共用方式為


Unity 目錄中的管理員權限

本文說明 Azure Databricks 帳戶管理員、工作區管理員和中繼存放區管理員管理 Unity 目錄的權限。

注意

如果您的工作區已自動啟用 Unity 目錄,則工作區管理員在已佈建工作區目錄的情況下,對所連接的中繼存放區和工作區目錄擁有預設權限。 請參閱自動為 Unity 目錄啟用工作區時的工作區管理員權限

中繼存放區管理員

中繼存放區管理員是 Unity 目錄中選用但具有高度權限的使用者或群組。 根據預設,中繼存放區管理員在中繼存放區上具有下列權限:

中繼存放區系統管理員也是中繼存放區的擁有者,其會授與他們下列權限:

  • 管理中繼存放區內任何物件 (包括儲存體認證、外部位置、連線、共用、收件者和提供者) 的權限或轉移擁有權。

  • 授與自己對中繼存放區中任何資料的讀取和寫入存取權。

    中繼存放區管理員透過能夠轉移所有物件的擁有權,間接擁有此功能。 預設沒有直接存取權。 授與權限是稽核記錄的。

  • 讀取並更新中繼存放區中所有物件的中繼資料。

  • 刪除中繼存放區。

中繼存放區系統管理員是唯一可以授與中繼存放區本身權限的使用者。

因為中繼存放區系統管理員是唯一擁有這些權限的使用者,因此如果您想要使用下列任何功能,您必須指派中繼存放區管理員:

誰具有初始中繼存放區管理員權限?

如果帳戶管理員手動建立中繼存放區,該帳戶管理員就是中繼存放區的初始擁有者和中繼存放區管理員。在 2023 年 11 月 9 日之前建立的所有中繼存放區都是由帳戶管理員手動建立。

如果中繼存放區已佈建為自動 Unity 目錄啟用的一部分,則會建立中繼存放區,而不需要中繼存放區管理員。在此情況下,工作區系統管理員會自動獲得權限,讓中繼存放區管理員成為選用。 如有需要,帳戶管理員可以將中繼存放區管理員角色指派給使用者、服務主體或群組。 強烈建議使用群組。 請參閱自動啟用 Unity 目錄

指派中繼存放區管理員

中繼存放區管理員是高度特殊權限角色,您應該謹慎分配。 此為選用項目。

帳戶管理員可以指派中繼存放區管理員角色。 Databricks 建議將群組提名為中繼存放區管理員。如此一來,群組的任何成員都會自動成為中繼存放區管理員。

若要將中繼存放區管理員角色指派給群組:

  1. 身為帳戶管理員,登入帳戶主機
  2. 按下 目錄圖示 [目錄]
  3. 按下中繼存放區的名稱,以開啟其屬性。
  4. 在 [中繼存放區管理員] 下,按下 [編輯]
  5. 從下拉式清單中選取群組。 您可以在欄位中輸入文字來搜尋選項。
  6. 按一下 [檔案] 。

重要

中繼存放區管理員指派變更最多可能需要 30 秒的時間才會反映在您的帳戶中,而且在某些工作區中可能需要更長的時間才會生效。 此延遲是由於快取通訊協定所造成。

帳戶管理員

帳戶管理員是高度特殊權限角色,您應該謹慎分配。 帳戶管理員具有下列權限:

  • 可以建立中繼存放區,而且預設會成為初始中繼存放區管理員。
  • 可以將中繼存放區連結至工作區。
  • 可以指派中繼存放區管理員角色。
  • 可以授與中繼存放區的權限。
  • 可以啟用中繼存放區的差異共用。
  • 可以設定儲存體認證。
  • 可以啟用系統資料表並委派其存取權。

若要建立您的第一個 Azure Databricks 帳戶管理員,請參閱建立您的第一個帳戶管理員

工作區系統管理員

工作區管理員是高度特殊權限角色,您應該謹慎分配。 工作區管理員具有下列權限:

帳戶管理員可以使用 RestrictWorkspaceAdmins 設定來限制工作區系統管理員權限。 請參閱限制工作區管理員

自動為 Unity 目錄啟用工作區時的工作區管理員權限

如果您的工作區已自動啟用 Unity 目錄,系統會預設將其連結至中繼存放區。 如需了解更多資訊,請參閱自動啟用 Unity 目錄

如果工作區已為 Unity 目錄自動啟用,則工作區管理員預設在附加的中繼存放區上具有下列權限:

  • CREATE CATALOG

  • CREATE CLEAN ROOM

  • CREATE EXTERNAL LOCATION

  • CREATE SERVICE CREDENTIAL

  • CREATE STORAGE CREDENTIAL

  • CREATE CONNECTION

  • CREATE SHARE

  • CREATE RECIPIENT

  • CREATE PROVIDER

  • CREATE MATERIALIZED VIEW

如果工作區目錄已針對工作區佈建,則工作區管理員是工作區目錄的預設擁有者。 擁有此目錄的所有權會授與下列權限:

  • 管理工作區目錄內任何物件的權限或轉移權限。

    這包括授與管理員目錄中所有資料的讀取和寫入權限 (預設為無直接存取;授與權限會進行記錄稽核)。

  • 轉移工作區目錄本身的所有權。

所有工作區使用者都會收到工作區目錄上的 USE CATALOG 權限。 工作區使用者也會收到目錄中 default 結構描述的 USE SCHEMACREATE TABLECREATE VOLUMECREATE MODELCREATE FUNCTIONCREATE MATERIALIZED VIEW 權限。

注意

附加中繼存放區和工作區目錄上授與的預設權限不會在工作區之間維護 (例如,如果工作區目錄也會繫結至另一個工作區)。