Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questa pagina descrive come gestire i diritti per utenti, entità servizio e gruppi.
Panoramica dei diritti
Un entitlement è una proprietà che consente a un utente, a un'entità servizio o a un gruppo di interagire con Azure Databricks in un modo specifico. I diritti vengono assegnati agli utenti a livello di area di lavoro. I diritti sono disponibili solo nel piano Premium.
Diritti di accesso
Ogni diritto di accesso concede a un utente l'accesso a un set specifico di funzionalità nell'area di lavoro:
- Accesso utente: concede l'accesso a un ambiente semplificato per la visualizzazione di dashboard, spazi Genie e App Databricks condivisi con essi. Vedere Che cos'è l'accesso del consumatore?.
- Accesso SQL di Databricks: concede l'accesso alle funzionalità SQL di Databricks, inclusi dashboard, query e SQL Warehouse. Vedere Come usare Databricks SQL.
- Accesso all'area di lavoro: concede l'accesso alle funzionalità principali dell'area di lavoro, ad esempio notebook, processi, modelli e pipeline nelle aree Data Science & Engineering e Databricks Mosaic AI. Vedere Ingegneria dei dati con Databrickse intelligenza artificiale e Machine Learning in Databricks.
La tabella seguente illustra le funzionalità concesse con ogni diritto di accesso:
| Capacità | Accesso al consumatore | Accesso a Databricks di SQL | Accesso all'area di lavoro |
|---|---|---|---|
| Leggere/eseguire cruscotti condivisi, spazi Genie e App Databricks | ✓ | ✓ | ✓ |
| Eseguire query su SQL Warehouse con gli strumenti di business intelligence | ✓ | ✓ | |
| Oggetti di lettura/scrittura SQL di Databricks | ✓ | ||
| Oggetti di lettura e scrittura per data science e ingegneria | ✓ | ||
| Lettura/scrittura di oggetti Mosaic AI di Databricks | ✓ |
Per accedere a un'area di lavoro di Azure Databricks, un utente deve avere almeno un diritto di accesso.
Accesso consumer vs utenti di account
La tabella precedente riepiloga i diritti di accesso in un'area di lavoro. La tabella seguente confronta le funzionalità disponibili per gli utenti dell'area di lavoro con l'accesso consumatore rispetto agli utenti dell'account che non fanno parte dell'area di lavoro.
| Capacità | Accesso degli utenti a un'area di lavoro | Utente account senza appartenenza all'area di lavoro |
|---|---|---|
| Visualizzare i dashboard usando le autorizzazioni per i dati condivisi | ✓ | ✓ |
| Visualizzare i dashboard usando le credenziali del visualizzatore | ✓ | ✓ |
| Visualizzare gli spazi Genie condivisi e le app Databricks | ✓ | |
| Visualizzare gli oggetti usando la sicurezza a livello di riga e colonna | ✓ | ✓ |
| Accesso all'interfaccia utente dell'area di lavoro limitata del consumatore | ✓ | |
| Eseguire query su SQL Warehouse con gli strumenti di business intelligence | ✓ |
Diritti di calcolo
Consenti la creazione di cluster senza restrizioni e Consenti la creazione del pool controllano la possibilità di effettuare il provisioning delle risorse di calcolo in un'area di lavoro. Gli amministratori dell'area di lavoro ricevono questi diritti per impostazione predefinita e non possono essere rimossi. Agli utenti non amministratori non vengono concessi i permessi, a meno che non siano assegnati esplicitamente.
Consenti la creazione di cluster senza restrizioni concede agli utenti o alle entità servizio l'autorizzazione per creare cluster senza restrizioni.
Consenti creazione pool consente la creazione pool di istanze. Può essere concessa solo ai gruppi.
Questo diritto viene visualizzato nell'interfaccia utente delle impostazioni di amministrazione solo se un gruppo lo contiene già. È possibile rimuoverlo usando l'interfaccia utente per qualsiasi gruppo, ad eccezione del
adminsgruppo, in cui non può essere rimosso. Per assegnarlo a un gruppo, usare l'API. Vedere Gestire i diritti usando l'API.
