重要
此功能在 Beta 版中。
本页介绍如何创建和管理标记策略权限。 有关标记策略的概述,请参阅 标记策略。
标记策略权限概述
标记策略权限可确定谁可以创建、编辑、分配和删除标记策略,以及谁可以将受治理的标记分配给资源。 标记策略权限可在以下两个范围之一应用:
- 帐户: 如果在帐户级别拥有权限,则对帐户中的所有标记策略都具有该权限。 例如,如果您在帐户级别具有 MANAGE 权限,那么您可以管理该帐户中的任何标记策略。
- 单个标记策略: 如果对特定标记策略具有权限,则只能管理或分配该特定标记策略。
下表汇总了可用于管理标记策略的权限。
| 许可 | 定义 | Scope |
|---|---|---|
| 创造 | 创建新的标记策略 | 帐户 |
| 管理 | 编辑、删除和分配标记策略的权限 | 帐户或单个标签策略 |
| 分配 | 将受治理的标记分配给 Unity 目录对象 | 帐户或单个标签策略 |
- 默认情况下,帐户管理员对帐户具有 CREATE 和 MANAGE 权限。
- 默认情况下,工作区管理员在帐户上具有创建权限。
- 具有 CREATE 权限的用户可以添加新标记策略,并自动授予他们创建的每个策略的 MANAGE 权限。
- 即使具有 MANAGE 权限的用户也无法更新或删除系统标记
ASSIGN 权限控制谁可使用由标记策略定义的受控标记。 这与确定用户是否可以在特定对象上添加或编辑标记的权限不同。 例如, 还需要拥有对象上的APPLY TAG特权才能将受控标记分配给 Unity Catalog 对象。
用户还可以继续创建和分配不受标记策略控制的标记。 标记策略仅适用于显式管理的标签。
若要分配标记策略权限,帐户管理员必须启用标记策略 beta 版。 请参阅 “启用标记策略”。
注释
更新标记策略权限最多可能需要 30 秒或更长时间才能完全传播。 UI 会立即反映更新的权限,但在传播完成之前,权限检查可能不会成功。
为账户分配标签策略权限
若要在帐户级别分配标记策略权限,必须在帐户级别具有 MANAGE 权限。 默认情况下,帐户管理员拥有该帐户的管理权限。
在 Azure Databricks 工作区中,单击
目录。在“ 快速访问 ”页上,单击“ 标记策略 > ”按钮。
单击“ 帐户权限 ”选项卡。
单击授予权限集。
在 “主体”中,选择要向其分配权限的用户、服务主体或组。
在 “权限”集中,选择所需的权限(CREATE、MANAGE 或 ASSIGN)。
单击“ 保存”。
为单个标签策略授予权限
若要为单个标记策略分配标记策略权限,必须对该标记策略具有 MANAGE 权限。
在 Azure Databricks 工作区中,单击
目录。在“ 快速访问 ”页上,单击“ 标记策略 > ”按钮。
选择标签策略。
单击“权限”选项卡。
单击授予权限集。
在 “主体”中,选择要向其分配权限的用户、服务主体或组。
在 “权限”集中,选择所需的权限(CREATE、MANAGE 或 ASSIGN)。
单击“ 保存”。