Управление группами

В этой статье объясняется, как администраторы создают группы Azure Databricks и управляют ими. Общие сведения о модели удостоверений Azure Databricks см. в разделе "Удостоверения Azure Databricks".

Сведения об управлении доступом для групп см. в разделе "Проверка подлинности и управление доступом".

Общие сведения об управлении группами

Группы упрощают управление удостоверениями, облегчая назначение доступа к рабочим областям, данным и другим защищаемым объектам. Все удостоверения Databricks можно назначать как члены групп.

Разница между группами учетных записей и локальными группами рабочей области

Azure Databricks имеет концепцию групп учетных записей и устаревших локальных групп рабочей области:

• Группы учетных записей можно предоставить доступ к данным в хранилище метаданных каталога Unity, предоставленные роли для субъектов-служб и групп, а также разрешения для федеративных рабочих областей удостоверений .
• Локальные группы рабочей области — это устаревшие группы. Эти группы определяются как локальные рабочие области на странице параметров администратора рабочей области. Локальные группы рабочей области нельзя назначить дополнительным рабочим областям или предоставить доступ к данным в хранилище метаданных каталога Unity. Локальные группы рабочей области не могут быть предоставлены роли уровня учетной записи. Дополнительные сведения о локальных группах рабочей области см. в разделе "Управление локальными группами рабочей области" (устаревшая версия).

В каждой рабочей области есть две системные группы: users и admins. Все пользователи рабочей области являются членами users группы, а все администраторы рабочей области являются членами admins группы. Системные группы — это локальные группы рабочей области. Не удается удалить системные группы.

Databricks рекомендует превратить существующие локальные группы рабочей области в группы учетных записей, чтобы воспользоваться преимуществами централизованного назначения рабочей области и управления доступом к данным с помощью каталога Unity. См. раздел "Миграция локальных групп рабочей области" в группы учетных записей.

Примечание.

Пользователи со встроенной ролью участника или владельца в ресурсе рабочей области в Azure автоматически назначаются группе рабочих областей admins . Дополнительные сведения см. в статье Управление подпиской.

Кто может управлять группами учетных записей?

Чтобы создать группы учетных записей в Azure Databricks, необходимо быть администратором учетной записи или администратором рабочей области. Администраторы рабочей области должны находиться в федеративных рабочих областях, чтобы создать группу учетных записей.

Для управления группами учетных записей в Azure Databricks необходимо иметь роль диспетчера групп (общедоступная предварительная версия) в группе. Руководители групп могут управлять членством в группах и удалять группу. Они также могут назначать других пользователей роль диспетчера групп. Администраторы учетных записей могут управлять ролями групп с помощью консоли учетной записи, а администраторы рабочей области могут управлять ролями группы с помощью страницы параметров администратора рабочей области. Диспетчеры групп, которые не являются администраторами рабочих областей, могут управлять ролями группы с помощью API учетных записей контроль доступа.

Администраторы учетных записей имеют роль диспетчера групп на уровне учетной записи, что означает, что у них есть роль диспетчера групп для всех групп в учетной записи. Администраторы рабочей области имеют роль диспетчера групп в группах учетных записей, которые они создают.

Администраторы рабочей области также могут создавать локальные группы рабочей области и управлять ими.

Синхронизация групп с учетной записью Azure Databricks из клиента Microsoft Entra ID (прежнее название — Azure Active Directory)

Группы можно синхронизировать с клиентом Microsoft Entra ID (ранее Azure Active Directory) с учетной записью Azure Databricks с помощью соединителя подготовки SCIM. Инструкции см. в разделе "Подготовка удостоверений" для учетной записи Azure Databricks с помощью идентификатора Microsoft Entra.

