重要
此功能目前以公共预览版提供。
本页介绍如何授予对受管理标记的权限。 有关受治理标记的概述,请参阅 “受管理标记”。
受治理的标记权限概述
受治理的标记权限可确定谁可以创建、编辑、分配和删除受治理的标记,以及谁可以将受治理的标记分配给资源。 受治理的标记权限可在以下两个范围之一应用:
- 帐户: 如果在帐户级别拥有权限,则对帐户中的所有受管理标记拥有该权限。 例如,如果在帐户级别拥有 MANAGE,则可以管理帐户中的任何受管理标记。
- 单个受治理标记: 如果对特定受管理标记具有权限,则只能管理或分配该特定受管理标记。
下表汇总了可用于管理受管理标记的权限。
| 许可 | Definition | Scope |
|---|---|---|
| CREATE | 创建新的受管理标记 | 帐户 |
| MANAGE | 编辑、删除和分配受治理标记的权限 | 帐户或单个受管理标记 |
| ASSIGN | 将受治理的标记分配给 Unity 目录对象 | 帐户或单个受管理标记 |
- 默认情况下,帐户管理员对帐户具有 CREATE 和 MANAGE 权限。
- 默认情况下,工作区管理员在帐户上具有 CREATE。
- 具有 CREATE 权限的用户可以添加新的受管理标记,并自动授予他们创建的每个受管理标记的 MANAGE 权限。
- 即使具有 MANAGE 权限的用户也无法更新或删除系统标记
ASSIGN 权限控制谁可以使用受控制标记。 这与确定用户是否可以在特定对象上添加或编辑标记的权限不同。 例如, APPLY TAG 还需要对对象拥有特权才能将受治理的标记分配给 Unity 目录对象。
用户还可以继续创建和分配不受控制的标记。
注释
更新受治理的标记权限最多可能需要 30 秒或更长时间才能完全传播。 UI 会立即反映更新的权限,但在传播完成之前,权限检查可能不会成功。
在帐户上分配受管理标记权限
若要在帐户级别分配受管理标记权限,必须在帐户级别具有 MANAGE 权限。 默认情况下,帐户管理员对帐户具有 MANAGE。
在 Azure Databricks 工作区中,单击
目录。单击 “受治理标记 ”按钮。
单击“ 帐户权限 ”选项卡。
单击“ 授予权限集”。
在 “主体”中,选择要向其分配权限的用户、服务主体或组。
在 “权限”集中,选择所需的权限(CREATE、MANAGE 或 ASSIGN)。
单击“ 保存”。
为单个受管理标记分配权限
若要为单个受管理标记分配权限,必须对该受管理标记具有 MANAGE 权限。
在 Azure Databricks 工作区中,单击
目录。单击 “受治理标记 ”按钮。
选择受治理的标记。
单击“权限”选项卡。
单击“ 授予权限集”。
在 “主体”中,选择要向其分配权限的用户、服务主体或组。
在 “权限”集中,选择所需的权限(CREATE、MANAGE 或 ASSIGN)。
单击“ 保存”。