本文介绍如何为 Azure Databricks 个人访问令牌配置权限。 若要了解如何使用凭据向 Azure Databricks 进行身份验证,请参阅 授权访问 Azure Databricks 资源。 若要监视和撤销个人访问令牌,请参阅监视和撤销个人访问令牌。
个人访问令牌权限
工作区管理员可以设置对个人访问令牌的权限,以控制哪些用户、服务主体和组可以创建和使用令牌。 Azure Databricks 工作区管理员必须先为工作区启用个人访问令牌,然后你才能使用它。 为工作区启用或禁用个人访问令牌身份验证。
工作区用户可以有下列令牌权限之一:
- 无权限:用户无法创建或使用个人访问令牌向 Azure Databricks 工作区进行身份验证。
- 可以使用:用户可以创建个人访问令牌,并使用它向工作区进行身份验证。
- CAN MANAGE(仅限工作区管理员):用户可以管理所有工作区用户的个人访问令牌和使用令牌的权限。 工作区
admins组中的用户默认拥有此权限,你无法撤销它。 不能向其他用户、服务主体或组授予此权限。
Azure Databricks 个人访问令牌权限仅在高级计划中可用。
此表列出了每个与令牌相关的任务所需的权限:
| 任务 | 无权限 | 可以使用 | 可管理 |
|---|---|---|---|
| 创建令牌 | x | x | |
| 使用令牌进行身份验证 | x | x | |
| 撤销你自己的令牌 | x | x | |
| 撤销任何用户或服务主体的令牌 | x | ||
| 列出所有令牌 | x | ||
| 修改令牌权限 | x |
使用管理员设置页管理令牌权限
此部分介绍如何使用工作区 UI 来管理权限。 还可以使用权限 API 或 Databricks Terraform 提供程序。
转到设置页。
单击“高级” 选项卡。
单击“个人访问令牌”旁的“权限”按钮,以打开令牌权限编辑器。
搜索并选择用户、服务主体或组,然后选择要分配的权限。
如果
users组拥有“可使用”权限,并且你想要对非管理员用户应用更精细的访问权限,你可以通过单击“用户”行中“权限”下拉菜单旁边的“X”,来删除users组的“可使用”权限。单击“+ 添加”。
单击“ 保存”。
警告
保存更改后,以前拥有 CAN USE 或 CAN MANAGE 权限且不再具有任何权限的用户,因为这些权限被直接吊销,无法访问个人访问令牌身份验证,并且其活动令牌将被立即删除(吊销)。 如果用户间接失去访问权限(例如,通过从授予权限的组中删除),则不会撤销其令牌,但它们变得不可用。 如果以后将用户重新添加到具有必要权限的组,则相同的令牌将再次可用。 无法检索已删除的令牌。