Administración de derechos
En este artículo se describe cómo administrar derechos para usuarios, entidades de servicio y grupos.
Nota:
Los derechos solo están disponibles en el Plan Premium.
Introducción a los derechos
Un derecho es una propiedad que permite a un usuario, entidad de servicio o grupo interactuar con Azure Databricks de una manera especificada. Los derechos se asignan a los usuarios en el nivel de área de trabajo. En la tabla siguiente se enumeran los derechos y los nombres de propiedad de la API y la interfaz de usuario del área de trabajo que se usan para administrar cada uno. Puede usar la página de configuración de administración del área de trabajo y las API de usuarios, entidades de servicio y grupos del área de trabajo para administrar los derechos.
Nombre de derecho | Nombre de la API de derechos | Valor predeterminado | Descripción |
---|---|---|---|
Acceso al área de trabajo | workspace-access |
Concedido de forma predeterminada. | Cuando se le conceden a un usuario o a una entidad de servicio, pueden acceder a los entornos basados en roles de Ciencia de datos e ingeniería y Databricks Mosaic AI. No se pueden quitar a los administradores de área de trabajo. |
Acceso a Databricks SQL | databricks-sql-access |
Concedido de forma predeterminada. | Cuando se concede a un usuario o una entidad de servicio, pueden acceder a Databricks SQL. |
Permitir la creación de un clúster sin restricciones | allow-cluster-create |
No se concede a usuarios o entidades de servicio de forma predeterminada. | Cuando se concede a un usuario o entidad de seguridad de servicio, pueden crear clústeres sin restricciones. Puede restringir el acceso a los clústeres existentes mediante permisos de nivel de clúster. No se pueden quitar a los administradores de área de trabajo. |
Permitir la creación del grupo (no disponible a través de la interfaz de usuario) | allow-instance-pool-create |
No se puede conceder a usuarios o entidades de servicio individuales. | Cuando se concede a un grupo, sus miembros pueden crear grupos de instancias. No se pueden quitar a los administradores de área de trabajo. |
De manera predeterminada, al grupo users
se le conceden los derechos de Acceso al área de trabajo y Acceso a Databricks SQL. Todos los usuarios del área de trabajo y las entidades de servicio son miembros del grupo users
. Para asignar estos derechos usuario por usuario, un administrador del área de trabajo debe eliminar el derecho del grupo users
y asignarlo individualmente a los usuarios, entidades de servicio y grupos.
Para iniciar sesión y acceder a un área de trabajo de Azure Databricks, el usuario debe tener el derecho de Acceso a Databricks SQL o de Acceso al área de trabajo.
No se puede conceder el derecho allow-instance-pool-create
mediante la página de configuración del administrador. En su lugar, use la API de Grupos, Usuarios del área de trabajo o Entidades de servicio.
Administración de derechos en usuarios
Los administradores del área de trabajo pueden agregar o quitar un derecho para un usuario mediante la página de configuración del administrador del área de trabajo. También puede usar la API de Usuarios del área de trabajo.
- Como administrador del área de trabajo, inicia sesión en el área de trabajo de Azure Databricks.
- Haga clic en su nombre de usuario en la barra superior del área de trabajo de Azure Databricks y seleccione Configuración.
- Haga clic en la pestaña Identidad y acceso.
- Junto a Usuarios, haga clic en Administrar.
- Seleccione el usuario.
- Haga clic en la pestaña Derechos.
- Para agregar un derecho, seleccione el botón de alternancia en la columna correspondiente.
Para quitar un derecho, realice los mismos pasos, pero anule la selección del botón de alternancia en su lugar.
Si se hereda un derecho de un grupo, se selecciona el botón de alternancia de derechos, pero aparece atenuado. Para quitar un derecho heredado, quite el usuario del grupo que tiene el derecho, o bien quite el derecho del grupo.
Administrar derechos en entidades de servicio
Los administradores del área de trabajo pueden agregar o quitar un derecho para una entidad de servicio mediante la página de configuración del administrador del área de trabajo. También puede usar la API de entidades de servicio del área de trabajo.
- Como administrador del área de trabajo, inicia sesión en el área de trabajo de Azure Databricks.
- Haga clic en su nombre de usuario en la barra superior del área de trabajo de Azure Databricks y seleccione Configuración.
- Haga clic en la pestaña Identidad y acceso.
- Junto a Entidades de servicio, haga clic en Administrar.
- Seleccione la entidad de servicio que desea actualizar.
- Para agregar un derecho, en Derechos, active la casilla correspondiente.
Para quitar un derecho, realice los mismos pasos, pero desactive la casilla en su lugar.
Si se hereda un derecho de un grupo, se selecciona el botón de alternancia de derechos, pero aparece atenuado. Para quitar un derecho heredado, quite la entidad de servicio del grupo que tenga el derecho o quite el derecho del grupo.
Administrar derechos en grupos
Los administradores del área de trabajo pueden administrar derechos de grupo en el nivel de área de trabajo, independientemente de si el grupo se creó en la cuenta o es local del área de trabajo.
- Como administrador del área de trabajo, inicia sesión en el área de trabajo de Azure Databricks.
- Haga clic en su nombre de usuario en la barra superior del área de trabajo de Azure Databricks y seleccione Configuración.
- Haga clic en la pestaña Identidad y acceso.
- Junto a Grupos, haga clic en Administrar.
- Seleccione el grupo que quiere actualizar. Debe tener el rol de administrador de grupos en el grupo para actualizarlo.
- En la pestaña Entitlements (Derechos), seleccione el derecho que quiere conceder a todos los usuarios del grupo.
Para quitar un derecho, realice los mismos pasos, pero anule la selección del botón de alternancia en su lugar. Los miembros del grupo pierden el derecho, a menos que se les haya concedido permiso como usuario individual o mediante la pertenencia a otro grupo.