Gerenciar direitos

Esta página descreve como gerenciar direitos para usuários, entidades de serviço e grupos.

Visão geral de direitos

Um direito é uma propriedade que permite que um usuário, uma entidade de serviço ou um grupo interaja com o Azure Databricks de uma forma especificada. Os direitos são atribuídos aos usuários no nível do workspace. Os direitos estão disponíveis apenas no plano Premium.

Direitos de acesso

Cada direito de acesso concede a um usuário acesso a um conjunto específico de recursos no workspace:

Acesso ao consumidor: concede acesso a um ambiente simplificado para exibir dashboards, Genie Spaces e Aplicativos do Databricks compartilhados com eles. Veja o que é o acesso do consumidor?.
Acesso ao SQL do Databricks: concede acesso aos recursos do Databricks SQL, incluindo painéis, consultas e sql warehouses. Veja Armazenamento de dados no Azure Databricks.
Acesso ao workspace: concede acesso aos principais recursos do workspace, como notebooks, trabalhos, modelos e pipelines. Consulte Engenharia de dados com o Databricks e Aprendizado de máquina no Azure Databricks.

A tabela a seguir mostra quais recursos são concedidos com cada direito de acesso:

Capacidade	Acesso ao consumidor	Acesso do Databricks SQL	Acesso ao workspace
Painéis compartilhados de leitura/execução, Genie Spaces e Aplicativos do Databricks	✓	✓	✓
Consultar os sql warehouses usando ferramentas de BI	✓	✓
Ler/Gravar objetos SQL do Databricks		✓
Ler/gravar objetos de Ciência de Dados & Engenharia			✓

Para acessar um workspace do Azure Databricks, um usuário deve ter pelo menos um direito de acesso.

Acesso do consumidor versus usuários da conta

A tabela anterior resume os direitos de acesso em um workspace. A tabela a seguir compara os recursos disponíveis aos usuários do workspace com Acesso do Consumidor aos usuários da conta que não têm associação ao workspace.

Capacidade	Acesso do consumidor a uma área de trabalho	Usuário da conta sem associação ao workspace
Exibir painéis usando permissões de dados compartilhadas	✓	✓
Exibir painéis usando credenciais do visualizador	✓	✓
Exibir espaços compartilhados do Genie e aplicativos do Databricks	✓
Exibir objetos usando segurança em nível de linha e coluna	✓	✓
Acessar dados do dashboard a partir de recursos de segurança associados ao workspace	✓
Acesso à interface de usuário limitada do espaço de trabalho do consumidor	✓
Consultar os sql warehouses usando ferramentas de BI	✓

Direitos de computação

Os direitos Permitir criação irrestrita de cluster e Permitir criação de pool controlam a capacidade de alocar recursos computacionais em um espaço de trabalho. Os administradores do workspace recebem esses direitos por padrão e não podem ser removidos. Usuários que não são administradores não recebem essas permissões, a menos que sejam atribuídas explicitamente.

Permitir a criação irrestrita de cluster concede aos usuários ou entidades de serviço permissão para criar clusters irrestritos.
Permitir criação de pool habilita a criação de pool de instâncias. Ele só pode ser concedido a grupos.

Essa permissão será exibida na interface de configurações administrativas somente se já estiver associada a um grupo. Você pode removê-lo usando a interface do usuário para qualquer grupo, exceto o admins grupo, em que ele não pode ser removido. Para atribuí-lo a um grupo, use a API. Consulte Gerenciar direitos usando a API.

Direitos padrão

Alguns direitos são concedidos automaticamente a usuários e grupos específicos:

Os administradores do workspace sempre recebem os seguintes direitos e não podem ser removidos:
- Acesso ao workspace
- Permitir a criação irrestrita de cluster
- Permitir a criação do pool
Os administradores também recebem acesso ao SQL do Databricks por padrão, mas ele pode ser removido. No entanto, como os administradores retêm permissões de gerenciamento de direitos, eles podem reatribuí-lo a si mesmos a qualquer momento.
Os usuários do workspace recebem acesso ao Workspace e acesso ao SQL do Databricks por padrão por meio de sua associação ao users grupo. Todos os usuários do workspace, assim como os principais de serviço, são adicionados automaticamente a esse grupo.

