群集访问控制

备注

访问控制仅在 Azure Databricks 高级计划中提供。

默认情况下,除非管理员启用群集访问控制,否则所有用户均可创建和修改群集。 使用群集访问控制,用户的操作能力取决于权限。 本文介绍权限。

Azure Databricks 管理员必须先为工作区启用群集访问控制,然后你才能使用该控制。 请参阅为工作区启用群集访问控制

权限的类型

你可以配置两种类型的群集权限:

  • “允许创建群集”权限控制你创建群集的能力。
  • 群集级别权限控制你使用和修改特定群集的能力。

启用了群集访问控制时:

  • 管理员可以对是否允许用户创建群集进行配置。
  • 任何具有群集的“可管理”权限的用户都可以对是否允许用户附加到该群集、重启该群集、重设该群集大小和管理该群集进行配置。

群集级别权限

群集权限级别有四个:“无权限”、“可附加到”、“可重启”和“可管理” 。 该表列出了每个权限赋予用户的能力。

重要

具有“可附加到”权限的用户可以在 log4j 文件中查看服务帐户密钥。 授予此权限级别时请务必小心。

能力 无权限 可附加到 可重启 可管理
将笔记本附加到群集 x x x
查看 Spark UI x x x
查看群集指标 x x x
查看驱动程序日志 x x x
终止群集 x x
启动群集 x x
重启群集 x x
编辑群集 x
将库附加到群集 x
调整群集大小 x
修改权限 x

备注

你对自己创建的任何群集都具有“可管理”权限。

配置群集级别权限

备注

此部分介绍如何使用 UI 来管理权限。 你还可以使用权限 API

群集访问控制必须已启用,并且你必须具有针对群集的“可管理”权限。

  1. 单击“群集”图标 “群集”图标 (在边栏中)。

  2. 单击要修改的群集的名称。

  3. 单击页面顶部的“权限”。

  4. 在“ 的权限设置”对话框中,你可以:

    • 从“添加用户和组”下拉列表中选择用户和组,并为其分配权限级别。
    • 使用用户或组名称旁边的下拉菜单,为已添加的用户和组更新群集权限。

    IndvClusterACLs

  5. 单击“Done”(完成) 。

示例:使用群集级别权限强制实施群集配置

群集访问控制的一个优点是可以强制实施群集配置,使用户无法更改它们。

例如,管理员可能希望强制实施的配置包括:

  • 用于成本退款的标记
  • 向 Azure Data Lake Storage 进行 Azure AD 凭据直通身份验证,以控制对数据的访问
  • 标准库

对于需要锁定群集配置的组织,Azure Databricks 建议使用以下工作流:

  1. 对所有用户禁用“允许创建群集”。

    “群集创建”复选框

  2. 创建你想要用户使用的所有群集配置后,请向需要访问给定群集的用户授予“可重启”权限。 这样一来,用户无需手动设置所有配置即可随意启动和停止群集。

    可重启