本页介绍如何管理用户、服务主体和组的权利。
权利概述
权利是允许用户、服务主体或组以指定方式与 Azure Databricks 交互的属性。 权利是在工作区级别分配给用户的。 权利仅在高级计划中提供。
访问权利
每个访问权利授予用户对工作区中一组特定功能的访问权限:
使用者:授予对简化环境的访问权限,以便查看仪表板。
Databricks SQL 访问权限:授予对 Databricks SQL 功能(包括仪表板、查询和 SQL 仓库)的访问权限。 请参阅 核心工具。
工作区访问权限:授予对数据科学与工程和 Databricks 马赛克 AI 区域中的核心工作区功能(例如笔记本、作业、模型和管道)的访问权限。 请参阅 Databricks 的数据工程 以及 Databricks 上的 AI 和机器学习。
下表显示了每个访问权限授予哪些功能:
能力 | 使用者访问权限 | Databricks SQL 访问权限 | 工作区访问权限 |
---|---|---|---|
读取/运行仪表板 | ✓ | ✓ | ✓ |
使用 BI 工具查询 SQL 仓库 | ✓ | ✓ | |
读取/写入 Databricks SQL 对象 | ✓ | ||
读取/写入数据科学和工程对象 | ✓ | ||
读取和写入 Databricks Mosaic AI 对象 | ✓ |
若要访问 Azure Databricks 工作区,用户必须至少具有一个访问权利。
消费者访问与帐户使用者
上表汇总了工作区中的访问权利。 下表比较了拥有消费者访问权限的工作区用户与没有工作区成员资格的帐户用户的功能。
能力 | 使用者对工作区的访问权限 | 没有工作区成员身份的帐户用户 |
---|---|---|
使用嵌入式凭据查看仪表板 | ✓ | ✓ |
使用查看器凭据查看仪表板 | ✓ | |
使用行级和列级安全性查看数据对象 | ✓ | |
对受限使用者工作区 UI 的访问 | ✓ | |
使用 BI 工具查询 SQL 仓库 | ✓ |
计算权益
允许不受限制的群集创建和允许池创建权利控制在工作区中预配计算资源的能力。 工作区管理员默认接收这些权利,并且无法删除这些权利。 不会向非管理员用户授予这些权限,除非明确分配。
允许不受限制的群集创建 授予用户或服务主体创建不受限制的群集的权限。
允许创建池 可创建实例池。 它只能授予组。
仅当某个组已拥有该权利时,此权利才会显示在管理员设置 UI 中。 可以使用 UI 为除
admins
组之外的任何组将其删除,因为它无法将其删除。 若要将其分配给组,请使用 API。 请参阅 使用 API 管理权利。
默认权利
某些权利会自动授予特定用户和组:
工作区管理员 始终被授予以下权利,并且无法删除这些权利:
- 工作区访问权限
- 允许创建无限制的群集
- 允许创建池
默认情况下,管理员还被授予 Databricks SQL 访问权限 ,但可以将其删除。 但是,由于管理员保留权利管理权限,因此他们可以随时将其重新分配给自己。
默认情况下,工作区用户通过组中的成员身份授予工作区访问权限和
users
。 所有工作区用户和服务主体都将自动添加到此组。在
users
组上的默认权限会影响分配或限制权限的方式。 若要提供 使用者访问 体验,必须从users
组(以及account users
组(如果适用)中删除默认权利,并向特定用户、服务主体或组单独分配权利。
使用工作区管理设置页面管理权利
工作区管理员可以使用工作区管理员设置页管理用户、服务主体和组的权利。
以工作区管理员身份登录到 Azure Databricks 工作区。
单击顶部栏中的用户名,然后选择 “设置”。
单击“ 标识和访问 ”选项卡。
根据要管理的内容,单击“用户”、“服务主体”或“组”旁边的“管理”。
选择要更新的用户、服务主体或组。
对于用户和组,请单击“ 权利 ”选项卡。对于服务主体,权利复选框将直接显示。
若要授予权利,请选择权利旁边的切换开关。
若要删除权限,请取消选择开关。
如果一个权限是从组继承的,切换按钮将显示为选中状态,但呈灰色显示。要删除继承的权限,可以选择以下任一方法:
- 从具有权利的组中删除用户或服务主体,或者
- 从组本身中删除权利。
删除组的权限会影响该组的所有成员,除非他们被单独授予权限或通过其他组授予权限。
使用 API 管理权利
可以使用以下 API 管理用户、服务主体和组的权利:
下表列出了每个权利及其相应的 API 名称:
权利名称 | 权利 API 名称 |
---|---|
工作区访问权限 | workspace-access |
Databricks SQL 访问权限 | databricks-sql-access |
允许创建无限制的群集 | allow-cluster-create |
允许创建池 | allow-instance-pool-create |
例如,若要使用 API 将 allow-instance-pool-create
权利分配给组:
curl --netrc -X PATCH \
https://<databricks-instance>/api/2.0/preview/scim/v2/Groups/<group-id> \
--header 'Content-type: application/scim+json' \
--data @update-group.json \
| jq .
update-group.json
:
{
"schemas": ["urn:ietf:params:scim:api:messages:2.0:PatchOp"],
"Operations": [
{
"op": "add",
"path": "entitlements",
"value": [
{
"value": "allow-instance-pool-create"
}
]
}
]
}