Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
На этой странице описывается управление правами для пользователей, субъектов-служб и групп.
Общие сведения о правах
Право — это свойство, которое позволяет пользователю, субъекту-службе или группе взаимодействовать с Azure Databricks указанным способом. Права назначаются пользователям на уровне рабочей области. Права доступны только в плане "Премиум".
Права доступа
| Способность | Доступ к потребителю | Доступ к Databricks SQL | Доступ к рабочей области |
|---|---|---|---|
| Чтение и запуск панелей мониторинга и пространств Genie | ✓ | ✓ | ✓ |
| Запрос хранилищ SQL с помощью средств бизнес-аналитики | ✓ | ✓ | |
| Чтение/Запись объектов SQL Databricks | ✓ | ||
| Чтение и запись объектов обработки и анализа данных и инженерии | ✓ | ||
| Чтение и запись объектов Databricks Mosaic AI | ✓ |
Группы users и admins по умолчанию получают права на доступ к рабочей области и доступ к Databricks SQL. Все пользователи рабочей области и субъекты-службы являются членами этой группы. Чтобы обеспечить опыт доступа для потребителей, группа должна иметь только право users или не иметь прав. Для этого необходимо удалить права доступа к рабочей области и доступа к Databricks SQL из users группы (а также из account users группы, если применимо) и назначить их отдельным пользователям, субъектам-службам или группам.
Чтобы получить доступ к рабочей области Azure Databricks, пользователь должен иметь по крайней мере одно право доступа.
Доступ потребителей в сравнении с пользователями учетной записи
В предыдущей таблице перечислены права доступа в рабочей области. В следующей таблице сравниваются функции, доступные пользователям рабочей области с доступом потребителей, с пользователями учетной записи, не состоящими в рабочей области.
| Способность | Доступ потребителей к рабочей области | Пользователь аккаунта без членства в рабочей области |
|---|---|---|
| Просмотр панелей мониторинга с помощью внедренных учетных данных | ✓ | ✓ |
| Просмотр панелей мониторинга и пространств Genie с помощью учетных данных зрителя | ✓ | |
| Просмотр объектов с помощью безопасности на уровне строк и столбцов | ✓ | |
| Доступ к ограниченному пользовательскому интерфейсу рабочей области потребителей | ✓ | |
| Запрос хранилищ SQL с помощью средств бизнес-аналитики | ✓ |
Расчёт прав
Разрешение неограниченного создания кластера и разрешения на создание пула управляет возможностью подготовки вычислительных ресурсов в рабочей области.
Разрешить неограниченное создание кластера предоставляет пользователям или субъектам-службам разрешение на создание неограниченных кластеров.
Разрешить создание пула позволяет членам группы создавать пулы экземпляров.
Эти права не предоставляются по умолчанию и не могут быть отменены для администраторов рабочей области. Вы не можете предоставить назначение allow-instance-pool-create с помощью страницы настройки администратора. Вместо этого используйте API пользователей рабочей области, служебных учетных записей или групп.
Управление правами для пользователей
Администраторы рабочей области могут добавлять или удалять права для пользователя с помощью страницы параметров администратора рабочей области. Вы также можете использовать API пользователей рабочей области.
- Войдите в рабочую область Azure Databricks как администратор рабочей области.
- Кликните на своё имя пользователя в верхней панели рабочей области Azure Databricks и выберите параметры.
- Щелкните вкладку "Удостоверение" и "Доступ ".
- Рядом с пользователями нажмите кнопку "Управление".
- Выберите пользователя.
- Щелкните вкладку Entitlements (Права).
- Чтобы добавить право, выберите переключатель в соответствующем столбце.
Замечание
Группе users по умолчанию предоставлены доступ к рабочей области и доступ к Databricks SQL, и все пользователи рабочей области, а также служебные учетные записи являются членами этой группы. Поскольку права доступа потребителей более ограничивающие, предоставление их отдельно требует удаления прав доступа к рабочей области и доступа Databricks SQL из группы users. Затем необходимо назначить права отдельным пользователям, служебным субъектам или группам.
Чтобы удалить право, выполните те же действия, но отключите переключатель.
Если право наследуется от группы, переключатель права выбран, но неактивен. Чтобы удалить унаследованное право, удалите пользователя из группы, которая имеет право, или удалите право из группы.
Управление правами на субъектах-службах
Администраторы рабочей области могут добавлять или удалять права для субъекта-службы с помощью страницы параметров администратора рабочей области. Вы также можете использовать API субъектов-служб рабочей области.
- Войдите в рабочую область Azure Databricks как администратор рабочей области.
- Кликните на своё имя пользователя в верхней панели рабочей области Azure Databricks и выберите параметры.
- Щелкните вкладку "Удостоверение" и "Доступ ".
- Рядом с субъектами-службами нажмите кнопку "Управление".
- Выберите принципал службы, который вы хотите обновить.
- Чтобы добавить право, в разделе Праваустановите соответствующий флажок.
Чтобы удалить право, выполните те же действия, но снимите флажок.
Если право наследуется от группы, переключатель права выбран, но неактивен. Чтобы удалить унаследованное право, удалите субъект-службу из группы, которая имеет право, или удалите право из группы.
Управление правами на группы
Администраторы рабочей области могут управлять правами группы на уровне рабочей области независимо от того, была ли создана группа в учетной записи или является локальной рабочей областью.
- Войдите в рабочую область Azure Databricks как администратор рабочей области.
- Кликните на своё имя пользователя в верхней панели рабочей области Azure Databricks и выберите параметры.
- Щелкните вкладку "Удостоверение" и "Доступ ".
- Рядом с группами нажмите кнопку "Управление".
- Выберите группу, которую нужно обновить. Для обновления группы необходимо иметь роль менеджера группы.
- На вкладке права выберите право, которое вы хотите предоставить всем пользователям в группе.
Чтобы удалить право, выполните те же действия, но отключите переключатель. Члены группы потеряют это право, если только им не предоставлено разрешение в качестве отдельного пользователя или члена другой группы.