Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
As permissões controlam o que os utilizadores podem fazer com as aplicações Databricks, como aceder, gerir e partilhar aplicações. Isso é diferente da autenticação, que verifica a identidade de um usuário. As permissões determinam quais ações o usuário está autorizado a executar no aplicativo.
Níveis de permissão
-
CAN MANAGE- Pode gerir definições e permissões da aplicação, incluindo a capacidade de editar e eliminar a aplicação. Inclui todas asCAN USEcapacidades. -
CAN USE- Pode executar e interagir com o aplicativo, mas não pode modificá-lo ou gerenciá-lo.
Apenas utilizadores com CAN MANAGE permissões podem atribuir ou revogar permissões numa aplicação.
Atribuir permissões na interface de aplicações Databricks
Gerencie quem pode exibir, executar ou modificar um aplicativo Databricks atribuindo permissões diretamente na interface do usuário do Databricks Apps.
- Navegue até ao separador de visão geral da aplicação.
- Clique em Share (Partilhar).
- Use o menu drop-down para escolher um utilizador, grupo ou identidade de serviço.
- Selecione o nível de permissão apropriado (
CAN USEouCAN MANAGE). - Clique em Adicionar e, em seguida, em Guardar para aplicar as alterações.
Permissões de organização
Configure permissões ao nível da organização para a sua aplicação usando uma das seguintes opções:
- Só pessoas com acesso podem utilizar: Apenas utilizadores, grupos e principais de serviço que receberam permissões explicitamente no modal de permissões podem aceder à aplicação.
-
Qualquer pessoa na minha organização pode usar: Todos os utilizadores e principais de serviço na conta Azure Databricks atual (o grupo
All account users) recebem permissõesCAN USE. Os utilizadores e os principais de serviço que explicitamente receberamCAN MANAGEpermissões retêm essas permissões elevadas, que são armazenadas separadamente.
Os utilizadores provisionados por JIT devem ainda autenticar-se através do fornecedor de identidade da sua organização e ser reconhecidos pelo Azure Databricks como utilizadores da conta. Você pode conceder a esses usuários CAN USE acesso a aplicativos, mesmo que eles não tenham acesso a nenhum espaço de trabalho. No entanto, o acesso depende da política de autenticação do espaço de trabalho. Por exemplo, se o PrivateLink estiver ativado, o Azure Databricks pode recorrer à autenticação ao nível do workspace. Neste caso, o acesso está bloqueado para os utilizadores que se ligam através do endpoint público do Azure Databricks.
Não é possível tornar públicos os aplicativos Databricks. Não há suporte para acesso anônimo e ignorar o logon único (SSO). Para dar acesso a colaboradores externos, use a federação de identidades com o provisionamento SCIM e JIT para integrar usuários por meio de seu provedor de identidade sem conceder acesso total ao espaço de trabalho.
Permissões versus autorização
No Databricks Apps, é importante distinguir entre permissões e autorização, que são conceitos relacionados, mas separados.
As permissões são atribuídas no nível do espaço de trabalho e definem quem dentro do espaço de trabalho pode gerenciar ou usar um aplicativo. As permissões controlam o acesso ao próprio aplicativo, como quem pode implantá-lo, atualizá-lo ou executá-lo. As permissões não controlam quais dados o aplicativo ou seus usuários podem acessar.
A autorização refere-se ao controlo do acesso a dados e recursos e tem duas subcategorias:
- Autorização de utilizador - Quando os utilizadores se autenticam numa aplicação, Azure Databricks encaminha a sua identidade para o runtime da aplicação. Isso permite que o Unity Catalog e outras políticas de acesso a dados imponham permissões com base na identidade do usuário, restringindo quais dados o aplicativo pode acessar em seu nome.
- Autorização de aplicação - A aplicação corre usando um principal de serviço com as suas próprias permissões para aceder aos recursos de Azure Databricks necessários. Essa autorização rege o que o próprio aplicativo pode fazer independentemente de qualquer usuário.
Em resumo, as permissões controlam o acesso no nível do espaço de trabalho ao aplicativo (quem pode usá-lo ou gerenciá-lo), enquanto a autorização rege o acesso ao nível dos dados e aos recursos, incluindo o acesso baseado em identidade do usuário e o acesso principal do serviço de aplicativo.
Para obter mais informações, consulte Configurar autorização em um aplicativo Databricks.
Permissões da aplicação
Qualquer usuário em um espaço de trabalho pode criar aplicativos Databricks, semelhante a outros produtos sem servidor. No entanto, os seguintes direitos controlam diferentes aspetos do acesso ao aplicativo:
- Acesso e gestão da aplicação: Quem pode aceder e gerir a aplicação, controlada através de níveis de permissões
- Permissões da entidade de serviço: As permissões atribuídas à entidade de serviço dedicada do aplicativo
- Consentimento do utilizador: Se um usuário consente em permitir que o aplicativo use sua identidade para autorização do usuário
- Permissões de usuário: As permissões subjacentes do Unity Catalog e do espaço de trabalho dos usuários que acessam o aplicativo
Práticas recomendadas para permissões
Siga estas práticas recomendadas para gerenciar as permissões do aplicativo Databricks com segurança:
- Siga o princípio do menor privilégio, concedendo apenas as permissões necessárias para a função de cada usuário.
- Prefira atribuir
CAN USEpermissão, a menos que os usuários exijam recursos de gerenciamento. - Use grupos ou principais de serviço para gerir com eficiência as permissões à escala.