Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Tato stránka popisuje, jak spravovat nároky pro uživatele, služební identity a skupiny.
Přehled nároků
Nárok je vlastnost, která uživateli, instančnímu objektu nebo skupině umožňuje interakci s Azure Databricks určitým způsobem. Oprávnění se přiřazují uživatelům na úrovni pracovního prostoru. Nároky jsou k dispozici pouze v plánu Premium.
Přístupové nároky
Každý přístupový nárok uděluje uživateli přístup ke konkrétní sadě funkcí v pracovním prostoru:
- Přístup uživatelů: Uděluje přístup ke zjednodušenému prostředí pro zobrazení řídicích panelů, agentů Genie a aplikací Databricks, které s nimi sdílí. Viz co je přístup zákazníků?
- Přístup k Sql Databricks: Uděluje přístup k funkcím SQL Databricks, včetně řídicích panelů, dotazů a skladů SQL. Viz Datové sklady v Azure Databricks.
- Přístup k pracovnímu prostoru: Uděluje přístup k základním funkcím pracovního prostoru, jako jsou poznámkové bloky, úlohy, modely a kanály. Přečtěte si Data engineering with Databricks and Machine learning on Azure Databricks.
Následující tabulka ukazuje, které funkce jsou uděleny s jednotlivými nároky na přístup:
| Schopnost | Přístup uživatelů | Přístup k Databricks SQL | Přístup k pracovnímu prostoru |
|---|---|---|---|
| Čtení a spouštění sdílených řídicích panelů, agentů Genie a aplikací Databricks | ✓ | ✓ | ✓ |
| Dotazování skladů SQL pomocí nástrojů BI | ✓ | ✓ | |
| Čtení a zapisování objektů Databricks SQL | ✓ | ||
| Čtení a zápis objektů pro datové vědy a inženýrství | ✓ |
Pokud chcete získat přístup k pracovnímu prostoru Azure Databricks, musí mít uživatel alespoň jeden přístupový nárok.
Uživatelský přístup vs. uživatelé účtu
Předchozí tabulka shrnuje přístupová oprávnění v pracovním prostoru. Následující tabulka porovnává možnosti dostupné uživatelům pracovního prostoru se spotřebitelským přístupem s uživateli účtů, kteří nemají členství v pracovním prostoru.
| Schopnost | Přístup uživatelů k pracovnímu prostoru | Uživatel účtu bez členství v pracovním prostoru |
|---|---|---|
| Zobrazení řídicích panelů pomocí sdílených oprávnění k datům | ✓ | ✓ |
| Zobrazení řídicích panelů pomocí přihlašovacích údajů prohlížeče | ✓ | ✓ |
| Zobrazení sdílených agentů Genie a aplikací Databricks | ✓ | |
| Zobrazení objektů pomocí zabezpečení na úrovni řádků a sloupců | ✓ | ✓ |
| Přístup k datům řídicího panelu ze zabezpečitelných prvků v rámci pracovního prostředí | ✓ | |
| Přístup k uživatelskému rozhraní s omezeným uživatelským pracovním prostorem | ✓ | |
| Dotazování skladů SQL pomocí nástrojů BI | ✓ |
Nároky na výpočetní prostředky
Možnosti Povolit neomezené vytváření clusteru a Povolit vytváření fondu řídí oprávnění k zřizování výpočetních prostředků v pracovním prostoru. Správci pracovního prostoru dostanou tato oprávnění ve výchozím nastavení a není možné je odebrat. Uživatelům bez oprávnění správce nejsou explicitně přiřazeny, pokud je jim neudělíte.
Povolení neomezeného vytváření clusteru uděluje uživatelům nebo instančním objektům oprávnění k vytváření neomezených clusterů.
Povolení vytvoření fondu umožňuje vytvoření fondu instancí. Tento nárok můžete udělit nebo odebrat pro libovolného uživatele, instančního objektu nebo skupinu pomocí uživatelského rozhraní nastavení správce nebo rozhraní API s výjimkou
adminsskupiny, kde se nedá odebrat. Viz Správa nároků pomocí rozhraní API.
Výchozí nároky
Některé nároky se udělují automaticky konkrétním uživatelům a skupinám:
Správci pracovního prostoru mají vždy udělená následující oprávnění a nedají se odebrat:
- Přístup k pracovnímu prostoru
- Povolit neomezené vytváření clusteru
- Povolit vytvoření fondu
Správci mají také ve výchozím nastavení udělený přístup k Sql Databricks , ale je možné ho odebrat. Vzhledem k tomu, že správci zachovají oprávnění ke správě oprávnění, můžou je kdykoli znovu přiřadit sobě.