Внимание

Если у вас есть соединители SCIM, которые синхронизируют удостоверения непосредственно с рабочими областями и эти рабочие области включены для федерации удостоверений, рекомендуется отключить эти соединители SCIM при включении соединителя SCIM на уровне учетной записи. Если у вас есть рабочие области, которые не используют федерацию удостоверений, необходимо продолжать использовать все соединители SCIM, настроенные для этих рабочих областей, выполняясь параллельно с соединителем SCIM на уровне учетной записи.

Управление группами учетных записей с помощью консоли учетной записи

Администраторы учетных записей могут добавлять группы и управлять ими в учетной записи Azure Databricks с помощью консоли учетной записи. Администраторы рабочей области и руководители групп могут управлять группами с помощью страницы параметров рабочей области и API Databricks. См. статью "Управление группами учетных записей" с помощью страницы параметров администратора рабочей области и управления группами учетных записей с помощью API.

Добавление групп в учетную запись с использованием консоли учетной записи

Чтобы добавить группу в учетную запись с помощью консоли учетной записи, сделайте следующее:

1. Войдите в консоль учетной записи с правами администратора учетных записей.
2. На боковой панели щелкните " Управление пользователями".
3. На странице Группы нажмите кнопку Добавить группу.
4. Ввод наименования для группы.
5. Нажмите кнопку Подтвердить.
6. При появлении запроса добавьте пользователей, субъектов-служб и группы в группу.

Добавление участников в группу с помощью консоли учетной записи

Чтобы добавить пользователей, субъектов-служб и группы в группу с помощью консоли учетной записи, сделайте следующее:

1. Войдите в консоль учетной записи с правами администратора учетных записей.
2. На боковой панели щелкните " Управление пользователями".
3. На вкладке Группы выберите группу, которую нужно обновить.
4. Щелкните Добавить участников.
5. Выполните поиск пользователя, группы или субъекта-службы, которые нужно добавить, и выберите.
6. Нажмите кнопку Добавить.

Примечание.

Существует задержка в течение нескольких минут между обновлением группы из учетной записи и обновлением группы в рабочих областях.

Управление ролями в группе с помощью консоли учетной записи

Внимание

Эта функция предоставляется в режиме общедоступной предварительной версии.

Администраторы учетных записей могут предоставлять роли в группах учетных записей в консоли учетной записи.

1. Войдите в консоль учетной записи с правами администратора учетных записей.
2. На боковой панели щелкните " Управление пользователями".
3. На вкладке "Группы" найдите и щелкните имя группы.
4. Выберите вкладку Разрешения .
5. Щелкните Предоставить доступ.
6. Найдите и выберите пользователя, субъекта-службы или группу и выберите роль диспетчера.
7. Нажмите кнопку Сохранить.

Изменение имени группы

Администраторы учетных записей могут обновить имя групп учетных записей с помощью консоли учетной записи:

1. Войдите в консоль учетной записи с правами администратора учетных записей.
2. На боковой панели щелкните " Управление пользователями".
3. На вкладке Группы выберите группу, которую нужно обновить.
4. Щелкните "Сведения о группе".
5. В разделе "Имя" обновите имя.
6. Нажмите кнопку Сохранить.

Диспетчеры групп не могут изменить имя группы с помощью консоли учетной записи. Вместо этого используйте API групп учетных записей. Например:

curl --netrc -X PATCH \
https://${DATABRICKS_HOST}/api/2.0/accounts/{account_id}/scim/v2/Groups/{id} \
--header 'Content-type: application/scim+json' \
--data @update-group.json \
| jq .

update-group.json:

{
  "schemas": [ "urn:ietf:params:scim:api:messages:2.0:PatchOp" ],
  "Operations": [
    {
      {
          "op": "replace",
          "path": "displayName",
          "value": "<updated-name>"
      }
    }
  ]
}

Сведения о проверке подлинности в API групп учетных записей см. в статье "Проверка подлинности для службы автоматизации Azure Databricks".

Назначение группы рабочей области с помощью консоли учетной записи

Чтобы добавить группы в рабочую область с помощью консоли учетной записи, рабочая область должна быть включена для федерации удостоверений. Только группы учетных записей можно назначать рабочим областям.

