Správa nároků

Tato stránka popisuje, jak spravovat nároky pro uživatele, služební identity a skupiny.

Přehled nároků

Nárok je vlastnost, která uživateli, instančnímu objektu nebo skupině umožňuje interakci s Azure Databricks určitým způsobem. Oprávnění se přiřazují uživatelům na úrovni pracovního prostoru. Nároky jsou k dispozici pouze v plánu Premium.

Přístupové nároky

Každý přístupový nárok uděluje uživateli přístup ke konkrétní sadě funkcí v pracovním prostoru:

Následující tabulka ukazuje, které funkce jsou uděleny s jednotlivými nároky na přístup:

Schopnost Přístup uživatelů Přístup k Databricks SQL Přístup k pracovnímu prostoru
Čtení a spouštění sdílených řídicích panelů, agentů Genie a aplikací Databricks
Dotazování skladů SQL pomocí nástrojů BI
Čtení a zapisování objektů Databricks SQL
Čtení a zápis objektů pro datové vědy a inženýrství

Pokud chcete získat přístup k pracovnímu prostoru Azure Databricks, musí mít uživatel alespoň jeden přístupový nárok.

Uživatelský přístup vs. uživatelé účtu

Předchozí tabulka shrnuje přístupová oprávnění v pracovním prostoru. Následující tabulka porovnává možnosti dostupné uživatelům pracovního prostoru se spotřebitelským přístupem s uživateli účtů, kteří nemají členství v pracovním prostoru.

Schopnost Přístup uživatelů k pracovnímu prostoru Uživatel účtu bez členství v pracovním prostoru
Zobrazení řídicích panelů pomocí sdílených oprávnění k datům
Zobrazení řídicích panelů pomocí přihlašovacích údajů prohlížeče
Zobrazení sdílených agentů Genie a aplikací Databricks
Zobrazení objektů pomocí zabezpečení na úrovni řádků a sloupců
Přístup k datům řídicího panelu ze zabezpečitelných prvků v rámci pracovního prostředí
Přístup k uživatelskému rozhraní s omezeným uživatelským pracovním prostorem
Dotazování skladů SQL pomocí nástrojů BI

Nároky na výpočetní prostředky

Možnosti Povolit neomezené vytváření clusteru a Povolit vytváření fondu řídí oprávnění k zřizování výpočetních prostředků v pracovním prostoru. Správci pracovního prostoru dostanou tato oprávnění ve výchozím nastavení a není možné je odebrat. Uživatelům bez oprávnění správce nejsou explicitně přiřazeny, pokud je jim neudělíte.

  • Povolení neomezeného vytváření clusteru uděluje uživatelům nebo instančním objektům oprávnění k vytváření neomezených clusterů.

  • Povolení vytvoření fondu umožňuje vytvoření fondu instancí. Tento nárok můžete udělit nebo odebrat pro libovolného uživatele, instančního objektu nebo skupinu pomocí uživatelského rozhraní nastavení správce nebo rozhraní API s výjimkou admins skupiny, kde se nedá odebrat. Viz Správa nároků pomocí rozhraní API.

Výchozí nároky

Některé nároky se udělují automaticky konkrétním uživatelům a skupinám:

  • Správci pracovního prostoru mají vždy udělená následující oprávnění a nedají se odebrat:

    • Přístup k pracovnímu prostoru
    • Povolit neomezené vytváření clusteru
    • Povolit vytvoření fondu

    Správci mají také ve výchozím nastavení udělený přístup k Sql Databricks , ale je možné ho odebrat. Vzhledem k tomu, že správci zachovají oprávnění ke správě oprávnění, můžou je kdykoli znovu přiřadit sobě.

  • Uživatelům pracovního prostoru se ve výchozím nastavení udělí přístup k pracovnímu prostoru a přístup k Sql Databricks prostřednictvím jejich členství ve skupině users . Do této skupiny se automaticky přidají všichni uživatelé pracovního prostoru a principály služeb.

