Pular para o conteúdo principal
Última atualização em

Configurar permissões para um aplicativo Databricks

As permissões controlam o que os usuários podem fazer com os aplicativos Databricks , como acessar, gerenciar e compartilhar aplicativos. Isso é diferente da autenticação, que verifica a identidade de um usuário. As permissões determinam quais ações o usuário está autorizado a executar dentro do aplicativo.

Níveis de permissão

  • CAN MANAGE - Permite gerenciar as configurações e permissões do aplicativo, incluindo a capacidade de editar e excluir o aplicativo. Inclui todas as capacidades CAN USE .
  • CAN USE - O senhor pode executar e interagir com o aplicativo, mas não pode modificá-lo ou gerenciá-lo.

Somente usuários com permissões CAN MANAGE podem atribuir ou revogar permissões em um aplicativo.

Atribua permissões na interface do usuário dos aplicativos Databricks.

Gerenciar quem pode view, executar ou modificar um aplicativo Databricks atribuindo permissões diretamente na UI do Databricks Apps.

  1. Navegue até a página de detalhes do aplicativo.
  2. Clique em Permissões .
  3. Utilize o dropdown para escolher um usuário, grupo ou entidade de serviço.
  4. Selecione o nível de permissão apropriado (CAN USE ou CAN MANAGE).
  5. Clique em Adicionar e depois em Salvar para aplicar as alterações.

Permissões da organização

Configure as permissões de nível organizacional para seu aplicativo usando uma das seguintes opções:

  • Somente pessoas com acesso podem usar: Somente usuários, grupos e entidades de serviço que receberam permissões explícitas na janela de permissões podem acessar o aplicativo.
  • Qualquer pessoa na minha organização pode usar: Todos os usuários e entidades de serviço na account Databricks atual (o grupo All account users ) recebem permissões CAN USE . Usuários e entidade de serviço que receberam explicitamente permissões CAN MANAGE mantêm essas permissões elevadas, que são armazenadas separadamente.

Os usuários do provisionamento JIT ainda precisam se autenticar por meio do provedor de identidade da sua organização e ser reconhecidos pelo Databricks como usuários account . Você pode conceder a esses usuários CAN USE acesso aos aplicativos, mesmo que eles não tenham acesso a nenhum workspace. No entanto, o acesso depende da política de autenticação workspace . Por exemplo, se o PrivateLink estiver habilitado, Databricks poderá retornar à autenticação no nível workspace . Nesse caso, o acesso é bloqueado para usuários que se conectam por meio do endpoint público do Databricks.

Não é possível tornar públicas as aplicações Databricks. O acesso anônimo e a ignorar o login único (SSO) não são suportados. Para conceder acesso a colaboradores externos, utilize a federação de identidades com SCIM e o provisionamento JIT para integrar usuários por meio do seu provedor de identidade sem conceder acesso completo ao workspace.

Permissões versus autorização

Nos aplicativos Databricks, é importante distinguir entre permissões e autorização , que são conceitos relacionados, mas separados.

  • As permissões são atribuídas no nível workspace e definem quem dentro do workspace pode gerenciar ou usar um aplicativo. As permissões controlam o acesso ao próprio aplicativo, por exemplo, quem pode implantá-lo, atualizá-lo ou executá-lo. As permissões não controlam quais dados o aplicativo ou seus usuários podem acessar.

  • A autorização refere-se ao controle de acesso a dados e recursos e tem duas subcategorias:

    • Autorização do usuário - quando os usuários se autenticam em um aplicativo, o Databricks encaminha sua identidade para o tempo de execução do aplicativo. Isso permite que o Unity Catalog e outras políticas de acesso a dados apliquem permissões com base na identidade do usuário, restringindo os dados que o aplicativo pode acessar em seu nome.
    • Autorização do aplicativo - A execução do aplicativo usando uma entidade de serviço com suas próprias permissões para acessar o recurso necessário Databricks. Essa autorização rege o que o próprio aplicativo pode fazer independentemente de qualquer usuário.

Em resumo, as permissões controlam o acesso em nível de workspaceao aplicativo (quem pode usá-lo ou gerenciá-lo), enquanto a autorização governa o acesso em nível de dados e de recursos, incluindo o acesso baseado na identidade do usuário e o acesso à entidade de serviço do aplicativo.

Para obter mais informações, consulte Configurar autorização em um aplicativo Databricks.

Direitos do aplicativo

Qualquer usuário em um workspace pode criar aplicativos Databricks , semelhantes a outros produtos serverless . No entanto, os seguintes direitos controlam diferentes aspectos do acesso ao aplicativo:

  • Acesso e gerenciamento do aplicativo: quem pode acessar e gerenciar o aplicativo, controlado por níveis de permissão
  • permissões de entidade de serviço: as permissões atribuídas à entidade de serviço dedicada do aplicativo
  • Consentimento do usuário: se um usuário consente em permitir que o aplicativo use sua identidade para autorização do usuário
  • Permissões do usuário: o Unity Catalog e as permissões workspace dos usuários que acessam o aplicativo

Práticas recomendadas para permissões

Siga estas práticas recomendadas para gerenciar as permissões do aplicativo Databricks com segurança:

  • Siga o princípio do menor privilégio concedendo somente as permissões necessárias para a função de cada usuário.
  • Prefira atribuir a permissão CAN USE, a menos que os usuários precisem de recursos de gerenciamento.
  • Use grupos ou entidades de serviço para gerenciar eficientemente as permissões em escala.