1. Войдите в консоль учетной записи с правами администратора учетных записей.
2. На боковой панели щелкните "Рабочие области".
3. Щелкните имя рабочей области.
4. На вкладке Permissions (Разрешения) щелкните Add permissions (Добавить разрешения).
5. Найдите и выберите группу, назначьте уровень разрешений (пользователь или Администратор рабочей области) и нажмите кнопку Сохранить.

Удаление группы из рабочей области с помощью консоли учетной записи

Чтобы удалить группы в рабочую область с помощью консоли учетной записи, рабочая область должна быть включена для федерации удостоверений. Только группы учетных записей удаляются из рабочих областей с помощью консоли учетной записи.

Если группа учетных записей удаляется из рабочей области, члены группы больше не могут получить доступ к рабочей области, однако разрешения сохраняются в группе. Если группа позже добавляется обратно в рабочую область, группа восстанавливает свои предыдущие разрешения.

1. Войдите в консоль учетной записи с правами администратора учетных записей.
2. На боковой панели щелкните "Рабочие области".
3. Щелкните имя рабочей области.
4. На вкладке "Разрешения" найдите группу.
5. Щелкните меню кебаб в правой части строки группы и нажмите кнопку "Удалить".
6. В диалоговом окне подтверждения щелкните Удалить.

Назначение ролей администратора учетной записи группе

Вы не можете назначить роль администратора учетной записи или администратора Marketplace группе с помощью консоли учетной записи, но ее можно назначить группам с помощью API групп учетных записей. Например:

curl --netrc -X PATCH \
https://${DATABRICKS_HOST}/api/2.0/accounts/{account_id}/scim/v2/Groups/{id} \
--header 'Content-type: application/scim+json' \
--data @update-group.json \
| jq .

update-group.json:

{
  "schemas": [ "urn:ietf:params:scim:api:messages:2.0:PatchOp" ],
  "Operations": [
    {
      "op": "add",
      "path": "roles",
      "value": [
        {
          "value": "account_admin"
        }
      ]
    }
  ]
}

Сведения о проверке подлинности в API групп учетных записей см. в статье "Проверка подлинности для службы автоматизации Azure Databricks".

Удаление групп из учетной записи Azure Databricks

Администраторы учетных записей могут удалять группы из учетной записи Azure Databricks. Руководители групп также могут удалять группы из учетной записи с помощью API групп учетных записей, см. статью "Управление группами учетных записей с помощью API".

Внимание

При удалении группы все пользователи в этой группе удаляются из учетной записи и теряют доступ к любым рабочим областям, к которым у них есть доступ (если они не являются членами другой группы или получили прямой доступ к учетной записи или любым рабочим областям). Databricks рекомендует воздержаться от удаления групп на уровне учетной записи, если только вы не хотите, чтобы они потеряли доступ ко всем рабочим областям в учетной записи. Учитывайте следующие последствия удаления пользователей:

• Приложения или скрипты, использующие маркеры, созданные пользователем, больше не могут получить доступ к API Databricks
• Задания, принадлежащие пользователю, завершаются сбоем
• Кластеры, принадлежащие пользователю, остановлены
• Запросы или панели мониторинга, созданные пользователем и общими учетными данными владельца запуска от имени, должны быть назначены новому владельцу, чтобы предотвратить сбой общего доступа

Чтобы удалить группу с помощью консоли учетной записи, выполните следующие действия.

1. Войдите в консоль учетной записи с правами администратора учетных записей.
2. На боковой панели щелкните " Управление пользователями".
3. На вкладке Группы найдите группу, которую нужно удалить.
4. Щелкните меню кебаб справа от строки пользователя и нажмите кнопку "Удалить".
5. В диалоговом окне подтверждения нажмите кнопку Подтверждение удаления.

