Freigeben über


Verwalten von Berechtigungen

In diesem Artikel erfahren Sie, wie Sie Berechtigungen für Benutzer, Dienstprinzipale und Gruppen verwalten.

Hinweis

Berechtigungen sind nur im Premium-Plan verfügbar.

Übersicht über Berechtigungen

Eine Berechtigung ist eine Eigenschaft, die einem Benutzer, einem Dienstprinzipal oder einer Gruppe die Interaktion mit Azure Databricks auf eine bestimmte Weise gestattet. Berechtigungen werden Benutzern auf Arbeitsbereichsebene zugewiesen. In der folgenden Tabelle sind die Berechtigungen und die Namen der Arbeitsbereichsbenutzeroberfläche und der API-Eigenschaft aufgeführt, die Sie zur Verwaltung der einzelnen Berechtigungen verwenden. Sie können die Einstellungsseite des Arbeitsbereichsadministrators sowie APIs für Benutzer, Dienstprinzipale und Gruppen auf Arbeitsbereichsebene verwenden, um Berechtigungen zu verwalten.

Name der Berechtigung Name der Berechtigungs-API Default BESCHREIBUNG
Arbeitsbereichszugriff workspace-access Wird standardmäßig gewährt. Wenn sie einem Benutzer oder Dienstprinzipal gewährt werden, kann er auf Umgebungen zugreifen, die auf den Personas „Data Science und Engineering“ sowie „Databricks Mosaic AI“ basieren.

Kann für Arbeitsbereichsadministratoren nicht entfernt werden.
Databricks SQL-Zugriff databricks-sql-access Wird standardmäßig gewährt. Wenn einem Benutzer oder Dienstprinzipal gewährt, können diese auf Databricks SQL zugreifen.
Zulassen der unbeschränkten Clustererstellung allow-cluster-create Wird Benutzern oder Dienstprinzipalen nicht standardmäßig gewährt. Wenn sie einem*einer Benutzer*in oder einem Dienstprinzipal gewährt werden, können sie uneingeschränkt Cluster erstellen. Sie können den Zugriff auf vorhandene Cluster mithilfe von Berechtigungen auf Clusterebene einschränken.

Kann für Arbeitsbereichsadministratoren nicht entfernt werden.
Gestattet die Poolerstellung (nicht über Benutzeroberfläche verfügbar) allow-instance-pool-create Kann nicht einzelnen Benutzern oder Dienstprinzipalen gewährt werden. Wenn einer Gruppe gewährt, können deren Mitglieder Instanzpools erstellen.

Kann für Arbeitsbereichsadministratoren nicht entfernt werden.

Der Gruppe users werden standardmäßig Berechtigungen für den Zugriff auf den Arbeitsbereich und den Databricks SQL-Zugriff erteilt. Alle Arbeitsbereichsbenutzer und Dienstprinzipale sind Mitglieder der Gruppe users. Um diese Berechtigungen benutzerspezifisch zuzuweisen, muss ein Arbeitsbereichsadministrator die Berechtigung aus der Gruppe users entfernen und sie den Benutzern, Dienstprinzipalen und Gruppen einzeln zuweisen.

Um sich anmelden und auf einen Azure Databricks-Arbeitsbereich zugreifen zu können, müssen Benutzer*innen über die Berechtigung Databricks SQL-Zugriff oder Arbeitsbereichszugriff verfügen.

Sie können die Berechtigung allow-instance-pool-create nicht über die Seite „Administratoreinstellungen“ erteilen. Verwenden Sie stattdessen die Arbeitsbereichsbenutzer-, Dienstprinzipale- oder Gruppen-API.

Verwalten von Berechtigungen für Benutzer

Arbeitsbereichsadministratoren können Berechtigungen für Benutzer über die Seite „Administratoreinstellungen“ für den Arbeitsbereich hinzufügen oder entfernen. Sie können aber auch die Arbeitsbereichsbenutzer-API verwenden.

