Поделиться через

Руководство по администрированию панели мониторинга

  • Статья

В этой статье описываются административные элементы управления на уровнях учетной записи и рабочей области, которые можно применить к панелям мониторинга AI/BI.

Общий доступ к панели мониторинга

Опубликованные панели мониторинга с внедренными учетными данными можно безопасно предоставлять пользователям и группам в учетной записи, даже если у пользователей нет доступа к исходной рабочей области. Пользователи должны быть зарегистрированы в учетной записи Azure Databricks, но им не требуется доступ к дополнительным ресурсам или добавляться в рабочую область.

См. , чтобы опубликовать панель мониторинга, и, чтобы узнать больше о опубликованных панелях мониторинга и внедренных учетных данных.

Рекомендации по сети

Если списки IP-доступа настроены, панели мониторинга доступны только в том случае, если пользователи обращаются к ним из утвержденного диапазона IP-адресов, например при использовании VPN. Это относится ко всем пользователям независимо от того, назначены ли они рабочей области. Дополнительные сведения о настройке доступа см. в разделе "Управление списками IP-доступа".

Управление пользователями и группами для общего доступа к панели мониторинга

Все пользователи, зарегистрированные в Azure Databricks, принадлежат вашей учетной записи Azure Databricks. Регистрация пользователя в учетной записи Azure Databricks устанавливает проверяемое удостоверение, которое Azure Databricks может использовать для проверки подлинности при просмотре общей панели мониторинга. Организация отдельных пользователей в группы может упростить общий доступ для авторов панелей мониторинга и редакторов. Например, автор может предоставить общий доступ к одной именованной группе, а не совместному использованию с каждым пользователем в учетной записи.

Панели мониторинга создаются участниками рабочей области с правами доступа к Databricks SQL. Пользователи и группы могут иметь доступ к нулю, одной или нескольким рабочим областям. Пользователям рабочей области также предоставляется разрешение на доступ к вычислительным ресурсам, что позволяет им создавать и совместно работать на панелях мониторинга, помимо прочего.

При совместном использовании панели мониторинга авторы могут добавлять пользователей и группы в список "Люди с доступом", чтобы назначить определенные разрешения, как и другие объекты рабочей области. Кроме того, они могут настроить параметры общего доступа с одним из следующих вариантов :

  • Только пользователи с доступом могут просматривать
  • Любой пользователь в моей учетной записи может просматривать

Если панель мониторинга публикуется с внедренными учетными данными и предоставляется доступ определенному пользователю, группе или всем пользователям в учетной записи, эти пользователи могут получить доступ к ней независимо от того, имеют ли они доступ к исходной рабочей области.

На следующем рисунке показана связь между пользователями и группами на уровнях рабочей области и учетных записей.

Схема SCIM уровня учетной записи с общим доступом к панели мониторинга

Azure Databricks рекомендует администраторам учетных записей использовать подготовку SCIM уровня учетной записи для автоматической синхронизации всех пользователей и групп из идентификатора Microsoft Entra с учетной записью Azure Databricks. Вы также можете вручную создать этих пользователей и группы при настройке учетных данных в учетной записи Azure Databricks. Это позволяет включить их в качестве подходящих получателей, прежде чем автор пытается поделиться панелью мониторинга. См. раздел "Включить все пользователи идентификатора Microsoft Entra" для доступа к Azure Databricks.

Помимо регистрации учетной записи, дополнительная конфигурация не требуется. Пользователям не нужно назначать рабочую область или предоставлять доступ к вычислительным ресурсам.

Управление внедрением панели мониторинга

Внедрение позволяет пользователям панели мониторинга, имеющим разрешение CAN EDIT, генерировать код для вставки iframe с помощью диалогового окна Общий доступ. Администраторы рабочей области могут управлять доменами, если таковыми являются утвержденные для размещения встроенной панели мониторинга.

Параметры администратора рабочей области открыты для заголовка панели мониторинга внедрения.

Чтобы задать политику, которая определяет домены, в которых могут быть внедрены панели мониторинга, сделайте следующее:

  1. Щелкните имя пользователя в верхней строке рабочей области Azure Databricks и выберите настройки.

  2. Щелкните Безопасность.

  3. Прокрутите вниз до раздела внешнего доступа .

  4. В разделе Внедрения панелей мониторинга используйте раскрывающееся меню, чтобы задать политику для рабочей области.

