Google
Cloud Platform
Amazon Web Services
Microsoft AzureControle de acesso e autenticação
Este artigo apresenta a autenticação e o controle de acesso em Databricks. Para obter informações sobre como garantir o acesso aos seus dados, consulte governança de dados com Unity Catalog.
Para obter mais informações sobre a melhor forma de configurar usuários e grupos em Databricks, consulte Práticas recomendadas de identidade.
Acesso único
O logon único na forma do Google cloud Identity (ou GSuite) está disponível em Databricks por default. O senhor usa o login único do Google cloud Identity para o console account e o espaço de trabalho. O senhor pode ativar a autenticação multifatorial por meio do Google cloud Identity.
Opcionalmente, o senhor pode configurar o Google cloud Identity account (ou GSuite account) para federar com um provedor de identidade (IdP) externo SAML 2.0 para verificar as credenciais do usuário. O Google cloud Identity pode ser federado com Microsoft Entra ID (anteriormente Azure Active Directory), Okta, Ping e outros IdPs. No entanto, a Databricks só interage diretamente com as APIs do Google Identity Platform.
Sincronize usuários e grupos do seu provedor de identidade usando o provisionamento SCIM
O senhor pode usar o SCIMou System for Cross-domain Identity Management, um padrão aberto que permite automatizar o provisionamento de usuários, para sincronizar usuários e grupos automaticamente do provedor de identidade para o site Databricks account. O SCIM simplifica a integração de um novo funcionário ou equipe usando seu provedor de identidade para criar usuários e grupos no Databricks e dar a eles o nível adequado de acesso. Quando um usuário deixa sua organização ou não precisa mais acessar Databricks, os administradores podem encerrar o usuário em seu provedor de identidade, e o account desse usuário também é removido de Databricks. Isso garante um processo consistente de desligamento e evita que usuários não autorizados acessem dados confidenciais. Para obter mais informações, consulte Sincronizar usuários e grupos do seu provedor de identidade.
Autenticação segura do API com permissões pessoais do access token
Databricks Os access tokens pessoais são um dos tipos de credenciais mais bem suportados para recursos e operações no nível Databricks workspace . Para proteger a autenticação API, os administradores do workspace podem controlar quais usuários, entidades de serviço e grupos podem criar e usar o Databricks pessoal access tokens.
Para obter mais informações, consulte gerenciar permissões pessoais em access token .
workspace Os administradores também podem revisar o Databricks pessoal access tokens, excluir o tokens e definir o tempo de vida máximo do novo tokens para o workspace. Consulte Monitorar e gerenciar pessoal access tokens.
Para obter mais informações sobre a autenticação no Databricks automation, c onsulte Authentication for Databricks automation - overview (Autenticação para automation - visão geral).
Visão geral do controle de acesso
Na Databricks, há diferentes sistemas de controle de acesso para diferentes objetos protegíveis. A tabela abaixo mostra qual sistema de controle de acesso rege qual tipo de objeto protegido.
Objeto seguro |
Sistema de controle de acesso |
|---|---|
workspace-Objetos protegíveis de nível |
Listas de controle de acesso |
account-Objetos protegíveis de nível |
account controle de acesso baseado em funções |
Objetos protegidos por dados |
Unity Catalog |
Databricks também oferece funções e direitos de administrador atribuídos diretamente a usuários, entidades de serviço e grupos.
Para obter informações sobre a proteção de dados, consulte governança de dados em Unity Catalog.
Listas de controle de acesso
Em Databricks, é possível usar listas de controle de acesso (ACLs) para configurar a permissão de acesso a objetos workspace como Notebook e SQL warehouse. Todos os usuários administradores do site workspace podem gerenciar listas de controle de acesso, assim como os usuários que receberam permissões delegadas para gerenciar listas de controle de acesso. Para obter mais informações sobre listas de controle de acesso, consulte Listas de controle de acesso.
account controle de acesso baseado em funções
O senhor pode usar o controle de acesso baseado em funções account para configurar a permissão de uso de objetos de nível account, como entidades de serviço e grupos. account As funções são definidas uma vez, em seu site account, e se aplicam a todos os espaços de trabalho. Todos os usuários administradores do account podem gerenciar as funções do account, assim como os usuários que receberam permissões delegadas para gerenciá-las, como gerentes de grupo e gerentes de entidades de serviço.
Siga estes artigos para obter mais informações sobre account funções em objetos específicos de nível account:
Funções de administrador do Databricks
Além do controle de acesso a objetos seguros, há funções integradas na plataforma Databricks. Podem ser atribuídas funções a usuários, entidades de serviço e grupos.
Há dois níveis principais de privilégios de administrador disponíveis na plataforma Databricks:
Administradores de conta: Gerenciar a conta do Databricks, incluindo a criação do workspace, o gerenciamento de usuários, os recursos de cloud e o monitoramento de uso de conta.
Administradores de workspace: Gerenciar identidades de workspace, controle de acesso, configurações e recursos para workspaces individuais na conta.
Além disso, os usuários podem ser atribuídos a essas funções de administrador específicas do recurso, que têm conjuntos mais restritos de privilégios:
marketplace administradores: gerenciar o perfil de provedor account's Databricks Marketplace, incluindo a criação e o gerenciamento de listagens marketplace.
Administradores de metastore: gerenciam privilégios e propriedade de todos os objetos seguros em um metastore Unity Catalog, como quem pode criar catálogos ou consultar uma tabela.
Os usuários também podem ser designados para serem usuários do workspace. Um usuário de workspace pode acessar log in para workspace, onde pode receber permissões de nível workspace.
Para obter mais informações, consulte Configuração do single sign-on (SSO).
Direitos de espaço de trabalho
Um direito é uma propriedade que permite que um usuário, entidade de serviço ou grupo interaja com o site Databricks de uma maneira específica. workspace Os administradores atribuem direitos a usuários, entidades de serviço e grupos no nível workspace. Para obter mais informações, consulte gerenciar direitos.