Irányítópult felügyeleti útmutatója
Ez a cikk az AI/BI-irányítópultokra alkalmazható rendszergazdai vezérlőket ismerteti a fiók és a munkaterület szintjén.
Irányítópult megosztása
A beágyazott hitelesítő adatokkal rendelkező közzétett irányítópultok biztonságosan megoszthatók a fiókjában lévő felhasználókkal és csoportokkal, még akkor is, ha a felhasználók nem férnek hozzá az eredeti munkaterülethez. A felhasználóknak regisztrálva kell lenniük az Azure Databricks-fiókban, de nincs szükségük további erőforrásokhoz való hozzáférésre vagy munkaterülethez való hozzáadásra.
A közzétett irányítópultokról és a beágyazott hitelesítő adatokról további információt Irányítópult közzététele című témakörben talál.
Hálózati szempontok
Ha az IP-hozzáférési listák konfigurálva vannak, az irányítópultok csak akkor érhetők el, ha a felhasználók a jóváhagyott IP-tartományon belülről érik el őket, például VPN használata esetén. Ez az összes felhasználóra vonatkozik, függetlenül attól, hogy egy munkaterülethez vannak-e rendelve. A hozzáférés konfigurálásáról további információt az IP-hozzáférési listák kezelése című témakörben talál.
Felhasználó- és csoportkezelés irányítópult-megosztáshoz
Az Azure Databricksben regisztrált összes felhasználó az Azure Databricks-fiókjához tartozik. Ha egy felhasználót regisztrál egy Azure Databricks-fiókban, az egy ellenőrizhető identitást hoz létre, amelyet az Azure Databricks használhat hitelesítéshez, amikor a felhasználó megtekint egy megosztott irányítópultot. Az egyes felhasználók csoportokba rendezése egyszerűbbé teheti a megosztást az irányítópult-szerzők és -szerkesztők számára. A szerzők megoszthatnak például egyetlen, elnevezett csoportot a fiók minden felhasználójával való megosztás helyett.
A felhasználók a (Nyilvános előzetes verzióban elérhető) automatikus identitáskezelés használatával megoszthatják az irányítópultokat a Microsoft Entra ID bármely felhasználójával, szolgáltatásfőszereplőjével vagy csoportjával. Ezeket a felhasználókat a rendszer bejelentkezéskor automatikusan hozzáadja az Azure Databricks-fiókhoz. Nem lesznek hozzáadva ahhoz a munkaterülethez, amelyben az irányítópult található. További információ: Felhasználók és csoportok automatikus szinkronizálása a Microsoft Entra-azonosítóból.
Az irányítópultokat a munkaterület tagjai hozzák létre Databricks SQL-hozzáférési jogosultsággal. A felhasználók és csoportok nulla, egy vagy több munkaterülethez férhetnek hozzá. A munkaterület felhasználói többek között engedélyt kaphatnak a számítási erőforrások elérésére, így többek között irányítópultokat hozhatnak létre és dolgozhatnak együtt.
Az irányítópultok megosztásakor a szerzők felhasználókat és csoportokat adhatnak hozzá egy hozzáféréssel rendelkező emberek listához, hogy hozzárendeljék a megfelelő engedélyeket, ugyanúgy, mint más munkaterületi objektumoknál. Emellett a megosztási beállításokat az alábbi lehetőségek egyikével konfigurálhatják:
- Csak a hozzáféréssel rendelkező személyek tekinthetik meg
- A fiókomban bárki megtekintheti
Ha egy irányítópult beágyazott hitelesítő adatokkal van közzétéve, és meg van osztva egy adott felhasználóval, csoporttal vagy a fiók összes felhasználójával, ezek a felhasználók hozzáférhetnek, függetlenül attól, hogy hozzáféréssel rendelkeznek-e az eredeti munkaterülethez.
Az alábbi képen a felhasználók és csoportok közötti kapcsolat látható a munkaterület és a fiók szintjén.
A fiókregisztráción túl nincs szükség további konfigurációra. A felhasználókat nem kell munkaterülethez rendelni, és nem kell hozzáférést biztosítani a számítási erőforrásokhoz.
Irányítópult beágyazásának kezelése
A beágyazással a legalább CAN EDIT engedélyekkel rendelkező irányítópult-felhasználók létrehozhatnak iframe beágyazási kódot a Megosztás párbeszédpanelen. A munkaterület rendszergazdái kezelhetik, hogy mely tartományok legyenek jóváhagyva beágyazott irányítópultok üzemeltetéséhez.
Ha olyan szabályzatot szeretne beállítani, amely meghatározza azokat a tartományokat, amelyekbe az irányítópultok beágyazhatók, tegye a következőket:
Kattintson a felhasználónevére az Azure Databricks-munkaterület felső sávjában, és válassza a Beállításoklehetőséget.
Kattintson a Biztonság gombra.
Görgessen le a Külső hozzáférés szakaszhoz.
Az Irányítópultok beágyazása szakaszban állítsa be a munkaterület szabályzatát a legördülő menüben.
Három házirend-beállítás létezik:
- Engedélyezés: Az irányítópultok bármely tartományba beágyazhatók.
- Jóváhagyott tartományok engedélyezése: Az irányítópultok csak a jóváhagyott listának megfelelő webhelyekbe ágyazhatók.
