管理組
本文解釋管理員如何創建和管理Databricks組。有關Databricks標識模型的概述,請參見數據庫身份和角色.
群組管理概述
通過更容易地分配對工作空間、數據和其他安全對象的訪問,組簡化了身份管理。所有Databricks身份都可以分配為組的成員。
帳戶組和工作空間-本地組之間的區別
而在工作空間級別創建的用戶和服務主體則是自動同步到帳戶,在工作空間級別創建的組則不是。相反,Databricks的概念是賬戶組而且workspace-local組.
賬戶組隻能由帳戶管理員使用帳戶級接口創建。帳戶管理員可以將這些組分配給工作空間,並為它們配置跨工作空間的數據訪問,隻要這些工作空間使用聯合身份驗證.
Workspace-local組隻能由工作區管理員使用工作區級接口創建。這些群體被認定為workspace-local在工作空間管理控製台和帳戶控製台中工作空間權限選項卡上。類中的數據不能被分配給其他工作區或授予對數據的訪問權統一目錄metastore。
Databricks建議使用帳戶組而不是工作空間-本地組。為了使用帳戶組,必須為身份聯合啟用工作空間。如果您在現有的工作空間中啟用身份聯合,您可以同時使用帳戶組和工作空間-本地組,但Databricks建議將工作空間-本地組轉換為帳戶組,以利用使用Unity Catalog的集中式工作空間分配和數據訪問管理。
誰可以管理組,他們可以使用哪些接口?
要在“數據庫”中管理組,必須是賬戶管理或者一個工作空間管理.
賬戶管理員可以向帳戶添加組和管理組成員。他們還可以為工作空間分配組,並配置跨工作空間的數據訪問,隻要這些工作空間使用聯合身份驗證.
工作空間管理員可以將帳戶組添加到其Databricks工作空間並管理對工作空間中對象和功能的訪問,例如創建集群或池的能力,隻要這些工作空間使用聯合身份驗證.工作區管理員不能創建或管理帳戶組。工作空間管理員可以創建和管理工作空間本地組。
的成員
管理員組,這是一個不能刪除的保留組。
管理員帳戶可以通過以下接口管理組:
帳戶控製台
為標識提供程序提供連接器(例如,Okta或Azure Active Directory)
工作空間管理員可以使用以下接口管理工作空間中的組:
工作區管理控製台
為標識提供程序提供連接器(例如,Okta或Azure Active Directory)
的SCIM(帳戶)API(通過調用
{workspace-domain} / api / 2.0 /賬戶/ scim / v2 /)
向您的帳戶添加組
作為帳戶管理員,您可以使用帳戶控製台、標識提供程序的供應連接器或SCIM(帳戶)API向Databricks帳戶添加組。
使用帳戶控製台向帳戶添加組
要使用帳戶控製台向帳戶添加組,請執行以下操作:
以admin帳戶登錄賬戶控製台.
點擊
用戶管理.在組選項卡上,單擊添加組.
輸入組的名稱。
點擊確認.
根據提示,將用戶、服務主體和組添加到組中。
用戶管理.使用帳戶控製台將用戶、服務主體和組添加到現有組中
要使用帳戶控製台將用戶、服務主體和組添加到現有組,請執行以下操作:
以admin帳戶登錄賬戶控製台.
點擊
用戶管理.在組選項卡,選擇要更新的組。
點擊添加成員.
搜索要添加的用戶、組或服務主體並選擇它。
點擊添加.
要讓組成員訪問工作空間,您需要將組添加到工作空間。看到向工作區添加組.
重要的
如果您已經擁有將標識直接同步到工作空間的SCIM連接器並且這些工作區為身份聯合啟用,當啟用帳戶級SCIM連接器時,應該禁用那些SCIM連接器。如果您的工作區沒有使用身份聯合,那麼您應該繼續使用為這些工作區配置的任何SCIM連接器,並與帳戶級SCIM連接器並行運行。
從身份提供者將組同步到Databricks帳戶
您可以使用SCIM配置連接器將組從標識提供程序(IdP)同步到Databricks帳戶。有關說明,請參見為Databricks帳戶提供身份.
使用SCIM api向您的帳戶添加組
帳戶管理員可以使用SCIM帳戶API在Databricks帳戶中添加和管理組。
工作區管理員不能使用此API添加組,但他們可以列出和查看組。要做到這一點,他們必須使用不同的端點URL調用API:
帳戶管理員使用
accounts.cloud.m.eheci.com/api/2.0/accounts/ {account_id} / scim / v2 /.工作區管理員使用
{workspace-domain} / api / 2.0 /賬戶/ scim / v2 /.