  1. Melden Sie sich als Arbeitsbereichsadministrator beim Azure Databricks-Arbeitsbereich an.
  2. Wählen Sie Ihren Benutzernamen in der oberen Leiste des Azure Databricks-Arbeitsbereichs und anschließend Einstellungen aus.
  3. Klicken Sie auf die Registerkarte Identität und Zugriff.
  4. Klicken Sie neben Benutzer auf Verwalten.
  5. Wählt den Benutzer aus.
  6. Klicken Sie auf die Registerkarte Berechtigungen.
  7. Wählen Sie die Umschaltfläche in der jeweiligen Spalte aus, um eine Berechtigung hinzuzufügen.

Führen Sie zum Entfernen einer Berechtigung die gleichen Schritte aus, deaktivieren Sie aber stattdessen die Umschaltfläche.

Wenn eine Berechtigung von einer Gruppe geerbt wird, ist die Umschaltfläche für die Berechtigung ausgewählt, aber abgeblendet. Um eine geerbte Berechtigung zu entfernen, entfernen Sie entweder den Benutzer bzw. die Benutzerin aus der Gruppe, die über die Berechtigung verfügt, oder entfernen Sie die Berechtigung aus der Gruppe.

Verwalten von Berechtigungen für Dienstprinzipale

Arbeitsbereichsadministratoren können Berechtigungen für Dienstprinzipale über die Seite „Administratoreinstellungen“ für den Arbeitsbereich hinzufügen oder entfernen. Sie können aber auch die Dienstprinzipal-API für Arbeitsbereiche verwenden.

  1. Melden Sie sich als Arbeitsbereichsadministrator beim Azure Databricks-Arbeitsbereich an.
  2. Wählen Sie Ihren Benutzernamen in der oberen Leiste des Azure Databricks-Arbeitsbereichs und anschließend Einstellungen aus.
  3. Klicken Sie auf die Registerkarte Identität und Zugriff.
  4. Klicken Sie neben Dienstprinzipale auf Verwalten.
  5. Wählen Sie den Dienstprinzipal aus, den Sie aktualisieren möchten.
  6. Aktivieren Sie zum Hinzufügen einer Berechtigung unter Berechtigungen das entsprechende Kontrollkästchen.

Führen Sie zum Entfernen einer Berechtigung die gleichen Schritte aus, deaktivieren Sie aber stattdessen das Kontrollkästchen.

Wenn eine Berechtigung von einer Gruppe geerbt wird, ist die Umschaltfläche für die Berechtigung ausgewählt, aber abgeblendet. Um eine geerbte Berechtigung zu entfernen, entfernen Sie entweder den Dienstprinzipal aus der Gruppe, die über die Berechtigung verfügt, oder entfernen Sie die Berechtigung aus der Gruppe.

Verwalten von Berechtigungen für Gruppen

Arbeitsbereichsadministratoren können Gruppenberechtigungen auf Arbeitsbereichsebene verwalten – unabhängig davon, ob die Gruppe im Konto erstellt wurde oder für den Arbeitsbereich lokal ist.

  1. Melden Sie sich als Arbeitsbereichsadministrator beim Azure Databricks-Arbeitsbereich an.
  2. Wählen Sie Ihren Benutzernamen in der oberen Leiste des Azure Databricks-Arbeitsbereichs und anschließend Einstellungen aus.
  3. Klicken Sie auf die Registerkarte Identität und Zugriff.
  4. Klicken Sie neben Gruppen auf Verwalten.
  5. Wählen Sie die Gruppe aus, die Sie aktualisieren möchten. Sie müssen über die Gruppenmanagerrolle in der Gruppe verfügen, um sie zu aktualisieren.
  6. Wählen Sie auf der Registerkarte Berechtigungen die Berechtigung aus, die Sie allen Benutzern in der Gruppe gewähren möchten.

Führen Sie zum Entfernen einer Berechtigung die gleichen Schritte aus, deaktivieren Sie aber stattdessen die Umschaltfläche. Gruppenmitglieder verlieren die Berechtigung, es sei denn, ihnen wurde die Berechtigung als einzelner Benutzer oder über eine andere Gruppenmitgliedschaft gewährt.