Pular para o conteúdo principal

gerenciar direitos

Esta página descreve como gerenciar direitos para usuários, entidades de serviço e grupos.

Visão geral dos direitos

Um direito é uma propriedade que permite que um usuário, entidade de serviço ou grupo interaja com o site Databricks de uma maneira específica. Os direitos são atribuídos aos usuários no nível workspace. Os direitos estão disponíveis somente no plano Premium.

Direitos de acesso

Cada direito de acesso concede a um usuário acesso a um conjunto específico de recursos no site workspace:

A tabela abaixo mostra quais recursos são concedidos com cada direito de acesso:

Capacidade

Acesso do consumidor

Acesso Databricks SQL

Acesso ao workspace

Leitura/execução de dashboards e Genie spaces

Consultar o armazém SQL usando as ferramentas BI

Leitura/gravação de objetos Databricks SQL

Leitura/gravação ciência de dados & engenharia objects

Leitura/gravação de objetos Databricks Mosaic AI

Para acessar o site Databricks workspace, o usuário deve ter pelo menos um direito de acesso.

Acesso do consumidor vs. usuários do account

A tabela anterior resume os direitos de acesso em um site workspace. A tabela a seguir compara os recursos disponíveis para os usuários do workspace com acesso ao Consumer com os usuários do account que não são membros do workspace.

Capacidade

Acesso do consumidor a um workspace

usuário da conta sem associação a workspace

visualizar dashboards usando credenciais incorporadas

Visualizar dashboards e Genie spaces usando credenciais de visualizador

visualizar objetos usando segurança em nível de linha e coluna

Acesso a um número limitado de consumidores workspace UI

Consultar o armazém SQL usando as ferramentas BI

computar os direitos

Os direitos Allow unrestricted clustering creation e Allow pool creation controlam a capacidade de provisionamento compute recurso em um workspace. Os administradores do espaço de trabalho recebem esses direitos pelo site default, e eles não podem ser removidos. Usuários não administradores não os recebem, a menos que sejam explicitamente atribuídos.

  • Allow unrestricted clustering creation concede aos usuários ou à entidade de serviço permissão para criar clustering irrestrito.

  • Permitir a criação de pool permite a criação de pool de instâncias. Só pode ser concedido a grupos.

    Esse direito aparece na interface de usuário das configurações do administrador somente se um grupo já o tiver. Você pode removê-lo usando a interface de usuário de qualquer grupo, exceto o grupo admins, onde ele não pode ser removido. Para atribuí-lo a um grupo, use a API. Veja como gerenciar os direitos usando o site API.

direitos padrão

Alguns direitos são concedidos automaticamente a usuários e grupos específicos:

  • Os administradores do espaço de trabalho sempre recebem os seguintes direitos e eles não podem ser removidos:

    • Acesso ao workspace
    • Permitir criação irrestrita de cluster
    • Permitir a criação de pool

    Os administradores também recebem acesso aDatabricks SQL pelo site default, mas ele pode ser removido. No entanto, como os administradores mantêm as permissões de gerenciamento de direitos, eles podem reatribuí-las a si mesmos a qualquer momento.

  • Os usuários do espaço de trabalho recebem acesso ao espaço de trabalho e acesso aDatabricks SQL por default por meio de sua associação ao grupo users. Todos os usuários do workspace e a entidade de serviço são automaticamente adicionados a esse grupo.

    Os direitos de default no grupo users afetam a forma como o senhor atribui ou restringe os direitos. Para oferecer a experiência de acesso do consumidor , o senhor deve remover os direitos default do grupo users (e do grupo account users, se aplicável) e atribuir direitos individualmente a usuários, entidades de serviço ou grupos específicos. Consulte Clonar um grupo workspace em um novo grupo account.

Gerenciar direitos usando a página de configurações de administração workspace

Os administradores do espaço de trabalho podem gerenciar direitos para usuários, entidades de serviço e grupos usando a página de configurações de administração workspace.

  1. Como administrador do workspace, faça login no workspace do Databricks.
  2. Clique em seu nome de usuário na barra superior e selecione Configurações .
  3. Clique na guia Identidade e acesso .
  4. Dependendo do que o senhor deseja gerenciar, clique em gerenciar ao lado de Users (Usuários ), entidade de serviço ou Groups (Grupos ).
  5. Selecione o usuário, a entidade de serviço ou o grupo que deseja atualizar.
  6. Para usuários e grupos, clique em Entitlements (Direitos) tab. Para entidade de serviço, as caixas de seleção de direitos são mostradas diretamente.
  7. Para conceder um direito, selecione o botão ao lado do direito.

Para remover um direito, desmarque a opção.

Se um direito for herdado de um grupo, o botão aparecerá selecionado, mas ficará acinzentado. Para remover um direito herdado, faça o seguinte:

  • Remover o usuário ou a entidade de serviço do grupo que tem o direito, ou
  • Remova o direito do próprio grupo.

A remoção de um direito de grupo afeta todos os membros desse grupo, a menos que eles recebam o direito individualmente ou por meio de outro grupo.

gerenciar os direitos usando o API

O senhor pode gerenciar direitos para usuários, entidades de serviço e grupos usando o seguinte APIs:

A tabela abaixo lista cada direito e seu nome de API correspondente:

Nome do direito

Nome da API de direitos

Acesso ao workspace

workspace-access

Acesso Databricks SQL

databricks-sql-access

Permitir criação irrestrita de cluster

allow-cluster-create

Permitir a criação de pool

allow-instance-pool-create

Por exemplo, para atribuir o direito allow-instance-pool-create a um grupo usando a API:

Bash
curl --netrc -X PATCH \
https://<databricks-instance>/api/2.0/preview/scim/v2/Groups/<group-id> \
--header 'Content-type: application/scim+json' \
--data @update-group.json \
| jq .

update-group.json:

JSON
{
"schemas": ["urn:ietf:params:scim:api:messages:2.0:PatchOp"],
"Operations": [
{
"op": "add",
"path": "entitlements",
"value": [
{
"value": "allow-instance-pool-create"
}
]
}
]
}