管理權利
本文說明如何管理使用者、服務主體和群組的權利。
注意
權利僅適用於進階版方案。
權利概觀
權利是一種屬性,可讓使用者、服務主體或群組以指定的方式與 Azure Databricks 互動。 權利會指派給工作區層級的使用者。 下表列出您用來管理每個權利的權利和工作區 UI 和 API 屬性名稱。 您可以使用工作區管理員設定頁面和工作區使用者、服務主體和群組 API 來管理權利。
| 權利名稱 | 權利 API 名稱 | 預設 | 描述 |
|---|---|---|---|
| 工作區存取 | workspace-access |
預設為授與。 | 授與使用者或服務主體時,他們可以存取資料科學與工程和 Databricks Mosaic AI 角色型環境。 無法從工作區管理員移除。 |
| Databricks SQL 存取權 | databricks-sql-access |
預設為授與。 | 授與使用者或服務主體時,他們可以存取 Databricks SQL。 |
| 允許建立不受限制地叢集 | allow-cluster-create |
預設不會授與使用者或服務主體。 | 授與使用者或服務主體時,他們可以建立不受限制的叢集。 您可以使用叢集層級權限來限制現有叢集的存取權。 無法從工作區管理員移除。 |
| 允許建立集區 (無法透過 UI 使用) | allow-instance-pool-create |
無法授與個別使用者或服務主體。 | 授與群組時,其成員可以建立執行個體集區。 無法從工作區管理員移除。 |
users 群組預設會獲得工作區存取權和 Databricks SQL 存取權。 所有工作區使用者和服務主體都是 users 群組的成員。 若要以用戶為基礎指派這些權利,工作區管理員必須從 users 群組中移除權利,並將其個別指派給使用者、服務主體和群組。
若要登入並存取 Azure Databricks 工作區,使用者必須具有 Databricks SQL 存取權或工作區存取權等權利。
您無法使用系統管理員設定頁面授與 allow-instance-pool-create 權利。 請改用工作區使用者、服務主體或群組 API。
管理使用者的權利
工作區管理員可以使用工作區系統管理員設定頁面來新增或移除用戶的權利。 您也可以使用工作區使用者 API。
- 身為工作區管理員,登入 Azure Databricks 工作區。
- 點擊 Azure Databricks 工作區頂端列中的使用者名稱,然後選取 設定。
- 按一下 [身分識別與存取] 索引標籤。
- 按一下 [使用者] 旁邊的 [管理]。
- 選取使用者。
- 按一下 [權利] 索引標籤。
- 若要新增權限,請選取對應欄位中的切換開關。
若要移除權限,請執行相同的步驟,但改為取消勾選。
如果權限是從群組繼承的,則會選取權限開關,但顯示為灰色且無法更改。若要移除繼承的權限,請將使用者從具有該權限的群組中移除,或從群組中移除該權限。
管理服務主體的權利
工作區管理員可以使用工作區管理員設定頁面來新增或移除服務主體的權利。 您也可以使用工作區服務主體 API。
- 身為工作區管理員,登入 Azure Databricks 工作區。
- 點擊 Azure Databricks 工作區頂端列中的使用者名稱,然後選取 [設定]。
- 按一下 [身分識別與存取] 索引標籤。
- 在 [服務主體] 旁邊,按一下 [管理]。
- 選取您想要更新的服務主體。
- 若要新增權利,請在 [權利] 底下,選取對應的複選框。
若要移除權利,請執行相同的步驟,但改為清除複選框。
如果權限是從群組繼承的,則會選擇權限切換,但處於灰色不可更改狀態。要移除繼承的權限,可以將服務主體從具有該權限的群組中移除,或者將權限從群組中移除。
管理群組的權利
工作區管理員可以在工作區層級管理群組權利,不論群組是在帳戶中建立或為工作區本機。
- 身為工作區管理員,登入 Azure Databricks 工作區。
- 點擊 Azure Databricks 工作區頂端列中的使用者名稱,然後選取 [[設定]。
- 按一下 [身分識別與存取] 索引標籤。
- 在 [群組] 旁邊,按一下 [管理]。
- 選取您要更新的群組。 您必須在群組上擁有群組管理員角色才能更新它。
- 在 [權利] 索引標籤上,選取您想要授與群組中所有用戶的權利。
若要移除權限,請執行相同的步驟,但改為取消勾選開關。 除非群組成員擁有個別使用者或透過其他群組成員資格授與的權限,否則群組成員會失去權利。