이 페이지에서는 사용자, 서비스 주체 및 그룹에 대한 자격을 관리하는 방법을 설명합니다.
권한 개요
권한은 사용자, 서비스 사용자 또는 그룹이 지정된 방식으로 Azure Databricks와 상호 작용할 수 있도록 하는 속성입니다. 자격은 작업 영역 수준에서 사용자에게 할당됩니다. 자격은 프리미엄 플랜에서만 사용할 수 있습니다.
액세스 권한
각 액세스 권한은 사용자에게 작업 영역의 특정 기능 집합에 대한 액세스 권한을 부여합니다.
- 소비자: 공유된 대시보드, 지니 공간 및 Databricks 앱을 보기 위한 간소화된 환경에 대한 액세스 권한을 부여합니다. 소비자 액세스란?을 참조하세요.
- Databricks SQL 액세스: 대시보드, 쿼리 및 SQL 웨어하우스를 포함하여 Databricks SQL 기능에 대한 액세스 권한을 부여합니다. 핵심 도구를 참조하세요.
- 작업 영역 액세스: 데이터 과학 및 Databricks Mosaic AI 영역에서 Notebook, 작업, 모델 및 파이프라인과 같은 핵심 작업 영역 기능에 대한 액세스 권한을 부여합니다. Databricks를 사용한 데이터 엔지니어링 및 Databricks에서 AI 및 머신 러닝을 참조하십시오.
아래 표에서는 각 액세스 권한으로 부여되는 기능을 보여줍니다.
| 역량 | 소비자 액세스 | Databricks SQL 액세스 | 작업 영역 액세스 |
|---|---|---|---|
| 공유 대시보드, 지니 공간 및 Databricks 앱 읽기/실행 | ✓ | ✓ | ✓ |
| BI 도구를 사용하여 SQL 웨어하우스 쿼리 | ✓ | ✓ | |
| Databricks SQL 개체 읽기/쓰기 | ✓ | ||
| 데이터 과학 및 엔지니어링 개체 읽기/쓰기 | ✓ | ||
| Databricks Mosaic AI 개체를 읽기/쓰기 | ✓ |
Azure Databricks 작업 영역에 액세스하려면 사용자에게 하나 이상의 액세스 권한이 있어야 합니다.
소비자 액세스 및 계정 사용자
이전 표에는 작업 영역의 액세스 권한이 요약되어 있습니다. 다음 표에서는 작업 영역 사용자가 소비자 액세스 권한과 함께 사용할 수 있는 기능을 작업 영역 멤버 자격이 없는 계정 사용자와 비교합니다.
| 역량 | 작업 영역에 대한 소비자 액세스 | 작업 영역 멤버 자격이 없는 계정 사용자 |
|---|---|---|
| 포함된 자격 증명을 사용하여 대시보드 보기 | ✓ | ✓ |
| 뷰어 자격 증명을 사용하여 대시보드 보기 | ✓ | |
| 공유 지니 공간 및 Databricks 앱 보기 | ✓ | |
| 행 및 열 수준 보안을 사용하여 개체 보기 | ✓ | |
| 제한된 소비자 작업 영역 UI에 대한 액세스 | ✓ | |
| BI 도구를 사용하여 SQL 웨어하우스 쿼리 | ✓ |
사용 권한 계산
무제한 클러스터 만들기 허용 및 풀 만들기 허용 권한은 작업 영역에서 컴퓨팅 리소스를 프로비전하는 기능을 제어합니다. 작업 영역 관리자는 기본적으로 이러한 자격을 받으며 제거할 수 없습니다. 관리자가 아닌 사용자는 명시적으로 할당되지 않으면 부여되지 않습니다.
무제한 클러스터 만들기를 허용 하면 사용자 또는 서비스 주체가 무제한 클러스터를 만들 수 있는 권한이 부여됩니다.
풀 만들기를 허용 하면 인스턴스 풀을 만들 수 있습니다. 그룹에만 부여할 수 있습니다.
