Omówienie kontroli dostępu
W usłudze Azure Databricks istnieją różne systemy kontroli dostępu dla różnych zabezpieczanych obiektów. W poniższej tabeli przedstawiono, który system kontroli dostępu zarządza typem zabezpieczanego obiektu.
| Zabezpieczany obiekt | system kontroli dostępu; |
|---|---|
| Zabezpieczane obiekty na poziomie obszaru roboczego | Listy kontroli dostępu |
| Zabezpieczane obiekty na poziomie konta | Kontrola dostępu oparta na rolach konta |
| Zabezpieczane obiekty danych | Wykaz aparatu Unity, kontrola dostępu do tabel magazynu metadanych Hive |
Usługa Azure Databricks udostępnia również role administratora i uprawnienia przypisane bezpośrednio do użytkowników, jednostek usługi i grup.
Uwaga
Kontrola dostępu wymaga planu Premium.
Listy kontroli dostępu
W usłudze Azure Databricks można użyć list kontroli dostępu (ACL), aby skonfigurować uprawnienia dostępu do obiektów obszaru roboczego (folderów, notesów, eksperymentów i modeli), klastrów, pul, zadań, potoków delta Live Tables, alertów, pulpitów nawigacyjnych, zapytań i magazynów SQL. Wszyscy użytkownicy administratorzy obszaru roboczego mogą zarządzać listami kontroli dostępu, ponieważ użytkownicy, którzy otrzymali delegowane uprawnienia do zarządzania listami kontroli dostępu.
Jeśli dopiero zaczynasz korzystać z usługi Azure Databricks i chcesz zapoznać się z przykładem mapowania typowych personas na uprawnienia na poziomie obszaru roboczego, zobacz propozycję dotyczącą rozpoczynania pracy z grupami i uprawnieniami usługi Databricks.
Uwaga
Ustawienia kontroli dostępu są domyślnie wyłączone w obszarach roboczych uaktualnionych z planu standardowego do planu Premium. Po włączeniu ustawienia kontroli dostępu nie można go wyłączyć. Aby uzyskać więcej informacji, zobacz Listy kontroli dostępu można włączyć w uaktualnionych obszarach roboczych.
Postępuj zgodnie z następującymi artykułami, aby uzyskać więcej informacji na temat list kontroli dostępu dla określonych obiektów na poziomie obszaru roboczego:
- Alerty
- Klastry
- Pulpity nawigacyjne SQL usługi Databricks
- Tabele na żywo delty
- Pliki
- Foldery
- Zadania
- Pulpity nawigacyjne usługi Lakeview
- Experiements platformy Mlflow
- Modele MLflow
- Notesy
- Pule
- Zapytania
- Repos
- Wpisy tajne
- Obsługa punktów końcowych
- Magazyny SQL
Kontrola dostępu oparta na rolach konta
Możesz użyć kontroli dostępu opartej na rolach konta, aby skonfigurować uprawnienia do używania obiektów na poziomie konta, takich jak jednostki usługi i grupy. Role konta są definiowane raz na koncie i stosowane we wszystkich obszarach roboczych. Wszyscy użytkownicy administracyjni konta mogą zarządzać rolami konta, ponieważ użytkownicy, którzy otrzymali delegowane uprawnienia do zarządzania nimi, takimi jak menedżerowie grup i menedżerowie jednostki usługi.
Postępuj zgodnie z następującymi artykułami, aby uzyskać więcej informacji na temat ról kont dla określonych obiektów na poziomie konta:
Ład dotyczący danych
Usługa Databricks zapewnia scentralizowany ład dla danych i sztucznej inteligencji za pomocą wykazu aparatu Unity i udostępniania różnicowego.
- Wykaz aparatu Unity to szczegółowe rozwiązanie do zapewniania ładu dla danych i sztucznej inteligencji w lakehouse usługi Databricks. Pomaga to uprościć zabezpieczenia i nadzór nad danymi, zapewniając centralne miejsce do administrowania i inspekcji dostępu do danych.
- Usługa Delta Sharing to otwarty protokół opracowany przez usługę Databricks na potrzeby bezpiecznego udostępniania danych innym organizacjom lub innym zespołom w organizacji, niezależnie od platform obliczeniowych, z których korzystają.
- Databricks Marketplace to otwarte forum wymiany produktów danych przy użyciu funkcji delta sharing.
Aby uzyskać najlepsze rozwiązania dotyczące ładu w zakresie danych usługi Azure Databricks, zobacz Artykuł Unity Catalog best practices (Najlepsze rozwiązania dotyczące wykazu aparatu Unity).
Role administratora usługi Databricks
Oprócz kontroli dostępu do zabezpieczanych obiektów istnieją wbudowane role na platformie Azure Databricks. Role można przypisywać użytkownikom, jednostkom usługi i grupom.
Na platformie Azure Databricks są dostępne dwa główne poziomy uprawnień administratora:
Administratorzy konta: zarządzaj kontem usługi Azure Databricks, w tym włączaniem katalogu aparatu Unity, aprowizowaniem użytkowników i zarządzaniem tożsamościami na poziomie konta.
Administratorzy obszaru roboczego: zarządzanie tożsamościami obszarów roboczych, kontrolą dostępu, ustawieniami i funkcjami poszczególnych obszarów roboczych na koncie.
Ponadto użytkownicy mogą mieć przypisane te role administratora specyficzne dla funkcji, które mają węższe zestawy uprawnień:
- Administratorzy witryny Marketplace: zarządzaj profilem dostawcy usługi Databricks Marketplace konta, w tym tworzeniem list w witrynie Marketplace i zarządzaniem nimi.
- Administratorzy magazynu metadanych: zarządzaj uprawnieniami i własnością wszystkich zabezpieczanych obiektów w magazynie metadanych wykazu aparatu Unity, takich jak kto może tworzyć wykazy lub wykonywać zapytania dotyczące tabeli.
Użytkownicy mogą być również przypisywani do użytkowników obszaru roboczego. Użytkownik obszaru roboczego może zalogować się do obszaru roboczego, w którym może mieć przyznane uprawnienia na poziomie obszaru roboczego.
Aby uzyskać więcej informacji, zobacz Przypisywanie ról administratora.
Uprawnienia obszaru roboczego
Uprawnienie to właściwość, która umożliwia użytkownikowi, jednostce usługi lub grupie interakcję z usługą Azure Databricks w określony sposób. Administratorzy obszaru roboczego przypisują uprawnienia użytkownikom, jednostkom usługi i grupom na poziomie obszaru roboczego. Aby uzyskać więcej informacji, zobacz Przypisywanie uprawnień.