gerenciar direitos
Esta página descreve como gerenciar direitos para usuários, entidades de serviço e grupos.
Visão geral dos direitos
Um direito é uma propriedade que permite que um usuário, entidade de serviço ou grupo interaja com o site Databricks de uma maneira específica. Os direitos são atribuídos aos usuários no nível workspace. Os direitos estão disponíveis apenas no plano Premium ou acima.
Direitos de acesso
Cada direito de acesso concede a um usuário acesso a um conjunto específico de recursos no site workspace:
- Consumidor : Concede acesso a um ambiente simplificado para visualização de painéis e Genie spaces. Consulte O que é acesso do consumidor?.
- Databricks SQL acesso : Concede acesso a Databricks SQL recurso, incluindo dashboards, consultas e SQL warehouse. Consulte O que é Databricks SQL?
- acesso ao espaço de trabalho : Concede acesso aos principais workspace recursos, como Notebook, Job, modelos e pipeline nas áreas de ciência de dados & engenharia e Databricks Mosaic AI. Veja Engenharia de dados com Databricks e AI e aprendizado de máquina em Databricks.
A tabela abaixo mostra quais recursos são concedidos com cada direito de acesso:
Capacidade | Acesso do consumidor | Acesso Databricks SQL | Acesso ao workspace |
---|---|---|---|
Leitura/execução de dashboards e Genie spaces | ✓ | ✓ | ✓ |
Consultar o armazém SQL usando as ferramentas BI | ✓ | ✓ | |
Leitura/gravação de objetos Databricks SQL | ✓ | ||
Leitura/gravação ciência de dados & engenharia objects | ✓ | ||
Leitura/gravação de objetos Databricks Mosaic AI | ✓ |
Para acessar o site Databricks workspace, o usuário deve ter pelo menos um direito de acesso.
Acesso do consumidor vs. usuários do account
A tabela anterior resume os direitos de acesso em um site workspace. A tabela a seguir compara os recursos disponíveis para os usuários do workspace com acesso ao Consumer com os usuários do account que não são membros do workspace.
Capacidade | Acesso do consumidor a um workspace | usuário da conta sem associação a workspace |
---|---|---|
visualizar dashboards usando credenciais incorporadas | ✓ | ✓ |
Visualizar dashboards e Genie spaces usando credenciais de visualizador | ✓ | |
visualizar objetos usando segurança em nível de linha e coluna | ✓ | |
Acesso a um número limitado de consumidores workspace UI | ✓ | |
Consultar o armazém SQL usando as ferramentas BI | ✓ |
computar os direitos
Os direitos Allow unrestricted clustering creation e Allow pool creation controlam a capacidade de provisionamento compute recurso em um workspace. Os administradores do espaço de trabalho recebem esses direitos pelo site default, e eles não podem ser removidos. Usuários não administradores não os recebem, a menos que sejam explicitamente atribuídos.
-
Allow unrestricted clustering creation concede aos usuários ou à entidade de serviço permissão para criar clustering irrestrito.
-
Permitir a criação de pool permite a criação de pool de instâncias. Só pode ser concedido a grupos.
Esse direito aparece na interface de usuário das configurações do administrador somente se um grupo já o tiver. Você pode removê-lo usando a interface de usuário de qualquer grupo, exceto o grupo
admins
, onde ele não pode ser removido. Para atribuí-lo a um grupo, use a API. Veja como gerenciar os direitos usando o site API.
direitos padrão
Alguns direitos são concedidos automaticamente a usuários e grupos específicos:
-
Os administradores do espaço de trabalho sempre recebem os seguintes direitos e eles não podem ser removidos:
- Acesso ao workspace
- Permitir criação irrestrita de cluster
- Permitir a criação de pool
Os administradores também recebem acesso aDatabricks SQL pelo site default, mas ele pode ser removido. No entanto, como os administradores mantêm as permissões de gerenciamento de direitos, eles podem reatribuí-las a si mesmos a qualquer momento.
-
Os usuários do espaço de trabalho recebem acesso ao espaço de trabalho e acesso aDatabricks SQL por default por meio de sua associação ao grupo
users
. Todos os usuários do workspace e a entidade de serviço são automaticamente adicionados a esse grupo.Os direitos de default no grupo
users
afetam a forma como o senhor atribui ou restringe os direitos. Para oferecer a experiência de acesso do consumidor , o senhor deve remover os direitos default do grupousers
(e do grupoaccount users
, se aplicável) e atribuir direitos individualmente a usuários, entidades de serviço ou grupos específicos. Consulte Clonar um grupo workspace em um novo grupo account.
Gerenciar direitos usando a página de configurações de administração workspace
Os administradores do espaço de trabalho podem gerenciar direitos para usuários, entidades de serviço e grupos usando a página de configurações de administração workspace.
- Como administrador do workspace, faça login no workspace do Databricks.
- Clique em seu nome de usuário na barra superior e selecione Configurações .
- Clique na guia Identidade e acesso .
- Dependendo do que o senhor deseja gerenciar, clique em gerenciar ao lado de Users (Usuários ), entidade de serviço ou Groups (Grupos ).
- Selecione o usuário, a entidade de serviço ou o grupo que deseja atualizar.
- Para usuários e grupos, clique em Entitlements (Direitos) tab. Para entidade de serviço, as caixas de seleção de direitos são mostradas diretamente.
- Para conceder um direito, selecione o botão ao lado do direito.
Para remover um direito, desmarque a opção.
Se um direito for herdado de um grupo, o botão aparecerá selecionado, mas ficará acinzentado. Para remover um direito herdado, faça o seguinte:
- Remover o usuário ou a entidade de serviço do grupo que tem o direito, ou
- Remova o direito do próprio grupo.
A remoção de um direito de grupo afeta todos os membros desse grupo, a menos que eles recebam o direito individualmente ou por meio de outro grupo.
gerenciar os direitos usando o API
O senhor pode gerenciar direitos para usuários, entidades de serviço e grupos usando o seguinte APIs:
A tabela abaixo lista cada direito e seu nome de API correspondente:
Nome do direito | Nome da API de direitos |
---|---|
Acesso ao workspace |
|
Acesso Databricks SQL |
|
Permitir criação irrestrita de cluster |
|
Permitir a criação de pool |
|
Por exemplo, para atribuir o direito allow-instance-pool-create
a um grupo usando a API:
curl --netrc -X PATCH \
https://<databricks-instance>/api/2.0/preview/scim/v2/Groups/<group-id> \
--header 'Content-type: application/scim+json' \
--data @update-group.json \
| jq .
update-group.json
:
{
"schemas": ["urn:ietf:params:scim:api:messages:2.0:PatchOp"],
"Operations": [
{
"op": "add",
"path": "entitlements",
"value": [
{
"value": "allow-instance-pool-create"
}
]
}
]
}