Databricks-alkalmazások engedélyeinek konfigurálása

Az engedélyek szabályozzák, hogy a felhasználók mit tehetnek a Databricks-alkalmazásokkal, például hogyan férhetnek hozzá, kezelhetnek és oszthatnak meg alkalmazásokat. Ez eltér a hitelesítéstől, amely ellenőrzi a felhasználó identitását. Az engedélyek határozzák meg, hogy a felhasználó milyen műveleteket hajthat végre az alkalmazásban.

Jogosultsági szintek

• CAN MANAGE – Kezelheti az alkalmazás beállításait és engedélyeit, beleértve az alkalmazás szerkesztésének és törlésének lehetőségét. Az összes CAN USE képességet tartalmazza.
• CAN USE – Futtathatja és kezelheti az alkalmazást, de nem módosíthatja vagy kezelheti.

Csak az engedélyekkel rendelkező CAN MANAGE felhasználók rendelhetnek hozzá vagy vonhatnak vissza engedélyeket egy alkalmazáshoz.

Engedélyek hozzárendelése a Databricks-alkalmazások felhasználói felületén

A Databricks-alkalmazások megtekintésére, futtatására vagy módosítására jogosult személyek kezelése közvetlenül a Databricks Apps felhasználói felületén lévő engedélyek hozzárendelésével.

1. Lépjen az alkalmazás részletei lapra.
2. Kattintson az Engedélyek elemre.
3. A legördülő menüben válasszon ki egy felhasználót, csoportot vagy szolgáltatásnevet.
4. Válassza ki a megfelelő jogosultsági szintet (CAN USE vagy CAN MANAGE).
5. Kattintson a Hozzáadás, majd a Mentés gombra a módosítások alkalmazásához.

Szervezeti engedélyek

Konfigurálja az alkalmazás szervezeti szintű engedélyeit az alábbi lehetőségek egyikével:

• Csak a hozzáféréssel rendelkező személyek használhatják a következőt: Csak azok a felhasználók, csoportok és szolgáltatásnevek férhetnek hozzá az alkalmazáshoz, amelyek kifejezetten engedélyekkel rendelkeznek az engedély-modalban.
• A szervezetem minden tagja használhatja a következőt: Az aktuális Azure Databricks-fiók (a All account users csoport) összes felhasználója és szolgáltatásneve kap CAN USE engedélyeket. A kifejezetten engedélyeket kapott CAN MANAGE felhasználók és szolgáltatásnevek kezelői megtartják a külön tárolt emelt szintű engedélyeket.

A JIT által kiosztott felhasználóknak továbbra is hitelesíteni kell a szervezet identitásszolgáltatóján keresztül, és az Azure Databricksnek fiókfelhasználóként kell felismernie őket. Ezek a felhasználók CAN USE akkor is hozzáférhetnek az alkalmazásokhoz, ha nem férnek hozzá egyetlen munkaterülethez sem. A hozzáférés azonban a munkaterület hitelesítési szabályzatától függ. Ha például a PrivateLink engedélyezve van, előfordulhat, hogy az Azure Databricks visszaesik a munkaterületszintű hitelesítésre. Ebben az esetben a hozzáférés le van tiltva az Azure Databricks nyilvános végpontján keresztül csatlakozó felhasználók számára.

A Databricks-alkalmazásokat nem teheti nyilvánossá. A névtelen hozzáférés és az egyszeri bejelentkezés (SSO) megkerülése nem támogatott. Ha külső közreműködőknek szeretne hozzáférést adni, használja az identitás-federációt a SCIM és JIT kiépítést használva a felhasználók bevezetéséhez az identitásszolgáltatóján keresztül anélkül, hogy teljes hozzáférést adna a munkaterülethez.

Engedélyek és engedélyezés

A Databricks Appsben fontos különbséget tenni az engedélyek és az engedélyezés között, amelyek kapcsolódó, de különálló fogalmak.

• Az engedélyek a munkaterület szintjén vannak hozzárendelve, és meghatározzák, hogy a munkaterületen belül kik kezelhetik vagy használhatják az alkalmazásokat. Az engedélyek magukhoz az alkalmazáshoz való hozzáférést szabályozzák, például azt, hogy ki helyezheti üzembe, frissítheti vagy futtathatja. Az engedélyek nem szabályozzák, hogy az alkalmazás vagy a felhasználók milyen adatokhoz férhetnek hozzá.

• Az engedélyezés az adatokhoz és erőforrásokhoz való hozzáférés szabályozására vonatkozik, és két alkategóriával rendelkezik:

  • Felhasználói engedélyezés – Amikor a felhasználók egy alkalmazáson hitelesítik magukat, az Azure Databricks továbbítja az identitásukat az alkalmazás futtatókörnyezetének. Ez lehetővé teszi, hogy a Unity Catalog és más adathozzáférési szabályzatok a felhasználó identitása alapján kényszerítsék ki az engedélyeket, korlátozva az alkalmazás által a nevükben elérhető adatokat.
  • Alkalmazás-engedélyezés – Az alkalmazás egy saját engedélyekkel rendelkező szolgáltatásnév használatával fut a szükséges Azure Databricks-erőforrások eléréséhez. Ez az engedélyezés szabályozza, hogy maga az alkalmazás mit tehet bármely felhasználótól függetlenül.

Összefoglalva, az engedélyek szabályozzák az alkalmazás munkaterületszintű elérését (ki használhatja vagy kezelheti), míg az engedélyezés szabályozza az adatszintű és az erőforrás-hozzáférést, beleértve a felhasználói identitásalapú hozzáférést és az App Service egyszerű hozzáférését is.

További információ: Engedélyezés konfigurálása Databricks-alkalmazásokban.

Alkalmazásjogosultságok

A munkaterület bármely felhasználója létrehozhat databricks-alkalmazásokat, hasonlóan más kiszolgáló nélküli termékekhez. Az alábbi jogosultságok azonban az alkalmazáshozzáférés különböző aspektusait szabályozzák:

• Alkalmazáshozzáférés és -kezelés: Ki férhet hozzá az alkalmazáshoz és kezelheti az engedélyszinteken keresztüli vezérlést?
• Szolgáltatásnév engedélyei: Az alkalmazás dedikált szolgáltatásnévéhez rendelt engedélyek
• Felhasználói hozzájárulás: Azt jelzi, hogy egy felhasználó hozzájárul-e ahhoz, hogy az alkalmazás használhassa az identitását a felhasználói engedélyezéshez
• Felhasználói engedélyek: Az alkalmazáshoz hozzáférő felhasználók mögöttes Unity-katalógusa és munkaterület-engedélyei

Ajánlott eljárások az engedélyekhez

Kövesse az alábbi ajánlott eljárásokat a Databricks-alkalmazások engedélyeinek biztonságos kezeléséhez:

• Kövesse a minimális jogosultság elvét úgy, hogy csak az egyes felhasználók szerepköréhez szükséges engedélyeket adja meg.
• Csak akkor rendeljen hozzá CAN USE engedélyt, ha a felhasználók nem igényelnek felügyeleti képességeket.
• Csoportok vagy szolgáltatásnevek használatával hatékonyan kezelheti az engedélyeket nagy méretekben.