    Výchozí nároky ve users skupině ovlivňují způsob přiřazování nebo omezení nároků. Pokud chcete poskytnout prostředí Přístup pro uživatele, přiřaďte nároky jednotlivě konkrétním uživatelům, instančním objektům služby nebo skupinám, namísto spoléhání na výchozí nároky udělené prostřednictvím skupiny users. Po migraci pracovního prostoru do nového chování skupiny systému vyberete nároky, které každý objekt zabezpečení obdrží při jejich přidání. Nové objekty identity nedědí oprávnění ze skupiny users. Viz Řízení oprávnění pracovního prostoru při migraci.

Note

Od 15. června 2026 Databricks zavádí nové chování, kdy se oprávnění pracovního prostoru udělují explicitně při přidání principálů do pracovního prostoru a systémové skupiny pracovního prostoru (users a admins) již neobsahují přiřitelná oprávnění. Skupina users nebude mít žádná oprávnění a admins skupina bude mít všechna oprávnění pracovního prostoru. Nároky obou skupin jsou uzamčené. Stávající oprávnění na users jsou automaticky migrována do místní skupiny klonů pracovního prostoru, aby si identity zachovaly přístup. Nové chování se automaticky povolí od 27. července 2026 u pracovních prostorů, které se pro tuto změnu výslovně nerozhodly ani ji neodmítly, a od 14. září 2026 bude vynuceno pro všechny pracovní prostory. Další informace najdete v tématu Nadcházející změna chování: Výběr nároků při přidávání objektů zabezpečení do pracovních prostorů.

Správa nároků pomocí stránky nastavení správce pracovního prostoru

Správci pracovního prostoru můžou spravovat oprávnění pro uživatele, instanční objekty a skupiny pomocí stránky nastavení pracovního prostoru.

  1. Jako správce pracovního prostoru se přihlaste k pracovnímu prostoru Azure Databricks.
  2. Klikněte na své uživatelské jméno v horním panelu a vyberte Nastavení.
  3. Klikněte na kartu Identita a přístup .
  4. V závislosti na tom, co chcete spravovat, klikněte na Spravovat vedle uživatelů, instančních objektů nebo skupin.
  5. Vyberte uživatele, služební objekt nebo skupinu, kterou chcete aktualizovat.
  6. Pokud chcete udělit nárok, vyberte přepínač vedle oprávnění.

Pokud chcete oprávnění odebrat, zrušte výběr přepínače.

Pokud je nárok zděděný ze skupiny, přepínač je vybraný, ale je zašedlý. Pokud chcete odebrat zděděný nárok, buď:

  • Odeberte uživatele nebo služební principál ze skupiny, která má oprávnění, nebo
  • Odeberte oprávnění ze samotné skupiny.

Odebrání nároku na skupinu má vliv na všechny členy této skupiny, pokud jim není uděleno oprávnění jednotlivě nebo prostřednictvím jiné skupiny.

Správa nároků pomocí rozhraní API

Přístupová oprávnění pro uživatele, identifikační objekty služeb a skupiny můžete spravovat pomocí následujících rozhraní API:

Následující tabulka uvádí jednotlivé nároky a odpovídající název rozhraní API:

Název nároku Název rozhraní API pro oprávnění
Přístup uživatelů workspace-consume
Přístup k pracovnímu prostoru workspace-access
Přístup k Databricks SQL databricks-sql-access
Povolit neomezené vytváření clusteru allow-cluster-create
Povolit vytvoření fondu allow-instance-pool-create

Pokud chcete například přiřadit allow-instance-pool-create oprávnění ke skupině pomocí rozhraní API:

curl --netrc -X PATCH \
https://<databricks-instance>/api/2.0/preview/scim/v2/Groups/<group-id> \
--header 'Content-type: application/scim+json' \
--data @update-group.json \
| jq .

update-group.json:

{
  "schemas": ["urn:ietf:params:scim:api:messages:2.0:PatchOp"],
  "Operations": [
    {
      "op": "add",
      "path": "entitlements",
      "value": [
        {
          "value": "allow-instance-pool-create"
        }
      ]
    }
  ]
}