Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Tato stránka popisuje, jak spravovat nároky pro uživatele, služební identity a skupiny.
Přehled nároků
Nárok je vlastnost, která uživateli, instančnímu objektu nebo skupině umožňuje interakci s Azure Databricks určitým způsobem. Oprávnění se přiřazují uživatelům na úrovni pracovního prostoru. Nároky jsou k dispozici pouze v plánu Premium.
Přístupové nároky
Každý přístupový nárok uděluje uživateli přístup ke konkrétní sadě funkcí v pracovním prostoru:
- Přístup uživatelů: Uděluje přístup ke zjednodušenému prostředí pro zobrazení řídicích panelů, prostorů Genie a aplikací Databricks, které s nimi sdílí. Viz co je přístup zákazníků?
- Přístup k Sql Databricks: Uděluje přístup k funkcím SQL Databricks, včetně řídicích panelů, dotazů a skladů SQL. Viz Datové sklady v Azure Databricks.
- Přístup k pracovnímu prostoru: Uděluje přístup k základním funkcím pracovního prostoru, jako jsou poznámkové bloky, úlohy, modely a kanály v oblastech Data Science &Engineering a Databricks Mosaic AI. Podívejte se na přípravu dat pomocí Databricks a umělé inteligence a strojového učení v Databricks.
Následující tabulka ukazuje, které funkce jsou uděleny s jednotlivými nároky na přístup:
| Schopnost | Přístup uživatelů | Přístup k Databricks SQL | Přístup k pracovnímu prostoru |
|---|---|---|---|
| Čtení a spouštění sdílených řídicích panelů, prostorů Genie a Aplikací Databricks | ✓ | ✓ | ✓ |
| Dotazování skladů SQL pomocí nástrojů BI | ✓ | ✓ | |
| Čtení a zapisování objektů Databricks SQL | ✓ | ||
| Čtení a zápis objektů pro datové vědy a inženýrství | ✓ | ||
| Čtení a zápis objektů Databricks Mosaic AI | ✓ |
Pokud chcete získat přístup k pracovnímu prostoru Azure Databricks, musí mít uživatel alespoň jeden přístupový nárok.
Uživatelský přístup vs. uživatelé účtu
Předchozí tabulka shrnuje přístupová oprávnění v pracovním prostoru. Následující tabulka porovnává možnosti dostupné uživatelům pracovního prostoru se spotřebitelským přístupem s uživateli účtů, kteří nemají členství v pracovním prostoru.
| Schopnost | Přístup uživatelů k pracovnímu prostoru | Uživatel účtu bez členství v pracovním prostoru |
|---|---|---|
| Zobrazení řídicích panelů pomocí sdílených oprávnění k datům | ✓ | ✓ |
| Zobrazení řídicích panelů pomocí přihlašovacích údajů prohlížeče | ✓ | ✓ |
| Zobrazení sdílených prostorů Genie a aplikací Databricks | ✓ | |
| Zobrazení objektů pomocí zabezpečení na úrovni řádků a sloupců | ✓ | ✓ |
| Přístup k datům řídicího panelu ze zabezpečitelných prvků v rámci pracovního prostředí | ✓ | |
| Přístup k uživatelskému rozhraní s omezeným uživatelským pracovním prostorem | ✓ | |
| Dotazování skladů SQL pomocí nástrojů BI | ✓ |
Nároky na výpočetní prostředky
Možnosti Povolit neomezené vytváření clusteru a Povolit vytváření fondu řídí oprávnění k zřizování výpočetních prostředků v pracovním prostoru. Správci pracovního prostoru dostanou tato oprávnění ve výchozím nastavení a není možné je odebrat. Uživatelům bez oprávnění správce nejsou explicitně přiřazeny, pokud je jim neudělíte.
Povolení neomezeného vytváření clusteru uděluje uživatelům nebo instančním objektům oprávnění k vytváření neomezených clusterů.
Povolení vytvoření fondu umožňuje vytvoření fondu instancí. Dá se udělit jenom skupinám.
Tento nárok se zobrazí v uživatelském rozhraní nastavení správce pouze v případě, že ho už skupina má. Můžete ho odebrat pomocí uživatelského rozhraní pro libovolnou skupinu s výjimkou
adminsskupiny, kde ji nelze odebrat. Pokud ho chcete přiřadit ke skupině, použijte rozhraní API. Viz Správa nároků pomocí rozhraní API.
Výchozí nároky
Některé nároky se udělují automaticky konkrétním uživatelům a skupinám:
Správci pracovního prostoru mají vždy udělená následující oprávnění a nedají se odebrat:
- Přístup k pracovnímu prostoru
- Povolit neomezené vytváření clusteru
- Povolit vytvoření fondu
Správci mají také ve výchozím nastavení udělený přístup k Sql Databricks , ale je možné ho odebrat. Vzhledem k tomu, že správci zachovají oprávnění ke správě oprávnění, můžou je kdykoli znovu přiřadit sobě.