工作區管理員不能使用帳戶的SCIM API創建組。
要使用SCIM api添加一個組,帳戶管理員執行以下操作:
使用SCIM API 2.0(帳戶)來確定組是否已經存在。
如果組不存在,請使用相同的API創建組。
使用相同的API向組中添加成員。
屬性將組分配到工作區工作空間分配API.
詳細信息請參見SCIM API 2.0(帳戶).
將帳戶admin角色分配給組
不能使用帳戶控製台將帳戶管理角色分配給組,但可以使用用於帳戶的SCIM API將其分配給組。看到SCIM API 2.0(帳戶).
從Databricks帳戶中刪除組
帳戶管理員可以從Databricks帳戶中刪除組。工作空間管理員則不能。
重要的
當您刪除一個組時,該組中的所有用戶都將從帳戶中刪除,並且無法訪問他們曾經訪問過的任何工作區,除非他們是另一個組的成員,或者直接被授予訪問帳戶或任何工作區的權限.您應該避免刪除帳戶級別的組,除非您希望它們失去對帳戶中所有工作區的訪問權。刪除用戶的後果如下:
使用用戶生成的令牌的應用程序或腳本將不再能夠訪問Databricks API
用戶擁有的作業將失敗
用戶所屬的集群將停止運行
由用戶創建並使用Run as Owner憑據共享的查詢或儀表板必須分配給新的所有者,以防止共享失敗
使用帳戶控製台刪除組,請執行以下操作:
以admin帳戶登錄賬戶控製台.
點擊
用戶管理.在組選項卡,找到要刪除的組。
單擊
在用戶行最右側的烤肉菜單中選擇刪除.在彈出的確認對話框中,單擊確認刪除.
在用戶行最右側的烤肉菜單中選擇刪除.如果使用帳戶控製台刪除組,則必須確保還使用已為帳戶設置的任何SCIM供應連接器或SCIM API應用程序刪除組。如果您不這樣做,SCIM配置將在下次同步時簡單地將組及其成員添加回來。看到從您的標識提供程序同步用戶和組.
若要使用SCIM api從Databricks帳戶中刪除組,請參見為Databricks帳戶提供身份而且SCIM API 2.0(帳戶).
將工作空間-本地組遷移到帳戶組
本節僅適用於啟用的工作區聯合身份驗證.
在工作空間級別創建的組(工作空間-本地組)不會自動作為帳戶組同步到帳戶。您可以在定義工作區的工作區中使用工作區-本地組,但不能使用帳戶級接口管理它們,也不能使用Unity Catalog跨工作區管理數據訪問。因此,Databricks建議您將它們轉換為帳戶組。
您可以使用以下任何一種方法將工作區-本地組遷移到帳戶級別:
手動轉換它們。使用帳戶控製台創建一個新的帳戶組,並將每個成員添加到新帳戶。然後使用工作區管理控製台刪除工作區-本地組。
使用SCIM供應連接器轉換它們。設置或修改SCIM供應連接器,將一個組添加到複製工作空間-本地組的帳戶。然後使用工作區管理控製台或工作區級別的SCIM(組)API刪除組。如果您有一個活動的工作空間的SCIM供應連接器,那麼您應該關閉它。您應該在帳戶級別提供所有用戶和組。
使用SCIM api轉換它們。使用SCIM(帳戶)API向複製工作空間-本地組的帳戶添加一個組。然後使用工作區管理控製台或工作區級別的SCIM(組)API刪除組。
在將工作空間-本地組遷移到帳戶後,您需要授予新帳戶組對工作空間以及工作空間-本地組具有訪問權限的對象和功能的訪問權限,以便組成員能夠維護該訪問權限。遵循向工作區添加組為新帳戶組分配工作空間權限,並使用權限API 2.0授予組對工作區內對象的訪問權。
向工作區添加組
帳戶管理員可以使用以下方法將組添加到身份聯邦工作區:
帳戶控製台
為標識提供程序提供連接器比如Okta或Azure活動目錄。
工作空間管理員可以使用以下方法在工作空間中添加組並管理它們:
工作區管理控製台
為標識提供程序提供連接器(例如,Okta或Azure Active Directory)
工作空間級別的SCIM api:工作空間的SCIM API 2.0(組)而且Groups API 2.0(遺留)
工作空間分配API(如果工作區啟用了身份聯合)
使用帳戶控製台將組分配到工作區
若要使用帳戶控製台向工作空間添加組,必須啟用該工作空間聯合身份驗證.隻有帳戶級別的組是可分配的。
以admin帳戶登錄賬戶控製台.
點擊
工作區.在權限選項卡上,單擊添加權限.
搜索並選擇組,分配權限級別(工作區用戶或管理),然後按保存.
