群集访问控制
本文介绍如何配置对群集的权限。
注意
访问控制仅在高级计划中提供。
群集访问控制概述
你可以配置两种类型的群集权限:
Allow unrestricted cluster creation
工作区权利控制创建群集的能力。工作区管理员向用户授予
Allow unrestricted cluster creation
群集权限控制你使用和修改特定群集的能力。
对群集具有“可管理”权限的用户可以配置群集权限。 工作区管理员对其工作区中的所有群集具有“可管理”权限。
配置群集创建权利
工作区管理员可以向用户、服务主体和组分配 Allow unrestricted cluster creation
权利。
以工作区管理员身份登录到 Azure Databricks 工作区。
单击 Azure Databricks 工作区顶部栏中的用户名,然后选择“管理员设置”。
单击“身份验证和访问控制”选项卡。
在“用户”或“组”旁边,单击“管理”。
转到“用户”或“组”选项卡。
选择要更新的用户、服务主体或组。
单击“权利”选项卡。
将“允许不受限制地创建群集”设置切换开关切换为开。
Databricks 建议从 users
组撤消 Allow unrestricted cluster creation
权利,并使用计算策略根据一组策略规则限制用户的计算创建权限。 有关详细信息,请参阅创建和管理计算策略。
群集权限
群集有四个权限级别:“无权限”、“可附加到”、“可重启”和“可管理”。 该表列出了每个权限赋予用户的能力。
重要
具有“可附加到”权限的用户可以在 log4j 文件中查看服务帐户密钥。 授予此权限级别时请务必小心。
能力 | 无权限 | 可附加到 | 可重启 | 可管理 |
---|---|---|---|---|
将笔记本附加到群集 | x | X | x | |
查看 Spark UI | x | X | x | |
查看群集指标 | x | X | x | |
查看驱动程序日志 | x (查看注释) | |||
终止群集 | x | x | ||
启动和重启群集 | x | x | ||
编辑群集 | x | |||
将库附加到群集 | x | |||
调整群集大小 | x | |||
修改权限 | x |
工作区管理员对其工作区中的所有群集具有“可管理”权限。 用户自动对其创建的群集拥有“可管理”权限。
注意
不会从群集的 Spark 驱动程序日志 stdout
和 stderr
流中修订机密。 为了保护敏感数据,默认情况下,只有由对作业、单用户访问模式和共享访问模式群集具有“CAN MANAGE”权限的用户才能查看 Spark 驱动程序日志。 若要允许具有“CAN ATTACH TO”或“CAN RESTART”权限的用户查看这些群集上的日志,请在群集配置中设置以下 Spark 配置属性:spark.databricks.acl.needAdminPermissionToViewLogs false
。
在“无隔离共享”访问模式群集上,具有“CAN ATTACH TO”或“CAN MANAGE”权限的用户可以查看 Spark 驱动程序日志。 若要限制只有具有“CAN MANAGE”权限的用户才能读取日志,请将 spark.databricks.acl.needAdminPermissionToViewLogs
设置为 true
。
请参阅 Spark 配置来了解如何将 Spark 属性添加到群集配置。
配置群集权限
此部分介绍如何使用工作区 UI 来管理权限。 还可以使用权限 API 或 Databricks Terraform 提供程序。
必须对群集具有“可管理”权限才能配置群集权限。
在边栏中,单击“计算”。
在群集的行上,单击右侧的串形菜单 ,然后选择“编辑权限”。
在“权限设置”中,单击“选择用户、组或服务主体...”下拉菜单,然后选择用户、组或服务主体。
从“权限”下拉菜单中选择权限。
依次点击“添加”、“保存”。