Общие сведения о контроле доступа
В Azure Databricks существуют различные системы управления доступом для различных защищаемых объектов. В таблице ниже показано, какая система управления доступом управляет типом защищаемого объекта.
| Защищаемый объект | Система управления доступом |
|---|---|
| Защищаемые объекты уровня рабочей области | Доступ к спискам управления |
| Защищаемые объекты на уровне учетной записи | Управление доступом на основе ролей учетной записи |
| Защищаемые объекты данных | Каталог Unity, управление доступом к таблице хранилища метаданных Hive |
Azure Databricks также предоставляет роли администратора и права, которые назначаются непосредственно пользователям, субъектам-службам и группам.
Примечание.
Для управления доступом требуется план Premium.
Доступ к спискам управления
В Azure Databricks можно использовать списки управления доступом (ACL) для настройки разрешений на доступ к объектам рабочей области (папкам, записным книжкам, экспериментам и моделям), кластерам, пулам, заданиям, конвейерам Delta Live Tables, оповещениям, панелям мониторинга, запросам и хранилищам SQL. Все пользователи администраторов рабочей области могут управлять списками управления доступом, так как пользователи, которым были предоставлены делегированные разрешения для управления списками управления доступом.
Если вы не знакомы с Azure Databricks и хотите, чтобы пример сопоставления типичных пользователей с разрешениями на уровне рабочей области см. в предложении по началу работы с группами и разрешениями Databricks.
Примечание.
Параметры управления доступом отключены по умолчанию для рабочих областей, которые обновляются с плана "Стандартный" до плана "Премиум". После включения параметра управления доступом его нельзя отключить. Дополнительные сведения см. в списках элементов управления доступом, которые можно включить в обновленных рабочих областях.
Дополнительные сведения о списках управления доступом на определенных объектах уровня рабочей области см. в следующих статьях:
- Оповещения
- Clusters (Кластеры)
- Панели мониторинга DATAbricks SQL
- Разностные динамические таблицы
- Файлы
- Папки
- Работы
- Панели мониторинга Lakeview
- Mlflow experiements
- Модели MLflow
- Записные книжки
- Пулы
- Запросы
- Repos
- Секреты
- Обслуживание конечных точек
- Склады SQL
Управление доступом на основе ролей учетной записи
С помощью управления доступом на основе ролей учетной записи можно настроить разрешение на использование объектов уровня учетной записи, таких как субъекты-службы и группы. Роли учетной записи определяются один раз в учетной записи и применяются ко всем рабочим областям. Все пользователи администратора учетных записей могут управлять ролями учетной записи, так как пользователи, которым были предоставлены делегированные разрешения на управление ими, например руководители групп и руководители субъектов-служб.
Дополнительные сведения о ролях учетных записей в определенных объектах уровня учетной записи см. в следующих статьях:
Управление данными
Databricks обеспечивает централизованное управление данными и ИИ с помощью каталога Unity и разностного общего доступа.
- Каталог Unity — это точное решение для управления данными и ИИ в databricks lakehouse. Он помогает упростить обеспечение безопасности и управление данными и предоставляет центральное место для администрирования и аудита доступа к данным.
- Delta Sharing — это открытый протокол, разработанный Databricks для безопасного обмена данными с другими организациями или группами в вашей организации, независимо от того, какие вычислительные платформы они используют.
- Databricks Marketplace — это открытый форум для обмена продуктами данных с помощью Delta Sharing.
Рекомендации по управлению данными Azure Databricks см . в рекомендациях по каталогу Unity.
Роли администратора Databricks
Помимо управления доступом к защищаемым объектам, существуют встроенные роли на платформе Azure Databricks. Пользователям, субъектам-службам и группам можно назначать роли.
На платформе Azure Databricks доступны два основных уровня привилегий администратора:
Администраторы учетных записей. Управление учетной записью Azure Databricks, включая включение каталога Unity, подготовки пользователей и управления удостоверениями на уровне учетных записей.
Администраторы рабочей области: управление удостоверениями рабочей области, контролем доступа, параметрами и функциями для отдельных рабочих областей в учетной записи.
Кроме того, пользователям могут быть назначены эти роли администратора для конкретных функций, которые имеют более узкие наборы привилегий:
- Администраторы Marketplace: управление профилем поставщика Databricks Marketplace своей учетной записи, включая создание и управление списками Marketplace.
- Администраторы хранилища метаданных: управление привилегиями и правами владения для всех защищаемых объектов в хранилище метаданных каталога Unity, например, которые могут создавать каталоги или запрашивать таблицу.
Пользователи также могут быть назначены пользователям рабочей области. Пользователь рабочей области может войти в рабочую область, где они могут быть предоставлены разрешения на уровне рабочей области.
Дополнительные сведения см. в разделе "Назначение ролей администратора".
Права рабочей области
Право — это свойство, которое позволяет пользователю, субъекту-службе или группе взаимодействовать с Azure Databricks указанным способом. Администраторы рабочей области назначают права пользователям, субъектам-службам и группам на уровне рабочей области. Дополнительные сведения см. в разделе "Назначение прав".