Aracılığıyla paylaş

Databricks uygulaması için izinleri yapılandırma

İzinler, kullanıcıların Uygulamalara erişme, yönetme ve paylaşma gibi Databricks uygulamalarıyla neler yapabileceğini denetler. Bu, kullanıcının kimliğini doğrulayan kimlik doğrulamasından farklıdır. İzinler, kullanıcının uygulama içinde gerçekleştirme yetkisi olan eylemleri belirler.

İzin düzeyleri

  • CAN MANAGE - Uygulamayı düzenleme ve silme özelliği dahil olmak üzere uygulama ayarlarını ve izinlerini yönetebilir. Tüm CAN USE özellikleri içerir.
  • CAN USE - Uygulamayı çalıştırabilir ve uygulamayla etkileşimde bulunabilir, ancak değiştiremez veya yönetemez.

Yalnızca izinleri olan CAN MANAGE kullanıcılar bir uygulamada izinleri atayabilir veya iptal edebilir.

Databricks uygulamaları kullanıcı arabiriminde izin atama

Doğrudan Databricks Uygulamaları kullanıcı arabiriminde izinler atayarak Databricks uygulamasını kimlerin görüntüleyebileceğini, çalıştırabileceğini veya değiştirebileceğini yönetin.

  1. Uygulama ayrıntıları sayfasına gidin.
  2. İzinler'e tıklayın.
  3. Kullanıcı, grup veya hizmet sorumlusu seçmek için açılan listeyi kullanın.
  4. Uygun izin düzeyini (CAN USE veya CAN MANAGE) seçin.
  5. Ekle'ye ve ardından Değişiklikleri uygulamak için Kaydet'e tıklayın.

Kuruluş izinleri

Aşağıdaki seçeneklerden birini kullanarak uygulamanız için kuruluş düzeyinde izinleri yapılandırın:

  • Yalnızca erişimi olan kişiler kullanabilir: Yalnızca izinler penceresinde açıkça izin verilen kullanıcılar, gruplar ve hizmet sorumluları uygulamaya erişebilir.
  • Kuruluşumdaki herkes aşağıdakini kullanabilir: Geçerli Azure Databricks hesabındaki ( All account users grup) tüm kullanıcılar ve hizmet sorumluları izinleri alır CAN USE . Kullanıcılar ve hizmet sorumlularına açıkça verilen CAN MANAGE izinler, ayrı olarak saklanan bu yükseltilmiş izinleri korur.

JIT tarafından sağlanan kullanıcıların yine de kuruluşunuzun kimlik sağlayıcısı üzerinden kimlik doğrulaması yapması ve Azure Databricks tarafından hesap kullanıcısı olarak tanınması gerekir. Bu kullanıcılara CAN USE herhangi bir çalışma alanına erişimi olmasa bile uygulamalara erişim vekleyebilirsiniz. Ancak, erişim çalışma alanı kimlik doğrulama ilkesine bağlıdır. Örneğin, PrivateLink etkinleştirildiyse Azure Databricks çalışma alanı düzeyinde kimlik doğrulamasına geri dönebilir. Bu durumda, Azure Databricks genel uç noktası üzerinden bağlanan kullanıcılar için erişim engellenir.

Databricks uygulamalarını genel yapamazsınız. Anonim erişim ve çoklu oturum açma (SSO) atlanması desteklenmez. Dış ortak çalışanlara erişim vermek için, tam çalışma alanı erişimi vermeden kimlik sağlayıcınız aracılığıyla kullanıcıları eklemek için SCIM ve JIT sağlama ile kimlik federasyonu kullanın.

İzinler ve yetkilendirme karşılaştırması

Databricks Apps'te, ilişkili ancak ayrı kavramlar olan izinler ile yetkilendirme arasında ayrım yapmak önemlidir.

  • İzinler çalışma alanı düzeyinde atanır ve çalışma alanı içinde bir uygulamayı kimlerin yönetebileceğini veya kullanabileceğini tanımlar. İzinler, uygulamayı dağıtabilecek, güncelleştirebilecek veya çalıştırabilecek kişiler gibi uygulamanın kendisine erişimi denetler. İzinler, uygulamanın veya kullanıcılarının erişebileceği verileri denetlemez.

  • Yetkilendirme , verilere ve kaynaklara erişimi denetlemeyi ifade eder ve iki alt kategoriye sahiptir:

    • Kullanıcı yetkilendirmesi - Kullanıcılar uygulamada kimlik doğrulaması yaptıklarında Azure Databricks kimliklerini uygulama çalışma zamanına iletir. Bu, Unity Kataloğu'nun ve diğer veri erişim ilkelerinin kullanıcının kimliğine göre izinleri zorunlu kılabilmesini sağlar ve uygulamanın kendi adına erişebileceği verileri kısıtlar.
    • Uygulama yetkilendirmesi - Uygulama, gerekli Azure Databricks kaynaklarına erişmek için kendi izinlerine sahip bir hizmet sorumlusu kullanarak çalışır. Bu yetkilendirme, uygulamanın kendi başına herhangi bir kullanıcıdan bağımsız olarak neler yapabileceğini yönetir.

Özetle, izinler uygulamaya çalışma alanı düzeyinde erişimi (kimler kullanabilir veya yönetebilir) denetlerken, yetkilendirme hem kullanıcı kimliği tabanlı erişim hem de uygulama hizmeti sorumlusu erişimi dahil olmak üzere veri düzeyi ve kaynak erişimini yönetir.

Daha fazla bilgi için bkz. Databricks uygulamasında yetkilendirmeyi yapılandırma.

Uygulama yetkilendirmeleri

Çalışma alanında bulunan herhangi bir kullanıcı, diğer sunucusuz ürünlere benzer şekilde Databricks Uygulamaları oluşturabilir. Ancak, aşağıdaki yetkilendirmeler uygulama erişiminin farklı yönlerini denetler:

  • Uygulama erişimi ve yönetimi: İzin düzeyleri aracılığıyla denetlenen uygulamaya kimlerin erişebileceği ve uygulamayı yönetebileceği
  • Hizmet sorumlusu izinleri: Uygulamanın ayrılmış hizmet sorumlusuna atanan izinler
  • Kullanıcı onayı: Kullanıcının, uygulamanın kullanıcı yetkilendirmesi için kendi kimliğini kullanmasına izin verip vermediğini
  • Kullanıcı izinleri: Uygulamaya erişen kullanıcıların temel Unity Kataloğu ve çalışma alanı izinleri

İzinler için en iyi yöntemler

Databricks uygulama izinlerini güvenli bir şekilde yönetmek için şu en iyi yöntemleri izleyin:

  • Yalnızca her kullanıcının rolü için gerekli izinleri vererek en az ayrıcalık ilkesini izleyin.
  • Kullanıcılar yönetim özellikleri gerektirmediği sürece izin atamayı CAN USE tercih edin.
  • İzinleri uygun ölçekte verimli bir şekilde yönetmek için grupları veya hizmet sorumlularını kullanın.
  • Last updated on