管理访问砖自动化

本文描述了如何配置权限砖凭证。学习如何使用凭据进行身份验证数据砖,明白了身份验证数据砖自动化。

请注意

只有在砖自动化验证权限保费计划。

个人访问令牌的权限

工作空间管理员可以设置权限的个人访问令牌控制哪些用户,服务主体,组织可以创建和使用令牌。之前,您可以使用令牌访问控制、数据砖工作区管理必须使个人工作空间的访问令牌。看到启用或禁用个人工作空间的访问令牌验证。

一个工作区权限用户可以有以下标记:

没有权限:用户不能创建或使用个人访问令牌验证砖工作区。
可以使用:用户可以创建一个个人访问令牌和使用它来验证工作区。
可以管理(仅限工作区管理员):用户可以管理所有工作区允许用户个人访问令牌和使用它们。用户在工作区中管理员集团有一个默认权限,不能撤销。服务主体,没有其他用户或组可以授予许可。

此表列出了每个token-related任务所需的权限:

任务	可以使用	可以管理
创建一个令牌	x	x
使用令牌认证	x	x
撤销自己的令牌	x	x
撤销任何用户或服务主体的令牌		x
列出所有标记		x
修改标记的权限		x

管理令牌使用管理权限设置页面

令牌管理工作区使用管理的权限设置页面:

去管理员设置页面。
单击工作空间设置选项卡。
单击权限旁边的按钮个人访问令牌打开牌权限编辑器。
搜索并选择用户、服务主体或组,选择权限分配。
如果用户集团有可以使用允许你想更细粒度的访问申请非管理用户,删除可以使用的许可用户集团通过单击X旁边的许可下拉用户行。
点击+添加。
点击保存。

警告

保存更改后,此前的任何用户可以使用或可以管理权限,不再有权限拒绝进入个人访问令牌认证和其积极的令牌将会立即被删除(撤销)。删除令牌不能被检索。

令牌管理权限使用权限API

工作空间管理员可以管理令牌使用权限权限API。

如何验证权限API的信息,明白了身份验证数据砖自动化。

得到所有权限令牌工作区

获得令牌的权限为所有用户、组和服务主体在工作区中,调用获得令牌的权限API。(例如,得到/权限/授权/令牌中描述的那样权限API参考。)

响应包含一个access_control_list数组中。每个元素是一个用户对象,对象,或一个服务主体对象。他们每个人都有一个身份字段适当的类型:用户有一个user_name领域,集团有一个group_name有一个领域,服务主体service_principal_name字段。所有元素都有一个all_permissions字段指定许可水平(CAN_USE或CAN_MANAGE)是理所当然。

例如:

               curl - n - x得到“https:// < databricks-instance > / api / 2.0 /预览/权限/授权/令牌”
              

示例响应:

               {“object_id”:“授权/令牌”,“object_type”:“令牌”,“access_control_list”:({“user_name”:“jsmith@example.com”,“all_permissions”:({“permission_level”:“CAN_USE”,“继承”:假}]}]}
              

设置令牌的权限

设置令牌权限,调用令牌更新权限API(补丁/权限/授权/令牌)。

你可以在一个或多个用户,设置权限组,或服务主体。对于每个用户,您需要知道电子邮件地址,这是中指定user_name请求属性。对于每一组,指定的组名group_name财产。对于一个服务主体,指定服务主体applicationId的价值service_principal_name财产。

你只能授予不撤销权限,这个API。

例如,下面的例子向用户授予访问权限又该@例子。com和组mygroup。

               curl - n - x片“https:// < databricks-instance > / api / 2.0 /预览/权限/授权/令牌”\- d”{“access_control_list”:({“user_name”:“jsmith@example.com”,:“permission_level CAN_USE”,},{组:“group_name mygroup”,:“permission_level CAN_USE”,}]}'
              

示例响应:

               {“access_control_list”:({“user_name”:“jsmith@example.com”,“all_permissions”:({“permission_level”:“CAN_USE”,“继承”:假}]},{“group_name”:组“mygroup”,“all_permissions”:({“permission_level”:“CAN_USE”,“继承”:假}]}]}
              

如果你想设置权限令牌在工作区中所有成员在一个请求中,使用权限令牌替换所有工作区API(把/权限/授权/令牌)。

删除权限

从全部或部分撤销权限非管理用户,使用权限令牌替换所有工作区API(把/权限/授权/令牌),它要求您指定完整的权限为所有对象权限为整个工作区。

下面的例子赠款可以使用权限组field-automation-group,省略了权限用户(所有用户)组和资助可以管理许可的管理员集团所需的API。任何非管理用户组中没有field-support-engineers将失去访问令牌创建和他们现有的令牌将会立即被删除(撤销)。

               curl - n - x将“https:// < databricks-instance > / api / 2.0 /预览/权限/授权/令牌”\- d”{“access_control_list”:({:“group_name field-automation-group”,:“permission_level CAN_USE”,},{“group_name”:“管理员”,:“permission_level CAN_MANAGE”,},]}'
              

起程拓殖集成

你可以在一个完全自动化的管理令牌权限设置使用砖起程拓殖的提供者和databricks_permissions如下。

警告

以下配置包含声明授权=“令牌”。只能有一个授权=“令牌”权限资源/砖工作区,否则将会有一个永久配置漂移。应用以下更改后,用户之前CAN_USE或CAN_MANAGE权限但不再有权限访问个人访问令牌认证撤销。其积极的令牌将会立即被删除(撤销)。

              资源“databricks_group”“自动”{display_name =“自动化”}资源“databricks_group”“eng”{display_name =“工程”}资源“databricks_permissions”“token_usage”=“令牌”access_control {group_name ={授权databricks_group.auto。display_name permission_level = " CAN_USE "} access_control {group_name = databricks_group.eng。display_name permission_level = " CAN_USE "}}
             