Управление разрешениями маркера личного доступа
В этой статье описывается настройка разрешений для личных маркеров доступа Azure Databricks. Сведения об использовании учетных данных для проверки подлинности в Azure Databricks см. в статье "Проверка подлинности доступа к ресурсам Azure Databricks". Сведения о мониторинге и отмене персональных маркеров доступа см. в статье "Мониторинг и отзыв личных маркеров доступа".
Разрешения маркера личного доступа
Администраторы рабочей области могут устанавливать разрешения на личные маркеры доступа, чтобы управлять тем, какие пользователи, субъекты-службы и группы могут создавать и использовать маркеры. Прежде чем использовать управление доступом к маркерам, администратор рабочей области Azure Databricks должен включить личные маркеры доступа для рабочей области. См. раздел "Включение или отключение проверки подлинности личного маркера доступа" для рабочей области.
Пользователь рабочей области может иметь одно из следующих разрешений маркера:
- НЕТ РАЗРЕШЕНИЙ. Пользователь не может создавать или использовать личные маркеры доступа для проверки подлинности в рабочей области Azure Databricks.
- CAN USE: пользователь может создать личный маркер доступа и использовать его для проверки подлинности в рабочей области.
- CAN MANAGE (только администраторы рабочих областей):** Пользователь может управлять маркерами доступа всех пользователей рабочей области и разрешениями на их использование. Пользователи в группе рабочей области
admins
имеют это разрешение по умолчанию, и вы не можете отозвать его. Этому разрешению не могут предоставляться другие пользователи, субъекты-службы или группы.
Разрешения маркера личного доступа Azure Databricks доступны только в плане "Премиум".
В этой таблице перечислены разрешения, необходимые для каждой задачи, связанной с маркерами:
Задача | НЕТ РАЗРЕШЕНИЙ | МОЖЕТ ИСПОЛЬЗОВАТЬ | МОЖЕТ УПРАВЛЯТЬ |
---|---|---|---|
Создание маркера. | x | x | |
Использование маркера для проверки подлинности | x | x | |
Отзыв собственного маркера | x | x | |
Отмена маркера любого пользователя или субъекта-службы | x | ||
Вывод списка всех маркеров | x | ||
Изменение разрешений маркера | x |
Управление разрешениями маркера с помощью страницы параметров администратора
В этом разделе описывается управление разрешениями с помощью пользовательского интерфейса рабочей области. Вы также можете использовать API разрешений или поставщик Databricks Terraform.
Перейдите на вкладку Дополнительно.
Рядом с личными маркерами доступа нажмите кнопку "Разрешения" , чтобы открыть редактор разрешений маркера.
Найдите и выберите пользователя, субъекта-службы или группу и выберите разрешение на назначение.
users
Если у группы есть разрешение CAN USE и вы хотите применить более точный доступ для пользователей, не являющихся администраторами, удалите разрешение CAN USE изusers
группы, щелкнув X рядом с раскрывающимся меню разрешений в строке пользователей.Выберите + Добавить.
Нажмите кнопку Сохранить.
Предупреждение
После сохранения изменений все пользователи, которые ранее имели разрешение CAN USE или CAN MANAGE и больше не имеют разрешения, отказано в доступе к проверке подлинности личного маркера доступа и их активные маркеры немедленно удалены (отозваны). Удаленные маркеры невозможно восстановить.