本页介绍如何管理用户、服务主体和组的权利。
权利概述
权利是允许用户、服务主体或组以指定方式与 Azure Databricks 交互的属性。 权利在工作区级别分配给用户。 权利仅在高级计划中提供。
访问权利
每个访问权利授予用户对工作区中一组特定功能的访问权限:
- 使用者访问权限:授予对简化环境的访问权限,以便查看与之共享的仪表板、Genie 空间和 Databricks Apps。 请参阅什么是使用者访问权限?
- Databricks SQL 访问权限:授予对 Databricks SQL 功能(包括仪表板、查询和 SQL 仓库)的访问权限。 请参阅 如何使用 Databricks SQL。
- 工作区访问权限:授予对数据科学与工程和 Databricks 马赛克 AI 区域中的核心工作区功能(例如笔记本、作业、模型和管道)的访问权限。 请参阅 Databricks 的数据工程 以及 Databricks 上的 AI 和机器学习。
下表显示了每个访问权限授予哪些功能:
| 能力 | 使用者访问 | Databricks SQL 访问权限 | 工作区访问权限 |
|---|---|---|---|
| 读取/运行共享仪表板、Genie 空间和 Databricks 应用 | ✓ | ✓ | ✓ |
| 使用 BI 工具查询 SQL 仓库 | ✓ | ✓ | |
| 读取/写入 Databricks SQL 对象 | ✓ | ||
| 读取/写入数据科学和工程对象 | ✓ | ||
| 读取和写入 Databricks Mosaic AI 对象 | ✓ |
若要访问 Azure Databricks 工作区,用户必须至少具有一个访问权利。
使用者访问与帐户用户
上表汇总了工作区中的访问权利。 下表比较了拥有消费者访问权限的工作区用户与没有工作区成员资格的帐户用户的功能。
| 能力 | 使用者对工作区的访问权限 | 没有工作区成员身份的帐户用户 |
|---|---|---|
| 使用共享数据权限查看仪表板 | ✓ | ✓ |
| 使用查看器凭据查看仪表板 | ✓ | ✓ |
| 查看共享的 Genie 空间和 Databricks 应用 | ✓ | |
| 使用行级和列级安全性查看数据对象 | ✓ | ✓ |
| 访问受限使用者工作区 UI | ✓ | |
| 使用 BI 工具查询 SQL 仓库 | ✓ |
计算权利
允许不受限制的群集创建和允许池创建权利控制在工作区中预配计算资源的能力。 工作区管理员默认接收这些权利,并且无法删除这些权利。 除非明确分配,否则不会向非管理员用户授予权限。
允许不受限制的群集创建 授予用户或服务主体创建不受限制的群集的权限。
允许创建池 可创建实例池。 它只能授予组。
仅当某个组已拥有该权利时,此权利才会显示在管理员设置 UI 中。 可以使用任何组的 UI 将其删除,
admins组除外,因为无法在该组中将其删除。 若要将其分配给组,请使用 API。 请参阅 使用 API 管理权利。
默认权利
某些权利会自动授予特定用户和组:
工作区管理员 始终被授予以下权利,并且无法删除这些权利:
- 工作区访问权限
- 允许创建无限制的群集
- 允许创建池
默认情况下,管理员还被授予 Databricks SQL 访问权限 ,但可以将其删除。 但是,由于管理员保留权利管理权限,因此他们可以随时将其重新分配给自己。
默认情况下,工作区用户通过组中的成员身份授予工作区访问权限和
users。 所有工作区用户和服务主体都将自动添加到此组。组的默认
users权限会影响分配或限制权限的方式。 若要提供 使用者访问 体验,必须从users组(以及account users组(如果适用)中删除默认权利,并向特定用户、服务主体或组单独分配权利。 请查看将工作区组克隆到新帐户组一文。
使用工作区管理设置页面管理权利
工作区管理员可以使用工作区管理员设置页管理用户、服务主体和组的权利。
- 以工作区管理员身份登录到 Azure Databricks 工作区。
- 单击顶部栏中的用户名,然后选择 “设置”。
- 单击“ 标识和访问 ”选项卡。
- 根据要管理的内容,单击“用户”、“服务主体”或“组”旁边的“管理”。
- 选择要更新的用户、服务主体或组。
- 对于用户和组,请单击“ 权利 ”选项卡。对于服务主体,权利复选框将直接显示。
- 若要授予权利,请选择权利旁边的切换开关。
若要删除权利,请取消选择该切换开关。
如果权利是从组继承的,则切换开关将显示为选中状态,但会灰显。若要移除继承的权利,请执行以下操作之一:
- 从具有权利的组中删除用户或服务主体,或者
- 从组本身中删除权利。
删除组授权会影响该组的所有成员,除非他们是单独获得授权或通过另一个组获得授权。
使用 API 管理权利
可以使用以下 API 管理用户、服务主体和组的权利:
下表列出了每个权利及其相应的 API 名称:
| 权利名称 | 权利 API 名称 |
|---|---|
| 使用者访问 | workspace-consume |
| 工作区访问权限 | workspace-access |
| Databricks SQL 访问权限 | databricks-sql-access |
| 允许创建无限制的群集 | allow-cluster-create |
| 允许创建池 | allow-instance-pool-create |
例如,若要使用 API 将 allow-instance-pool-create 权利分配给组:
curl --netrc -X PATCH \
https://<databricks-instance>/api/2.0/preview/scim/v2/Groups/<group-id> \
--header 'Content-type: application/scim+json' \
--data @update-group.json \
| jq .
update-group.json:
{
"schemas": ["urn:ietf:params:scim:api:messages:2.0:PatchOp"],
"Operations": [
{
"op": "add",
"path": "entitlements",
"value": [
{
"value": "allow-instance-pool-create"
}
]
}
]
}