При удалении группы с помощью консоли учетной записи необходимо также удалить группу с помощью соединителей подготовки SCIM или приложений API SCIM, настроенных для учетной записи. Если этого не сделать, во время подготовки SCIM просто будет снова добавлена группа и ее участники при следующей ее синхронизации. См. раздел "Синхронизация пользователей и групп" из идентификатора Microsoft Entra.

Чтобы удалить группу из учетной записи Azure Databricks с помощью API, ознакомьтесь с разделом "Подготовка удостоверений" для учетной записи Azure Databricks и API групп учетных записей.

Управление группами учетных записей с помощью страницы параметров администратора рабочей области

Администраторы рабочей области могут создавать группы учетных записей и управлять ими в федеративных рабочих областях с помощью страницы параметров администратора рабочей области.

Примечание.

Существует задержка в течение нескольких минут между обновлением группы учетных записей из рабочей области и группой, обновляемой в учетной записи.

Сведения о создании локальных групп рабочей области в рабочих областях см. в разделе "Управление локальными группами рабочей области" (устаревшая версия).

Создание или назначение группы рабочей области с помощью страницы параметров администратора рабочей области

Чтобы назначить или создать группу учетных записей в рабочей области с помощью страницы параметров администратора рабочей области, сделайте следующее:

1. Войдите в рабочую область Azure Databricks как администратор рабочей области.

2. Щелкните имя пользователя в верхней строке рабочей области Azure Databricks и выберите Параметры.

3. Щелкните вкладку "Удостоверение" и "Доступ ".

4. Рядом с группами нажмите кнопку "Управление".

5. Щелкните Добавить группу.

6. Выберите существующую группу, чтобы назначить рабочей области или нажмите кнопку "Добавить новую ", чтобы создать новую группу учетных записей.

   Примечание.

   Если рабочая область не включена для федерации удостоверений, нельзя назначить существующие группы учетных записей или добавить группы учетных записей в рабочую область. Вместо этого необходимо использовать локальные группы рабочей области, см. раздел "Управление локальными группами рабочей области" (устаревшими версиями).

Добавление участников в группу с помощью страницы параметров администратора рабочей области

Администратор рабочей области должен добавлять пользователей, субъектов-служб и группы в группу учетных записей с помощью страницы параметров администратора рабочей области. Вы можете управлять только членами группы, в которую включена роль диспетчера групп.

Примечание.

Добавить дочернюю группу в группу admins нельзя. Нельзя добавлять локальные группы рабочей области или системные группы в качестве членов групп учетных записей.

Диспетчеры групп, которые не являются администраторами рабочих областей, должны управлять членством в группах с помощью API групп учетных записей.

1. Войдите в рабочую область Azure Databricks как администратор рабочей области.
2. Щелкните имя пользователя в верхней строке рабочей области Azure Databricks и выберите Параметры.
3. Щелкните вкладку "Удостоверение" и "Доступ ".
4. Рядом с группами нажмите кнопку "Управление".
5. Выберите группу, которую нужно обновить. Для обновления группы необходимо иметь роль диспетчера групп.
6. На вкладке "Члены" нажмите кнопку "Добавить участников".
7. В диалоговом окне найдите пользователей, субъектов-служб и группы, которые вы хотите добавить, и выберите их.
8. Нажмите кнопку Подтвердить.

Управление ролями в группе учетных записей с помощью страницы параметров администратора рабочей области

Внимание

Эта функция предоставляется в режиме общедоступной предварительной версии.

Роль диспетчера групп можно назначить пользователям, группам учетных записей и субъектам-службам. Руководители групп могут управлять членством в группах. Они также могут назначать роль диспетчера групп другим пользователям.

Администратор рабочей области должен управлять ролями группы с помощью страницы параметров администратора рабочей области. Диспетчеры групп, которые не являются администраторами рабочих областей, могут управлять ролями группы с помощью API контроль доступа учетной записи.

1. Войдите в рабочую область Azure Databricks как администратор рабочей области.

