迁移工作区权利控制

将工作区权限控制迁移为:在添加每个主体时选择其各自的权限,而不是让主体自动从 users 系统组继承权限。 这样就可以精确控制工作区访问权限,并允许在不授予创作权限的情况下添加仅限使用者的用户。 这将成为所有工作区的默认行为。 可以提前迁移以按自己的计划对其进行测试。

迁移将更改 usersadmins 系统组的工作方式,并将现有权利移动到新组,以便主体保持其当前访问权限。 本页介绍新的行为、迁移步骤和所需的迁移前操作。

概述

每个工作区都有两个系统组: users包括授予工作区访问权限的所有主体,以及 admins包括工作区管理员。 今天,添加到工作区的每个主体都继承了 users授予的权利。 默认情况下,这些权利为:

  • 工作区访问权限:创建和使用笔记本、作业、管道、应用等。
  • Databricks SQL 访问权限:创建和使用仪表板、警报等。

更改后:

  • 添加每个主体时,您可以选择其权限。 您可以在任何访问级别添加主体,包括仅限使用的用户,且不会使其自动继承创作权限。

    将主体添加到工作区中,并明确选择每项权限。

  • users 组没有权利,组 admins 具有所有工作区权利。 两者都不能更改。

  • 不能将 usersadmins 组嵌套为其他组的成员。

现有主体保留其当前访问级别。 Azure Databricks 会自动将先前授予给 users 的权利迁移到一个新的、工作区本地的克隆组,该组的默认名称为 users-clone-<TIMESTAMP>,其中 <TIMESTAMP> 为迁移时间。 可以在迁移期间重命名组,并像管理任何其他工作区本地组一样对其进行管理。 该 admins 组不需要迁移,因为它会自动授予所有工作区权利。

日程表

这将成为所有工作区的默认行为。 更改发生在三个阶段:

  • 2026 年 6 月 15 日 - 可选择加入。 提前迁移工作区以测试新行为。
  • 2026 年 7 月 27 日 - 为尚未选择加入或退出的工作区自动启用。在强制实施之前,你仍然可以暂时选择退出。
  • 2026 年 9 月 14 日 - 对所有工作区强制实施。 无法再选择退出。

有关更多信息,请参阅 即将推出的行为变更:向工作区添加主体时选择权限

在您开始之前

必须是工作区管理员才能迁移工作区并管理新行为。

在工作区中启用新行为之前执行以下操作:

  • 自动化:如果通过 Terraform、工作区 SCIM API 或自定义脚本管理系统组权利,请将工作流更新为目标帐户组,而不是系统组。 Azure Databricks启用新行为后,尝试修改系统组权利失败。
  • 嵌套系统组:如果 usersadmins 嵌套为另一个组的成员,请删除嵌套。 新的行为模式不允许嵌套。
  • SCIM 同步:如果您的 SCIM 同步会删除其无法识别的工作区组,请更新其配置以保留迁移克隆组(users-clone-<TIMESTAMP>)。 如果同步删除克隆组,则主体迁移到该组会失去其权利。

迁移工作区

您可以在工作区设置中通过 新行为:向工作区添加主体时选择权限 这一设置来管理此新行为。

要将工作区迁移到新行为:

  1. 以工作区管理员身份登录到 Azure Databricks 工作区。

  2. 单击顶部栏中的用户名,然后选择 “设置”。

  3. 单击“ 高级 ”选项卡。

  4. “访问控制”下,找到新行为:向工作区添加主体账户时选择授权。 状态显示旧行为(可能需要操作)。

    使用前面的行为显示工作区的访问控制设置。

  5. 单击“管理”。

  6. 在对话框中,查看 users 组和 admins 组当前的授权情况。 在此工作区的行为中,选择“使用新行为”。

  7. 克隆组名称 中,输入接收授予 users 的授权的组名称,或者保留默认名称。 此组保留现有主体的权限。

    “管理”对话框,其中选择了新行为和克隆组名称字段。

  8. 单击“ 保存”。

    Azure Databricks 将 users 上的权利分配迁移到克隆组。 直接分配给工作区的主体会被添加到克隆组中,从而保留其访问权限。 这些主体包括直接添加的用户和服务主体,以及分配给工作区的任何帐户组。

    “管理”对话框,确认迁移,用户设置为“无权利”,管理员设置为“全部”。

迁移完成后,该设置会显示工作区已采用新行为。

显示采用新行为的工作区的访问控制设置。

验证更改

完成迁移后,请验证是否已正确应用更改:

  1. 作为工作区管理员,登录到Azure Databricks工作区。

  2. 单击顶部栏中的用户名,然后选择 “设置”。

  3. 单击“ 标识和访问 ”选项卡。

  4. 旁边,单击管理

  5. 检查下列各项:

    • 克隆组存在,并且具有该组在迁移之前拥有的权利 users
    • 克隆组包含通过 users 直接添加到工作区的主体,包括直接添加的用户、服务主体以及分配给该工作区的任何账户组。
    • users 组没有权利,组 admins 具有所有工作区权利。

    注意

    克隆群组仅包含直接成员,因此其显示的成员数可能少于 users 群组,后者包括通过账户群组成员关系添加的所有人。 这并不意味着任何人失去了访问权限。 通过账户组加入工作区的主体仍在覆盖范围内,因为该账户组已添加到克隆组。 工作区本地组不会被复制,因为它们不会赋予工作区成员资格。

注意事项和最佳做法

迁移工作区时,请考虑以下事项:

  • 迁移后添加主体:启用新行为后,在将主体添加到工作区时选择每个主体的权利。 若要授予创作权限,请选择 工作区访问权限Databricks SQL 访问权限。 若要添加仅查看使用者,请仅授予 使用者访问权限。 有关详细信息,请参阅 什么是使用者访问权限? 并使用 Genie 接口
  • 管理克隆组:组 users-clone-<TIMESTAMP> 是标准工作区本地组。 像任何其他组一样管理其成员身份和权利。 请参阅管理组
  • 选择退出:如果在迁移后选择退出,组 users-clone-<TIMESTAMP> 将保留。 可以保留和管理它,也可以手动删除它。

下一步是什么

迁移工作区后,可能需要:

  • Last updated on