Поделиться через

Руководство по администрированию панели мониторинга

  • Статья

В этой статье описываются административные элементы управления на уровнях учетной записи и рабочей области, которые можно применить к панелям мониторинга AI/BI.

Общий доступ к панели мониторинга

Опубликованные панели мониторинга с внедренными учетными данными можно безопасно предоставлять пользователям и группам в учетной записи, даже если у пользователей нет доступа к исходной рабочей области. Пользователи должны быть зарегистрированы в учетной записи Azure Databricks, но им не требуется доступ к дополнительным ресурсам или добавляться в рабочую область.

Дополнительные сведения о опубликованных панелях мониторинга и внедренных учетных данных см. в статье "Публикация панели мониторинга ".

Рекомендации по сети

Если списки IP-доступа настроены, панели мониторинга доступны только в том случае, если пользователи обращаются к ним из утвержденного диапазона IP-адресов, например при использовании VPN. Это относится ко всем пользователям независимо от того, назначены ли они рабочей области. Дополнительные сведения о настройке доступа см. в разделе "Управление списками IP-доступа".

Управление пользователями и группами для общего доступа к панели мониторинга

Все пользователи, зарегистрированные в Azure Databricks, принадлежат вашей учетной записи Azure Databricks. Регистрация пользователя в учетной записи Azure Databricks устанавливает проверяемое удостоверение, которое Azure Databricks может использовать для проверки подлинности при просмотре общей панели мониторинга. Организация отдельных пользователей в группы может упростить общий доступ для авторов панелей мониторинга и редакторов. Например, автор может предоставить общий доступ к одной именованной группе, а не совместному использованию с каждым пользователем в учетной записи.

Панели мониторинга создаются участниками рабочей области с правами доступа к Databricks SQL. Пользователи и группы могут иметь доступ к нулю, одной или нескольким рабочим областям. Пользователям рабочей области также предоставляется разрешение на доступ к вычислительным ресурсам, что позволяет им создавать и совместно работать на панелях мониторинга, помимо прочего.

При совместном доступе к панели мониторинга авторы могут добавлять пользователей и группы в список пользователей с списком доступа , чтобы назначить определенные разрешения, как и другие объекты рабочей области. Кроме того, они могут настроить параметры общего доступа с одним из следующих вариантов :

  • Только пользователи с доступом могут просматривать
  • Любой пользователь в моей учетной записи может просматривать

Если панель мониторинга публикуется с внедренными учетными данными и предоставляется доступ определенному пользователю, группе или всем пользователям в учетной записи, эти пользователи могут получить доступ к ней независимо от того, имеют ли они доступ к исходной рабочей области.

На следующем рисунке показана связь между пользователями и группами на уровнях рабочей области и учетных записей.

Схема SCIM уровня учетной записи с общим доступом к панели мониторинга

Azure Databricks рекомендует администраторам учетных записей использовать подготовку SCIM уровня учетной записи для автоматической синхронизации всех пользователей и групп из идентификатора Microsoft Entra с учетной записью Azure Databricks. Вы также можете вручную зарегистрировать этих пользователей и группы при настройке удостоверений в учетной записи Azure Databricks. Это позволяет включить их в качестве подходящих получателей, прежде чем автор пытается поделиться панелью мониторинга. См. раздел "Включить все пользователи идентификатора Microsoft Entra" для доступа к Azure Databricks.

Помимо регистрации учетной записи, дополнительная конфигурация не требуется. Пользователям не нужно назначать рабочую область или предоставлять доступ к вычислительным ресурсам.

Управление внедрением панели мониторинга

Внедрение позволяет пользователям панели мониторинга с разрешениями CAN EDIT создавать код внедрения iframe с помощью диалогового окна "Общий доступ ". Администраторы рабочей области могут управлять доменами, если таковыми являются утвержденные для размещения встроенной панели мониторинга.