- Tiltás: Az irányítópultok nem ágyazhatók be bármely tartományba.
Ha a Jóváhagyott tartományok engedélyezéselehetőséget választja, a következő lépésekkel kezelheti a jóváhagyott tartományok listáját:
- Kattintson a Kezelés gombra az Irányítópultok beágyazása mellett.
- Írjon be egy tartományt a Jóváhagyott tartomány párbeszédpanel szövegmezőbe. Kattintson a Tartomány hozzáadása elemre minden bejegyzés után.
- Kattintson a Mentés gombra.
Tippek jóváhagyott tartományok és útvonalak meghatározásához
Az engedélyezett gazdagépek megadásához használja a W3C tartalombiztonsági szabályzatának dokumentációjában. Az ebben a szakaszban szereplő példák néhány gyakori mintát szemléltetnek.
Altartományok engedélyezése
Ha engedélyezni szeretné egy adott tartomány összes altartományát, használjon helyettesítő karaktert (*
) a tartománynév előtt. Az alábbi példák *.databricks.com
használnak mintatartományként.
-
Egyezések: Bármely altartomány
some.databricks.com
app.databricks.com
anything.databricks.com
-
Nem egyezik: bármi, ami más domainhez tartozik.
another-databricks.com
app-databricks.com
Adott URL-elérési utak engedélyezése
Az alap URL-cím alatt lévő összes lap engedélyezéséhez használjon záró perjelet (/
) a gyökérkönyvtár jelölésére. Az alkönyvtárak és a további elérési utak megegyeznek.
Az alábbi példák a sites.google.com/some/path/
mintaként megadott elérési utat használják.
-
Találatok:
sites.google.com/some/path/to/my/dashboard
éssites.google.com/some/path/any-page
. -
Nem egyezik:
-
sites.google.com/some/path
. Ez a példa nem tartalmaz záró perjelet, és egy másik URL-címet is. -
sites.google.com/some/other/path/to/my/dashboard
. Ez a példa nem ugyanazzal az alapútvonalval rendelkezik.
-
Jegyzet
A záró perjel nélküli URL-címek pontos egyezésként lesznek kezelve, és nem tartalmaznak segédpátokat.
Munkaterület-rendszergazdai előfizetés-vezérlők
A munkaterület rendszergazdái megakadályozhatják, hogy a felhasználók előfizetések használatával osszanak ki irányítópultokat. A beállítás módosítása megakadályozza, hogy minden felhasználó e-mail-előfizetőket adjon hozzá az ütemezett irányítópultokhoz. Az irányítópult-szerkesztők nem adhatnak hozzá előfizetőket, és az irányítópult-megtekintőknek nincs lehetőségük arra, hogy feliratkozzanak egy ütemezett irányítópultra.
Az e-mailek megosztásának megakadályozása:
- Kattintson a felhasználónevére az Azure Databricks-munkaterület felső sávjában, és válassza a Beállításoklehetőséget.
- A Beállítások oldalsávon kattintson az Értesítések gombra.
- Kapcsolja ki az irányítópult e-mail-előfizetéseinek engedélyezése lehetőséget.
Ha ez a beállítás ki van kapcsolva, a meglévő előfizetések szüneteltetve lesznek, és senki sem módosíthatja a meglévő előfizetési listákat. Ha ez a beállítás vissza van kapcsolva, az előfizetések a meglévő listával folytatódnak.
Munkaterület-rendszergazda letöltési vezérlői
A munkaterület rendszergazdái az alábbi lépésekkel módosíthatják a biztonsági beállításokat, hogy a felhasználók ne töltsék le az eredményeket:
- Kattintson a felhasználónevére az Azure Databricks-munkaterület felső sávjában, és válassza a Beállításoklehetőséget.
- A Beállítások oldalsávon kattintson a Biztonság gombra.
- Kapcsolja ki az SQL-eredmények letöltési lehetőségét.
Irányítópult tulajdonjogának átadása
A munkaterület rendszergazdái átvihetik egy irányítópult tulajdonjogát egy másik felhasználónak.
- Lépjen az irányítópultok listájára. Kattintson egy irányítópult nevére a szerkesztéshez.
- Kattintson a Megosztás lehetőségre.
- Kattintson a
Megosztás párbeszédpanel jobb felső sarkában található ikonra.
- Kezdje el beírni a felhasználónevet a kereséshez és az új tulajdonos kiválasztásához.
- Kattintson a Megerősítés gombra.
Az új tulajdonos megjelenik a Megosztás párbeszédpanelen, amelyen az engedélyek kezelhetők. A tulajdonos által felsorolt irányítópultok megtekintéséhez lépjen az elérhető irányítópultok listájára az Irányítópultokelemre kattintva.
Irányítópult-tevékenység figyelése
A rendszergazdák naplók használatával figyelhetik az irányítópultokon végzett tevékenységeket. Lásd AI/BI-irányítópult eseményeit. A piszkozatokkal, közzétettekkel és beágyazott irányítópultokkal kapcsolatos gyakori kérdések megválaszolásához az auditnaplók adataihoz való hozzáférést bemutató kód példákért tekintse meg az irányítópultok használatának naplózási naplókkal való monitorozását ismertető témakört.