Udostępnij za pośrednictwem

Zarządzanie tożsamościami, uprawnieniami i uprawnieniami dla zadań usługi Databricks

  • Artykuł

Ten artykuł zawiera zalecenia i instrukcje dotyczące zarządzania tożsamościami, uprawnieniami i uprawnieniami dla zadań usługi Databricks.

Uwaga

Wpisy tajne nie są redagowane z dziennika stdout i stderr strumieni sterowników spark klastra. Aby chronić dane poufne, domyślnie dzienniki sterowników platformy Spark są widoczne tylko przez użytkowników z uprawnieniami CAN MANAGE w zadaniu, trybie dostępu pojedynczego użytkownika i klastrach trybu dostępu współdzielonego. Aby zezwolić użytkownikom z uprawnieniami CAN ATTACH TO lub CAN RESTART na wyświetlanie dzienników w tych klastrach, set następującą właściwość konfiguracji Spark w konfiguracji klastra: spark.databricks.acl.needAdminPermissionToViewLogs false.

W przypadku klastrów z trybem dostępu wspólnego bez izolacji dzienniki sterowników platformy Spark mogą być wyświetlane przez użytkowników z uprawnieniem CAN ATTACH TO lub CAN MANAGE. Aby limit umożliwić dostęp do dzienników tylko użytkownikom z uprawnieniami CAN MANAGE, setspark.databricks.acl.needAdminPermissionToViewLogs do true.

Zobacz Konfiguracja platformy Spark, aby dowiedzieć się, jak dodać właściwości platformy Spark do konfiguracji klastra.

Domyślne uprawnienia dla zadań

Zadania mają domyślnie następujące uprawnienia set:

  • Twórca zadania ma uprawnienie WŁAŚCICIEL IS.
  • Administratorzy obszaru roboczego otrzymują uprawnienie CAN MANAGE.
  • Twórcą zadania jest set dla uruchomionego jako.

Uprawnienia administratora dla zadań

Domyślnie administratorzy obszaru roboczego mogą zmienić właściciela zadania lub uruchomić jako konfigurację na dowolnego użytkownika lub jednostki usługi w obszarze roboczym. Administratorzy kont mogą skonfigurować ustawienie, RestrictWorkspaceAdmins aby zmienić to zachowanie. Zobacz Ograniczanie administratorów obszaru roboczego.

Jak zadania współdziałają z uprawnieniami Unity Catalog?

Zadania są uruchamiane jako tożsamość użytkownika w ustawieniu Uruchom jako . Ta tożsamość jest oceniana pod kątem dotacji uprawnień dla następujących elementów:

  • Zasoby zarządzane przez środowisko Unity Catalog, w tym tables, volumes, modele i views.
  • Starsze table listy kontroli dostępu (ACL) dla zasobów zarejestrowanych w starszym magazynie metadanych Hive.
  • Listy ACL dla zasobów obliczeniowych, notesów, zapytań i innych zasobów obszaru roboczego.
  • Wpisy tajne usługi Databricks. Zobacz Zarządzanie wpisami tajnymi.

Uwaga

Uprawnienia Catalog systemu Unity i starsze listy kontroli dostępu ACL table wymagają zgodnych trybów dostępu dla zasobów obliczeniowych. Zobacz Konfigurowanie obliczeń dla zadań.

Zadania i uprawnienia SQL

Zadanie pliku jest jedynym typem zadania SQL, który uwzględnia w pełni tożsamość Uruchom jako .

Zapytania SQL, alerty i starsze zadania pulpitu nawigacyjnego są zgodne ze skonfigurowanymi ustawieniami udostępniania.

  • Uruchom jako właściciel: uruchomienia zaplanowanego zadania SQL zawsze używają tożsamości właściciela skonfigurowanego zasobu SQL.
  • Uruchom jako widz: Uruchomienia zaplanowanego zadania SQL zawsze używają tożsamości set w polu Uruchom jako.

Aby dowiedzieć się więcej na temat ustawień udostępniania zapytań, zobacz Konfigurowanie uprawnień zapytania.

Przykład

Poniższy scenariusz ilustruje interakcję ustawień udostępniania SQL i ustawienia Uruchom jako zadania:

  • Użytkownik A jest właścicielem zapytania SQL o nazwie my_query.
  • Użytkownik A konfiguruje my_query ustawienie udostępniania Uruchom jako właściciel.
  • Użytkownik B planuje my_query jako zadanie w zadaniu o nazwie my_job.
  • Użytkownik B konfiguruje my_job do uruchamiania z jednostką usługi o nazwie prod_sp.
  • Podczas my_job uruchamiania używa ona tożsamości użytkownika A do uruchomienia my_querypolecenia .

Teraz załóżmy, że użytkownik B nie chce tego zachowania. Począwszy od istniejącej konfiguracji, następuje:

  • Użytkownik A zmienia ustawienie udostępniania dla opcji my_queryUruchom jako osoba przeglądająca.
  • W przypadku my_job uruchamiania używa on elementu zidentyfikuj prod_spelement .

Konfigurowanie tożsamości dla przebiegów zadań

Aby zmienić ustawienie Uruchom jako , musisz mieć uprawnienie CAN MANAGE lub IS OWNER w zadaniu.

Możesz ustawienie Uruchom jako dla siebie lub dowolnej jednostki usługi w obszarze roboczym, w którym masz uprawnienie użytkownika jednostki usługi .