Uživatelům pracovního prostoru se ve výchozím nastavení udělí přístup k pracovnímu prostoru a přístup k Sql Databricks prostřednictvím jejich členství ve skupině
users. Do této skupiny se automaticky přidají všichni uživatelé pracovního prostoru a principály služeb.Výchozí nároky ve
usersskupině ovlivňují způsob přiřazování nebo omezení nároků. Pokud chcete poskytnout prostředí Přístup pro uživatele, přiřaďte nároky jednotlivě konkrétním uživatelům, instančním objektům služby nebo skupinám, namísto spoléhání na výchozí nároky udělené prostřednictvím skupinyusers. Po migraci pracovního prostoru do nového chování skupiny systému vyberete nároky, které každý objekt zabezpečení obdrží při jejich přidání. Nové objekty identity nedědí oprávnění ze skupinyusers. Viz Řízení oprávnění pracovního prostoru při migraci.
Note
Od 15. června 2026 Databricks zavádí nové chování, kdy se oprávnění pracovního prostoru udělují explicitně při přidání principálů do pracovního prostoru a systémové skupiny pracovního prostoru (users a admins) již neobsahují přiřitelná oprávnění. Skupina users nebude mít žádná oprávnění a admins skupina bude mít všechna oprávnění pracovního prostoru. Nároky obou skupin jsou uzamčené. Stávající oprávnění na users jsou automaticky migrována do místní skupiny klonů pracovního prostoru, aby si identity zachovaly přístup. Nové chování se automaticky povolí od 27. července 2026 u pracovních prostorů, které se pro tuto změnu výslovně nerozhodly ani ji neodmítly, a od 14. září 2026 bude vynuceno pro všechny pracovní prostory. Další informace najdete v tématu Nadcházející změna chování: Výběr nároků při přidávání objektů zabezpečení do pracovních prostorů.
Správa nároků pomocí stránky nastavení správce pracovního prostoru
Správci pracovního prostoru můžou spravovat oprávnění pro uživatele, instanční objekty a skupiny pomocí stránky nastavení pracovního prostoru.
- Jako správce pracovního prostoru se přihlaste k pracovnímu prostoru Azure Databricks.
- Klikněte na své uživatelské jméno v horním panelu a vyberte Nastavení.
- Klikněte na kartu Identita a přístup .
- V závislosti na tom, co chcete spravovat, klikněte na Spravovat vedle uživatelů, instančních objektů nebo skupin.
- Vyberte uživatele, služební objekt nebo skupinu, kterou chcete aktualizovat.
- Pokud chcete udělit nárok, vyberte přepínač vedle oprávnění.
Pokud chcete oprávnění odebrat, zrušte výběr přepínače.
Pokud je nárok zděděný ze skupiny, přepínač je vybraný, ale je zašedlý. Pokud chcete odebrat zděděný nárok, buď:
- Odeberte uživatele nebo služební principál ze skupiny, která má oprávnění, nebo
- Odeberte oprávnění ze samotné skupiny.
Odebrání nároku na skupinu má vliv na všechny členy této skupiny, pokud jim není uděleno oprávnění jednotlivě nebo prostřednictvím jiné skupiny.
Správa nároků pomocí rozhraní API
Přístupová oprávnění pro uživatele, identifikační objekty služeb a skupiny můžete spravovat pomocí následujících rozhraní API:
- Rozhraní API pro uživatele pracovního prostoru
- Rozhraní API instančních objektů pracovních prostorů
- Rozhraní API pro skupiny pracovních prostor
Následující tabulka uvádí jednotlivé nároky a odpovídající název rozhraní API:
| Název nároku | Název rozhraní API pro oprávnění |
|---|---|
| Přístup uživatelů | workspace-consume |
| Přístup k pracovnímu prostoru | workspace-access |
| Přístup k Databricks SQL | databricks-sql-access |
| Povolit neomezené vytváření clusteru | allow-cluster-create |
| Povolit vytvoření fondu | allow-instance-pool-create |
Pokud chcete například přiřadit allow-instance-pool-create oprávnění ke skupině pomocí rozhraní API:
curl --netrc -X PATCH \
https://<databricks-instance>/api/2.0/preview/scim/v2/Groups/<group-id> \
--header 'Content-type: application/scim+json' \
--data @update-group.json \
| jq .
update-group.json:
{
"schemas": ["urn:ietf:params:scim:api:messages:2.0:PatchOp"],
"Operations": [
{
"op": "add",
"path": "entitlements",
"value": [
{
"value": "allow-instance-pool-create"
}
]
}
]
}