Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
As permissões controlam o que os usuários podem fazer com o aplicativo Databricks, como acessar, gerenciar e compartilhar aplicativos. Isso é diferente da autenticação, que verifica a identidade de um usuário. As permissões determinam quais ações o usuário está autorizado a executar dentro do aplicativo.
Níveis de permissão
-
CAN MANAGE– Pode gerenciar as configurações e permissões do aplicativo, incluindo a capacidade de editar e excluir o aplicativo. -
CAN USE– Pode executar e interagir com o aplicativo, mas não pode modificá-lo ou gerenciá-lo.
Somente usuários com CAN MANAGE permissões podem atribuir ou revogar permissões em um aplicativo.
Permissões da organização
Se você definir as permissões da organização de um aplicativo para qualquer pessoa em minha organização pode usar, todos os usuários na conta atual do Azure Databricks poderão acessar o aplicativo. Isso inclui usuários adicionados manualmente, sincronizados por meio do SCIM (System for Cross-domain Identity Management) ou criados usando o provisionamento just-in-time (JIT) por meio do provedor de identidade.
Os usuários provisionados por JIT ainda devem se autenticar por meio do provedor de identidade da sua organização e serem reconhecidos pelo Azure Databricks como usuários da conta. Você pode conceder a esses usuários CAN USE acesso a aplicativos, mesmo que eles não tenham acesso a nenhum workspace. No entanto, o acesso depende da política de autenticação do workspace. Por exemplo, se o PrivateLink estiver habilitado, o Azure Databricks poderá voltar à autenticação no nível do workspace. Nesse caso, o acesso é bloqueado para usuários que se conectam através do endpoint público do Azure Databricks.
Você não pode tornar os aplicativos do Databricks públicos. Não há suporte para acesso anônimo e contornar o SSO (logon único). Para conceder acesso a colaboradores externos, use a federação de identidade com o provisionamento SCIM e JIT para adicionar usuários por meio de seu provedor de identidade sem conceder acesso completo ao espaço de trabalho.
Atribuir permissões na interface do usuário de aplicativos do Databricks
Gerencie quem pode exibir, executar ou modificar um aplicativo do Databricks atribuindo permissões diretamente na interface do usuário do Databricks Apps.
- Navegue até a página de detalhes do aplicativo.
- Clique na guia Permissões.
- Use o menu suspenso Selecionar Usuário, Grupo ou Entidade de Serviço... para escolher um usuário, grupo ou entidade de serviço.
- Selecione o nível de permissão apropriado (
CAN USEouCAN MANAGE). - Clique em Adicionar, depois salve para aplicar alterações.
Permissões versus autorização
Nos Aplicativos do Databricks, é importante distinguir entre permissões e autorização, que são conceitos relacionados, mas separados.
As permissões são atribuídas no nível do workspace e definem quem dentro do workspace pode gerenciar ou usar um aplicativo. As permissões controlam o acesso ao próprio aplicativo, como quem pode implantá-lo, atualizar ou executá-lo. As permissões não controlam quais dados o aplicativo ou seus usuários podem acessar.
A autorização refere-se ao controle do acesso a dados e recursos e tem duas subcategorias:
- Autorização do usuário – Quando os usuários se autenticam em um aplicativo, o Azure Databricks encaminha sua identidade para o runtime do aplicativo. Isso permite que o Catálogo do Unity e outras políticas de acesso a dados imponham permissões com base na identidade do usuário, restringindo quais dados o aplicativo pode acessar em seu nome.
- Autorização do aplicativo – O aplicativo é executado usando um service principal com suas próprias permissões para acessar os recursos necessários do Azure Databricks. Essa autorização rege o que o próprio aplicativo pode fazer independentemente de qualquer usuário.
Em resumo, as permissões controlam o acesso ao aplicativo no nível do workspace (quem pode usá-lo ou gerenciá-lo), enquanto a autorização governa o acesso a dados e recursos, incluindo tanto o acesso baseado na identidade do usuário quanto ao acesso do principal de serviço do aplicativo.
Para obter mais informações, consulte Configurar autorização em um aplicativo do Databricks.
Permissões de aplicativo
Qualquer usuário em um workspace pode criar Aplicativos do Databricks, semelhante a outros produtos sem servidor. No entanto, os seguintes direitos controlam diferentes aspectos do acesso ao aplicativo:
- Acesso e gerenciamento de aplicativos: Quem pode acessar e gerenciar o aplicativo, controlado por meio de níveis de permissões
- Permissões da entidade de serviço: As permissões atribuídas à entidade de serviço dedicada do aplicativo
- Consentimento do usuário: Se um usuário consente em permitir que o aplicativo use sua identidade para autorização do usuário
- Permissões de usuário: As permissões subjacentes do Catálogo do Unity e do workspace dos usuários que acessam o aplicativo
Práticas recomendadas para permissões
Siga estas práticas recomendadas para gerenciar as permissões de aplicativo do Databricks com segurança:
- Siga o princípio do privilégio mínimo concedendo apenas as permissões necessárias para a função de cada usuário.
- Prefira atribuir
CAN USEpermissão, a menos que os usuários exijam recursos de gerenciamento. - Use grupos ou principais de serviço para gerenciar com eficiência as permissões em larga escala.