Konfigurace oprávnění pro aplikaci Databricks

Oprávnění řídí, co můžou uživatelé dělat s aplikacemi Databricks, jako je přístup, správa a sdílení aplikací. Liší se od ověřování, které ověřuje identitu uživatele. Oprávnění určují, jaké akce má uživatel oprávnění provádět v aplikaci.

Úrovně oprávnění

  • CAN MANAGE – Může spravovat nastavení a oprávnění aplikace, včetně možnosti upravit a odstranit aplikaci. Zahrnuje všechny CAN USE funkce.
  • CAN USE – Může aplikaci spustit a pracovat s ní, ale nemůže ji upravovat ani spravovat.

Oprávnění můžou přiřadit nebo odvolat jenom uživatelé s oprávněními CAN MANAGE v aplikaci.

Přiřazení oprávnění v uživatelském rozhraní aplikací Databricks

Spravovat, kdo může zobrazit, spustit nebo upravit aplikaci Databricks přiřazením oprávnění přímo v uživatelském rozhraní Databricks Apps.

  1. Přejděte na kartu Přehled aplikace.
  2. Klikněte na Share (Sdílet).
  3. V rozevíracím seznamu vyberte uživatele, skupinu nebo služební principál.
  4. Vyberte odpovídající úroveň oprávnění (CAN USE nebo CAN MANAGE).
  5. Klikněte na Přidat a potom uložte , aby se změny použily.

Organizační oprávnění

Nakonfigurujte oprávnění na úrovni organizace pro vaši aplikaci pomocí jedné z následujících možností:

  • Používat můžou jenom uživatelé s přístupem: K aplikaci mají přístup jenom uživatelé, skupiny a služební hlavní uživatelé, kterým byla explicitně udělena oprávnění.
  • Kdokoliv v mé organizaci může používat: Všichni uživatelé a služební principály v aktuálním účtu Azure Databricks (skupina ) obdrží oprávnění All account users. Uživatelé a instanční objekty, kterým byla explicitně udělena CAN MANAGE oprávnění, si ponechávají tato zvýšená oprávnění, která se ukládají samostatně.

Uživatelé JIT musí se stále ověřovat prostřednictvím zprostředkovatele identity vaší organizace a být rozpoznáni službou Azure Databricks jako uživatelé účtu. Těmto uživatelům můžete udělit přístup k aplikacím CAN USE , i když nemají přístup k žádnému pracovnímu prostoru. Přístup ale závisí na zásadách ověřování pracovního prostoru. Pokud je například povolená služba PrivateLink, Azure Databricks se může vrátit k ověřování na úrovni pracovního prostoru. V tomto případě je přístup blokovaný pro uživatele, kteří se připojují přes veřejný koncový bod Azure Databricks.

Aplikace Databricks nemůžete nastavit jako veřejné. Anonymní přístup a obejití jednotného přihlašování (SSO) se nepodporuje. Pokud chcete udělit přístup externím spolupracovníkům, použijte federaci identit s nasazením pomocí SCIM a JIT pro zavedení uživatelů prostřednictvím vašeho poskytovatele identit, aniž byste udělili úplný přístup k pracovnímu prostoru.

Oprávnění versus autorizace

V Databricks Apps je důležité rozlišovat mezi oprávněními a autorizací, které souvisejí, ale samostatné koncepty.

  • Oprávnění se přiřazují na úrovni pracovního prostoru a definují, kdo v rámci pracovního prostoru může spravovat nebo používat aplikaci. Oprávnění řídí přístup k samotné aplikaci, například kdo ji může nasadit, aktualizovat nebo spustit. Oprávnění neřídí, k jakým datům má aplikace nebo k jakým uživatelům přístup.

  • Autorizace odkazuje na řízení přístupu k datům a prostředkům a má dvě dílčí kategorie:

    • Autorizace uživatele – když se uživatelé ověřují v aplikaci, Azure Databricks předá jejich identitu do runtime aplikace. Toto umožňuje Unity katalogu a dalším zásadám přístupu k datům prosazovat oprávnění na základě identity uživatele a omezuje, ke kterým datům může aplikace přistupovat jejich jménem.
    • – aplikace běží pomocí instančního objektu s vlastními oprávněními pro přístup k požadovaným prostředkům Azure Databricks. Tato autorizace určuje, co samotná aplikace může dělat nezávisle na jakémkoli uživateli.

V souhrnu oprávnění řídí přístup na úrovni pracovního prostoru k aplikaci (kdo ji může používat nebo spravovat), zatímco autorizace řídí přístup na úrovni dat a prostředků, včetně přístupu na základě identity uživatele a přístupu k instančnímu objektu aplikace.

Další informace najdete v tématu Konfigurace autorizace v aplikaci Databricks.

Nároky aplikací

Každý uživatel v pracovním prostoru může vytvářet aplikace Databricks, podobně jako jiné bezserverové produkty. Následující nároky ale řídí různé aspekty přístupu k aplikacím:

  • Přístup a správa aplikací: Kdo má přístup k aplikaci a může ji spravovat prostřednictvím úrovní oprávnění
  • Oprávnění instančního objektu: Oprávnění přiřazená k vyhrazenému instančnímu objektu aplikace
  • Souhlas uživatele: Jestli uživatel souhlasí s povolením používání identity aplikace k autorizaci uživatele
  • Uživatelská oprávnění: Základní katalog Unity a oprávnění pracovního prostoru uživatelů, kteří k aplikaci přistupují

Osvědčené postupy pro oprávnění

Pokud chcete bezpečně spravovat oprávnění aplikace Databricks, postupujte podle těchto osvědčených postupů:

  • Postupujte podle principu nejnižšího oprávnění tím, že udělíte pouze oprávnění potřebná pro každou roli uživatele.
  • Pokud uživatelé nevyžadují možnosti správy, upřednostněte přiřazení CAN USE oprávnění.
  • Pomocí skupin nebo služebních principálů můžete efektivně řídit oprávnění ve větším rozsahu.