Entitlement predefiniti
Alcuni diritti vengono concessi automaticamente a utenti e gruppi specifici:
Agli amministratori dell'area di lavoro vengono sempre concessi i diritti seguenti e non possono essere rimossi:
- Accesso all'area di lavoro
- Consenti creazione di cluster senza restrizioni
- Permettere la creazione del pool
Agli amministratori viene concesso anche l'accesso SQL di Databricks per impostazione predefinita, ma può essere rimosso. Tuttavia, poiché gli amministratori mantengono le autorizzazioni per la gestione dei diritti, possono riassegnarle a se stessi in qualsiasi momento.
Agli utenti dell'area di lavoro viene concesso l'accesso all'area di lavoro e all'accesso SQL di Databricks per impostazione predefinita tramite l'appartenenza al
usersgruppo. Tutti gli utenti e le entità servizio dell'area di lavoro vengono aggiunti automaticamente a questo gruppo.I diritti predefiniti per il
usersgruppo influiscono sul modo in cui si assegnano o limitano i diritti. Per fornire l'esperienza di accesso utente, è necessario rimuovere i diritti predefiniti dalusersgruppo (e dalaccount usersgruppo, se applicabile) e assegnare i diritti singolarmente a utenti, entità servizio o gruppi specifici. Vedere Clonare un gruppo di aree di lavoro in un nuovo gruppo di account.
Gestire i diritti usando la pagina delle impostazioni di amministrazione dell'area di lavoro
Gli amministratori dell'area di lavoro possono gestire i diritti per utenti, entità servizio e gruppi usando la pagina delle impostazioni di amministrazione dell'area di lavoro.
- Come amministratore dell'area di lavoro, accedere all'area di lavoro di Azure Databricks.
- Fare clic sul nome utente nella barra superiore e selezionare Impostazioni.
- Fare clic sulla scheda Identità e accesso .
- A seconda di ciò che si vuole gestire, fare clic su Gestisci accanto a Utenti, Entità servizio o Gruppi.
- Selezionare l'utente, l'entità servizio o il gruppo da aggiornare.
- Per utenti e gruppi, fai clic sulla scheda Autorizzazioni. Per i principali di servizio, le caselle di controllo delle autorizzazioni vengono visualizzate direttamente.
- Per concedere un diritto, selezionare l'interruttore accanto al diritto.
Per rimuovere un diritto, deselezionare l'interruttore.
Se un diritto viene ereditato da un gruppo, l'opzione viene visualizzata selezionata ma è oscurata. Per rimuovere un diritto ereditato, è necessario:
- Rimuovere l'utente o l'entità servizio dal gruppo che dispone delle autorizzazioni oppure
- Rimuovere il diritto dal gruppo stesso.
La rimozione di un diritto di gruppo influisce su tutti i membri del gruppo, a meno che non venga concesso il diritto singolarmente o tramite un altro gruppo.
Gestire i diritti usando l'API
È possibile gestire i diritti per utenti, entità servizio e gruppi usando le API seguenti:
- API Utenti Spazio di lavoro
- Principali del servizio dell'area di lavoro API
- API Gruppi di aree di lavoro
La tabella seguente elenca ogni autorizzazione e il relativo nome API.
| Nome del diritto | Nome del diritto API |
|---|---|
| Accesso al consumatore | workspace-consume |
| Accesso all'area di lavoro | workspace-access |
| Accesso a Databricks di SQL | databricks-sql-access |
| Consenti creazione di cluster senza restrizioni | allow-cluster-create |
| Permettere la creazione del pool | allow-instance-pool-create |
Ad esempio, per assegnare il allow-instance-pool-create diritto a un gruppo usando l'API:
curl --netrc -X PATCH \
https://<databricks-instance>/api/2.0/preview/scim/v2/Groups/<group-id> \
--header 'Content-type: application/scim+json' \
--data @update-group.json \
| jq .
update-group.json:
{
"schemas": ["urn:ietf:params:scim:api:messages:2.0:PatchOp"],
"Operations": [
{
"op": "add",
"path": "entitlements",
"value": [
{
"value": "allow-instance-pool-create"
}
]
}
]
}