Aby skonfigurować ustawienie Uruchom jako dla zadania w interfejsie użytkownika obszaru roboczego, wybierz select istniejące zadanie, wykonując następujące kroki:

  1. Kliknij pozycję Ikona przepływów pracyPrzepływy pracy na pasku bocznym.
  2. W nazwie columnkliknij nazwę tego zadania.
  3. W panelu bocznym Szczegóły zadania kliknij ikonę ołówka obok pola Uruchom jako .
  4. Wyszukaj i select użytkownika lub głównego użytkownika usługi.
  5. Kliknij przycisk Zapisz.

Aby uzyskać więcej informacji na temat pracy z jednostkami usługi, zobacz następujące artykuły:

Najlepsze rozwiązania dotyczące ładu zadań

Usługa Databricks zaleca następujące elementy dla wszystkich zadań produkcyjnych:

  • Przypisywanie własności zadania do jednostki usługi

    Jeśli użytkownik, który jest właścicielem zadania, opuści organizację, zadanie może zakończyć się niepowodzeniem. Użyj jednostek usługi, aby wykonywać zadania niezawodne dla współczynnika zmian pracowników.

    Domyślnie administratorzy obszaru roboczego mogą w razie potrzeby zarządzać uprawnieniami zadań i ponownie przypisać własność.

  • Uruchamianie zadań produkcyjnych przy użyciu jednostki usługi

    Zadania są uruchamiane przy użyciu uprawnień właściciela zadania domyślnie. Jeśli przypiszesz własność do jednostki usługi, zadanie zostanie uruchomione przy użyciu uprawnień jednostki usługi.

    Używanie jednostek usługi dla zadań produkcyjnych umożliwia ograniczenie uprawnień do zapisu na danych produkcyjnych. Jeśli uruchamiasz zadania przy użyciu uprawnień użytkownika, ten użytkownik musi mieć te same uprawnienia, aby edytować dane produkcyjne wymagane przez zadanie.

  • zawsze używaj konfiguracji obliczeniowych zgodnych z aparatem Unity Catalog

    Zarządzanie danymi w środowisku Unity Catalog wymaga użycia obsługiwanej konfiguracji obliczeniowej.

    Bezserwerowe przetwarzanie dla zadań i magazynów SQL zawsze używa Unity Catalog.

    W przypadku zadań z klasycznymi obliczeniami usługa Databricks zaleca tryb dostępu współdzielonego dla obsługiwanych obciążeń. Jeśli jest to wymagane, należy użyć trybu dostępu pojedynczego użytkownika.

    Potoki danych Delta Live Tables skonfigurowane w środowisku Unity Catalog mają pewne ograniczenia. Zobacz Ograniczenia.

  • Ograniczanie uprawnień do zadań produkcyjnych

    Użytkownicy, którzy wyzwalają, zatrzymywają lub uruchamiają ponownie zadania, potrzebują uprawnienia Może zarządzać uruchamianiem .

    Użytkownicy, którzy wyświetlają konfigurację lub monitorowanie zadań, potrzebują uprawnienia Może Wyświetlać .

    Tylko grantmoże zarządzać przywilejami lub albo uprawnieniami właściciela dla użytkowników zaufanych do modyfikacji kodu produkcyjnego.

Kontrolowanie dostępu do zadania

Kontrola dostępu do zadań umożliwia właścicielom zadań i administratorom grant szczegółowe uprawnienia do zadań. Dostępne są następujące uprawnienia:

Uwaga

Każde uprawnienie obejmuje uprawnienia nadane poniżej w sekcji table.

Uprawnienie Grant
Jest właścicielem Tożsamość używana do uruchamiania jako domyślnie.
Może zarządzać Użytkownicy mogą edytować definicję zadania, w tym uprawnienia. Użytkownicy mogą wstrzymywać i wznawiać harmonogram.
Może zarządzać przebiegiem Użytkownicy mogą wyzwalać i anulować przebiegi zadań.
Może wyświetlać Użytkownicy mogą wyświetlać wyniki uruchomienia zadania.

Aby uzyskać informacje na temat poziomów uprawnień zadania, zobacz Listy ACL zadań.

Konfigurowanie uprawnień zadania

Aby skonfigurować uprawnienia dla zadania w interfejsie użytkownika obszaru roboczego, select istniejące zadanie, wykonując następujące czynności:

  1. Kliknij pozycję Ikona przepływów pracyPrzepływy pracy na pasku bocznym.
  2. W nazwie columnkliknij nazwę zadania.
  3. W panelu Szczegóły zadania kliknij pozycję Edytuj uprawnienia. Zostanie wyświetlone okno dialogowe Ustawienia uprawnień.
  4. Kliknij pole Select Użytkownik, Grupa lub Jednostka usługi... i zacznij wpisywać użytkownika, grupę lub jednostkę usługi. Pole wyszukuje wszystkie dostępne tożsamości w obszarze roboczym.
  5. Kliknij przycisk Dodaj.
  6. Kliknij przycisk Zapisz.

Zarządzanie właścicielem zadania

Tylko administratorzy obszaru roboczego mogą edytować właściciela zadania. Należy przypisać dokładnie jednego właściciela zadania. Właściciele zadań mogą być użytkownikami lub jednostkami usługi.