Os direitos padrão no grupo users afetam como você atribui ou restringe direitos. Para fornecer a experiência de acesso do consumidor , você deve remover os direitos padrão do users grupo (e do account users grupo, se aplicável) e atribuir direitos individualmente a usuários, entidades de serviço ou grupos específicos. Você pode usar o recurso Alterar acesso padrão do espaço de trabalho para acesso do consumidor para simplificar esse processo. Esse recurso usa a clonagem de grupo para preservar o acesso do usuário existente, alterando o padrão para novos usuários. Consulte Alterar o acesso padrão do workspace para acesso do consumidor.

Note

A partir de 15 de junho de 2026, o Databricks passará a adotar um novo comportamento no qual os direitos do workspace são concedidos explicitamente quando identidades são adicionadas a um workspace, e os grupos de sistema do workspace (users e admins) não carregam mais direitos atribuíveis. O users grupo não terá direitos e o admins grupo terá todos os direitos de workspace. Os direitos de ambos os grupos estão bloqueados. As permissões existentes em users são migradas automaticamente para um grupo de clones local ao workspace, para que as identidades mantenham seu acesso. O novo comportamento é habilitado automaticamente em 27 de julho de 2026 para espaços de trabalho que não tiverem optado por aderir ou não, e aplicado a todos os espaços de trabalho em 14 de setembro de 2026. Para obter mais informações, consulte Alteração de comportamento futura: escolha direitos ao adicionar entidades de segurança aos espaços de trabalho.

Gerenciar direitos usando a página de configurações de administrador do workspace

Os administradores do workspace podem gerenciar direitos para usuários, entidades de serviço e grupos usando a página de configurações de administrador do workspace.

Como administrador do workspace, faça logon no workspace do Azure Databricks.
Clique no nome de usuário na barra superior e selecione Configurações.
Clique na guia Identidade e acesso .
Dependendo do que você deseja gerenciar, clique em Gerenciar ao lado de Usuários, Entidades de Serviço ou Grupos.
Selecione o usuário, a entidade de serviço ou o grupo que você deseja atualizar.
Para usuários e grupos, clique na guia Direitos. Para entidades de serviço, as caixas de seleção de direitos são mostradas diretamente.
Para conceder um direito, selecione o botão de alternância ao lado do direito.

Para remover um direito, desmarque a alternância.

Se um direito for herdado de um grupo, a alternância aparecerá selecionada, mas estará acinzentada. Para remover um direito herdado:

Remova o usuário ou o principal de serviço do grupo que possui a permissão ou
remova o direito do próprio grupo.

A remoção de um direito de grupo afeta todos os membros desse grupo, a menos que sejam concedidos o direito individualmente ou por meio de outro grupo.

Gerenciar direitos usando a API

Você pode gerenciar direitos para usuários, entidades de serviço e grupos usando as seguintes APIs:

A tabela a seguir lista cada direito e seu nome de API correspondente:

Nome do direito	Nome da API de Direitos
Acesso ao consumidor	`workspace-consume`
Acesso ao workspace	`workspace-access`
Acesso do Databricks SQL	`databricks-sql-access`
Permitir a criação irrestrita de cluster	`allow-cluster-create`
Permitir a criação do pool	`allow-instance-pool-create`

Por exemplo, para atribuir o allow-instance-pool-create direito a um grupo usando a API:

curl --netrc -X PATCH \
https://<databricks-instance>/api/2.0/preview/scim/v2/Groups/<group-id> \
--header 'Content-type: application/scim+json' \
--data @update-group.json \
| jq .

update-group.json:

{
  "schemas": ["urn:ietf:params:scim:api:messages:2.0:PatchOp"],
  "Operations": [
    {
      "op": "add",
      "path": "entitlements",
      "value": [
        {
          "value": "allow-instance-pool-create"
        }
      ]
    }
  ]
}

Comentários

Esta página foi útil?

Last updated on 2026-06-01