Visão geral do controle de acesso

No Azure Databricks, há diferentes sistemas de controle de acesso para diferentes objetos protegíveis. A tabela abaixo mostra qual sistema de controle de acesso rege qual tipo de objeto protegível.

Objeto protegível Sistema de controle de acesso
Objetos protegíveis no nível do espaço de trabalho Listas de controle de acesso
Objetos protegíveis no nível da conta Controle de acesso baseado na função da conta
Objetos protegíveis por dados Controle de acesso à tabela do metastore do Unity Catalog e do Hive

O Azure Databricks também fornece funções e direitos de administrador que são atribuídos diretamente a usuários, entidades de serviço e grupos.

Observação

O controle de acesso requer o plano Premium.

Listas de controle de acesso

No Azure Databricks, é possível usar ACLs (listas de controle de acesso) para configurar a permissão para acessar objetos (pastas, notebooks, experimentos e modelos), clusters, pools, trabalhos, pipelines do Delta Live Tables, alertas, painéis, consultas e SQL warehouses do workspace. Todos os usuários administradores do workspace podem gerenciar listas de controle de acesso, assim como os usuários que receberam permissões delegadas para gerenciar listas de controle de acesso.

Se você for novo no Azure Databricks e quiser um exemplo de como mapear personas típicas para permissões no nível do espaço de trabalho, consulte a Proposta de Introdução aos Grupos e Permissões do Databricks.

Observação

As configurações de controle de acesso são desabilitadas por padrão em workspaces que são atualizados do plano Standard para o plano Premium. Depois que uma configuração de controle de acesso estiver habilitada, ela não poderá ser desabilitada. Para obter mais informações, consulte Listas de controles de acesso podem ser habilitadas em workspaces atualizados.

Siga estes artigos para obter mais informações sobre listas de controle de acesso em objetos específicos no nível do espaço de trabalho:

Controle de acesso baseado na função da conta

É possível usar o controle de acesso baseado na função da conta para configurar a permissão de uso de objetos no nível da conta, como entidades e grupos de serviço. As funções de conta são definidas uma vez, em sua conta e se aplicam em todos os espaços de trabalho. Todos os usuários administradores de conta podem gerenciar funções de conta, assim como os usuários que receberam permissões delegadas para gerenciá-las, como gerentes de grupo e gerentes principais de serviço.

Siga estes artigos para obter mais informações sobre funções de conta em objetos específicos no nível da conta:

Governança de dados

O Databricks fornece administração centralizada para dados e IA com o Catálogo do Unity e o Delta Sharing.

  • O Catálogo do Unity é uma solução de governança refinada para dados e IA no databricks lakehouse. Ajuda a simplificar a segurança e a administração dos seus dados fornecendo um local central para administrar, verificar o acesso aos dados.
  • O Compartilhamento Delta é um protocolo aberto desenvolvido pelo Databricks para proteger o compartilhamento de dados com outras organizações ou equipes da sua organização, independentemente das plataformas de computação usadas.
  • O Databricks Marketplace é um fórum aberto para troca de produtos de dados usando o Compartilhamento Delta.

Para obter as práticas recomendadas sobre a governança de dados do Azure Databricks, consulte as Práticas recomendadas do Catálogo do Unity.

Funções de administrador do Databricks

Além do controle de acesso a objetos protegíveis, há funções incorporadas na plataforma Azure Databricks. Usuários, entidades de serviço e grupos podem receber funções.

Há dois níveis principais de privilégios de administrador disponíveis na plataforma do Azure Databricks:

  • Administradores de conta: gerencie a conta do Azure Databricks, incluindo a habilitação do Catálogo do Unity, o provisionamento de usuários e o gerenciamento de identidades no nível da conta.

  • Administradores de workspace: gerencie identidades de workspace, controle de acesso, configurações e recursos para workspaces individuais na conta.

Além disso, os usuários podem receber essas funções de administrador específicas do recurso, que têm conjuntos mais estreitos de privilégios:

  • Administradores do Marketplace: gerencie o perfil de provedor do Databricks Marketplace de sua conta, incluindo a criação e o gerenciamento de listagens do Marketplace.
  • Os administradores de metastore: gerenciam os privilégios e a propriedade de todos os objetos protegíveis em um metastore do Unity Catalog como quem pode criar catálogos ou consultar uma tabela.

Os usuários também podem ser atribuídos a usuários do espaço de trabalho. Um usuário de espaço de trabalho tem a capacidade de fazer logon em um espaço de trabalho, onde pode receber permissões no nível do espaço de trabalho.

Para obter mais informações, consulte Atribuindo funções de administrador.

Direitos do espaço de trabalho

Um direito é uma propriedade que permite que um usuário, uma entidade de serviço ou um grupo interaja com o Azure Databricks de uma forma especificada. Os administradores do espaço de trabalho atribuem direitos a usuários, entidades de serviço e grupos no nível do espaço de trabalho. Para obter mais informações, consulte Atribuindo direitos.