Uživatelům pracovního prostoru se ve výchozím nastavení udělí přístup k pracovnímu prostoru a přístup k Sql Databricks prostřednictvím jejich členství ve skupině
users. Do této skupiny se automaticky přidají všichni uživatelé pracovního prostoru a principály služeb.Výchozí nároky ve
usersskupině ovlivňují způsob přiřazování nebo omezení nároků. Pokud chcete poskytnout prostředí pro přístup uživatelů , musíte odebrat výchozí oprávnění zeusersskupiny (aaccount usersskupiny, pokud je k dispozici) a přiřadit oprávnění jednotlivě konkrétním uživatelům, instančním objektům nebo skupinám. Pokud chcete tento proces zjednodušit, můžete použít funkci Změnit výchozí přístup k pracovnímu prostoru na přístup Consumer. Tato funkce používá klonování skupin k zachování stávajícího uživatelského přístupu při změně výchozího nastavení pro nové uživatele. Viz Změna výchozího přístupu k pracovnímu prostoru pro přístup uživatelů.
Note
V nadcházející verzi budou systémové skupiny pracovních prostorů (users a admins) mít pevně daná přístupová oprávnění, která nelze změnit. Skupina users nebude mít žádná oprávnění a admins skupina bude mít všechna oprávnění pracovního prostoru. Stávající nároky ve users skupině se automaticky migrují do naklonované skupiny, takže aktuální uživatelé si zachovají přístup. Další informace najdete v tématu Brzy budou mít systémové skupiny pracovních prostorů pevné přidělování oprávnění.
Správa nároků pomocí stránky nastavení správce pracovního prostoru
Správci pracovního prostoru můžou spravovat oprávnění pro uživatele, instanční objekty a skupiny pomocí stránky nastavení pracovního prostoru.
- Jako správce pracovního prostoru se přihlaste k pracovnímu prostoru Azure Databricks.
- Klikněte na své uživatelské jméno v horním panelu a vyberte Nastavení.
- Klikněte na kartu Identita a přístup .
- V závislosti na tom, co chcete spravovat, klikněte na Spravovat vedle uživatelů, instančních objektů nebo skupin.
- Vyberte uživatele, služební objekt nebo skupinu, kterou chcete aktualizovat.
- U uživatelů a skupin klikněte na kartu Nároky. Pro služební principály se políčka pro oprávnění zobrazují přímo.
- Pokud chcete udělit nárok, vyberte přepínač vedle oprávnění.
Pokud chcete oprávnění odebrat, zrušte výběr přepínače.
Pokud je nárok zděděný ze skupiny, přepínač je vybraný, ale je zašedlý. Pokud chcete odebrat zděděný nárok, buď:
- Odeberte uživatele nebo služební principál ze skupiny, která má oprávnění, nebo
- Odeberte oprávnění ze samotné skupiny.
Odebrání nároku na skupinu má vliv na všechny členy této skupiny, pokud jim není uděleno oprávnění jednotlivě nebo prostřednictvím jiné skupiny.
Správa nároků pomocí rozhraní API
Přístupová oprávnění pro uživatele, identifikační objekty služeb a skupiny můžete spravovat pomocí následujících rozhraní API:
- Rozhraní API pro uživatele pracovního prostoru
- Rozhraní API instančních objektů pracovních prostorů
- Rozhraní API pro skupiny pracovních prostor
Následující tabulka uvádí jednotlivé nároky a odpovídající název rozhraní API:
| Název nároku | Název rozhraní API pro oprávnění |
|---|---|
| Přístup uživatelů | workspace-consume |
| Přístup k pracovnímu prostoru | workspace-access |
| Přístup k Databricks SQL | databricks-sql-access |
| Povolit neomezené vytváření clusteru | allow-cluster-create |
| Povolit vytvoření fondu | allow-instance-pool-create |
Pokud chcete například přiřadit allow-instance-pool-create oprávnění ke skupině pomocí rozhraní API:
curl --netrc -X PATCH \
https://<databricks-instance>/api/2.0/preview/scim/v2/Groups/<group-id> \
--header 'Content-type: application/scim+json' \
--data @update-group.json \
| jq .
update-group.json:
{
"schemas": ["urn:ietf:params:scim:api:messages:2.0:PatchOp"],
"Operations": [
{
"op": "add",
"path": "entitlements",
"value": [
{
"value": "allow-instance-pool-create"
}
]
}
]
}