管理组

使用组可以将相同的权利分配给多个用户。 管理员用户可以使用管理控制台组 APISCIM API支持 SCIM 的标识提供者(例如 Azure Active Directory)来管理组。 本文介绍了如何使用 Azure Databricks 管理控制台来管理组。

“组”选项卡

使用管理控制台可以:

  • 添加组。
  • 将用户添加到组以及删除用户。
  • 将组添加到其他组以及删除组。
  • 授予和撤销为所有组成员创建群集的权限(如果已为工作区启用了群集访问控制)。
  • 通过将用户添加到 admins 组或删除他们来管理管理员权限。 还可以在用户管理界面中将用户分配到 admins 组。

备注

对工作区资源拥有“参与者”或“所有者”角色的用户会自动分配到 admins 组。 有关详细信息,请参阅分配帐户管理员

添加组

  1. 转到管理控制台并单击“组”选项卡。

  2. 单击“+ 创建组”。

  3. 输入组名称,然后单击“确认”。

    组名称必须是唯一的。 你无法更改组名称。 如果要更改某个组名称,则必须删除该组,然后使用新名称重新创建它。

向组添加用户和子组

备注

不能向 admins 组添加子组。

  1. 转到管理控制台并单击“组”选项卡。
  2. 选择要更新的组。
  3. 在“成员”选项卡上,单击“+添加用户或组”。
  4. 在“添加用户或组”对话框中,单击向下箭头以显示用户和组的下拉列表,然后选择要添加的用户和组。
  5. 单击向下箭头以隐藏下拉列表,然后单击“确认”。

管理组的权利

权利是允许用户、服务主体或组以指定方式与 Azure Databricks 交互的属性。 下表显示了每种权利的 UI 和 API 名称。

权利名称 (UI) 权利名称 (API) 默认 说明
工作区访问权限 allow-workspace-access 默认授予。 向用户或服务主体授予后,该用户或服务主体即可访问 Azure Databricks。

不能从工作区管理员中删除。
Databricks SQL 访问权限 databricks-sql-access 默认不授予。 向用户或服务主体授予后,该用户或服务主体即可访问 Databricks SQL。
允许群集创建 allow-cluster-create 默认不向用户或服务主体授予。 向用户或服务主体授予后,该用户或服务主体即可创建群集。 你可以使用群集级权限限制对现有群集的访问。

不能从管理员用户中删除。
allow-instance-pool-create allow-instance-pool-create 不能单独向各用户或服务主体授予。 向组授予后,该组成员即可创建实例池。

不能从工作区管理员中删除。

如果禁用了 Databricks SQL,则:

  • “工作区访问”和“Databricks SQL 访问”权利不会在 Azure Databricks UI 中显示 。
  • 不能为用户或组显式启用或禁用工作区访问。 请改为禁用用户

添加或删除组的权利

  1. 转到管理控制台并单击“组”选项卡。
    1. 选择要更新的组。
    2. 在“权利”选项卡上,选择要向组中的所有用户授予的权利。
      • 允许群集创建:允许组成员创建和启动新群集。 你可以使用群集级权限限制对现有群集的访问。
      • allow-instance-pool-create:允许组成员创建新的实例池。
      • Databricks SQL 访问权限:允许组成员访问 Databricks SQL
    3. 若要删除组的某种权利,请取消选择该权利。
    4. 在确认对话框中,单击“确认”。

查看父组

  1. 转到管理控制台并单击“组”选项卡。
  2. 选择要更新的组。
  3. 在“父级”选项卡上,查看你的组的父组。

删除用户或子组

  1. 转到管理控制台并单击“组”选项卡。
  2. 选择要更新的组。
  3. 在“成员”选项卡上,找到要删除的用户或组,然后单击“操作”列中的 X
  4. 单击“删除成员”以进行确认。

用户或子组将丢失此组中的成员身份所授予的所有子组成员身份和权利。 但是,他们可能会通过其他组或用户级别的授予中的成员身份保留这些权利。

删除权利

  1. 转到管理控制台并单击“组”选项卡。
  2. 选择要更新的组。
  3. 在“权利”选项卡上,清除要为组中的所有用户撤销的权利的复选框。
  4. 在确认对话框中,单击“删除”。

组成员将失去权利,除非他们具有作为单个用户或通过其他组成员身份获得的权限。

将组从其父组中删除

  1. 转到管理控制台并单击“组”选项卡。
  2. 选择要更新的组。
  3. 在“父级”选项卡上,找到你要从中脱离的父组,然后单击“操作”列中的 X
  4. 在确认对话框中,单击“删除父级”。

分配给父组的所有权利将从组的成员中删除。 但是,他们可能会通过其他组或用户级别的授予中的成员身份保留这些权利。