이 자격은 그룹에 이미 있는 경우에만 관리자 설정 UI에 표시됩니다. 제거할 수 없는 그룹을 제외한
admins모든 그룹에 대해 UI를 사용하여 제거할 수 있습니다. 그룹에 할당하려면 API를 사용합니다. API를 사용하여 권한 관리를 참조하세요.
기본 자격
일부 자격은 특정 사용자 및 그룹에 자동으로 부여됩니다.
작업 영역 관리자는 항상 다음 자격이 부여되며 제거할 수 없습니다.
- 작업 영역 액세스
- 무제한 클러스터 만들기 허용
- 풀 만들기 허용
관리자는 기본적으로 Databricks SQL 액세스 권한을 부여하지만 제거할 수 있습니다. 그러나 관리자는 권한 관리 권한을 유지하므로 언제든지 자신에게 다시 할당할 수 있습니다.
작업 영역 사용자에게는 기본적으로 그룹의 멤버 자격을 통해 작업 영역 액세스 및
users부여됩니다. 모든 작업 영역 사용자 및 서비스 주체가 이 그룹에 자동으로 추가됩니다.그룹의 기본 자격은
users자격을 할당하거나 제한하는 방법에 영향을 줍니다. 소비자 액세스 환경을 제공하려면 그룹(및users해당되는 경우 그룹)에서account users기본 자격을 제거하고 특정 사용자, 서비스 주체 또는 그룹에 개별적으로 권한을 할당해야 합니다. 새 계정 그룹에 작업 영역 그룹 복제를 참조하세요.
작업 영역 관리자 설정 페이지를 사용하여 자격 관리
작업 영역 관리자는 작업 영역 관리자 설정 페이지를 사용하여 사용자, 서비스 주체 및 그룹에 대한 자격을 관리할 수 있습니다.
- 작업 영역 관리자로 Azure Databricks 작업 영역에 로그인합니다.
- 위쪽 표시줄에서 사용자 이름을 클릭하고 설정을 선택합니다.
- ID 및 액세스 탭을 클릭합니다.
- 관리하려는 항목에 따라 사용자, 서비스 주체 또는 그룹 옆에 있는 관리를 클릭합니다.
- 업데이트하려는 사용자, 서비스 주체 또는 그룹을 선택합니다.
- 사용자 및 그룹의 경우 권한 탭을 클릭합니다. 서비스 주체의 경우 권한 확인란이 직접 표시됩니다.
- 권한을 부여하려면 자격 옆에 있는 토글을 선택합니다.
자격을 제거하려면 토글을 선택 취소합니다.
자격이 그룹에서 상속되면 토글이 선택된 것처럼 보이지만 회색으로 표시됩니다. 상속된 자격을 제거하려면 다음 중 하나를 수행합니다.
- 자격이 있는 그룹에서 사용자 또는 서비스 주체를 제거하거나
- 그룹 자체에서 자격을 삭제합니다.
그룹 자격을 제거하면 개별적으로 또는 다른 그룹을 통해 자격이 부여되지 않는 한 해당 그룹의 모든 구성원에게 영향을 줍니다.
API를 사용하여 자격 관리
다음 API를 사용하여 사용자, 서비스 주체 및 그룹에 대한 자격을 관리할 수 있습니다.
아래 표에는 각 자격 및 해당 API 이름이 나열되어 있습니다.
| 권한 이름 | 권한 API 이름 |
|---|---|
| 작업 영역 액세스 | workspace-access |
| Databricks SQL 액세스 | databricks-sql-access |
| 무제한 클러스터 만들기 허용 | allow-cluster-create |
| 풀 만들기 허용 | allow-instance-pool-create |
예를 들어 API를 allow-instance-pool-create 사용하여 그룹에 권한을 할당하려면 다음을 수행합니다.
curl --netrc -X PATCH \
https://<databricks-instance>/api/2.0/preview/scim/v2/Groups/<group-id> \
--header 'Content-type: application/scim+json' \
--data @update-group.json \
| jq .
update-group.json:
{
"schemas": ["urn:ietf:params:scim:api:messages:2.0:PatchOp"],
"Operations": [
{
"op": "add",
"path": "entitlements",
"value": [
{
"value": "allow-instance-pool-create"
}
]
}
]
}