Présentation du contrôle d’accès

Dans Azure Databricks, il existe différents systèmes de contrôle d’accès pour différents objets sécurisables. Le tableau ci-dessous montre quel système de contrôle d'accès régit quel type d'objet sécurisable.

Objet sécurisable Système de contrôle d’accès
Objets sécurisables au niveau de l'espace de travail Listes de contrôle d’accès
Objets sécurisables au niveau du compte Contrôle d'accès basé sur le rôle du compte
Objets sécurisables Unity Catalog, contrôle d'accès aux tables du métastore Hive

Azure Databricks fournit également des rôles et des droits d'administrateur attribués directement aux utilisateurs, aux principaux de service et aux groupes.

Remarque

Le contrôle d'accès nécessite le plan Premium.

Listes de contrôle d’accès

Dans Azure Databricks, vous pouvez utiliser des listes de contrôle d’accès (ACL) pour configurer des autorisations d’accès aux objets d’espace de travail (dossiers, notebooks, expériences et modèles), clusters, pools, travaux, pipelines Delta Live Tables, alertes, tableaux de bord, requêtes et entrepôts SQL. Les listes de contrôle d’accès peuvent être gérées par tous les utilisateurs administrateurs de l’espace de travail et par les utilisateurs qui ont reçu des autorisations déléguées pour gérer ces listes.

Si vous êtes nouveau sur Azure Databricks et que vous souhaitez un exemple de mappage de personnages typiques avec des autorisations au niveau de l'espace de travail, consultez la Proposition de démarrage avec les groupes et les autorisations Databricks.

Remarque

Les paramètres de contrôle d’accès sont désactivés par défaut sur les espaces de travail mis à niveau du plan Standard vers le plan Premium. Une fois qu’un paramètre de contrôle d’accès est activé, il ne peut pas être désactivé. Pour plus d’informations, consultezles listes de contrôles d’accès peuvent être activées sur les espaces de travail mis à niveau.

Suivez ces articles pour plus d’informations sur les listes de contrôle d’accès sur des objets spécifiques au niveau de l’espace de travail :

Contrôle d'accès basé sur le rôle du compte

Vous pouvez utiliser le contrôle d'accès basé sur le rôle du compte pour configurer l'autorisation d'utiliser des objets au niveau du compte, tels que des principaux de service et des groupes. Les rôles de compte sont définis une seule fois, dans votre compte, et s'appliquent à tous les espaces de travail. Tous les utilisateurs administrateurs de compte peuvent gérer les rôles de compte, tout comme les utilisateurs disposant d'autorisations déléguées pour les gérer, tels que les gestionnaires de groupe et les gestionnaires principaux de service.

Suivez ces articles pour plus d'informations sur les rôles de compte sur des objets spécifiques au niveau du compte :

Gouvernance des données

Databricks fournit une gouvernance centralisée des données et de l'IA avec Unity Catalog et Delta Sharing.

  • Unity Catalog est une solution affinée de gouvernance des données et de l’IA sur le lakehouse Databricks. Il simplifie la sécurité et la gouvernance de vos données en fournissant un emplacement central pour administrer et auditer l’accès aux données.
  • Delta Sharing est un protocole ouvert développé par Databricks pour le partage sécurisé de données avec d’autres organisations, ou avec d’autres équipes au sein de votre organisation, quelle que soit la plateforme de calcul utilisée.
  • Databricks Marketplace est un forum ouvert pour l'échange de produits de données à l'aide de Delta Sharing.

Pour connaître les meilleures pratiques en matière de gouvernance des données Azure Databricks, consultez Meilleures pratiques du catalogue Unity.

Rôles d'administrateur Databricks

Outre le contrôle d'accès aux objets sécurisables, il existe des rôles intégrés sur la plateforme Azure Databricks. Les utilisateurs, les principaux de service et les groupes peuvent se voir attribuer des rôles.

Il existe deux principaux niveaux de privilèges d’administrateur disponibles sur la plateforme Azure Databricks :

  • Administrateurs de compte : ils gèrent le compte Azure Databricks, notamment l’activation d’Unity Catalog, l’approvisionnement d’utilisateurs et la gestion des identités au niveau du compte.

  • Administrateurs d’espace de travail : ils gèrent les identités de l’espace de travail, le contrôle d’accès, les paramètres et les fonctionnalités des espaces de travail individuels dans le compte.

En outre, les utilisateurs peuvent se voir attribuer ces rôles d’administrateur spécifiques aux fonctionnalités, qui ont des ensembles de privilèges plus réduits :

  • Administrateurs de la Place de marché : peuvent gérer le profil du fournisseur de Place de marché Databricks de leur compte, y compris la création et la gestion des listes de la Place de marché.
  • Administrateurs de metastore : peuvent gérer les privilèges et la propriété pour tous les objets sécurisables dans un metastore, par exemple décider qui peut créer des catalogues ou interroger une table.

Les utilisateurs peuvent également être désignés comme utilisateurs de l'espace de travail. Un utilisateur d'espace de travail a la possibilité de se connecter à un espace de travail, où il peut bénéficier d'autorisations au niveau de l'espace de travail.

Pour plus d'informations, voir Attribution de rôles d'administrateur.

Droits d'accès à l'espace de travail

Un droit est une propriété qui permet à un utilisateur, un principal de service ou un groupe d’interagir avec Azure Databricks de manière spécifiée. Les administrateurs de l'espace de travail attribuent des droits aux utilisateurs, aux principaux de service et aux groupes au niveau de l'espace de travail. Pour plus d'informations, voir Affectation de droits.