管理訪問磚自動化
本文描述了如何配置權限磚憑證。學習如何使用憑據進行身份驗證數據磚,明白了身份驗證數據磚自動化。
請注意
隻有在磚自動化驗證權限保費計劃。
個人訪問令牌的權限
工作空間管理員可以設置權限的個人訪問令牌控製哪些用戶,服務主體,組織可以創建和使用令牌。之前,您可以使用令牌訪問控製、數據磚工作區管理必須使個人工作空間的訪問令牌。看到啟用或禁用個人工作空間的訪問令牌驗證。
一個工作區權限用戶可以有以下標記:
沒有權限:用戶不能創建或使用個人訪問令牌驗證磚工作區。
可以使用:用戶可以創建一個個人訪問令牌和使用它來驗證工作區。
可以管理(僅限工作區管理員):用戶可以管理所有工作區允許用戶個人訪問令牌和使用它們。用戶在工作區中
管理員集團有一個默認權限,不能撤銷。服務主體,沒有其他用戶或組可以授予許可。
此表列出了每個token-related任務所需的權限:
任務 |
沒有權限 |
可以使用 |
可以管理 |
|---|---|---|---|
創建一個令牌 |
x |
x |
|
使用令牌認證 |
x |
x |
|
撤銷自己的令牌 |
x |
x |
|
撤銷任何用戶或服務主體的令牌 |
x |
||
列出所有標記 |
x |
||
修改標記的權限 |
x |
管理令牌使用管理權限設置頁麵
令牌管理工作區使用管理的權限設置頁麵:
去管理員設置頁麵。
單擊工作空間設置選項卡。
單擊權限旁邊的按鈕個人訪問令牌打開牌權限編輯器。
搜索並選擇用戶、服務主體或組,選擇權限分配。
如果
用戶集團有可以使用允許你想更細粒度的訪問申請非管理用戶,刪除可以使用的許可用戶集團通過單擊X旁邊的許可下拉用戶行。點擊+添加。
點擊保存。
警告
保存更改後,此前的任何用戶
可以使用或可以管理權限,不再有權限拒絕進入個人訪問令牌認證和其積極的令牌將會立即被刪除(撤銷)。刪除令牌不能被檢索。
令牌管理權限使用權限API
工作空間管理員可以管理令牌使用權限權限API。
如何驗證權限API的信息,明白了身份驗證數據磚自動化。
得到所有權限令牌工作區
獲得令牌的權限為所有用戶、組和服務主體在工作區中,調用獲得令牌的權限API。(例如,得到/權限/授權/令牌中描述的那樣權限API參考。)
響應包含一個access_control_list數組中。每個元素是一個用戶對象,對象,或一個服務主體對象。他們每個人都有一個身份字段適當的類型:用戶有一個user_name領域,集團有一個group_name有一個領域,服務主體service_principal_name字段。所有元素都有一個all_permissions字段指定許可水平(CAN_USE或CAN_MANAGE)是理所當然。
例如:
curl - n - x得到“https:// < databricks-instance > / api / 2.0 /預覽/權限/授權/令牌”
示例響應:
{“object_id”:“授權/令牌”,“object_type”:“令牌”,“access_control_list”:({“user_name”:“jsmith@example.com”,“all_permissions”:({“permission_level”:“CAN_USE”,“繼承”:假}]}]}
設置令牌的權限
設置令牌權限,調用令牌更新權限API(補丁/權限/授權/令牌)。
你可以在一個或多個用戶,設置權限組,或服務主體。對於每個用戶,您需要知道電子郵件地址,這是中指定user_name請求屬性。對於每一組,指定的組名group_name財產。對於一個服務主體,指定服務主體applicationId的價值service_principal_name財產。
你隻能授予不撤銷權限,這個API。
例如,下麵的例子向用戶授予訪問權限又該@例子。com和組mygroup。
curl - n - x片“https:// < databricks-instance > / api / 2.0 /預覽/權限/授權/令牌”\- d”{“access_control_list”:({“user_name”:“jsmith@example.com”,:“permission_level CAN_USE”,},{組:“group_name mygroup”,:“permission_level CAN_USE”,}]}'
示例響應:
{“access_control_list”:({“user_name”:“jsmith@example.com”,“all_permissions”:({“permission_level”:“CAN_USE”,“繼承”:假}]},{“group_name”:組“mygroup”,“all_permissions”:({“permission_level”:“CAN_USE”,“繼承”:假}]}]}
如果你想設置權限令牌在工作區中所有成員在一個請求中,使用權限令牌替換所有工作區API(把/權限/授權/令牌)。
刪除權限
從全部或部分撤銷權限非管理用戶,使用權限令牌替換所有工作區API(把/權限/授權/令牌),它要求您指定完整的權限為所有對象權限為整個工作區。
下麵的例子贈款可以使用權限組field-automation-group,省略了權限用戶(所有用戶)組和資助可以管理許可的管理員集團所需的API。任何非管理用戶組中沒有field-support-engineers將失去訪問令牌創建和他們現有的令牌將會立即被刪除(撤銷)。
curl - n - x將“https:// < databricks-instance > / api / 2.0 /預覽/權限/授權/令牌”\- d”{“access_control_list”:({:“group_name field-automation-group”,:“permission_level CAN_USE”,},{“group_name”:“管理員”,:“permission_level CAN_MANAGE”,},]}'
起程拓殖集成
你可以在一個完全自動化的管理令牌權限設置使用磚起程拓殖的提供者和databricks_permissions如下。
警告
以下配置包含聲明授權=“令牌”。隻能有一個授權=“令牌”權限資源/磚工作區,否則將會有一個永久配置漂移。應用以下更改後,用戶之前CAN_USE或CAN_MANAGE權限但不再有權限訪問個人訪問令牌認證撤銷。其積極的令牌將會立即被刪除(撤銷)。
資源“databricks_group”“自動”{display_name =“自動化”}資源“databricks_group”“eng”{display_name =“工程”}資源“databricks_permissions”“token_usage”=“令牌”access_control {group_name ={授權databricks_group.auto。display_name permission_level = " CAN_USE "} access_control {group_name = databricks_group.eng。display_name permission_level = " CAN_USE "}}