Udostępnij za pośrednictwem

Zarządzanie tożsamościami, uprawnieniami i uprawnieniami dla zadań usługi Databricks

  • Artykuł

Ten artykuł zawiera zalecenia i instrukcje dotyczące zarządzania tożsamościami, uprawnieniami i uprawnieniami dla zadań usługi Databricks.

Uwaga

Wpisy tajne nie są redagowane z dziennika stdout i stderr strumieni sterowników spark klastra. Aby chronić dane poufne, domyślnie dzienniki sterowników platformy Spark są widoczne tylko przez użytkowników z uprawnieniami CAN MANAGE w zadaniu, trybie dostępu pojedynczego użytkownika i klastrach trybu dostępu współdzielonego. Aby zezwolić użytkownikom z uprawnieniem CAN ATTACH TO lub CAN RESTART, aby wyświetlić dzienniki w tych klastrach, ustaw następującą właściwość konfiguracji platformy Spark w konfiguracji klastra: spark.databricks.acl.needAdminPermissionToViewLogs false.

W przypadku klastrów z trybem dostępu wspólnego bez izolacji dzienniki sterowników platformy Spark mogą być wyświetlane przez użytkowników z uprawnieniem CAN ATTACH TO lub CAN MANAGE. Aby ograniczyć, kto może odczytywać dzienniki tylko użytkownikom z uprawnieniami CAN MANAGE, ustaw wartość spark.databricks.acl.needAdminPermissionToViewLogs true.

Zobacz Konfiguracja platformy Spark, aby dowiedzieć się, jak dodać właściwości platformy Spark do konfiguracji klastra.

Domyślne uprawnienia dla zadań

Zadania mają domyślnie ustawione następujące uprawnienia:

  • Twórca zadania ma uprawnienie WŁAŚCICIEL IS.
  • Administratorzy obszaru roboczego otrzymują uprawnienie CAN MANAGE.
  • Twórca zadania jest ustawiony dla polecenia Uruchom jako.

Uprawnienia administratora dla zadań

Domyślnie administratorzy obszaru roboczego mogą zmienić właściciela zadania lub uruchomić jako konfigurację na dowolnego użytkownika lub jednostki usługi w obszarze roboczym. Administratorzy kont mogą skonfigurować ustawienie, RestrictWorkspaceAdmins aby zmienić to zachowanie. Zobacz Ograniczanie administratorów obszaru roboczego.

Jak zadania współdziałają z uprawnieniami wykazu aparatu Unity?

Zadania są uruchamiane jako tożsamość użytkownika w ustawieniu Uruchom jako . Ta tożsamość jest oceniana pod kątem dotacji uprawnień dla następujących elementów:

  • Zasoby zarządzane przez wykaz aparatu Unity, w tym tabele, woluminy, modele i widoki.
  • Starsze listy kontroli dostępu do tabel (ACL) dla zasobów zarejestrowanych w starszym magazynie metadanych Hive.
  • Listy ACL dla zasobów obliczeniowych, notesów, zapytań i innych zasobów obszaru roboczego.
  • Wpisy tajne usługi Databricks. Zobacz Zarządzanie wpisami tajnymi.

Uwaga

Przydziały wykazu aparatu Unity i starsze listy ACL tabel wymagają zgodnych trybów dostępu obliczeniowego. Zobacz Konfigurowanie obliczeń dla zadań.

Zadania i uprawnienia SQL

Zadanie pliku jest jedynym typem zadania SQL, który uwzględnia w pełni tożsamość Uruchom jako .

Zapytania SQL, alerty i starsze zadania pulpitu nawigacyjnego są zgodne ze skonfigurowanymi ustawieniami udostępniania.

  • Uruchom jako właściciel: uruchomienia zaplanowanego zadania SQL zawsze używają tożsamości właściciela skonfigurowanego zasobu SQL.
  • Uruchom jako podgląd: uruchomienia zaplanowanego zadania SQL zawsze używają tożsamości ustawionej w polu Uruchom jako zadania.

Aby dowiedzieć się więcej na temat ustawień udostępniania zapytań, zobacz Konfigurowanie uprawnień zapytania.

Przykład

Poniższy scenariusz ilustruje interakcję ustawień udostępniania SQL i ustawienia Uruchom jako zadania:

  • Użytkownik A jest właścicielem zapytania SQL o nazwie my_query.
  • Użytkownik A konfiguruje my_query ustawienie udostępniania Uruchom jako właściciel.
  • Użytkownik B planuje my_query jako zadanie w zadaniu o nazwie my_job.
  • Użytkownik B konfiguruje my_job do uruchamiania przy użyciu jednostki usługi o nazwie prod_sp.
  • Podczas my_job uruchamiania używa ona tożsamości użytkownika A do uruchomienia my_querypolecenia .

Teraz załóżmy, że użytkownik B nie chce tego zachowania. Począwszy od istniejącej konfiguracji, następuje:

  • Użytkownik A zmienia ustawienie udostępniania dla opcji my_query Uruchom jako osoba przeglądająca.
  • W przypadku my_job uruchamiania używa on elementu zidentyfikuj prod_spelement .

Konfigurowanie tożsamości dla przebiegów zadań

Aby zmienić ustawienie Uruchom jako , musisz mieć uprawnienie CAN MANAGE lub IS OWNER w zadaniu.

