajos, modelos y canalizaciones en las áreas de Data Science & Engineering y Databricks Mosaic AI. Consulte Ingeniería de datos con Databricks y inteligencia artificial y aprendizaje automático en Databricks.
En la tabla siguiente se muestran las funcionalidades que se conceden con cada derecho de acceso:
| Capacidad | Acceso al consumidor | Acceso a Databricks SQL | Acceso al área de trabajo |
|---|---|---|---|
| Leer/ejecutar paneles compartidos, espacios Genie y aplicaciones de Databricks | ✓ | ✓ | ✓ |
| Consulta de almacenes de SQL mediante herramientas de BI | ✓ | ✓ | |
| Lectura y escritura de objetos SQL de Databricks | ✓ | ||
| Leer/escribir objetos de ciencia de datos e ingeniería | ✓ | ||
| Leer/escribir objetos de Databricks Mosaic AI | ✓ |
Para acceder a un área de trabajo de Azure Databricks, un usuario debe tener al menos un derecho de acceso.
Acceso de consumidor frente a usuarios de cuenta
En la tabla anterior se resumen los derechos de acceso de un área de trabajo. En la tabla siguiente se comparan las funcionalidades disponibles para los usuarios del área de trabajo con el acceso de consumidor para tener en cuenta a los usuarios no tienen una suscripción al área de trabajo.
| Capacidad | Acceso del consumidor a un espacio de trabajo | Usuario de cuenta sin pertenencia al área de trabajo |
|---|---|---|
| Visualización de paneles mediante permisos de datos compartidos | ✓ | ✓ |
| Visualización de paneles mediante credenciales de visor | ✓ | ✓ |
| Visualización de espacios compartidos de Genie y aplicaciones de Databricks | ✓ | |
| Ver objetos utilizando seguridad a nivel de fila y columna | ✓ | ✓ |
| Acceso a la IU del área de trabajo para consumidores limitada | ✓ | |
| Consulta de almacenes de SQL mediante herramientas de BI | ✓ |
Derechos de proceso
Permitir la creación de clústeres sin restricciones y Permitir la creación de grupos regulan la capacidad de aprovisionar recursos de computación en un área de trabajo. Los administradores del área de trabajo reciben estos derechos de forma predeterminada y no se pueden quitar. A los usuarios que no son administradores no se les concede a menos que se les asigne explícitamente.
Permitir la creación de clústeres sin restricciones concede a los usuarios o entidades de servicio permiso para crear clústeres sin restricciones.
Permitir creación de grupos habilita la creación de grupos de instancias. Solo se puede conceder a los grupos.
Este permiso aparece en la interfaz de configuración del administrador solo si un grupo ya lo tiene. Puede eliminarlo a través de la interfaz de usuario de cualquier grupo, excepto el grupo
admins, donde no puede ser eliminado. Para asignarlo a un grupo, use la API. Consulte Administración de derechos mediante la API.
Derechos predeterminados
Algunos derechos se conceden automáticamente a usuarios y grupos específicos:
A los administradores del área de trabajo siempre se les conceden los siguientes derechos y no se pueden quitar:
- Acceso al área de trabajo
- Permitir la creación de un clúster sin restricciones
- Permitir la creación de grupos
Los administradores también tienen acceso a Databricks SQL de forma predeterminada, pero puede quitarse. Sin embargo, dado que los administradores conservan los permisos de administración de derechos, pueden reasignarlos a sí mismos en cualquier momento.
A los usuarios del Área de trabajo se les otorga acceso al Área de trabajo y acceso a Databricks SQL de forma predeterminada a través de su pertenencia en el
usersgrupo. Todos los usuarios y entidades de servicio del área de trabajo se agregan automáticamente a este grupo.Los derechos predeterminados del
usersgrupo afectan a cómo se asignan o restringen los derechos. Para proporcionar la experiencia de acceso al consumidor , debe quitar los derechos predeterminados delusersgrupo (y elaccount usersgrupo, si procede) y asignar derechos individualmente a usuarios, entidades de servicio o grupos específicos. Consulte Clonación de un grupo de áreas de trabajo en un nuevo grupo de cuentas.
Administración de derechos mediante la página de configuración del administrador del área de trabajo
Los administradores del área de trabajo pueden administrar derechos para usuarios, entidades de servicio y grupos mediante la página de configuración del administrador del área de trabajo.
- Como administrador del área de trabajo, inicia sesión en el área de trabajo de Azure Databricks.
- Haga clic en el nombre de usuario en la barra superior y seleccione Configuración.
- Haga clic en la pestaña Identidad y acceso .
- En función de lo que quiera administrar, haga clic en Administrar junto a Usuarios, entidades de servicio o Grupos.
- Seleccione el usuario, la entidad de servicio o el grupo que desea actualizar.
- Para usuarios y grupos, haga clic en la pestaña Derechos . En el caso de las entidades de servicio, las casillas de derechos se muestran directamente.
- Para conceder una asignación, active el interruptor junto a la asignación.
Para quitar una asignación, desactive el conmutador.
Si un derecho se hereda de un grupo, el interruptor aparece seleccionado pero está atenuado. Para quitar un derecho heredado, haga una de las siguientes acciones:
- Quitar el usuario o la entidad de servicio del grupo que tiene el derecho, o
- Quitar el derecho del grupo propiamente dicho.
Quitar un derecho de grupo afecta a todos los miembros de ese grupo a menos que se les conceda el derecho individualmente o a través de otro grupo.
Administración de derechos mediante la API
Puede administrar derechos para usuarios, entidades de servicio y grupos mediante las SIGUIENTES API:
- API de usuarios del área de trabajo
- API de entidades de servicio del área de trabajo
- API de grupos de áreas de trabajo
En la tabla siguiente se enumeran cada derecho y su nombre de API correspondiente:
| Nombre de derecho | Nombre de la API de derechos |
|---|---|
| Acceso al consumidor | workspace-consume |
| Acceso al área de trabajo | workspace-access |
| Acceso a Databricks SQL | databricks-sql-access |
| Permitir la creación de un clúster sin restricciones | allow-cluster-create |
| Permitir la creación de grupos | allow-instance-pool-create |
Por ejemplo, para asignar el allow-instance-pool-create derecho a un grupo mediante la API:
curl --netrc -X PATCH \
https://<databricks-instance>/api/2.0/preview/scim/v2/Groups/<group-id> \
--header 'Content-type: application/scim+json' \
--data @update-group.json \
| jq .
update-group.json:
{
"schemas": ["urn:ietf:params:scim:api:messages:2.0:PatchOp"],
"Operations": [
{
"op": "add",
"path": "entitlements",
"value": [
{
"value": "allow-instance-pool-create"
}
]
}
]
}