2. Щелкните имя пользователя в верхней строке рабочей области Azure Databricks и выберите Параметры.

3. Щелкните вкладку "Удостоверение" и "Доступ ".

4. Рядом с группами нажмите кнопку "Управление".

5. Выберите группу, которую нужно обновить. Для обновления группы необходимо иметь роль диспетчера групп.

6. Выберите вкладку Разрешения .

7. Щелкните Предоставить доступ.

8. Найдите и выберите пользователя, субъекта-службы или группу и выберите роль диспетчера.

   Примечание.

   Нельзя назначать роли локальных рабочих областей или системных групп в группах учетных записей.

9. Нажмите кнопку Сохранить.

Просмотр родительских групп

1. Войдите в рабочую область Azure Databricks как администратор рабочей области.
2. Щелкните имя пользователя в верхней строке рабочей области Azure Databricks и выберите Параметры.
3. Щелкните вкладку "Удостоверение" и "Доступ ".
4. Рядом с группами нажмите кнопку "Управление".
5. Выберите группу, которую вы хотите просмотреть.
6. На вкладке "Родительская группа" просмотрите родительские группы для группы.

Удаление группы из рабочей области с помощью страницы параметров администратора рабочей области

Удаление группы из рабочей области не удаляет группу в учетной записи. Если группа удаляется из рабочей области, члены группы больше не могут получить доступ к рабочей области, однако разрешения сохраняются в группе. Если группа будет добавлена обратно в рабочую область, группа восстанавливает свои предыдущие разрешения.

1. Войдите в рабочую область Azure Databricks как администратор рабочей области.
2. Щелкните имя пользователя в верхней строке рабочей области Azure Databricks и выберите Параметры.
3. Щелкните вкладку "Удостоверение" и "Доступ ".
4. Рядом с группами нажмите кнопку "Управление".
5. Выберите группу и нажмите кнопку " Удалить"
6. Нажмите кнопку Удалить, чтобы подтвердить операцию.

Управление группами учетных записей с помощью API

Администраторы учетных записей и администраторы рабочей области и руководители групп могут добавлять, удалять и управлять группами в учетной записи Azure Databricks с помощью API групп учетных записей. Администраторы учетных записей и администраторы рабочей области и руководители групп должны вызывать API с помощью другого URL-адреса конечной точки:

• Администраторы учетных записей используют {account-domain}/api/2.0/accounts/{account_id}/scim/v2/.
• Используются {workspace-domain}/api/2.0/account/scim/v2/администраторы рабочей области и руководители групп.

Дополнительные сведения см. в API групп учетных записей.

Назначение группы рабочей области с помощью API

Администраторы учетных записей и рабочих областей могут использовать API назначения рабочих областей для назначения групп рабочим областям, включенным для федерации удостоверений. API назначения рабочей области поддерживается с помощью учетной записи и рабочих областей Azure Databricks.

• Администраторы учетных записей используют {account-domain}/api/2.0/accounts/{account_id}/workspaces/{workspace_id}/permissionassignments.
• Администраторы рабочей области используют {workspace-domain}/api/2.0/preview/permissionassignments/principals/{group_id}.

См . API назначения рабочей области.

Управление ролями для группы с помощью API

Внимание

Эта функция предоставляется в режиме общедоступной предварительной версии.

Диспетчеры групп могут управлять ролями групп с помощью API учетных записей контроль доступа. Администраторы учетных записей и администраторы рабочей области и руководители групп должны вызывать API с помощью другого URL-адреса конечной точки:

• Администраторы учетных записей используют {account-domain}/api/2.0/preview/accounts/{account_id}/access-control/assignable-roles.
• Используются {workspace-domain}/api/2.0/preview/accounts/access-control/assignable-rolesадминистраторы рабочей области и руководители групп.

Ознакомьтесь с API контроль доступа учетной записи и учетными записями, контроль доступа API прокси-сервера рабочей области.