工作區.使用REST api將組分配給工作空間
您將使用不同的REST api將組分配給工作空間,這取決於工作空間是否啟用了身份聯合,如下所示:
為身份聯合啟用的工作區:帳戶管理員可以使用帳戶級別的工作區分配API將組分配到工作區。帳戶管理員或工作空間管理員都可以使用工作空間級別的工作空間分配API來執行此任務。看到工作區分配(帳戶)API和工作區分配(工作區)API引用
沒有為身份聯合啟用工作區:工作空間管理員可以使用工作空間級的SCIM (Groups) API在工作空間中創建工作空間本地組並添加成員。看到工作空間的SCIM API 2.0(組).
管理工作空間-本地組
工作空間管理員可以使用工作空間管理控製台、IdP供應連接器和REST api添加和管理工作空間本地組。
如果您的工作空間已啟用聯合身份驗證,帳戶管理員應該使用帳戶控製台或其他帳戶級接口添加和管理組。
使用管理控製台將工作空間-本地組添加到工作空間
工作區管理員可以使用工作區管理控製台添加和管理工作區-本地組。
您可以使用工作區管理控製台執行以下操作:
添加和刪除工作區-本地組。
授予和撤銷工作區-本地組中的成員資格,包括
管理員組。管理團隊的權利如下:
授予和撤銷對Data Science & Engineering工作區和Databricks SQL權限的訪問權。
授予和撤銷創建集群的能力(如果集群訪問控製已為工作區啟用)。
要使用管理控製台將工作空間-本地組添加到工作空間,請執行以下操作:
作為一個工作空間管理員,登錄到Databricks工作空間。
在Databricks工作區的頂部欄中單擊您的用戶名並選擇管理控製台.
在組選項卡上,單擊添加組.
輸入組名,單擊確認.
組名不能重複。不能修改組名。如果要更改組名,必須先刪除該組,然後使用新名稱重新創建。
使用管理控製台將用戶、服務主體和組添加到工作空間-本地組
請注意
屬性中不能添加子組管理員組。
作為一個工作空間管理員,登錄到Databricks工作空間。
在Databricks工作區的頂部欄中單擊您的用戶名並選擇管理控製台.
在組選項卡,選擇要更新的組。
在成員選項卡上,單擊添加用戶、組或服務主體.
在對話框中,瀏覽或搜索要添加的用戶、服務主體和組並選擇它們。
點擊確認.
您可能需要單擊選擇器中的向下箭頭來隱藏下拉列表並顯示確認按鈕。
從工作空間-本地組中刪除用戶、組或服務主體
作為一個工作空間管理員,登錄到Databricks工作空間。
在Databricks工作區的頂部欄中單擊您的用戶名並選擇管理控製台.
選擇要更新的組。
在成員選項卡,找到要刪除的用戶、組或服務主體,然後單擊X在行動列。
點擊刪除成員來確認。
用戶、組或服務主體將失去由於該組的成員資格而授予的所有子組成員資格、權利和實例概要。但是,身份可以通過其他組的成員資格或用戶級別的授權來保留這些權利。
請注意
控件,還可以從父工作區-本地組中刪除子工作區-本地組父母TAB中顯示要刪除的組。找到要從中刪除子工作空間-本地組的父組,並單擊X在行動列。
分配給父組的所有授權和實例概要文件都將從該組的成員中刪除。但是,他們可以憑借其他組的成員資格或用戶級別的授權來保留這些權利和實例概要。
管理組的工作空間權限
授權是允許用戶、服務主體或組以指定的方式與Databricks交互的屬性。授權被分配給工作空間級別的用戶。下表列出了用於管理每個授權的工作區UI和API屬性名。您可以使用工作區管理控製台和工作區級別SCIM REST接口權限管理。
授權名稱(UI) |
授權名稱(API) |
默認的 |
描述 |
|---|---|---|---|
工作空間的訪問 |
|
默認允許。 |
當授予用戶或服務主體時,他們可以訪問數據科學與工程和Databricks機器學習基於人物的環境。 不能從工作空間管理員中刪除。 |
Databricks SQL訪問 |
|
默認允許。 |
當授予用戶或服務主體時,它們可以訪問Databricks SQL。 |
允許無限製地創建集群 |
|
默認情況下不授予用戶或服務主體。 |
當授予用戶或服務主體時,它們可以創建集群。可以使用。限製對現有集群的訪問集群級別的權限. 不能從工作空間管理員中刪除。 |
允許創建池(不能通過UI) |
|
不能授予單個用戶或服務主體。 |
當授予一個組時,其成員可以創建實例池。 不能從工作空間管理員中刪除。 |
您可以在工作空間級別管理組權限,而不管組是在帳戶中創建的,還是在工作空間本地創建的。