管理权利

本文介绍如何管理用户、服务主体和组的权利。

注意

权利仅在高级计划中提供。

权利概述

权利是允许用户、服务主体或组以指定方式与 Azure Databricks 交互的属性。 权利是在工作区级别分配给用户的。 下表列出了各项权利以及用于管理每项权利的工作区 UI 和 API 属性名称。 可以使用工作区管理员设置页和工作区用户、服务主体和组 API 来管理权利。

权利名称 权利 API 名称 默认值 说明
工作区访问权限 workspace-access 默认授予。 向用户或服务主体授予权限后,他们可以访问数据科学与工程,以及 Databricks Mosaic AI 基于角色的环境。

不能由工作区管理员移除。
Databricks SQL 访问权限 databricks-sql-access 默认授予。 向用户或服务主体授予后,该用户或服务主体即可访问 Databricks SQL。
允许创建无限制的群集 allow-cluster-create 默认不向用户或服务主体授予。 向用户或服务主体授权后,该用户或服务主体即可创建非受限群集。 你可以使用群集级权限限制对现有群集的访问。

不能从工作区管理员中移除。
允许创建池(不能通过 UI) allow-instance-pool-create 不能单独向各用户或服务主体授予。 向组授予后,该组成员即可创建实例池。

不能从工作区管理员中移除。

默认情况下,系统会向users组授予“工作区访问权限”和“Databricks SQL 访问权限”权利。 所有工作区用户和服务主体都是users组的成员。 若要按用户逐个分配这些权利,工作区管理员需要从users组中移除权限,并将权限单独分配给用户、服务主体和组。

要登录并访问 Azure Databricks 工作区,用户必须具有 Databricks SQL 访问权限工作区访问权限权利。

不能使用管理员设置页授予allow-instance-pool-create权利。 请改用工作区用户、服务主体或组 API。

管理用户的权利

工作区管理员可以使用工作区管理员设置页来添加或删除用户的权利。 此外,还可以使用工作区用户 API

  1. 以工作区管理员身份登录到 Azure Databricks 工作区。
  2. 单击 Azure Databricks 工作区顶部栏中的用户名,然后选择“设置”
  3. 单击“标识和访问”选项卡。
  4. 在“用户”旁单击“管理”。
  5. 选择用户。
  6. 单击“权利”选项卡。
  7. 若要添加权利,请选择相应列中的切换开关。

若要移除权利,请执行相同的步骤,但改为取消选择切换开关。

如果一项权利是从组继承,则权利切换开关会处于选中状态,但灰显。若要删除继承的权利,可以从拥有权利的组中删除用户,或从组中删除权利。

管理服务主体的权利

工作区管理员可以使用工作区管理员设置页添加或移除服务主体的权利。 还可以使用工作区服务主体 API

  1. 以工作区管理员身份登录到 Azure Databricks 工作区。
  2. 单击 Azure Databricks 工作区顶部栏中的用户名,然后选择“设置”
  3. 单击“身份验证和访问控制”选项卡。
  4. 单击“服务主体”旁的“管理”。
  5. 选择要更新的服务主体。
  6. 若要添加权利,请在“权利”下选中相应的复选框。

若要删除权利,请执行相同的步骤,但改为清除该复选框。

如果一项权利是从组继承,则权利切换开关会处于选中状态,但灰显。要移除继承的权利,可以从拥有权利的组中移除服务主体,或从组中移除权利。

管理组的权利

工作区管理员可以在工作区级管理组权利,无论该组是在帐户中创建的,还是位于工作区本地级别。

  1. 以工作区管理员身份登录到 Azure Databricks 工作区。
  2. 单击 Azure Databricks 工作区顶部栏中的用户名,然后选择“设置”
  3. 单击“标识和访问”选项卡
  4. 在“组”旁边,单击“管理”
  5. 选择要更新的组。 必须具有组管理员角色才能更新组。
  6. 在“权利”选项卡上,选择要向组中的所有用户授予的权利。

若要移除权利,请执行相同的步骤,但改为取消选择切换开关。 组成员将失去权利,除非他们具有作为单个用户或通过其他组成员身份获得的权限。