Параметры администратора рабочей области открыты для заголовка панели мониторинга внедрения.

Чтобы задать политику, которая определяет домены, в которых могут быть внедрены панели мониторинга, сделайте следующее:

  1. Щелкните имя пользователя в верхней строке рабочей области Azure Databricks и выберите "Параметры".

  2. Щелкните Безопасность.

  3. Прокрутите вниз до раздела внешнего доступа .

  4. В разделе "Внедрение панелей мониторинга" используйте раскрывающееся меню, чтобы задать политику для рабочей области.

    Предусмотрено три варианта политики:

    • Разрешить: панели мониторинга могут быть внедрены в любой домен.
    • Разрешить утвержденные домены: панели мониторинга могут быть внедрены только на сайты, соответствующие утвержденному списку.
    • Запрет: панели мониторинга не могут быть внедрены в любой домен.

Если выбрать "Разрешить утвержденные домены", этот раздел можно использовать для управления списком утвержденных доменов, выполнив следующие действия.

  1. Щелкните " Управление" рядом с панелью мониторинга внедрения.
  2. Введите домен в текстовом поле "Утвержденный домен ". Нажмите кнопку "Добавить домен " после каждой записи.
  3. Нажмите кнопку Сохранить.

Инструкции по определению списка разрешенных узлов см . в документации по политике безопасности содержимого W3C.

Элементы управления подпиской администратора рабочей области

Администраторы рабочей области могут запретить пользователям распространять панели мониторинга с помощью подписок. Изменение этого параметра запрещает всем пользователям добавлять подписчиков электронной почты в запланированные панели мониторинга. Редакторы панелей мониторинга не могут добавлять подписчиков, а средства просмотра панелей мониторинга не имеют возможности подписываться на запланированную панель мониторинга.

Чтобы предотвратить общий доступ к обновлениям электронной почты, выполните следующие действия.

  1. Щелкните имя пользователя в верхней строке рабочей области Azure Databricks и выберите "Параметры".
  2. На боковой панели "Параметры " щелкните "Уведомления".
  3. Отключите параметр "Включить подписки на электронную почту панели мониторинга".

Если этот параметр отключен, существующие подписки приостановлены, и никто не сможет изменить существующие списки подписок. Если этот параметр включен, подписки возобновляются с помощью существующего списка.

Элементы управления скачиванием администратора рабочей области

Администраторы рабочей области могут настроить параметры безопасности, чтобы предотвратить скачивание результатов пользователями, выполнив следующие действия.

  1. Щелкните имя пользователя в верхней строке рабочей области Azure Databricks и выберите "Параметры".
  2. На боковой панели "Параметры" щелкните "Безопасность".
  3. Отключите параметр скачивания результатов SQL.

Передача прав владения панелью мониторинга

Администраторы рабочей области могут передавать права владения панели мониторинга другому пользователю.

  1. Перейдите к списку панелей мониторинга. Щелкните имя панели мониторинга, чтобы изменить.
  2. Нажмите Поделиться.
  3. Значок шестеренки Щелкните значок в правом верхнем углу диалогового окна "Общий доступ". Диалоговое окно
  4. Начните вводить имя пользователя для поиска и выбора нового владельца.
  5. Нажмите кнопку Подтвердить.

Новый владелец появится в диалоговом окне "Общий доступ " с разрешениями для управления . Чтобы просмотреть панели мониторинга, перечисленные владельцем, перейдите к списку доступных панелей мониторинга, щелкнув Значок панелей мониторинга панели мониторинга.

Мониторинг активности панели мониторинга

Администраторы могут отслеживать действия на панелях мониторинга с помощью журналов аудита. См . события панелей мониторинга. Примеры кода, демонстрирующие доступ к сведениям журнала аудита для ответа на распространенные вопросы о черновике, публикации и внедренных панелях мониторинга, см. в разделе "Мониторинг использования панелей мониторинга с журналами аудита".