Configurar permissões para seu aplicativo Databricks
As permissões controlam o que os usuários podem fazer com o aplicativo Databricks, como acessar, gerenciar e compartilhar aplicativos. Isso é diferente da autenticação, que verifica a identidade do usuário. As permissões determinam quais ações o usuário está autorizado a realizar no aplicativo.
Níveis de permissão
IS OWNER- Controle total sobre o aplicativo, incluindo a capacidade de editar, gerenciar permissões e excluir o aplicativo.CAN MANAGE- Pode gerenciar as configurações e as permissões do aplicativo, mas não pode excluir o aplicativo, a menos que também seja um proprietário.CAN USE- O senhor pode executar e interagir com o aplicativo, mas não pode modificá-lo ou gerenciá-lo.
Somente usuários com permissões IS OWNER ou CAN MANAGE podem atribuir ou revogar permissões em um aplicativo.
Se definir as permissões de organização de um aplicativo como Qualquer pessoa na minha organização pode usar , todos os usuários na organização atual Databricks account poderão acessar o aplicativo. Isso inclui usuários adicionados manualmente ou sincronizados por meio do Sistema para Gerenciamento de Identidade entre Domínios (SCIM).
Não é possível tornar públicas as aplicações Databricks. O acesso anônimo e a ignorar o login único (SSO) não são suportados. Para conceder acesso a colaboradores externos, utilize a federação de identidades com SCIM para integrar usuários através do seu provedor de identidade sem conceder acesso completo ao workspace.
Atribuir permissões na UI dos aplicativos Databricks
Gerenciar quem pode view, executar ou modificar um aplicativo Databricks atribuindo permissões diretamente na UI do Databricks Apps.
- Navegue até a página de detalhes do aplicativo.
- Clique na guia Permissões .
- Use a opção Select User, Group or entidade de serviço... dropdown para escolher um usuário, grupo ou entidade de serviço.
- Selecione o nível de permissão apropriado (
CAN USE,CAN MANAGEouIS OWNER). - Clique em Adicionar e depois em Salvar para aplicar as alterações.
Permissões versus autorização
Nos aplicativos Databricks, é importante distinguir entre permissões e autorização , que são conceitos relacionados, mas separados.
-
As permissões são atribuídas no nível workspace e definem quem dentro do workspace pode gerenciar ou usar um aplicativo. As permissões controlam o acesso ao próprio aplicativo, por exemplo, quem pode implantá-lo, atualizá-lo ou executá-lo. As permissões não controlam quais dados o aplicativo ou seus usuários podem acessar.
-
A autorização refere-se ao controle de acesso a dados e recursos e tem duas subcategorias:
- Autorização do usuário - quando os usuários se autenticam em um aplicativo, o Databricks encaminha sua identidade para o tempo de execução do aplicativo. Isso permite que o Unity Catalog e outras políticas de acesso a dados apliquem permissões com base na identidade do usuário, restringindo os dados que o aplicativo pode acessar em seu nome.
- Autorização do aplicativo - A execução do aplicativo usando uma entidade de serviço com suas próprias permissões para acessar o recurso necessário Databricks. Essa autorização rege o que o próprio aplicativo pode fazer independentemente de qualquer usuário.
Em resumo, as permissões controlam o acesso em nível de workspaceao aplicativo (quem pode usá-lo ou gerenciá-lo), enquanto a autorização governa o acesso em nível de dados e de recursos, incluindo o acesso baseado na identidade do usuário e o acesso à entidade de serviço do aplicativo.
Para obter mais informações, consulte Configurar autorização em um aplicativo Databricks.
Práticas recomendadas para permissões
Siga estas práticas recomendadas para gerenciar as permissões do aplicativo Databricks com segurança:
- Siga o princípio do menor privilégio concedendo somente as permissões necessárias para a função de cada usuário.
- Prefira atribuir a permissão
CAN USE, a menos que os usuários precisem de recursos de gerenciamento. - Use grupos ou entidades de serviço para gerenciar eficientemente as permissões em escala.