Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Halaman ini menjelaskan cara mengelola hak untuk pengguna, perwakilan layanan, dan grup.
Gambaran umum hak akses
Hak merupakan properti yang mengizinkan agar pengguna, perwakilan layanan, atau grup dapat berinteraksi dengan Azure Databricks dengan cara tertentu. Hak akses ditetapkan untuk pengguna di tingkat ruang kerja. Hak hanya tersedia dalam Paket Premium.
Hak akses
Setiap pemberian hak akses memberikan akses pengguna ke serangkaian fitur tertentu di ruang kerja:
- Akses konsumen: Memberikan akses ke lingkungan yang disederhanakan untuk melihat dasbor, ruang Genie, dan Aplikasi Databricks yang dibagikan dengan mereka. Lihat Apa itu akses konsumen?.
- Akses Databricks SQL: Memberikan akses ke fitur Databricks SQL, termasuk dasbor, kueri, dan gudang SQL. Lihat Pergudangan data di Azure Databricks.
- Akses ruang kerja: Memberikan akses ke fitur ruang kerja inti seperti notebook, pekerjaan, model, dan alur di area Data Science & Engineering dan Databricks Mosaic AI. Lihat Rekayasa data dengan Databricks dan AI dan pembelajaran mesin di Databricks.
Tabel di bawah ini menunjukkan kemampuan mana yang diberikan dengan setiap hak akses:
| Kapabilitas | Akses konsumen | Akses SQL Databricks | Akses ruang kerja |
|---|---|---|---|
| Baca/jalankan dasbor berbagi pakai, ruang Genie, dan Aplikasi Databricks | ✓ | ✓ | ✓ |
| Mengkueri gudang SQL menggunakan alat BI | ✓ | ✓ | |
| Membaca/menulis objek Databricks SQL | ✓ | ||
| Membaca dan menulis objek Data Science & Engineering | ✓ | ||
| Membaca/menulis objek Databricks Mosaic AI | ✓ |
Untuk mengakses ruang kerja Azure Databricks, pengguna harus memiliki setidaknya satu hak akses.
Akses konsumen vs pengguna akun
Tabel sebelumnya meringkas hak akses di ruang kerja. Tabel berikut membandingkan kemampuan yang tersedia untuk pengguna ruang kerja dengan akses Konsumen ke pengguna akun yang tidak memiliki keanggotaan ruang kerja.
| Kapabilitas | Akses konsumen ke ruang kerja | Pengguna akun tanpa keanggotaan ruang kerja |
|---|---|---|
| Menampilkan dasbor dengan izin penggunaan data bersama | ✓ | ✓ |
| Menampilkan dasbor menggunakan kredensial penampil | ✓ | ✓ |
| Lihat ruang bersama Genie dan Aplikasi Databricks | ✓ | |
| Menampilkan objek menggunakan keamanan tingkat baris dan kolom | ✓ | ✓ |
| Mengakses data dasbor dari keamanan terikat ruang kerja | ✓ | |
| Akses ke UI ruang kerja konsumen terbatas | ✓ | |
| Mengkueri gudang SQL menggunakan alat BI | ✓ |
** Hak komputasi
Izinkan pembuatan kluster tanpa batasan dan Izinkan pembuatan kumpulan mengontrol kemampuan untuk menyediakan sumber daya komputasi di ruang kerja. Admin ruang kerja menerima hak ini secara default, dan tidak dapat dihapus. Hak akses tidak diberikan kepada pengguna non-admin kecuali ditetapkan secara eksplisit.
Izinkan pembuatan kluster yang tidak dibatasi memberikan izin kepada pengguna atau perwakilan layanan untuk membuat kluster yang tidak dibatasi.
Izinkan pembuatan kumpulan memungkinkan pembuatan kumpulan instans. Ini hanya dapat diberikan kepada grup.
Hak ini muncul di antarmuka pengguna pengaturan admin hanya jika grup sudah memilikinya. Anda dapat menghapusnya menggunakan UI untuk grup apa pun kecuali
adminsgrup, di mana grup tersebut tidak dapat dihapus. Untuk menetapkannya ke grup, gunakan API. Lihat Mengelola pemberian izin menggunakan API.
