通过

管理权利

本页介绍如何管理用户、服务主体和组的权利。

权利概述

权利是允许用户、服务主体或组以指定方式与 Azure Databricks 交互的属性。 权利是在工作区级别分配给用户的。 权利仅在高级计划中提供。

访问权利

能力 使用者访问权限 Databricks SQL 访问权限 工作区访问权限
读取/运行仪表板和 Genie 空间
使用 BI 工具查询 SQL 仓库
读取/写入 Databricks SQL 对象
读取/写入数据科学和工程对象
读取和写入 Databricks Mosaic AI 对象

默认情况下,这些 usersadmins 组被授予 工作区访问权限Databricks SQL 访问 权利。 所有工作区用户和服务主体都是此组的成员。 若要提供 使用者访问 体验,该 users 组必须只有 使用者访问 权利,或者没有权利。 这需要从组(以及组,如果适用)中删除usersaccount users,并将其分别分配给特定用户、服务主体或组。

若要访问 Azure Databricks 工作区,用户必须至少具有一个访问权利。

使用者访问与帐户用户

上表汇总了工作区中的访问权利。 下表比较了拥有消费者访问权限的工作区用户与没有工作区成员资格的帐户用户的功能。

能力 使用者对工作区的访问权限 没有工作区成员身份的帐户用户
使用嵌入式凭据查看仪表板
使用查看器凭据查看仪表板和 Genie 空间
使用行级和列级安全性查看数据对象
对受限使用者工作区 UI 的访问
使用 BI 工具查询 SQL 仓库

计算权益

允许不受限制的群集创建允许池创建权利控制在工作区中预配计算资源的能力。

  • 允许不受限制的群集创建 授予用户或服务主体创建不受限制的群集的权限。

  • 允许创建池 允许组的成员创建实例池。

默认情况下不会授予这些权利,并且不能从工作区管理员中删除。 不能使用管理员设置页授予allow-instance-pool-create权利。 请改用工作区用户、服务主体或组 API。

管理用户的权利

工作区管理员可以使用工作区管理员设置页来添加或删除用户的权利。 此外,还可以使用工作区用户 API

  1. 以工作区管理员身份登录到 Azure Databricks 工作区。
  2. 单击 Azure Databricks 工作区顶部栏中的用户名,然后选择“设置”
  3. 单击“标识和访问”选项卡。
  4. 在“用户”旁单击“管理”。
  5. 选择用户。
  6. 单击“权利”选项卡。
  7. 若要添加权利,请选择相应列中的切换开关。

注释

默认情况下,该 users 组被授予 工作区访问权限Databricks SQL 访问 权利,并且所有工作区用户和服务主体都是此组的成员。 由于使用者访问权利更具限制性,因此自行授予它需要从组中删除工作区访问权限users权利。 然后,必须单独向用户、服务主体或组分配权利。 请查看将工作区组克隆到新帐户组一文。

若要移除权利,请执行相同的步骤,但改为取消选择切换开关。

如果一项权利是从组继承,则权利切换开关会处于选中状态,但灰显。若要删除继承的权利,可以从拥有权利的组中删除用户,或从组中删除权利。

管理服务主体的权利

工作区管理员可以使用工作区管理员设置页添加或移除服务主体的权利。 还可以使用工作区服务主体 API

  1. 以工作区管理员身份登录到 Azure Databricks 工作区。
  2. 单击 Azure Databricks 工作区顶部栏中的用户名,然后选择“设置”
  3. 单击“标识和访问”选项卡。
  4. 单击“服务主体”旁的“管理”。
  5. 选择要更新的服务主体。
  6. 若要添加权利,请在“权利”下选中相应的复选框。

若要删除权利,请执行相同的步骤,但改为清除该复选框。

如果一项权利是从组继承,则权利切换开关会处于选中状态,但灰显。要移除继承的权利,可以从拥有权利的组中移除服务主体,或从组中移除权利。

管理组的权利

工作区管理员可以在工作区级管理组权利,无论该组是在帐户中创建的,还是位于工作区本地级别。

  1. 以工作区管理员身份登录到 Azure Databricks 工作区。
  2. 单击 Azure Databricks 工作区顶部栏中的用户名,然后选择“设置”
  3. 单击“标识和访问”选项卡。
  4. 在“组”旁边,单击“管理”
  5. 选择要更新的组。 必须具有组管理员角色才能更新组。
  6. 在“权利”选项卡上,选择要向组中的所有用户授予的权利。

若要移除权利,请执行相同的步骤,但改为取消选择切换开关。 组成员将失去权利,除非他们具有作为单个用户或通过其他组成员身份获得的权限。