管理对 Azure Databricks 自动化的访问
本文介绍如何为 Azure Databricks 凭据配置权限。 若要了解如何使用凭据向 Azure Databricks 进行身份验证,请参阅 Azure Databricks 自动化身份验证 - 概述。
注意
Azure Databricks 自动化身份验证权限仅在高级计划中可用。
个人访问令牌权限
工作区管理员可以设置对个人访问令牌的权限,以控制哪些用户、服务主体和组可以创建和使用令牌。 Azure Databricks 工作区管理员必须先为工作区启用个人访问令牌,然后你才能使用它。 为工作区启用或禁用个人访问令牌身份验证。
工作区用户可以有下列令牌权限之一:
- 无权限:用户无法创建或使用个人访问令牌向 Azure Databricks 工作区进行身份验证。
- 可以使用:用户可以创建个人访问令牌,并使用它向工作区进行身份验证。
- CAN MANAGE(仅限工作区管理员):用户可以管理所有工作区用户的个人访问令牌和使用令牌的权限。 工作区
admins组中的用户默认拥有此权限,你无法撤销它。 不能向其他用户、服务主体或组授予此权限。
此表列出了每个与令牌相关的任务所需的权限:
| 任务 | 无权限 | 可以使用 | 可管理 |
|---|---|---|---|
| 创建令牌 | x | x | |
| 使用令牌进行身份验证 | x | x | |
| 撤销你自己的令牌 | x | x | |
| 撤销任何用户或服务主体的令牌 | x | ||
| 列出所有令牌 | x | ||
| 修改令牌权限 | x |
使用管理员设置页管理令牌权限
此部分介绍如何使用工作区 UI 来管理权限。 还可以使用权限 API 或 Databricks Terraform 提供程序。
转到管理设置页。
单击“高级” 选项卡。
单击“个人访问令牌”旁的“权限”按钮,以打开令牌权限编辑器。
搜索并选择用户、服务主体或组,然后选择要分配的权限。
如果
users组拥有“可使用”权限,并且你想要对非管理员用户应用更精细的访问权限,你可以通过单击“用户”行中“权限”下拉菜单旁边的“X”,来删除users组的“可使用”权限。单击“+ 添加”。
单击“ 保存”。
警告
保存更改后,将会拒绝以前拥有“可使用”或“可管理”权限但现在不再拥有其中任一权限的任何用户访问个人访问令牌身份验证,并且会立即删除(撤销)其活动令牌。 无法检索已删除的令牌。