Pemberian hak default
Beberapa hak diberikan secara otomatis kepada pengguna dan grup tertentu:
Admin ruang kerja selalu diberikan hak berikut, dan tidak dapat dihapus:
- Akses ruang kerja
- Izinkan pembuatan kluster tanpa batas
- Izinkan pembuatan kumpulan
Admin juga diberikan akses Databricks SQL secara default, tetapi dapat dihapus. Namun, karena admin mempertahankan izin manajemen pemberian hak, mereka dapat menugaskannya kembali kepada diri mereka sendiri kapanpun.
Pengguna ruang kerja diberikan akses Ruang Kerja dan akses Databricks SQL secara default melalui keanggotaan mereka dalam
usersgrup. Semua pengguna ruang kerja dan perwakilan layanan secara otomatis ditambahkan ke grup ini.Hak default pada
usersgrup memengaruhi cara Anda menetapkan atau membatasi pemberian hak. Untuk memberikan pengalaman akses Konsumen , Anda harus menghapus hak default dariusersgrup (danaccount usersgrup, jika berlaku) dan menetapkan hak satu per satu untuk pengguna, perwakilan layanan, atau grup tertentu. Anda dapat menggunakan fitur Ubah akses ruang kerja default ke akses Konsumen untuk menyederhanakan proses ini. Fitur ini menggunakan kloning grup untuk mempertahankan akses pengguna yang ada saat mengubah default untuk pengguna baru. Lihat Mengubah akses ruang kerja default ke akses konsumen.
Note
Dalam rilis mendatang, grup sistem ruang kerja (users dan admins) akan memiliki pemberian hak tetap yang tidak dapat dimodifikasi. Grup users tidak akan memiliki hak dan admins grup akan memiliki semua hak ruang kerja. Hak yang ada pada grup users secara otomatis dimigrasikan ke grup kloning, sehingga pengguna saat ini tetap memiliki akses mereka. Untuk informasi selengkapnya, lihat Grup sistem ruang kerja akan segera memiliki pemberian hak tetap.
Mengelola pemberian hak menggunakan halaman pengaturan admin ruang kerja
Admin ruang kerja dapat mengelola hak untuk pengguna, perwakilan layanan, dan grup menggunakan halaman pengaturan admin ruang kerja.
- Sebagai admin ruang kerja, masuk ke ruang kerja Azure Databricks.
- Klik nama pengguna Anda di bilah atas dan pilih Pengaturan.
- Klik tab Identitas dan akses .
- Bergantung pada apa yang ingin Anda kelola, klik Kelola di samping Pengguna, Perwakilan layanan, atau Grup.
- Pilih pengguna, perwakilan layanan, atau grup yang ingin Anda perbarui.
- Untuk pengguna dan grup, klik tab Pemberian Izin . Untuk perwakilan layanan, kotak centang pemberian hak ditampilkan secara langsung.
- Untuk memberikan hak, pilih tombol di samping hak.
Untuk menghapus pemberian izin, batalkan pilihan pada toggle.
Jika penetapan diwariskan dari grup, tombol akan muncul dipilih tetapi berwarna abu-abu. Untuk menghapus pemberian izin yang diwariskan, baik:
- Menghapus pengguna atau perwakilan layanan dari grup yang memiliki hak, atau
- Hapus hak akses dari grup itu sendiri.
Menghapus hak grup memengaruhi semua anggota grup tersebut kecuali mereka diberikan hak satu per satu atau melalui grup lain.
Mengelola pemberian izin menggunakan API
Anda dapat mengelola pemberian hak untuk pengguna, perwakilan layanan, dan grup menggunakan API berikut:
Tabel di bawah ini mencantumkan setiap pemberian izin dan nama API yang sesuai:
| Nama hak akses | Nama API Hak Akses |
|---|---|
| Akses konsumen | workspace-consume |
| Akses ruang kerja | workspace-access |
| Akses SQL Databricks | databricks-sql-access |
| Izinkan pembuatan kluster tanpa batas | allow-cluster-create |
| Izinkan pembuatan kumpulan | allow-instance-pool-create |
Misalnya, untuk menetapkan allow-instance-pool-create hak ke grup menggunakan API:
curl --netrc -X PATCH \
https://<databricks-instance>/api/2.0/preview/scim/v2/Groups/<group-id> \
--header 'Content-type: application/scim+json' \
--data @update-group.json \
| jq .
update-group.json:
{
"schemas": ["urn:ietf:params:scim:api:messages:2.0:PatchOp"],
"Operations": [
{
"op": "add",
"path": "entitlements",
"value": [
{
"value": "allow-instance-pool-create"
}
]
}
]
}