Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Los permisos controlan lo que los usuarios pueden hacer con la aplicación Databricks, como el acceso, la administración y el uso compartido de aplicaciones. Esto es diferente de la autenticación, que comprueba la identidad de un usuario. Los permisos determinan las acciones que el usuario está autorizado para realizar dentro de la aplicación.
Niveles de permisos
-
CAN MANAGE- Puede administrar la configuración y los permisos de la aplicación, incluida la capacidad de editar y eliminar la aplicación. -
CAN USE- Puede ejecutar e interactuar con la aplicación, pero no puede modificarla ni administrarla.
Solo los usuarios con CAN MANAGE permisos pueden asignar o revocar permisos en una aplicación.
Permisos de organización
Si establece los permisos de organización de una aplicación en Cualquiera de mi organización puede usar, todos los usuarios de la cuenta actual de Azure Databricks pueden acceder a la aplicación. Esto incluye a los usuarios agregados manualmente, sincronizados mediante system for Cross-domain Identity Management (SCIM) o creados mediante el aprovisionamiento Just-In-Time (JIT) a través del proveedor de identidades.
Los usuarios aprovisionados por JIT todavía deben autenticarse a través del proveedor de identidades de su organización y ser reconocidos por Azure Databricks como usuarios de la cuenta. Puede conceder a estos usuarios CAN USE acceso a las aplicaciones, incluso si no tienen acceso a ninguna área de trabajo. Sin embargo, el acceso depende de la directiva de autenticación del área de trabajo. Por ejemplo, si PrivateLink está habilitado, Azure Databricks podría revertir a la autenticación de nivel de área de trabajo. En este caso, el acceso se bloquea a los usuarios que se conectan a través del punto de conexión público de Azure Databricks.
No se pueden hacer públicas las aplicaciones de Databricks. No se admite el acceso anónimo ni la omisión del inicio de sesión único (SSO). Para conceder acceso a colaboradores externos, use la federación de identidades con el aprovisionamiento SCIM y JIT para incorporar usuarios a través de su proveedor de identidades sin conceder acceso completo al área de trabajo.
Asignación de permisos en la interfaz de usuario de aplicaciones de Databricks
Administre quién puede ver, ejecutar o modificar una aplicación de Databricks mediante la asignación de permisos directamente en la interfaz de usuario de Databricks Apps.
- Vaya a la página de detalles de la aplicación.
- Haga clic en la pestaña Permissions (Permisos).
- Use la lista desplegable Seleccionar usuario, grupo o entidad de servicio... para elegir un usuario, grupo o entidad de servicio.
- Seleccione el nivel de permiso adecuado (
CAN USEoCAN MANAGE). - Haga clic en Agregar y, a continuación, en Guardar para aplicar los cambios.
Permisos frente a autorización
En Databricks Apps, es importante distinguir entre los permisos y la autorización, que están relacionados, pero conceptos independientes.
Los permisos se asignan en el nivel de área de trabajo y definen quién dentro del área de trabajo puede administrar o usar una aplicación. Los permisos controlan el acceso a la propia aplicación, como quién puede implementar, actualizar o ejecutarla. Los permisos no controlan a qué datos puede acceder la aplicación o sus usuarios.
La autorización hace referencia a controlar el acceso a datos y recursos y tiene dos sub categorías:
- Autorización de usuario: cuando los usuarios se autentican en una aplicación, Azure Databricks reenvía su identidad al entorno de ejecución de la aplicación. Esto permite que el Catálogo de Unity y otras directivas de acceso a datos apliquen permisos en función de la identidad del usuario, lo que restringe los datos a los que la aplicación puede acceder en su nombre.
- Autorización de aplicaciones: la aplicación se ejecuta mediante una entidad de servicio con sus propios permisos para acceder a los recursos de Azure Databricks necesarios. Esta autorización rige lo que la propia aplicación puede hacer independientemente de cualquier usuario.
En resumen, los permisos controlan el acceso de nivel de área de trabajo a la aplicación (que puede usarla o administrarla), mientras que la autorización rige el acceso de nivel de datos y de recursos, incluido el acceso basado en identidad de usuario y el acceso a la entidad de servicio de la aplicación.
Para obtener más información, consulte Configuración de la autorización en una aplicación de Databricks.
Permisos de aplicación
Cualquier usuario de un área de trabajo puede crear aplicaciones de Databricks, de forma similar a otros productos sin servidor. Sin embargo, los siguientes derechos controlan distintos aspectos del acceso a la aplicación:
- Acceso y administración de aplicaciones: Quién puede acceder a la aplicación y administrarla, controlada a través de los niveles de permisos
- Permisos de entidad de servicio: Permisos asignados a la entidad de servicio dedicada de la aplicación
- Consentimiento del usuario: Si un usuario da su consentimiento para permitir que la aplicación use su identidad para la autorización del usuario
- Permisos de usuario: Los permisos subyacentes del catálogo y del área de trabajo de Unity de los usuarios que acceden a la aplicación
Procedimientos recomendados para permisos
Siga estos procedimientos recomendados para administrar los permisos de aplicación de Databricks de forma segura:
- Siga el principio de privilegios mínimos concediéndole solo los permisos necesarios para el rol de cada usuario.
- Prefiere asignar
CAN USEpermisos a menos que los usuarios requieran funcionalidades de administración. - Utilice grupos o entidades de servicio para administrar permisos de forma eficiente a gran escala.