Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
本页介绍如何授予对受管理标记的权限。 有关受治理标记的概述,请参阅 “受管理标记”。
受治理的标记权限概述
受治理的标记权限可确定谁可以创建、编辑、分配和删除受治理的标记,以及谁可以将受治理的标记分配给资源。 受治理的标记权限可在以下两个范围之一应用:
- 帐户: 如果在帐户级别拥有权限,则对帐户中的所有受管理标记拥有该权限。 例如,如果您在帐户级别拥有 MANAGE 权限,那么您可以管理帐户中任何受控标签。
- 单个受治理标记: 如果对特定受管理标记具有权限,则只能管理或分配该特定受管理标记。
下表汇总了可用于管理受管理标记的权限。
| 许可 | Definition | Scope |
|---|---|---|
| CREATE | 创建新的受管理标记 | 帐户 |
| MANAGE | 编辑、删除和分配受治理标记的权限 | 帐户或单个受管理标记 |
| ASSIGN | 将受治理的标记分配给 Unity 目录对象 | 帐户或单个受管理标记 |
- 默认情况下,帐户管理员对帐户具有 CREATE、MANAGE 和 ASSIGN 权限。 帐户管理员可以向其他用户、服务主体或组授予 CREATE、MANAGE 和 ASSIGN 权限。
- 默认情况下,工作区管理员在帐户上具有创建权限。 帐户管理员可以通过启用
disable-governed-tag-create此设置来撤销此默认设置。 请参阅限制工作区管理员。 - 具有 CREATE 权限的用户可以添加新的受管理标记,并自动授予他们创建的每个受管理标记的 MANAGE 权限。
- 即使具有 MANAGE 权限的用户也无法更新或删除系统标记。 MANAGE 权限仅允许向其他用户、服务主体或组授予或撤销 MANAGE 和 ASSIGN。
ASSIGN 权限控制谁可以使用管理的标签。 这与确定用户是否可以在特定对象上添加或编辑标记的权限不同。 例如,必须在对象上拥有 APPLY TAG 特权才能将受治理的标签分配给 Unity Catalog 对象。
用户还可以继续创建和分配不受控制的标记。
注释
更新受治理的标记权限最多可能需要 30 秒或更长时间才能完全传播。 UI 会立即反映更新的权限,但在传播完成之前,权限检查可能不会成功。
在帐户上分配受管理标记权限
若要在帐户级别分配受管理标记权限,必须在帐户级别拥有 MANAGE 权限。 默认情况下,帐户管理员默认拥有该帐户的管理权限。
- 在Azure Databricks工作区中,单击
Catalog。 - 单击
“治理 ”按钮。 - 在下拉菜单中,单击“受管标记”。
- 单击“ 帐户权限 ”选项卡。
- 单击“ 授予权限”。
- 在 “主体”中,选择要向其分配权限的用户、服务主体或组。
- 在 “权限”中,选择所需的权限(CREATE、MANAGE 或 ASSIGN)。
- 单击“ 保存”。
为单个受管理标记分配权限
若要为单个受管理标记分配权限,必须对该受管理标记拥有 MANAGE 权限。
- 在Azure Databricks工作区中,单击Catalog。
- 单击 “治理 ”按钮。
- 在下拉菜单中,单击“受管标记”。
- 选择已被管理的标签。
- 单击“权限”选项卡。
- 单击“ 授予权限”。
- 在 “主体”中,选择要向其分配权限的用户、服务主体或组。
- 在 “权限”中,选择所需的权限(CREATE、MANAGE 或 ASSIGN)。
- 单击“ 保存”。