Unity 目錄中的管理員權限

本文說明 Azure Databricks 帳戶管理員、工作區管理員和中繼存放區管理員管理 Unity 目錄的權限。

注意

如果您的工作區已自動啟用 Unity 目錄，則工作區管理員在已佈建工作區目錄的情況下，對所連接的中繼存放區和工作區目錄擁有預設權限。 請參閱自動為 Unity 目錄啟用工作區時的工作區管理員權限。

中繼存放區管理員

中繼存放區管理員是 Unity 目錄中選用但具有高度權限的使用者或群組。 根據預設，中繼存放區管理員在中繼存放區上具有下列權限：

• CREATE CATALOG：允許使用者在中繼存放區中建立目錄。

• CREATE CLEAN ROOM：允許使用者建立一個 乾淨的空間 ，以便與其他組織安全地共同作業專案，而不需共用基礎數據。

• CREATE CONNECTION：允許使用者在 Lakehouse 同盟案例中建立與外部資料庫的連線。

• CREATE EXTERNAL LOCATION：允許使用者建立外部位置。

• CREATE SERVICE CREDENTIAL：允許使用者 建立服務認證。

• CREATE STORAGE CREDENTIAL：允許使用者 建立儲存體認證。

• CREATE FOREIGN CATALOG：允許使用者在 Lakehouse 同盟案例中，使用與外部資料庫的連線建立外部目錄。

• CREATE SHARE：允許資料提供者使用者在差異共用中建立共用。

• CREATE RECIPIENT：允許資料提供者使用者在差異共用中建立收件者。

• CREATE PROVIDER：允許資料收件者使用者在差異共用中建立提供者。

• CREATE MATERIALIZED VIEW：允許使用者建立具體化檢視。

• MANAGE ALLOWLIST：允許使用者 更新管理 init 指令碼和程式庫之叢集存取的allowlist。

中繼存放區系統管理員也是中繼存放區的擁有者，其會授與他們下列權限：

• 管理中繼存放區內任何物件 (包括儲存體認證、外部位置、連線、共用、收件者和提供者) 的權限或轉移擁有權。

• 授與自己對中繼存放區中任何資料的讀取和寫入存取權。

  中繼存放區管理員透過能夠轉移所有物件的擁有權，間接擁有此功能。 預設沒有直接存取權。 授與權限是稽核記錄的。

• 讀取並更新中繼存放區中所有物件的中繼資料。

• 刪除中繼存放區。

中繼存放區系統管理員是唯一可以授與中繼存放區本身權限的使用者。

因為中繼存放區系統管理員是唯一擁有這些權限的使用者，因此如果您想要使用下列任何功能，您必須指派中繼存放區管理員：

• 在某人離開公司後，變更目錄的所有權。
• 管理和委派對 init 指令碼和 jar 允許清單的權限。
• 向非工作區管理員委派建立目錄的權限和其他最上層權限。
• 透過 Delta Sharing 接收共用資料。
• 移除預設工作區管理員權限。
• 如果中繼存放區沒有受控儲存體，則為其新增。 請參閱將受控儲存體新增至現有的中繼存放區。

誰具有初始中繼存放區管理員權限？

如果帳戶管理員手動建立中繼存放區，該帳戶管理員就是中繼存放區的初始擁有者和中繼存放區管理員。在 2023 年 11 月 9 日之前建立的所有中繼存放區都是由帳戶管理員手動建立。

如果中繼存放區已佈建為自動 Unity 目錄啟用的一部分，則會建立中繼存放區，而不需要中繼存放區管理員。在此情況下，工作區系統管理員會自動獲得權限，讓中繼存放區管理員成為選用。 如有需要，帳戶管理員可以將中繼存放區管理員角色指派給使用者、服務主體或群組。 強烈建議使用群組。 請參閱自動啟用 Unity 目錄。

指派中繼存放區管理員

中繼存放區管理員是高度特殊權限角色，您應該謹慎分配。 此為選用項目。

帳戶管理員可以指派中繼存放區管理員角色。 Databricks 建議將群組提名為中繼存放區管理員。如此一來，群組的任何成員都會自動成為中繼存放區管理員。

若要將中繼存放區管理員角色指派給群組：

1. 身為帳戶管理員，登入帳戶主機。
2. 按下 [目錄]。
3. 按下中繼存放區的名稱，以開啟其屬性。
4. 在 [中繼存放區管理員] 下，按下 [編輯]。
5. 從下拉式清單中選取群組。 您可以在欄位中輸入文字來搜尋選項。
6. 按一下 [檔案] 。

重要

中繼存放區管理員指派變更最多可能需要 30 秒的時間才會反映在您的帳戶中，而且在某些工作區中可能需要更長的時間才會生效。 此延遲是由於快取通訊協定所造成。

帳戶管理員

帳戶管理員是高度特殊權限角色，您應該謹慎分配。 帳戶管理員具有下列權限：

• 可以建立中繼存放區，而且預設會成為初始中繼存放區管理員。
• 可以將中繼存放區連結至工作區。
• 可以指派中繼存放區管理員角色。
• 可以授與中繼存放區的權限。
• 可以啟用中繼存放區的差異共用。
• 可以設定儲存體認證。
• 可以啟用系統資料表並委派其存取權。

若要建立您的第一個 Azure Databricks 帳戶管理員，請參閱建立您的第一個帳戶管理員。

工作區系統管理員

工作區管理員是高度特殊權限角色，您應該謹慎分配。 工作區管理員具有下列權限：

• 可將使用者、服務主體和群組新增至工作區。
• 可委派其他工作區管理員。
• 可管理工作所有權。 請參閱控制對作業的存取。
• 可以管理 [以其他身分執行] 的設定。 請參閱設定工作執行的身分識別。
• 可檢視和管理筆記本、儀表板、查詢和其他工作區物件。 請參閱存取控制清單。

帳戶管理員可以使用 RestrictWorkspaceAdmins 設定來限制工作區系統管理員權限。 請參閱限制工作區管理員。

自動為 Unity 目錄啟用工作區時的工作區管理員權限

如果您的工作區已自動啟用 Unity 目錄，系統會預設將其連結至中繼存放區。 如需了解更多資訊，請參閱自動啟用 Unity 目錄。

如果工作區已為 Unity 目錄自動啟用，則工作區管理員預設在附加的中繼存放區上具有下列權限：

• CREATE CATALOG

• CREATE CLEAN ROOM

• CREATE EXTERNAL LOCATION

• CREATE SERVICE CREDENTIAL

• CREATE STORAGE CREDENTIAL

• CREATE CONNECTION

• CREATE SHARE

• CREATE RECIPIENT

• CREATE PROVIDER

• CREATE MATERIALIZED VIEW

如果工作區目錄已針對工作區佈建，則工作區管理員是工作區目錄的預設擁有者。 擁有此目錄的所有權會授與下列權限：

• 管理工作區目錄內任何物件的權限或轉移權限。

  這包括授與管理員目錄中所有資料的讀取和寫入權限 (預設為無直接存取；授與權限會進行記錄稽核)。

• 轉移工作區目錄本身的所有權。

所有工作區使用者都會收到工作區目錄上的 USE CATALOG 權限。 工作區使用者也會收到目錄中 default 結構描述的 USE SCHEMA、CREATE TABLE、CREATE VOLUME、CREATE MODEL、CREATE FUNCTION 和 CREATE MATERIALIZED VIEW 權限。

注意

附加中繼存放區和工作區目錄上授與的預設權限不會在工作區之間維護 (例如，如果工作區目錄也會繫結至另一個工作區)。