    Предусмотрено три варианта политики:

    • Разрешить: панели мониторинга могут быть внедрены в любой домен.
    • Разрешить утвержденные домены: панели мониторинга могут быть внедрены только на сайты, соответствующие утвержденному списку.
    • запретить: панели мониторинга не могут быть внедрены в любой домен.

Если выбрать Разрешить утвержденные домены, этот раздел можно использовать для управления списком утвержденных доменов, выполнив следующие действия.

  1. Щелкните " Управление" рядом с панельюмониторинга внедрения.
  2. Введите домен в текстовом поле "Утвержденный домен ". Нажмите кнопку "Добавить домен " после каждой записи.
  3. Нажмите кнопку Сохранить.

Советы по определению утвержденных доменов и маршрутов

Чтобы указать разрешенные хосты, используйте грамматику, определенную в документации по политике безопасности контента W3C . В примерах в этом разделе показаны некоторые распространенные шаблоны.

Разрешить поддомены

Чтобы разрешить все поддомены для данного домена, используйте подстановочный знак (*) перед доменным именем. В следующих примерах используется *.databricks.com в качестве примера домена.

  • Совпадения: любой из поддоменов
    • some.databricks.com
    • app.databricks.com
    • anything.databricks.com
  • не совпадает с: любым объектом с другим доменом.
    • another-databricks.com
    • app-databricks.com

Разрешить определенные пути URL

Чтобы разрешить все страницы под базовым URL-адресом, используйте косую черту (/) для представления корневого каталога. Подкаталоги и дополнительные пути будут сопоставляться.

В следующих примерах используется sites.google.com/some/path/ в качестве примера предоставленного пути.

  • Совпадения:sites.google.com/some/path/to/my/dashboard и sites.google.com/some/path/any-page.
  • не соответствует:
    • sites.google.com/some/path. В этом примере отсутствует завершающая косая черта, поэтому это другой URL-адрес.
    • sites.google.com/some/other/path/to/my/dashboard. В этом примере не используется один и тот же базовый путь.

Заметка

URL-адрес без завершающей косой черты рассматривается как точное совпадение и не включает подпути.

Элементы управления подпиской администратора рабочей области

Администраторы рабочей области могут запретить пользователям распространять панели мониторинга с помощью подписок. Изменение этого параметра запрещает всем пользователям добавлять подписчиков электронной почты в запланированные панели мониторинга. Редакторы панелей мониторинга не могут добавлять подписчиков, а средства просмотра панелей мониторинга не имеют возможности подписываться на запланированную панель мониторинга.

Чтобы предотвратить общий доступ к обновлениям электронной почты, выполните следующие действия.

  1. Щелкните имя пользователя в верхней панели рабочей области Azure Databricks и выберите Настройки.
  2. На боковой панели "Параметры " щелкните "Уведомления".
  3. Отключите параметр "Включить подписки на электронную почту панели мониторинга".

Если этот параметр отключен, существующие подписки приостановлены, и никто не сможет изменить существующие списки подписок. Если этот параметр включен, подписки возобновляются с помощью существующего списка.

Элементы управления скачиванием администратора рабочей области

Администраторы рабочей области могут настроить параметры безопасности, чтобы предотвратить скачивание результатов пользователями, выполнив следующие действия.

  1. Нажмите ваше имя пользователя на верхней панели интерфейса Azure Databricks и выберите параметры.
  2. На боковой панели "Параметры" щелкните "Безопасность".
  3. Отключите параметр скачивания результатов SQL.

Передача прав владения панелью мониторинга

Администраторы рабочей области могут передавать права владения панели мониторинга другому пользователю.

  1. Перейдите к списку панелей мониторинга. Щелкните имя панели мониторинга, чтобы изменить.
  2. Нажмите Поделиться.
  3. Значок шестеренки Щелкните значок в правом верхнем углу диалогового окна "Общий доступ". Диалоговое окно
  4. Начните вводить имя пользователя для поиска и выбора нового владельца.
  5. Нажмите кнопку Подтвердить.

Новый владелец появится в диалоговом окне "Общий доступ " с разрешениями для управления . Чтобы просмотреть панели мониторинга, перечисленные владельцем, перейдите в список доступных панелей мониторинга, щелкнув значок панели мониторингапанели мониторинга.

Мониторинг активности панели мониторинга

Администраторы могут отслеживать действия на панелях мониторинга с помощью журналов аудита. См. события панели мониторинга AI/BI . Примеры кода, демонстрирующие доступ к сведениям журнала аудита для ответа на распространенные вопросы о черновике, публикации и внедренных панелях мониторинга, см. в разделе "Мониторинг использования панелей мониторинга с журналами аудита".