Możesz ustawić ustawienie Uruchom jako na siebie lub dowolną jednostkę usługi w obszarze roboczym, w którym masz uprawnienie Użytkownika jednostki usługi.

Aby skonfigurować ustawienie Uruchom jako dla zadania w interfejsie użytkownika obszaru roboczego, wybierz istniejące zadanie, wykonując następujące kroki:

  1. Kliknij pozycję Ikona przepływów pracy Przepływy pracy na pasku bocznym.
  2. W kolumnie Nazwa kliknij nazwę zadania.
  3. W panelu bocznym Szczegóły zadania kliknij ikonę ołówka obok pola Uruchom jako .
  4. Wyszukaj i wybierz użytkownika lub jednostkę usługi.
  5. Kliknij przycisk Zapisz.

Aby uzyskać więcej informacji na temat pracy z jednostkami usługi, zobacz następujące artykuły:

Najlepsze rozwiązania dotyczące ładu zadań

Usługa Databricks zaleca następujące elementy dla wszystkich zadań produkcyjnych:

  • Przypisywanie własności zadania do jednostki usługi

    Jeśli użytkownik, który jest właścicielem zadania, opuści organizację, zadanie może zakończyć się niepowodzeniem. Użyj jednostek usługi, aby wykonywać zadania niezawodne dla współczynnika zmian pracowników.

    Domyślnie administratorzy obszaru roboczego mogą w razie potrzeby zarządzać uprawnieniami zadań i ponownie przypisać własność.

  • Uruchamianie zadań produkcyjnych przy użyciu jednostki usługi

    Zadania są uruchamiane przy użyciu uprawnień właściciela zadania domyślnie. Jeśli przypiszesz własność do jednostki usługi, zadanie zostanie uruchomione przy użyciu uprawnień jednostki usługi.

    Używanie jednostek usługi dla zadań produkcyjnych umożliwia ograniczenie uprawnień do zapisu na danych produkcyjnych. Jeśli uruchamiasz zadania przy użyciu uprawnień użytkownika, ten użytkownik musi mieć te same uprawnienia, aby edytować dane produkcyjne wymagane przez zadanie.

  • Zawsze używaj konfiguracji obliczeniowych zgodnych z wykazem aparatu Unity

    Nadzór nad danymi wykazu aparatu Unity wymaga użycia obsługiwanej konfiguracji obliczeniowej.

    Bezserwerowe obliczenia dla zadań i magazynów SQL zawsze używają wykazu aparatu Unity.

    W przypadku zadań z klasycznymi obliczeniami usługa Databricks zaleca tryb dostępu współdzielonego dla obsługiwanych obciążeń. Jeśli jest to wymagane, należy użyć trybu dostępu pojedynczego użytkownika.

    Potoki usługi Delta Live Tables skonfigurowane z wykazem aparatu Unity mają pewne ograniczenia. Zobacz Ograniczenia.

  • Ograniczanie uprawnień do zadań produkcyjnych

    Użytkownicy, którzy wyzwalają, zatrzymywają lub uruchamiają ponownie zadania, potrzebują uprawnienia Może zarządzać uruchamianiem .

    Użytkownicy, którzy wyświetlają konfigurację lub monitorowanie zadań, potrzebują uprawnienia Może Wyświetlać .

    Przyznaj tylko uprawnienia Może zarządzać lub Jest właścicielem dla użytkowników zaufanych w celu zmodyfikowania kodu produkcyjnego.

Kontrolowanie dostępu do zadania

Kontrola dostępu do zadań umożliwia właścicielom zadań i administratorom udzielanie precyzyjnych uprawnień do zadań. Dostępne są następujące uprawnienia:

Uwaga

Każde uprawnienie zawiera uprawnienia poniżej w poniższej tabeli.

Uprawnienie Grant
Jest właścicielem Tożsamość używana do uruchamiania jako domyślnie.
Może zarządzać Użytkownicy mogą edytować definicję zadania, w tym uprawnienia. Użytkownicy mogą wstrzymywać i wznawiać harmonogram.
Może zarządzać przebiegiem Użytkownicy mogą wyzwalać i anulować przebiegi zadań.
Może wyświetlać Użytkownicy mogą wyświetlać wyniki uruchomienia zadania.

Aby uzyskać informacje na temat poziomów uprawnień zadania, zobacz Listy ACL zadań.

Konfigurowanie uprawnień zadania

Aby skonfigurować uprawnienia dla zadania w interfejsie użytkownika obszaru roboczego, wybierz istniejące zadanie, wykonując następujące kroki:

  1. Kliknij pozycję Ikona przepływów pracy Przepływy pracy na pasku bocznym.
  2. W kolumnie Nazwa kliknij nazwę zadania.
  3. W panelu Szczegóły zadania kliknij pozycję Edytuj uprawnienia. Zostanie wyświetlone okno dialogowe Ustawienia uprawnień.
  4. Kliknij pole Wybierz użytkownika, grupę lub jednostkę usługi... i zacznij wpisywać użytkownika, grupę lub jednostkę usługi. Pole wyszukuje wszystkie dostępne tożsamości w obszarze roboczym.
  5. Kliknij przycisk Dodaj.
  6. Kliknij przycisk Zapisz.

Zarządzanie właścicielem zadania

Tylko administratorzy obszaru roboczego mogą edytować właściciela zadania. Należy przypisać dokładnie jednego właściciela zadania. Właściciele zadań mogą być użytkownikami lub jednostkami usługi.